將高可用性 VPN 連結至 AWS 對等互連閘道

在為 Amazon Web Services (AWS) 設定高可用性 VPN 外部 VPN 閘道時,您可以使用傳輸閘道或虛擬私有閘道。只有傳輸閘道支援等價多路徑 (ECMP) 轉送。啟用時,ECMP 會在有效通道中平均分配流量。支援的拓撲需要兩個 AWS 站台對站台 VPN 連線 (AB),每個連線都有兩個外部 IP 位址。這個拓撲會在 AWS 中產生四個外部 IP 位址:A1A2B1B2

已知問題:設定連往 AWS 的 VPN 通道時,請使用 IKEv2 加密通訊協定,並在 AWS 端選取較少的轉換組合;否則,Cloud VPN 通道可能無法重新設定金鑰。舉例來說,請選取單一第 1 階段和第 2 階段加密演算法、完整性演算法和 DH 群組編號的組合。這個重新編碼問題是由於預設 AWS 轉換集組的 SA 酬載大小過大。這類酬載大小會導致 AWS 端 IKE 封包的 IP 分割,而 Cloud VPN 不支援這項功能。

建立高可用性 VPN 至 AWS 對等互連閘道

  1. 使用 FOUR_IPS_REDUNDANCY 將四個 AWS IP 位址設定為單一外部高可用性 VPN 閘道,其中:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. 使用下列設定,在高可用性 VPN 閘道上建立四個通道,以符合 99.99% 的服務水準協議:
    • 高可用性 VPN interface 0 至 AWS interface 0
    • 高可用性 VPN interface 0 至 AWS interface 1
    • 高可用性 VPN interface 1 至 AWS interface 2
    • 高可用性 VPN interface 1 至 AWS interface 3

使用 AWS 設定高可用性 VPN:

  1. 在 Google Cloud中,請在所需區域建立高可用性 VPN 閘道和 Cloud Router。這個動作會建立兩個外部 IP 位址,每個閘道介面各一個。請記下外部 IP 位址,以便在下一個步驟中使用。
  2. 在 AWS 中,使用下列項目建立兩個客戶閘道:
    • 「動態」轉送選項
    • Cloud Router 的 Google ASN
    • Google Cloud 高可用性 VPN 閘道 interfaces 01 的外部 IP 位址
  3. 請完成對應於您使用的 AWS VPN 選項的步驟:
    • 大眾運輸閘道
      1. 為第一個客戶閘道 (interface 0) 建立轉接閘道 VPN 連結,並使用動態轉送選項。
      2. 針對第二個客戶閘道 (interface 1) 重複執行上述步驟。
    • 虛擬私人閘道
      1. 請使用以下資訊,為第一個客戶閘道 (interface 0)建立站對站 VPN 連線
        • Virtual Private Gateway目標閘道類型
        • 「動態」轉送選項
      2. 針對第二個客戶閘道 (interface 1) 重複執行上述步驟。
  4. 下載您建立的兩個連線的 AWS 設定檔。這些檔案包含您在本程序後續步驟中所需的資訊,包括預先共用驗證金鑰、外部通道 IP 位址和內部通道 IP 位址。
  5. 在 Google Cloud中執行下列操作:
    1. 使用上一個步驟下載的檔案中的 AWS 外部 IP 位址,建立具有四個介面的全新對等互連 VPN 閘道。
    2. 在您在步驟 1 中建立的高可用性 VPN 閘道上建立四個 VPN 通道。針對每個通道,請使用您下載的 AWS 設定檔中的資訊,將高可用性 VPN 閘道介面與適當的對等互連 VPN 閘道介面和預先共用金鑰搭配使用。
    3. 使用下載的 AWS 設定檔中的 BGP IP 位址,設定 Cloud Router 上的 BGP 工作階段。

設定外部高可用性 VPN 閘道

  1. 使用 FOUR_IPS_REDUNDANCY 將四個 AWS IP 位址設定為單一外部高可用性 VPN 閘道,其中:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. 使用下列設定,在高可用性 VPN 閘道上建立四個通道,以符合 99.99% 的服務水準協議:
    • 高可用性 VPN interface 0 至 AWS interface 0
    • 高可用性 VPN interface 0 至 AWS interface 1
    • 高可用性 VPN interface 1 至 AWS interface 2
    • 高可用性 VPN interface 1 至 AWS interface 3

使用 AWS 設定高可用性 VPN

  1. 在 Google Cloud中,請在所需的區域中建立高可用性 VPN 閘道和 Cloud Router。這個動作會建立兩個外部 IP 位址,每個閘道介面一個。記下外部 IP 位址,以便在下一個步驟中使用。
  2. 在 AWS 中,使用下列項目建立兩個客戶閘道:
    1. 「動態」轉送選項
    2. Cloud Router 的 Google ASN
    3. Google Cloud HA VPN 閘道 interfaces 01 的外部 IP 位址

  3. 請完成對應於您使用的 AWS VPN 選項的步驟:

    1. 大眾運輸閘道
      1. 為第一個客戶閘道 (interface 0) 建立轉接閘道 VPN 附件,並使用動態轉送選項。
      2. 針對第二個客戶閘道 (interface 1) 重複執行上述步驟。
    2. 虛擬私人網關
      1. 使用以下指示建立第一個客戶閘道 (interface 0) 的站對站 VPN 連線
        • Virtual Private Gateway目標閘道類型
        • 「動態」轉送選項
      2. 針對第二個客戶閘道 (interface 1) 重複執行上述步驟。

  4. 下載您建立的兩個連線的 AWS 設定檔。這些檔案包含您在這個程序後續步驟中需要的資訊,包括預先共用驗證金鑰、外部通道 IP 位址和內部通道 IP 位址。

  5. 在 Google Cloud中執行下列操作:

    1. 使用先前步驟中下載的檔案中的 AWS 外部 IP 位址,建立具有四個介面的全新對等互連 VPN 閘道。
    2. 在您在步驟 1 中建立的高可用性 VPN 閘道上建立四個 VPN 通道。針對每個通道,請使用下載的 AWS 設定檔中提供的資訊,設定高可用性 VPN 閘道介面、適當的對等互連 VPN 閘道介面和預先共用金鑰。
    3. 使用下載的 AWS 設定檔中的 BGP IP 位址,在 Cloud Router 上設定 BGP 工作階段。

後續步驟