Menghubungkan VPN dengan ketersediaan tinggi (HA) ke gateway peer AWS

Saat mengonfigurasi gateway VPN eksternal VPN dengan ketersediaan tinggi (HA) ke Amazon Web Services (AWS), Anda dapat menggunakan gateway transit atau gateway pribadi virtual. Hanya gateway transit yang mendukung perutean equal-cost multipath (ECMP). Saat diaktifkan, ECMP mendistribusikan traffic secara merata di seluruh tunnel aktif. Topologi yang didukung memerlukan dua koneksi VPN Site-to-Site AWS, A dan B, masing-masing dengan dua alamat IP eksternal. Topologi ini menghasilkan empat alamat IP eksternal di AWS: A1, A2, B1, dan B2.

Masalah umum: Saat mengonfigurasi tunnel VPN ke AWS, gunakan protokol enkripsi IKEv2 dan pilih lebih sedikit set transformasi di sisi AWS; jika tidak, tunnel Cloud VPN dapat gagal di-rekey. Misalnya, pilih kombinasi algoritma enkripsi Fase 1 dan Fase 2 tunggal, algoritma integritas, dan nomor grup DH. Masalah rekey ini disebabkan oleh besarnya ukuran payload SA untuk set transformasi AWS default. Ukuran payload yang besar ini mengakibatkan fragmentasi IP paket IKE di sisi AWS, yang tidak didukung Cloud VPN.

Membuat VPN dengan ketersediaan tinggi (HA) ke gateway peer AWS

Saat mengonfigurasi gateway VPN eksternal VPN dengan ketersediaan tinggi (HA) ke Amazon Web Services (AWS), Anda dapat menggunakan gateway transit atau gateway pribadi virtual. Hanya gateway transit yang mendukung pemilihan rute equal-cost multipath (ECMP). Saat diaktifkan, ECMP mendistribusikan traffic secara merata di seluruh tunnel aktif. Topologi yang didukung memerlukan dua koneksi VPN Site-to-Site AWS, A dan B, masing-masing dengan dua alamat IP eksternal. Topologi ini menghasilkan empat alamat IP eksternal di AWS: A1, A2, B1, dan B2.

1. Konfigurasikan empat alamat IP AWS sebagai satu gateway VPN dengan ketersediaan tinggi (HA) eksternal menggunakan FOUR_IPS_REDUNDANCY, dengan:
• IP AWS 0=A1
• IP AWS 1=A2
• IP AWS 2=B1
• IP AWS 3=B2
2. Buat empat tunnel di gateway VPN dengan ketersediaan tinggi (HA) untuk memenuhi SLA 99,99% menggunakan konfigurasi berikut:
• VPN dengan ketersediaan tinggi (HA) interface 0 ke AWS interface 0
• VPN dengan ketersediaan tinggi (HA) interface 0 ke AWS interface 1
• VPN dengan ketersediaan tinggi (HA) interface 1 ke AWS interface 2
• VPN dengan ketersediaan tinggi (HA) interface 1 ke AWS interface 3

Menyiapkan VPN dengan ketersediaan tinggi (HA) dengan AWS:

1. Di Google Cloud, buat gateway VPN dengan ketersediaan tinggi (HA) dan Cloud Router di region yang Anda inginkan. Tindakan ini akan membuat dua alamat IP eksternal, satu untuk setiap antarmuka gateway. Catat alamat IP eksternal untuk digunakan di langkah berikutnya.
2. Di AWS, buat dua gateway pelanggan menggunakan hal berikut:
   • Opsi pembuatan rute Dinamis
   • ASN Google untuk Cloud Router
   • Alamat IP eksternal gateway VPN dengan ketersediaan tinggi (HA) Google Cloud interfaces 0 dan 1
3. Selesaikan langkah-langkah yang sesuai dengan opsi VPN AWS yang Anda gunakan:
   • Gateway Transit
   1. Buat lampiran VPN gateway transit untuk gateway pelanggan pertama (interface 0), dan gunakan opsi pembuatan rute Dinamis.
   2. Ulangi langkah sebelumnya untuk gateway pelanggan kedua (interface 1).
   • Gateway Pribadi Virtual
   1. Buat koneksi VPN Site-to-Site untuk gateway pelanggan pertama (interface 0) menggunakan cara berikut:
      • Jenis Gateway Target dari Gateway Pribadi Virtual
      • Opsi pembuatan rute Dinamis
   2. Ulangi langkah sebelumnya untuk gateway pelanggan kedua (interface 1).
4. Download file konfigurasi AWS untuk kedua koneksi yang Anda buat. File tersebut berisi informasi yang Anda perlukan pada langkah berikutnya dalam prosedur ini, termasuk kunci autentikasi pre-shared, alamat IP tunnel luar, dan alamat IP tunnel dalam.
5. Di Google Cloud, lakukan hal berikut:
   1. Buat gateway VPN peer baru dengan empat antarmuka menggunakan alamat IP eksternal AWS dari file yang Anda download di langkah sebelumnya.
   2. Buat empat tunnel VPN di gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat di langkah 1. Untuk setiap tunnel, konfigurasikan antarmuka gateway VPN dengan ketersediaan tinggi (HA) dengan antarmuka gateway VPN peer yang sesuai dan pre-shared key menggunakan informasi dalam file konfigurasi AWS yang Anda download.
   3. Konfigurasikan sesi BGP di Cloud Router dengan menggunakan alamat IP BGP dari file konfigurasi AWS yang didownload.

