将高可用性 VPN 连接到 AWS 对等网关

在配置连接到 Amazon Web Services (AWS) 的高可用性 VPN 外部 VPN 网关时,您可以使用传输网关或虚拟专用网关。只有传输网关支持等价多路径 (ECMP) 路由。 启用后,ECMP 将在活跃隧道中平均分配流量。 受支持的拓扑需要两个 AWS 站点到站点 VPN 连接(AB),每个连接有两个外部 IP 地址。此拓扑会在 AWS 中生成 4 个外部 IP 地址:A1A2B1B2

已知问题:在配置连接到 AWS 的 VPN 隧道时,请使用 IKEv2 加密协议并在 AWS 端选择较少的转换集,否则 Cloud VPN 隧道可能无法进行密钥更新。例如,选择一个第 1 阶段加密算法和一个第 2 阶段加密算法、完整性算法以及 DH 组编号的组合。此密钥更新问题是由于默认 AWS 转换集的 SA 载荷过大导致的。这种过大的载荷会导致 AWS 端的 IKE 数据包的 IP 分片,而这不受 Cloud VPN 的支持。

创建高可用性 VPN 到 AWS 的对等网关

在配置连接到 Amazon Web Services (AWS) 的高可用性 VPN 外部 VPN 网关时,您可以使用传输网关或虚拟专用网关。只有传输网关支持等价多路径 (ECMP) 路由。启用后,ECMP 将在活跃隧道中平均分配流量。受支持的拓扑需要两个 AWS 站点到站点 VPN 连接(AB),每个连接有两个外部 IP 地址。此拓扑会在 AWS 中生成 4 个外部 IP 地址:A1A2B1B2

  1. 将四个 AWS IP 地址配置为包含 FOUR_IPS_REDUNDANCY 的一个外部高可用性 VPN 网关,其中:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. 使用以下配置在高可用性 VPN 网关上创建四个隧道,以满足 99.99% 的 SLA:
    • 高可用性 VPN interface 0 到 AWS interface 0
    • 高可用性 VPN interface 0 到 AWS interface 1
    • 高可用性 VPN interface 1 到 AWS interface 2
    • 高可用性 VPN interface 1 到 AWS interface 3

通过 AWS 设置高可用性 VPN:

  1. 在 Google Cloud 中,在您所需的区域中创建高可用性 VPN 网关和 Cloud Router 路由器。此动作会创建两个外部 IP 地址,每个网关接口一个。记录外部 IP 地址,以供下一步使用。
  2. 在 AWS 中,使用以下命令创建两个客户网关:
    • 动态路由选项
    • Cloud Router 路由器的 Google ASN
    • Google Cloud 高可用性 VPN 网关 interfaces 01 的外部 IP 地址
  3. 完成与您所用的 AWS VPN 选项相对应的步骤:
    • 传输网关
      1. 为第一个客户网关 (interface 0) 创建传输网关 VPN 连接,并使用动态路由选项。
      2. 为第二个客户网关 (interface 1) 重复上一步。
    • 虚拟专用网关
      1. 使用下列方法,为第一个客户网关 (interface 0) 创建站点到站点 VPN 连接
        • 虚拟专用网关目标网关类型
        • 动态路由选项
      2. 为第二个客户网关 (interface 1) 重复上一步。
  4. 为您创建的两个连接下载 AWS 配置文件。这些文件包含此过程中后续步骤所需的信息,其中包括预共享身份验证密钥、外部隧道 IP 地址,以及内部隧道 IP 地址。
  5. 在 Google Cloud 中,执行以下操作:
    1. 使用在上一步中下载的文件中的 AWS 外部 IP 地址,创建一个带有四个接口的全新对等 VPN 网关。
    2. 在您在第 1 步中创建的高可用性 VPN 网关上创建四个 VPN 隧道。对于每个隧道,请使用下载的 AWS 配置文件中的信息,使用相应的对等 VPN 网关接口和预共享密钥来配置高可用性 VPN 网关接口。
    3. 使用下载的 AWS 配置文件中的 BGP IP 地址在 Cloud Router 路由器上配置 BGP 会话。

配置外部高可用性 VPN 网关

  1. 将四个 AWS IP 地址配置为一个包含 FOUR_IPS_REDUNDANCY 的外部高可用性 VPN 网关,其中:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. 使用以下配置在高可用性 VPN 网关上创建四个隧道,以满足 99.99% 的服务等级协议 (SLA):
    • 高可用性 VPN interface 0 到 AWS interface 0
    • 高可用性 VPN interface 0 到 AWS interface 1
    • 高可用性 VPN interface 1 到 AWS interface 2
    • 高可用性 VPN interface 1 到 AWS interface 3

通过 AWS 设置高可用性 VPN

  1. 在 Google Cloud 中,在您所需的区域中创建高可用性 VPN 网关和 Cloud Router 路由器。此操作会创建两个外部 IP 地址,每个网关接口对应一个。记录外部 IP 地址,以供下一步使用。
  2. 在 AWS 中,使用以下信息创建两个客户网关:
    1. 动态路由选项
    2. Cloud Router 路由器的 Google ASN
    3. Google Cloud 高可用性 VPN 网关 interfaces 01 的外部 IP 地址

  3. 完成与您所用的 AWS VPN 选项相对应的步骤:

    1. 传输网关
      1. 为第一个客户网关 (interface 0) 创建传输网关 VPN 连接,并使用动态路由选项。
      2. 为第二个客户网关 (interface 1) 重复上一步。
    2. 虚拟专用网关
      1. 使用以下设置为第一个客户网关 (interface 0) 创建站点到站点 VPN 连接
        • 虚拟专用网关目标网关类型
        • 动态路由选项
      2. 为第二个客户网关 (interface 1) 重复上一步。

  4. 为您创建的两个连接下载 AWS 配置文件。 这些文件包含此过程中后续步骤所需的信息,其中包括预共享身份验证密钥、外部隧道 IP 地址,以及内部隧道 IP 地址。

  5. 在 Google Cloud 中,执行以下操作:

    1. 使用在上一步中下载的文件中的 AWS 外部 IP 地址,创建一个带有四个接口的全新对等 VPN 网关。
    2. 在您在第 1 步中创建的高可用性 VPN 网关上创建四个 VPN 隧道。对于每个隧道,请使用下载的 AWS 配置文件中的信息,使用相应的对等 VPN 网关接口和预共享密钥来配置高可用性 VPN 网关接口。
    3. 使用下载的 AWS 配置文件中的 BGP IP 地址在 Cloud Router 路由器上配置 BGP 会话。

后续步骤