Ligue a VPN de alta disponibilidade a gateways de pares da AWS

Quando configura um gateway de VPN externo de VPN de HA para os Amazon Web Services (AWS), pode usar um gateway de trânsito ou um gateway privado virtual. Apenas o gateway de trânsito suporta o encaminhamento de vários caminhos de custo igual (ECMP). Quando ativado, o ECMP distribui o tráfego de forma igual pelos túneis ativos. A topologia suportada requer duas ligações VPN site a site da AWS, A e B, cada uma com dois endereços IP externos. Esta topologia gera quatro endereços IP externos na AWS: A1, A2, B1 e B2.

Problema conhecido: quando configurar túneis de VPN para a AWS, use o protocolo de encriptação IKEv2 e selecione menos conjuntos de transformação no lado da AWS; caso contrário, o túnel de VPN do Cloud VPN pode não conseguir alterar a chave. Por exemplo, selecione uma combinação de algoritmos de encriptação de fase 1 e fase 2 únicos, algoritmos de integridade e números de grupos DH. Este problema de rekeying é causado por um tamanho de payload SA grande para o conjunto predefinido de conjuntos de transformações da AWS. Este tamanho de carga útil grande resulta na fragmentação de IP dos pacotes IKE no lado da AWS, que a VPN na nuvem não suporta.

Crie uma VPN de alta disponibilidade para gateways de intercâmbio da AWS

1. Configure os quatro endereços IP da AWS como um único gateway de VPN de alta disponibilidade externo com FOUR_IPS_REDUNDANCY, onde:
• AWS IP 0=A1
• AWS IP 1=A2
• AWS IP 2=B1
• AWS IP 3=B2
2. Crie quatro túneis no gateway de VPN de HA para cumprir o SLA de 99,99% com a seguinte configuração:
• HA VPN interface 0 para AWS interface 0
• HA VPN interface 0 para AWS interface 1
• HA VPN interface 1 para AWS interface 2
• HA VPN interface 1 para AWS interface 3

Configure a VPN de alta disponibilidade com a AWS:

1. Em Google Cloud, crie um gateway de VPN de alta disponibilidade e um Cloud Router na região pretendida. Esta ação cria dois endereços IP externos, um para cada interface de gateway. Registe os endereços IP externos para utilização no passo seguinte.
2. Na AWS, crie dois gateways de clientes com o seguinte:
   • A opção de encaminhamento Dinâmico
   • O ASN da Google do Cloud Router
   • Os endereços IP externos do Google Cloud gateway de VPN de alta disponibilidade interfaces 0 e 1
3. Conclua os passos correspondentes à opção de VPN da AWS que está a usar:
   • Transit Gateway
   1. Crie uma associação de VPN de gateway de trânsito para o primeiro gateway do cliente (interface 0) e use a opção de encaminhamento dinâmico.
   2. Repita o passo anterior para o segundo gateway do cliente (interface 1).
   • Gateway privado virtual
   1. Crie uma ligação VPN Site-to-Site para o primeiro gateway do cliente (interface 0) através do seguinte:
      • Um Target Gateway Type de Virtual Private Gateway
      • A opção de encaminhamento Dinâmico
   2. Repita o passo anterior para o segundo gateway do cliente (interface 1).
4. Transfira os ficheiros de configuração da AWS para ambas as ligações que criou. Os ficheiros contêm informações de que precisa durante os passos seguintes deste procedimento, incluindo chaves de autenticação pré-partilhadas, endereços IP do túnel externo e endereços IP do túnel interno.
5. Em Google Cloud, faça o seguinte:
   1. Crie um novo gateway de VPN de pares com quatro interfaces através dos endereços IP externos da AWS dos ficheiros que transferiu no passo anterior.
   2. Crie quatro túneis de VPN no gateway de VPN de HA que criou no passo 1. Para cada túnel, configure a interface do gateway da VPN de HA com a interface do gateway da VPN de pares adequada e as chaves pré-partilhadas usando as informações nos ficheiros de configuração da AWS que transferiu.
   3. Configure sessões BGP no Cloud Router através dos endereços IP BGP dos ficheiros de configuração da AWS transferidos.

Configure o gateway de VPN de alta disponibilidade externo

1. Configure os quatro endereços IP da AWS como um único gateway de VPN de HA externo com FOUR_IPS_REDUNDANCY, onde:
   • AWS IP 0=A1
   • AWS IP 1=A2
   • AWS IP 2=B1
   • AWS IP 3=B2
2. Crie quatro túneis no gateway de VPN de alta disponibilidade para cumprir o SLA de 99,99% usando a seguinte configuração:
   • HA VPN interface 0 para AWS interface 0
   • HA VPN interface 0 para AWS interface 1
   • HA VPN interface 1 para AWS interface 2
   • HA VPN interface 1 para AWS interface 3

Configure a VPN de alta disponibilidade com a AWS

1. Em Google Cloud, crie um gateway de VPN de alta disponibilidade e um Cloud Router na região pretendida. Esta ação cria dois endereços IP externos, um para cada interface de gateway. Registe os endereços IP externos para utilização no passo seguinte.
2. Na AWS, crie dois gateways de clientes através do seguinte:
   1. A opção de encaminhamento Dinâmico
   2. O ASN da Google do Cloud Router
   3. Os endereços IP externos do gateway de Google Cloud VPN de alta disponibilidadeinterfaces 0 e 1

3. Conclua os passos correspondentes à opção de VPN da AWS que está a usar:

   1. Transit Gateway
      1. Crie uma associação de VPN do gateway de trânsito para o primeiro gateway do cliente (interface 0) e use a opção de encaminhamento dinâmico.
      2. Repita o passo anterior para o segundo gateway do cliente (interface 1).
   2. Virtual Private Gateway
      1. Crie uma ligação VPN site a site para o primeiro gateway do cliente (interface 0) através do seguinte:
         • Um Target Gateway Type de Virtual Private Gateway
         • A opção de encaminhamento Dinâmico
      2. Repita o passo anterior para o segundo gateway do cliente (interface 1).

4. Transfira os ficheiros de configuração da AWS para ambas as ligações que criou. Os ficheiros contêm informações de que precisa durante os passos seguintes neste procedimento, incluindo chaves de autenticação pré-partilhadas, endereços IP de túneis externos e endereços IP de túneis internos.

5. No Google Cloud, faça o seguinte:

   1. Crie um novo gateway de VPN de pares com quatro interfaces usando os endereços IP externos da AWS dos ficheiros que transferiu no passo anterior.
   2. Crie quatro túneis de VPN no gateway de VPN de HA que criou no passo 1. Para cada túnel, configure a interface do gateway de VPN de HA com a interface do gateway de VPN de pares adequada e as chaves pré-partilhadas através das informações nos ficheiros de configuração da AWS que transferiu.
   3. Configure sessões de BGP no Cloud Router através dos endereços IP de BGP dos ficheiros de configuração da AWS transferidos.

O que se segue?

• Para controlar que endereços IP são permitidos para gateways de VPNs de pares, consulte o artigo Restrinja os endereços IP para gateways de VPNs de pares.