Saat mengonfigurasi gateway VPN eksternal VPN dengan ketersediaan tinggi (HA) ke Amazon Web
Services (AWS), Anda dapat menggunakan gateway transit atau gateway pribadi
virtual. Hanya gateway transit yang mendukung perutean equal-cost multipath (ECMP).
Saat diaktifkan, ECMP mendistribusikan traffic secara merata di seluruh tunnel aktif. Topologi
yang didukung memerlukan dua koneksi VPN Site-to-Site AWS, A
dan B
,
masing-masing dengan dua alamat IP eksternal. Topologi ini menghasilkan empat alamat IP
eksternal di AWS: A1
, A2
, B1
, dan B2
.
Masalah umum: Saat mengonfigurasi tunnel VPN ke AWS, gunakan protokol enkripsi IKEv2 dan pilih lebih sedikit set transformasi di sisi AWS; jika tidak, tunnel Cloud VPN dapat gagal di-rekey. Misalnya, pilih kombinasi algoritma enkripsi Fase 1 dan Fase 2 tunggal, algoritma integritas, dan nomor grup DH. Masalah rekey ini disebabkan oleh besarnya ukuran payload SA untuk set transformasi AWS default. Ukuran payload yang besar ini mengakibatkan fragmentasi IP paket IKE di sisi AWS, yang tidak didukung Cloud VPN.
Membuat VPN dengan ketersediaan tinggi (HA) ke gateway peer AWS
Saat mengonfigurasi gateway VPN eksternal VPN dengan ketersediaan tinggi (HA) ke Amazon Web Services
(AWS), Anda dapat menggunakan gateway transit atau gateway pribadi virtual. Hanya gateway transit
yang mendukung pemilihan rute equal-cost multipath (ECMP). Saat diaktifkan, ECMP mendistribusikan traffic secara merata di seluruh
tunnel aktif. Topologi yang didukung memerlukan dua koneksi VPN Site-to-Site AWS,
A
dan B
, masing-masing dengan dua alamat IP eksternal. Topologi ini menghasilkan empat
alamat IP eksternal di AWS: A1
, A2
, B1
, dan B2
.
- Konfigurasikan empat alamat IP AWS sebagai satu gateway VPN dengan ketersediaan tinggi (HA)
eksternal menggunakan
FOUR_IPS_REDUNDANCY
, dengan: - IP AWS
0
=A1
- IP AWS
1
=A2
- IP AWS
2
=B1
- IP AWS
3
=B2
- Buat empat tunnel di gateway VPN dengan ketersediaan tinggi (HA) untuk memenuhi SLA 99,99% menggunakan konfigurasi berikut:
- VPN dengan ketersediaan tinggi (HA)
interface 0
ke AWSinterface 0
- VPN dengan ketersediaan tinggi (HA)
interface 0
ke AWSinterface 1
- VPN dengan ketersediaan tinggi (HA)
interface 1
ke AWSinterface 2
- VPN dengan ketersediaan tinggi (HA)
interface 1
ke AWSinterface 3
Menyiapkan VPN dengan ketersediaan tinggi (HA) dengan AWS:
- Di Google Cloud, buat gateway VPN dengan ketersediaan tinggi (HA) dan Cloud Router di region yang Anda inginkan. Tindakan ini akan membuat dua alamat IP eksternal, satu untuk setiap antarmuka gateway. Catat alamat IP eksternal untuk digunakan di langkah berikutnya.
- Di AWS, buat dua gateway pelanggan menggunakan hal berikut:
- Opsi pembuatan rute Dinamis
- ASN Google untuk Cloud Router
- Alamat IP eksternal gateway VPN dengan ketersediaan tinggi (HA) Google Cloud
interfaces 0
dan1
- Selesaikan langkah-langkah yang sesuai dengan opsi VPN AWS yang Anda gunakan:
- Gateway Transit
- Buat
lampiran VPN gateway transit
untuk gateway pelanggan pertama (
interface 0
), dan gunakan opsi pembuatan rute Dinamis. - Ulangi langkah sebelumnya untuk gateway pelanggan kedua (
interface 1
). - Gateway Pribadi Virtual
- Buat koneksi VPN Site-to-Site
untuk gateway pelanggan pertama (
interface 0
) menggunakan cara berikut:- Jenis Gateway Target dari Gateway Pribadi Virtual
- Opsi pembuatan rute Dinamis
- Ulangi langkah sebelumnya untuk gateway pelanggan kedua (
interface 1
).
- Download file konfigurasi AWS untuk kedua koneksi yang Anda buat. File tersebut berisi informasi yang Anda perlukan pada langkah berikutnya dalam prosedur ini, termasuk kunci autentikasi pre-shared, alamat IP tunnel luar, dan alamat IP tunnel dalam.
