BGP özellikli VPN ağ geçidi kullanarak AWS ve Azure'a bağlanma

Bu makalede, Azure ile Amazon Web Services (AWS) arasında BGP özellikli bir bağlantı kurulumunda size yol gösterilmektedir. BGP ve etkin-etkin özelliği etkinleştirilmiş bir Azure VPN ağ geçidi ve iki site-to-site bağlantılı bir AWS sanal özel ağ geçidi kullanacaksınız.

Mimari

Bu kurulumda aşağıdaki kaynakları oluşturursunuz:

Gök mavisi

• Bir sanal ağ
• Aktif-aktif ve BGP etkin bir sanal ağ geçidi
• Dört yerel ağ geçidi
• Dört siteden siteye bağlantı

AWS

• Bir sanal özel bulut (VPC)
• Bir sanal özel ağ geçidi
• İki müşteri ağ geçidi
• Her biri iki tünelli iki siteden siteye bağlantı (toplam dört tünel)

AWS'de siteden siteye bağlantının her biri kendi dış IP adresi ve BGP APIPA için kullanılan iç IPv4 CIDR'ine sahip iki tüneli vardır. Etkin-pasif bir VPN ağ geçidi yalnızca tek bir özel BGP APIPA'sını destekler. Birden çok AWS tüneline bağlanmak için Azure VPN ağ geçidinizde active-active modunu etkinleştirmeniz gerekir.

AWS tarafında, iki Azure VPN ağ geçidi örneğinin her biri (toplam dört giden tünel) için bir müşteri ağ geçidi ve siteden siteye bağlantı oluşturursunuz. Azure'da, bu dört AWS tüneli almak için dört yerel ağ geçidi ve dört bağlantı oluşturmanız gerekir.

BGP APIPA adreslerini seçme

Rehber boyunca BGP APIPA yapılandırmanız için aşağıdaki değerleri kullanabilirsiniz.

Tünel	Azure Özel Azure APIPA BGP IP Adresi	AWS BGP Eş IP Adresi	AWS Inside IPv4 CIDR
AWS Tunnel 1 ile Azure Instance 0	169.254.21.2	169.254.21.1	169.254.21.0/30
AWS Tünel 2'yi Azure Örneği 0'a bağla	169.254.22.2	169.254.22.1	169.254.22.0/30
AWS Tunnel 1'den Azure Instance 1'e	169.254.21.6	169.254.21.5	169.254.21.4/30
AWS Tunnel 2'yi Azure Instance 1'e	169.254.22.6	169.254.22.5	169.254.22.4/30

Ayrıca kendi özel APIPA adreslerinizi de ayarlayabilirsiniz. AWS, her tünel için APIPA aralığındaki 169.254.0.0/16 içinde /30 Inside IPv4 CIDR gerektirir. Bu CIDR ayrıca VPN için Azure'a ayrılmış APIPA aralığında, 169.254.21.0 ile 169.254.22.255 arasında olmalıdır. AWS, /30'unuzun CIDR içindeki ilk IP adresini, Azure ise ikinci ip adresini kullanır. Bu, AWS /30 CIDR'nizde iki IP adresi için yer ayırmanız gerektiği anlamına gelir.

Örneğin AWS Inside IPv4 CIDR'nizi 169.254.21.0/30 olarak ayarlarsanız AWS 169.254.21.1 BGP IP adresini, Azure ise 169.254.21.2 IP adresini kullanır.

Önemli

• APIPA adresleriniz şirket içi VPN cihazlarıyla tüm bağlı Azure VPN ağ geçitleri arasında çakışmamalıdır.
• VPN ağ geçidinde birden çok APIPA BGP eş adresi yapılandırmayı seçerseniz, tüm Bağlantı nesnelerini kendi seçtiğiniz ilgili IP adresleriyle de yapılandırmanız gerekir. Bunu yapmazsanız, kaç IP varsa bulunsün tüm bağlantılar listedeki ilk APIPA IP adresini kullanır.

Önkoşullar

Hem Azure hesabınız hem de etkin aboneliği olan AWS hesabınız olmalıdır. Henüz Azure aboneliğiniz yoksa MSDN abonelik avantajlarınızı etkinleştirebilir veya ücretsiz bir hesap için kaydolabilirsiniz.

1. Bölüm: Azure'da etkin-etkin VPN ağ geçidi oluşturma

VNet oluştur

Özel ağ oluşturun. Adımlar için Siteden Siteye Eğitici'ye başvurabilirsiniz.

