Conectar a VPN de alta disponibilidade a gateways de peering da AWS

Ao configurar um gateway de VPN de alta disponibilidade externo para a Amazon Web Services (AWS), use um gateway de trânsito ou um gateway particular virtual. Apenas o gateway de trânsito oferece suporte para o roteamento de vários caminhos de custo igual (ECMP, na sigla em inglês). Quando ativado, o ECMP distribui igualmente o tráfego em túneis ativos. A topologia aceita requer duas conexões VPN site a site da AWS, A e B, cada uma com dois endereços IP externos. Essa topologia gera um total de quatro endereços IP externos na AWS: A1, A2, B1 e B2.

Problema conhecido: ao configurar túneis de VPN para a AWS, use o protocolo de criptografia IKEv2 e selecione menos conjuntos de transformação no lado da AWS. Caso contrário, o túnel do Cloud VPN pode falhar ao fazer o rekeying. Por exemplo, selecione uma combinação de algoritmos de criptografia únicos de fase 1 e fase 2, algoritmos de integridade e números de grupos DH. Esse problema de rekeying é causado por um tamanho de payload de SA grande em relação ao conjunto padrão de conjuntos de transformação da AWS. Esse tamanho de payload grande resulta na fragmentação de IP de pacotes IKE no lado da AWS, o que não é compatível com o Cloud VPN.

Criar uma VPN de alta disponibilidade para gateways de peering da AWS

Ao configurar um gateway de VPN de alta disponibilidade externo para a Amazon Web Services (AWS), use um gateway de transporte público ou um gateway particular virtual. Somente o gateway de transporte público é compatível com o roteamento de vários caminhos de custo igual (ECMP, na sigla em inglês). Quando ativado, o ECMP distribui igualmente o tráfego em túneis ativos. A topologia aceita requer duas conexões VPN site a site da AWS, A e B, cada uma com dois endereços IP externos. Essa topologia gera um total de quatro endereços IP externos na AWS: A1, A2, B1 e B2.

  1. Configure os quatro endereços IP da AWS com um único gateway de VPN de alta disponibilidade externo com FOUR_IPS_REDUNDANCY, em que:
    • IP da AWS 0=A1
    • IP da AWS 1=A2
    • IP da AWS 2=B1
    • IP da AWS 3=B2
  2. Crie quatro túneis no gateway de VPN de alta disponibilidade para atender ao SLA de 99,99% usando a seguinte configuração:
    • VPN de alta disponibilidade interface 0 para a AWS interface 0
    • VPN de alta disponibilidade interface 0 para a AWS interface 1
    • VPN de alta disponibilidade interface 1 para a AWS interface 2
    • VPN de alta disponibilidade interface 1 para a AWS interface 3

Configure a VPN de alta disponibilidade com a AWS:

  1. No Google Cloud, crie um gateway de VPN de alta disponibilidade e um Cloud Router na região que você quer. Isso cria dois endereços IP externos, um para cada interface de gateway. Registre os endereços IP externos para uso na próxima etapa.
  2. Na AWS, crie dois gateways de cliente usando o seguinte:
    • A opção de roteamento Dinâmico
    • O ASN do Google do Cloud Router
    • Os endereços IP externos do gateway da VPN de alta disponibilidade do Google Cloud interfaces 0 e 1
  3. Conclua as etapas que correspondem à opção da VPN da AWS que você está usando:
    • Gateway de transporte público
      1. Crie um anexo de VPN de gateway de trânsito para o primeiro gateway de cliente (interface 0) e use a opção de roteamento Dinâmico.
      2. Repita a etapa anterior para o segundo gateway de cliente (interface 1).
    • Gateway particular virtual
      1. Crie uma conexão VPN entre sites para o primeiro gateway de cliente (interface 0) usando o seguinte:
        • Um Tipo de gateway de destino de Gateway particular virtual
        • A opção de roteamento Dinâmico
      2. Repita a etapa anterior para o segundo gateway de cliente (interface 1).
  4. Faça o download dos arquivos de configuração da AWS para as duas conexões que você criou. Os arquivos contêm informações necessárias para as próximas etapas deste procedimento, incluindo chaves de autenticação pré-compartilhadas, endereços IP de túnel externos e endereços IP de túnel.
  5. No Google Cloud, faça o seguinte:
    1. Crie um novo gateway de VPN de peering com quatro interfaces usando os endereços IP externos da AWS dos arquivos que você baixou na etapa anterior.
    2. Crie quatro túneis de VPN no gateway da VPN de alta disponibilidade que você criou na etapa 1. Para cada túnel, configure a interface do gateway da VPN de alta disponibilidade com a interface de gateway de VPN de par e as chaves pré-compartilhadas apropriadas usando as informações nos arquivos de configuração da AWS baixados.
    3. Configure sessões do BGP no Cloud Router usando os endereços IP do BGP dos arquivos de configuração da AWS baixados.