Mengonfigurasi gateway VPN dengan ketersediaan tinggi (HA) eksternal

1. Konfigurasikan empat alamat IP AWS sebagai satu gateway VPN dengan ketersediaan tinggi (HA) eksternal menggunakan FOUR_IPS_REDUNDANCY, dengan:
   • IP AWS 0=A1
   • IP AWS 1=A2
   • IP AWS 2=B1
   • IP AWS 3=B2
2. Buat empat tunnel di gateway VPN dengan ketersediaan tinggi (HA) untuk memenuhi SLA 99,99% menggunakan konfigurasi berikut:
   • VPN dengan ketersediaan tinggi (HA) interface 0 ke AWS interface 0
   • VPN dengan ketersediaan tinggi (HA) interface 0 ke AWS interface 1
   • VPN dengan ketersediaan tinggi (HA) interface 1 ke AWS interface 2
   • VPN dengan ketersediaan tinggi (HA) interface 1 ke AWS interface 3

Menyiapkan VPN dengan ketersediaan tinggi (HA) dengan AWS

1. Di Google Cloud, buat gateway VPN dengan ketersediaan tinggi (HA) dan Cloud Router di region yang Anda inginkan. Tindakan ini akan membuat dua alamat IP eksternal, satu untuk setiap antarmuka gateway. Catat alamat IP eksternal untuk digunakan di langkah berikutnya.
2. Di AWS, buat dua gateway pelanggan menggunakan hal berikut:
   1. Opsi pembuatan rute Dinamis
   2. ASN Google untuk Cloud Router
   3. Alamat IP eksternal gateway VPN dengan ketersediaan tinggi (HA) Google Cloud interfaces 0 dan 1

3. Selesaikan langkah-langkah yang sesuai dengan opsi VPN AWS yang Anda gunakan:

   1. Transit Gateway
      1. Buat lampiran VPN gateway transit untuk gateway pelanggan pertama (interface 0), dan gunakan opsi pemilihan rute Dinamis.
      2. Ulangi langkah sebelumnya untuk gateway pelanggan kedua (interface 1).
   2. Virtual Private Gateway
      1. Buat koneksi VPN Site-to-Site untuk gateway pelanggan pertama (interface 0) menggunakan hal berikut:
         • Jenis Gateway Target dari Gateway Pribadi Virtual
         • Opsi pembuatan rute Dinamis
      2. Ulangi langkah sebelumnya untuk gateway pelanggan kedua (interface 1).

4. Download file konfigurasi AWS untuk kedua koneksi yang Anda buat. File tersebut berisi informasi yang Anda perlukan pada langkah berikutnya dalam prosedur ini, termasuk kunci autentikasi pre-shared, alamat IP tunnel luar, dan alamat IP tunnel dalam.

5. Di Google Cloud, lakukan hal berikut:

   1. Buat gateway VPN peer baru dengan empat antarmuka menggunakan alamat IP eksternal AWS dari file yang Anda download di langkah sebelumnya.
   2. Buat empat tunnel VPN di gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat di langkah 1. Untuk setiap tunnel, konfigurasikan antarmuka gateway VPN dengan ketersediaan tinggi (HA) dengan antarmuka gateway VPN peer yang sesuai dan pre-shared key menggunakan informasi dalam file konfigurasi AWS yang Anda download.
   3. Konfigurasikan sesi BGP di Cloud Router dengan menggunakan alamat IP BGP dari file konfigurasi AWS yang didownload.

Langkah selanjutnya

• Guna mengontrol alamat IP yang diizinkan untuk gateway VPN peer, lihat Membatasi alamat IP untuk gateway VPN peer.