Bu alıştırma için aşağıdaki örnek değerleri kullanacağız:

• Abonelik: Birden fazla aboneliğiniz varsa doğru aboneliği kullandığınızı doğrulayın.
• Kaynak grubu: TestRG1
• Ad: VNet1
• Konum: Doğu ABD
• IPv4 adres alanı: 10.1.0.0/16
• Alt ağ adı: FrontEnd
• Alt ağ adres aralığı: 10.1.0.0/24

BGP ile etkin-etkin VPN ağ geçidi oluşturma

Bu bölümde aktif-aktif bir VPN ağ geçidi oluşturacaksınız. Adımlar için Siteden Siteye Eğitici'ye başvurabilirsiniz.

Bu alıştırma için aşağıdaki örnek değerleri kullanacağız:

• Ad: VNet1GW

• Bölge: Doğu ABD

• Ağ geçidi türü: VPN

• VPN türü: Rota tabanlı

• SKU: VpnGw2AZ

• Nesil: 2. Nesil

• Sanal ağ: VNet1

• Ağ geçidi alt ağ adres aralığı: 10.1.1.0/24

• Genel IP adresi: Yeni oluştur

• Genel IP adresi adı: VNet1GWpip

• Kullanılabilirlik alanı: Bölge yedekli

• Etkin-etkin modu etkinleştir: Etkin

• İkinci GENEL IP ADRESI: Yeni oluştur

• Genel IP adresi 2 adı: VNet1GWpip2

• Kullanılabilirlik alanı: Bölge yedekli

• BGP değerleri: BGP'yi yapılandırırken aşağıdaki ayarlara dikkat edin:

  • BGP yapılandırma bölümünü göstermek için Etkin seçeneğini BGP'yi Yapılandırma için seçin.

  • ASN ( Otonom Sistem Numarası) girin. Bu ASN, AWS tarafından kullanılan ASN'den farklı olmalıdır.

    • Örnek: 65000

  • Özel Azure APIPA BGP IP adresine iki adres ekleyin. Seçtiğiniz APIPA yapılandırmasından AWS Tunnel 1 ile Azure Instance 0 ve AWS Tunnel 2 ile Azure Instance 0 arasında IP adreslerini ekleyin. İkinci giriş yalnızca ilk APIPA BGP IP adresinizi ekledikten sonra görünür.

    • Örnek: 169.254.21.2, 169.254.22.2

  • İkinci Özel Azure APIPA BGP IP adresine iki adres ekleyin. Seçtiğiniz APIPA yapılandırmasından AWS Tunnel 1 ile Azure Instance 1 ve AWS Tunnel 2 ile Azure Instance 1 arasında IP adreslerini ekleyin. İkinci giriş yalnızca ilk APIPA BGP IP adresinizi ekledikten sonra görünür.

    • Örnek: 169.254.21.6, 169.254.22.6

Doğrulamayı çalıştırmak için Gözden geçir + oluştur'u seçin. Doğrulama geçtikten sonra OLUŞTUR'u seçerek VPN ağ geçidini dağıtın. Bir ağ geçidinin oluşturulması, seçili ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir. Dağıtım durumunu ağ geçidinizin Genel Bakış sayfasında görebilirsiniz.

Ağ geçidinize atanan genel IP adreslerini görüntülemek için portalda sanal ağ geçidinize gidin ve Ayarlar -> Özellikler'e gidin.

2. Bölüm: AWS'den VPN ağ geçidinize bağlanma

Bu bölümde AWS'den Azure VPN ağ geçidinize bağlanacaksınız. Güncelleştirilmiş yönergeler için her zaman resmi AWS belgelerine bakın.

VPC oluştur

Aşağıdaki değerleri ve en son AWS belgelerini kullanarak bir VPC oluşturun.

• Ad: VPC1
• CIDR bloğu: 10.2.0.0/16

CIDR bloğunuzun Azure'da oluşturduğunuz sanal ağ ile çakışmadığından emin olun.

Sanal özel ağ geçidi oluşturma

Aşağıdaki değerleri ve en son AWS belgelerini kullanarak bir sanal özel ağ geçidi oluşturun.

• Ad: AzureGW
• ASN: Amazon varsayılan ASN (64512)
• VPC: VPC1'e bağlı

Özel bir ASN kullanmayı seçerseniz, bunun Azure'da kullandığınız ASN'den farklı olduğundan emin olun.

Yol yayma özelliğini etkinleştirme

En son AWS belgelerini kullanarak sanal özel ağ geçidinizde rota yayma özelliğini etkinleştirin.

Müşteri ağ geçitleri oluşturma

Aşağıdaki değerleri ve en son AWS belgelerini kullanarak iki müşteri ağ geçidi oluşturun.

Müşteri ağ geçidi 1 ayarları:

• Ad: ToAzureInstance0
• Yönlendirme: Dinamik
• BGP ASN: 65000 (Azure VPN ağ geçidiniz için ASN)
• IP Adresi: Azure VPN ağ geçidinizin ilk genel IP adresi

Müşteri ağ geçidi 2 ayarları:

• Ad: ToAzureInstance1
• Yönlendirme: Dinamik
• BGP ASN: 65000 (Azure VPN ağ geçidiniz için ASN)
• IP Adresi: Azure VPN ağ geçidinizin ikinci genel IP adresi

Azure'da Genel IP adresinizi ve İkinci Genel IP adresinizisanal ağ geçidinizin Yapılandırma bölümünde bulabilirsiniz.