Configurar um gateway de VPN de alta disponibilidade

  1. Configure os quatro endereços IP da AWS com um único gateway de VPN de alta disponibilidade externo com FOUR_IPS_REDUNDANCY, em que:
    • IP da AWS 0=A1
    • IP da AWS 1=A2
    • IP da AWS 2=B1
    • IP da AWS 3=B2
  2. Crie quatro túneis no gateway de VPN de alta disponibilidade para atender ao SLA de 99,99% usando a seguinte configuração:
    • VPN de alta disponibilidade interface 0 para a AWS interface 0
    • VPN de alta disponibilidade interface 0 para a AWS interface 1
    • VPN de alta disponibilidade interface 1 para a AWS interface 2
    • VPN de alta disponibilidade interface 1 para a AWS interface 3

Configurar a VPN de alta disponibilidade com a AWS

  1. No Google Cloud, crie um gateway de VPN de alta disponibilidade e um Cloud Router na região que você quer. Isso cria dois endereços IP externos, um para cada interface de gateway. Registre os endereços IP externos para uso na próxima etapa.
  2. Na AWS, crie dois gateways de cliente usando o seguinte:
    1. A opção de roteamento Dinâmico
    2. O ASN do Google do Cloud Router
    3. Os endereços IP externos do gateway da VPN de alta disponibilidade do Google Cloud interfaces 0 e 1
  3. Conclua as etapas que correspondem à opção da VPN da AWS que você está usando:

    1. Gateway de transporte
      1. Crie um anexo de VPN de gateway de trânsito para o primeiro gateway de cliente (interface 0) e use a opção de roteamento Dinâmico.
      2. Repita a etapa anterior para o segundo gateway de cliente (interface 1).
    2. Gateway particular virtual
      1. Crie uma conexão VPN entre sites para o primeiro gateway de cliente (interface 0) usando o seguinte:
        • Um Tipo de gateway de destino de Gateway particular virtual
        • A opção de roteamento Dinâmico
      2. Repita a etapa anterior para o segundo gateway de cliente (interface 1).
  4. Faça o download dos arquivos de configuração da AWS para as duas conexões que você criou. Os arquivos contêm informações necessárias para as próximas etapas deste procedimento, incluindo chaves de autenticação pré-compartilhadas, endereços IP de túnel externos e endereços IP de túnel.

  5. No Google Cloud, faça o seguinte:

    1. Crie um novo gateway de VPN de peering com quatro interfaces usando os endereços IP externos da AWS dos arquivos que você baixou na etapa anterior.
    2. Crie quatro túneis de VPN no gateway da VPN de alta disponibilidade que você criou na etapa 1. Para cada túnel, configure a interface do gateway da VPN de alta disponibilidade com a interface de gateway de VPN de par e as chaves pré-compartilhadas apropriadas usando as informações nos arquivos de configuração da AWS baixados.
    3. Configure sessões do BGP no Cloud Router usando os endereços IP do BGP dos arquivos de configuração da AWS transferidos por download.

A seguir