- Di Google Cloud, lakukan hal berikut:
- Buat gateway VPN peer baru dengan empat antarmuka menggunakan alamat IP eksternal AWS dari file yang Anda download di langkah sebelumnya.
- Buat empat tunnel VPN di gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat di langkah 1. Untuk setiap tunnel, konfigurasikan antarmuka gateway VPN dengan ketersediaan tinggi (HA) dengan antarmuka gateway VPN peer yang sesuai dan pre-shared key menggunakan informasi dalam file konfigurasi AWS yang Anda download.
- Konfigurasikan sesi BGP di Cloud Router dengan menggunakan alamat IP BGP dari file konfigurasi AWS yang didownload.
Mengonfigurasi gateway VPN dengan ketersediaan tinggi (HA) eksternal
- Konfigurasikan empat alamat IP AWS sebagai satu gateway VPN dengan ketersediaan tinggi (HA)
eksternal menggunakan
FOUR_IPS_REDUNDANCY
, dengan:- IP AWS
0
=A1
- IP AWS
1
=A2
- IP AWS
2
=B1
- IP AWS
3
=B2
- IP AWS
- Buat empat tunnel di gateway VPN dengan ketersediaan tinggi (HA) untuk memenuhi SLA 99,99%
menggunakan konfigurasi berikut:
- VPN dengan ketersediaan tinggi (HA)
interface 0
ke AWSinterface 0
- VPN dengan ketersediaan tinggi (HA)
interface 0
ke AWSinterface 1
- VPN dengan ketersediaan tinggi (HA)
interface 1
ke AWSinterface 2
- VPN dengan ketersediaan tinggi (HA)
interface 1
ke AWSinterface 3
- VPN dengan ketersediaan tinggi (HA)
Menyiapkan VPN dengan ketersediaan tinggi (HA) dengan AWS
- Di Google Cloud, buat gateway VPN dengan ketersediaan tinggi (HA) dan Cloud Router di region yang Anda inginkan. Tindakan ini akan membuat dua alamat IP eksternal, satu untuk setiap antarmuka gateway. Catat alamat IP eksternal untuk digunakan di langkah berikutnya.
- Di AWS, buat dua gateway pelanggan menggunakan hal berikut:
- Opsi pembuatan rute Dinamis
- ASN Google untuk Cloud Router
- Alamat IP eksternal gateway VPN dengan ketersediaan tinggi (HA) Google Cloud
interfaces 0
dan1
Selesaikan langkah-langkah yang sesuai dengan opsi VPN AWS yang Anda gunakan:
- Gateway Transit
- Buat lampiran VPN gateway
transit
untuk gateway pelanggan pertama (
interface 0
), dan gunakan opsi pemilihan rute Dinamis. - Ulangi langkah sebelumnya untuk gateway pelanggan kedua (
interface 1
).
- Buat lampiran VPN gateway
transit
untuk gateway pelanggan pertama (
- Virtual Private Gateway
- Buat koneksi VPN Site-to-Site
untuk gateway pelanggan pertama (
interface 0
) menggunakan hal berikut:- Jenis Gateway Target dari Gateway Pribadi Virtual
- Opsi pembuatan rute Dinamis
- Ulangi langkah sebelumnya untuk gateway pelanggan kedua (
interface 1
).
- Buat koneksi VPN Site-to-Site
untuk gateway pelanggan pertama (
- Gateway Transit
Download file konfigurasi AWS untuk kedua koneksi yang Anda buat. File tersebut berisi informasi yang Anda perlukan pada langkah berikutnya dalam prosedur ini, termasuk kunci autentikasi pre-shared, alamat IP tunnel luar, dan alamat IP tunnel dalam.
Di Google Cloud, lakukan hal berikut:
- Buat gateway VPN peer baru dengan empat antarmuka menggunakan alamat IP eksternal AWS dari file yang Anda download di langkah sebelumnya.
- Buat empat tunnel VPN di gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat di langkah 1. Untuk setiap tunnel, konfigurasikan antarmuka gateway VPN dengan ketersediaan tinggi (HA) dengan antarmuka gateway VPN peer yang sesuai dan pre-shared key menggunakan informasi dalam file konfigurasi AWS yang Anda download.
- Konfigurasikan sesi BGP di Cloud Router dengan menggunakan alamat IP BGP dari file konfigurasi AWS yang didownload.
Langkah selanjutnya
- Guna mengontrol alamat IP yang diizinkan untuk gateway VPN peer, lihat Membatasi alamat IP untuk gateway VPN peer.