Siteden siteye VPN bağlantıları oluşturma

Aşağıdaki değerleri ve en son AWS belgelerini kullanarak iki siteden siteye VPN bağlantısı oluşturun.

Siteden siteye bağlantı 1 ayarları:

• Ad: ToAzureInstance0
• Hedef Ağ Geçidi Türü: Sanal Özel Ağ Geçidi
• Sanal Özel Ağ Geçidi: AzureGW
• Müşteri Ağ Geçidi: Mevcut
• Customer Gateway: ToAzureInstance0
• Yönlendirme Seçenekleri: Dinamik (BGP gerektirir)
• Yerel IPv4 Ağ CIDR:0.0.0.0/0
• Tünel İç IP Sürümü: IPv4
• Tünel 1 için IPv4 CIDR: 169.254.21.0/30
• Tünel 1 için Önceden Paylaşılan Anahtar: Güvenli bir anahtar seçin
• Tünel 2 için IPv4 CIDR İçindeki: 169.254.22.0/30
• Tünel 2 için Önceden Paylaşılan Anahtar: Güvenli bir anahtar seçin
• Başlangıç Eylemi: Başlat

Siteden siteye bağlantı 2 ayarları:

• Ad: ToAzureInstance1
• Hedef Ağ Geçidi Türü: Sanal Özel Ağ Geçidi
• Sanal Özel Ağ Geçidi: AzureGW
• Müşteri Ağ Geçidi: Mevcut
• Customer Gateway: ToAzureInstance1
• Yönlendirme Seçenekleri: Dinamik (BGP gerektirir)
• Yerel IPv4 Ağ CIDR:0.0.0.0/0
• Tünel İç IP Sürümü: IPv4
• Tünel 1 için IPv4 CIDR Dahilinde: 169.254.21.4/30
• Tünel 1 için Önceden Paylaşılan Anahtar: Güvenli bir anahtar seçin
• İç Tünel 2 için IPv4 CIDR: 169.254.22.4/30
• Tünel 2 için Önceden Paylaşılan Anahtar: Güvenli bir anahtar seçin
• Başlangıç Eylemi: Başlat

Tünel 1 için İç IPv4 CIDR ve Tünel 2 için İç IPv4 CIDR bilgileri için her iki bağlantıda da seçtiğiniz APIPA yapılandırmasına bakın.

3. Bölüm: Azure'dan AWS müşteri ağ geçitlerinize bağlanma

Ardından AWS tünellerinizi Azure'a bağlarsınız. Dört tünelin her biri için hem yerel ağ geçidi hem de siteden siteye bağlantınız olur.

Önemli

İlgili dış IP adresini kullanarak dört AWS tünelinizin her biri için aşağıdaki bölümleri yineleyin.

Yerel ağ geçitleri oluşturma

Her yerel ağ geçidini oluşturmak için bu yönergeleri yineleyin.

1. Azure portalında Marketplace'ten Yerel ağ geçidi kaynağına gidin ve Oluştur'u seçin.

2. Sanal ağ geçidinizi oluşturmak için kullandığınız Abonelik, Kaynak Grubu ve Bölge değerlerini seçin.

3. Yerel ağ geçidiniz için bir ad girin.

4. IP Adresini Uç Nokta değeri olarak bırakın.

5. IP Adresi için, oluşturmakta olduğunuz tünelin Dış IP Adresi'ni (AWS'den) girin.

6. Adres Alanı'ni boş bırakın ve Gelişmiş'i seçin.

7. Gelişmiş sekmesinde aşağıdaki ayarları yapılandırın:

   • BGP ayarlarını yapılandır için Evet'i seçin.
   • Otonom sistem numarası (ASN) için AWS Sanal Özel Ağınız için ASN girin. ASN'nizi AWS varsayılan değeri olarak bıraktıysanız ASN 64512'yi kullanın.
   • BGP eş IP adresi için seçtiğiniz APIPA yapılandırmasına göre AWS BGP Eş IP Adresini girin.

Bağlantı oluşturma

Gerekli bağlantıların her birini oluşturmak için bu adımları yineleyin.

1. Sanal ağ geçidinizin sayfasını açın, Bağlantılar sayfasına gidin.

2. Bağlantılar sayfasında + Ekle'yi seçin.

3. Temel Bilgiler sayfasında aşağıdaki değerleri tamamlayın:

   • Bağlantı türü: Siteden siteye (IPsec)
   • Ad: Bağlantınız için bir ad girin. Örnek: AWSTunnel1toAzureInstance0.

