بيع حساب AWS: يعلمك استخدام AWS Site-to-Site VPN للاتصال الآمن في غرفة الكمبيوتر المحلية و Cloud VPC
في عملية تحويل معلومات المؤسسة ، يمكن لعدد قليل من الشركات نقل جميع أعمالها إلى السحابة بين عشية وضحاها. عادةً ما يكون الحل الأكثر واقعية وأمنًا هو ترك البيانات السرية الأساسية في غرفة الكمبيوتر الفعلية المحلية (IDC) ونشر الخدمات ذات المرونة العالية والحاجة إلى التزامن العالي في السحابة.
في هذا الوقت ، ظهرت نقطة ألم تقنية صلبة:
كيفية إنشاء قناة اتصال آمنة ومستقرة ورخيصة بين غرفة الكمبيوتر الفعلية المحلية و VPC السحابية (سحابة خاصة افتراضية) ؟
من الجيد سحب خط مخصص للفيزياء (مثل AWS Direct Connect) ، لكن معظم الشركات الصغيرة والمتوسطة لا تطاق على الإطلاق مقابل رسوم التركيب الأولية لعشرات الآلاف من الدولارات ودورة البناء التي تستغرق عدة أشهر. على أساس مراعاة التكلفة والسلامة ، فإن الحل الذهبي الأكثر فعالية من حيث التكلفة هو الاستخدام
AWS Site-to-Site VPN (الموقع إلى الموقع VPN)
.
اليوم ، لا علاقة لنظرية الشبكة المعقدة ، ورفض الحقيقة. سنبدأ من القتال الفعلي الخالص ، ونأخذك مع معايير ومواصفات الشركات المصنعة الكبيرة لفتح شبكات IDC و AWS السحابية المحلية تمامًا.
المرحلة الأولى: فهم طوبولوجيا الشبكة والمفاهيم الأساسية
قبل أن تطرق الأمر ، يجب أن توضح بنية جسم الإنسان الأساسية لخط أنابيب الأمان هذا في عقلك ، وإلا ستصاب بالعمى في تكوينات توجيه IP المختلفة خلفك.
يتكون نموذج الاتصال الذي نريد بناء عليه من المكونات الأساسية الأربعة التالية:
البوابة المحلية (Customer Gateway ، CGW): جدار حماية الأجهزة أو جهاز التوجيه (مثل Deep Deep ، Huawei ، Cisco ، إلخ) الذي تصدره في غرفة الفيزياء المحلية. عليك أن تخبر AWS عنوان IP العام لهذا الجهاز.
بوابة خاصة افتراضية (VGW): جهة اتصال نشطة على جانب AWS. إنه جهاز توجيه افتراضي مثبتًا على جهاز VPC السحابي الخاص بك ، وهو مسؤول عن معالجة جميع حركة المرور المشفرة داخل وخارج السحابة.
اتصال VPN (VPN Connection): خط أنابيب آمن حقيقي. ستقوم AWS بإنشاء نفقين مشفرين مستقلين عن بعضهما البعض (Tunnel 1 و Tunnel 2) من أجلك بشكل افتراضي لتحقيق القدرة على البقاء المزدوج.
التوجيه الديناميكي BGP والتوجيه الثابت: حدد كيفية سير حركة المرور. إذا كان جهازك المحلي يدعم بروتوكول BGP ، فسيتم إعطاء الأولوية للتوجيه الديناميكي ، وسيتم مزامنته تلقائيًا عندما تتغير طوبولوجيا الشبكة ؛ لا يهم إذا لم يتم دعمها ، استخدم التوجيه الثابت لتحديد مقطع الشبكة يدويًا بنفس الاستقرار.
المرحلة الثانية: سحابة (AWS) تكوين موقع الدفاع السريع
تسجيل الدخول الخاص بك
AWS وحدة التحكم
، قم بالتبديل إلى المنطقة التي يوجد فيها عملك (مثل طوكيو)
Ap-northeast-1
) ، أدخل
خدمات VPC
.
1. إنشاء بوابة العملاء (CGW)
ابحث عن "بوابة العملاء" في القائمة اليسرى ، انقر على إنشاء.
الاسم: IDC-Main-Gateway.
BGP ASN: ابق صامتًا إذا كنت تستخدم التوجيه الثابت
يكفي التعرف على (65000).
عنوان IP: مهم للغاية! أدخل عنوان IP الخاص بالشبكة العامة الحقيقية لجهاز توجيه التصدير في غرفة الكمبيوتر المحلية.
2. إنشاء بوابة افتراضية خاصة (VGW) وربط VPC
انقر على "بوابة خاصة افتراضية"-> إنشاء بوابة افتراضية خاصة ، تسمى AWS-To-IDC-VGW.
