AWS China与Azure混合组网

AWS China与Azure混合组网

因为某种原因，AWS China暂时无法部署VPN Connection到其他区域。不过我们可以选择使用在EC2上部署VPN Gateway的方式与本地网络或者其他云平台部署VPN，达到混合部署的目的

1. 组网架构

2. 前期准备

Azure上的Vnet与VPN Gateway的部署不在本次文档中叙述

部署Azure侧的VPN Gateway后，记录VPN Gateway的公网IP：40.73.77.103

同时记录VPN的秘钥，本例以：aws2azure为例

3. 部署VPC

部署VPC，部署步骤请参考：AWS的EC2部署SQL Server Always-On集群（一）---部署VPC_GaryCloud的技术博客_51CTO博客

4. 部署EC2

4.1 部署安全组

4.2 部署EC2

在Public Subnet-1中部署一台具有公网IP的EC2虚拟机，具体步骤参考：AWS的EC2部署SQL Server Always-On集群（二）---部署EC2_GaryCloud的技术博客_51CTO博客

部署时，选择4.1中创建的安全组

5. 部署VPN

登陆步骤4中创建的虚拟机

5.1 安装软件

安装VPN软件（本例以openswan为例）

sudo yum -y install openswan

5.2 配置VPN

配置/etc/ipsec.conf文档

修改/etc/ipsec.conf去掉最后一行include /etc/ipsec.d/*.conf 的注释

cat /etc/ipsec.conf | grep -Ev '^$|#' config setup plutodebug=none virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10 include /etc/ipsec.d/*.conf

输入：sudo vim /etc/ipsec.d/aws.conf，进入编辑模式，输入下列内容

conn aws authby=secret auto=start left=%defaultroute leftsubnet=10.0.0.0/16 leftnexthop=%defaultroute right=40.73.77.103 rightsubnet=10.1.0.0/16 keyingtries=%forever aes128-sha1-modp1024 esp=3des-sha1,aes128-sha1 ikelifetime=28800s salifetime=3600s pfs=no

配置密钥：

输入：sudo vim /etc/ipsec.d/aws.secrets，进入编辑模式，输入：

161.189.108.252 40.73.77.103: PSK "aws2azure"

5.3 设置系统参数

配置系统转发

编辑/etc/sysctl.conf内核配置文件，做如下修改:vim /etc/sysctl.conf

net.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.eth0.send_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.eth0.accept_redirects = 0

配置完成以后，启用新的配置

sysctl -p

5.4 启动VPN链接

启动IPSec

sudo service ipsec start sudo ipsec verify

若ipsec verify遇到报错，根据具体报错进行检测并重新设置

5.5 查看VPN状态

5.5.1 在AWS侧查看VPN状态

service ipsec status

5.5.2 在Azure侧查看VPN状态

6. 测试VPN连通性

6.1 在AWS侧建立一台EC2虚拟机

在Private Subnet-1中部署一台虚拟机，具体步骤参考：AWS的EC2部署SQL Server Always-On集群（二）---部署EC2_GaryCloud的技术博客_51CTO博客

6.2 创建VPN路由

在关联Private Subnet的路由表中添加如下路由

6.3 测试连通性

在AWS侧，登陆虚拟机TestVM2后，ping Azure端虚拟机，可以连通

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。