4. Ayarlar sayfasında aşağıdaki değerleri tamamlayın:

   • Sanal ağ geçidi: VPN ağ geçidini seçin.
   • Yerel ağ geçidi: Oluşturduğunuz yerel ağ geçidini seçin.
   • AWS bağlantılarını yaparken girdiğiniz önceden paylaşılmış anahtarla eşleşen Paylaşılan anahtarı (PSK) girin.
   • BGP'yi etkinleştir: Etkinleştirmek için öğesini seçin.
   • Özel BGP Adreslerini Etkinleştir: Etkinleştirmek için seçin.

5. Özel BGP Adresleri altında:

   • Seçtiğiniz APIPA yapılandırmasına göre Özel BGP Adresini girin.
   • Özel BGP Adresi (AWS'de IPv4 CIDR içinde) bu bağlantı için kullandığınız yerel ağ geçidinde belirttiğiniz IP Adresi (AWS'deki IP Adresi Dışında) ile eşleşmelidir.
   • Belirttiğiniz tünele bağlı olarak iki özel BGP adreslerinden yalnızca biri kullanılır.
   • AWS'den VPN ağ geçidinizin ilk genel IP adresine (örnek 0) bağlantı oluşturmak için yalnızca Birincil Özel BGP Adresi kullanılır.
   • AWS'den VPN ağ geçidinizin ikinci genel IP adresine (örnek 1) bağlantı oluşturmak için yalnızca İkincil Özel BGP Adresi kullanılır.
   • Diğer Özel BGP Adresini varsayılan olarak bırakın.

   Varsayılan APIPA yapılandırmasını kullandıysanız aşağıdaki adresleri kullanabilirsiniz.

   Tünel	Birincil Özel BGP Adresi	İkincil Özel BGP Adresi
   AWS Tünel 1 - Azure Örneği 0	169.254.21.2	Kullanılmaz (169.254.21.6'yi seçin)
   AWS Tunnel 2'yi Azure Instance 0'a	169.254.22.2	Kullanılmaz (169.254.21.6'yi seçin)
   AWS Tunnel 1 ile Azure Instance 1 arasında	Kullanılmıyor (169.254.21.2'yi seçin)	169.254.21.6
   AWS Tunnel 2'yi Azure Instance 1'e	Kullanılmıyor (169.254.21.2'yi seçin)	169.254.22.6

6. Aşağıdaki ayarları yapılandırın:

   • FastPath: varsayılan değeri (seçili değil) bırakın
   • IPsec / IKE ilkesi: Varsayılan
   • İlke tabanlı trafik seçiciyi kullanma: Devre dışı bırak
   • DPD zaman aşımı süresi (saniye cinsinden): varsayılan olarak bırakın
   • Bağlantı Modu: Kullanılabilir seçeneklerden herhangi birini seçebilirsiniz (Varsayılan, Yalnızca Başlatıcı, Yalnızca Yanıtlayıcı). Daha fazla bilgi için bkz . VPN Gateway ayarları - bağlantı modları.

7. Kaydet'i seçin.

8. Bağlantıyı oluşturmak için + oluştur'u gözden geçirin.

9. Ek bağlantılar oluşturmak için bu adımları yineleyin.

10. Sonraki bölüme geçmeden önce, dört AWS tünelinizin her biri için yerel bir ağ geçidine ve bağlantıya sahip olduğunuzu doğrulayın.

Bölüm 4: (İsteğe bağlı) Bağlantılarınızın durumunu denetleyin

Azure'da bağlantılarınızın durumunu denetleme

1. Sanal ağ geçidinizin sayfasını açın, Bağlantılar sayfasına gidin.

2. 4 bağlantının da Bağlı olarak gösterildiğini doğrulayın.

   

Azure'da BGP eşlerinizin durumunu denetleme

1. Sanal ağ geçidinizin sayfasını açın, BGP Eşleri sayfasına gidin.

2. BGP Eşleri tablosunda, belirttiğiniz Eş adresiyle tüm bağlantıların Bağlı olarak gösterildiğini ve yolları değiştirdiğini doğrulayın.

   

AWS'de bağlantı durumunuzu denetleme

1. Amazon VPC konsolunu açma
2. Gezinti bölmesinde Siteden Siteye VPN Bağlantıları'nı seçin.
3. Yaptığınız ilk bağlantıyı seçin ve ardından Tünel Ayrıntıları sekmesini seçin.
4. Her iki tünelin Durumunun UP olarak gösterildiğini doğrulayın.
5. Her iki tünelin Ayrıntıları'nın bir veya daha fazla BGP yolu gösterdiğini doğrulayın.

Sonraki adımlar

VPN Gateway hakkında daha fazla bilgi için bkz. SSS.