بعد الانتهاء من الإنشاء ، حدده ، وانقر على الإجراء-> "إرفاق إلى VPC" ، واختر VPC الذي تدير نشاطك التجاري. هذه الخطوة تعادل توصيل موصل التشفير في السحابة إلى معسكر قاعدة الخادم الخاص بك.
3-إضفاء الطابع الرسمي على اتصال VPN
انقر على "Site-to-Site VPN Connection"-> إنشاء اتصال VPN.
تكوين اللحام المعلمة: الاسم: AWS-IDC-Vpn-Pipe. نوع البوابة المستهدفة: حدد "البوابة الافتراضية الخاصة" وحدد VGW الذي تم بناؤه للتو. بوابة العملاء: اختر "موجود" ، حدد CGW الذي تم بناؤه للتو في الخطوة الأولى. خيارات التوجيه: إذا كان جهاز التوجيه المحلي أقدم ، فاختر "ثابت". في بادئة IP الثابت أدناه ، املأ قسم الشبكة الداخلية في غرفة الكمبيوتر الفعلية المحلية الخاصة بك بدقة (على سبيل المثال 192.168.1.0/24).
انقر على إنشاء. في هذا الوقت ، دخل التكوين على جانب AWS في حالة "التكوين" وسيصبح "Available" في غضون دقائق قليلة.
المرحلة الثالثة: تكوين أجهزة جدار الحماية المحلي (IDC) (أسهل نقطة انقلاب)
بعد تكوين نهاية AWS ، تأتي النقطة الأكثر إثارة: لقد كتبت AWS تلقائيًا ملفات التكوين التي تناسب العديد من أجهزة الأجهزة السائدة لك.
في قائمة اتصالات AWS VPN ، حدد الاتصال الذي قمت ببناؤه للتو ، وانقر فوق "تنزيل ملف التعريف" في الجزء العلوي.
في النافذة المنبثقة ، اختر العلامة التجارية لجهاز التوجيه (مثل Huawei أو Cisco أو Generic) التي تستخدمها غرفة الكمبيوتر المحلية. بعد التنزيل ، ستحصل على ملف نصي يحتوي على جميع معلمات التشفير (المفتاح المشترك مسبقًا Pre-Shared Key ، بروتوكول IKE ، بروتوكول IPsec).
أعطيها لك مدير شبكة الشبكة ، واسمح له بتسجيل الدخول إلى خلفية جهاز التوجيه الفعلي المحلي ، وقم بتكوين الملف. هناك ثلاثة إجراءات أساسية:
IP للشبكة العامة مع نفقين (سيتم إعطاء عنوان IP للشبكة الخارجية الذي تم تعيينه من قبل AWS إلى Tunnel 1 و Tunnel 2 في ملف التكوين).
محاذاة معلمات الأمان: خوارزمية التشفير (عادةً AES256) ، خوارزمية المصادقة (SHA256) ، مجموعة DH (Group 14 أو أعلى) ، يجب أن يكون الطرفان متطابقين تمامًا ، ولا يمكن بناء نفق علامات الترقيم الخطأ.
أدخل المفتاح المشترك مسبقًا: قم بلصق سلسلة السلاسل العشوائية المعقدة (PSK) في نص عادي في مربع مفتاح الجهاز المحلي.
المرحلة الرابعة: فتح النبض الثاني من Rendu-تكوين جدول التوجيه وإطلاق حركة المرور
من الصعب
تم تجهيز القطعة ، والنفق متصل ، ولكن في هذا الوقت تذهب من المنطقة المحلية
بينغ
لا يزال احتمال IP للخادم السحابي غير معقول. لأن "جداول التوجيه" و "جدران الحماية" لأنظمة التشغيل على كلا الجانبين لم يتم إصدارها بعد.
1. نهاية AWS: فتح الطريق (Route Propagation)
هذه هي العملية التي سيفتقدها المبتدئون بنسبة 99 ٪.
في وحدة التحكم AWS VPC ، انقر فوق "جدول التوجيه" للعثور على جدول التوجيه حيث يوجد الخادم السحابي.
قم بالتبديل إلى علامة التبويب "Route Propagation" وانقر على تحرير.
تحقق من "تمكين" VGW التي تم إنشاؤها للتو.
القصة الداخلية الأساسية: بعد الفتح ، ستكتب AWS تلقائيًا مقطع الشبكة (192.168.1.0/24) من غرفة الكمبيوتر الفعلية المحلية الخاصة بك في جدول التوجيه السحابي ، تخبر الآلة السحابية: "في المستقبل ، إذا واجهت حركة المرور المحلية ، فسيتم تسليمها إلى VGW للتشفير. نقل النفق".
2. مجموعة الأمن تعطي الضوء الأخضر
انتقل إلى الخادم السحابي الخاص بك (EC2) مجموعة الأمان ، إضافة قواعد الموقع:
النوع: جميع حركة المرور (أو فقط فتح TCP حسب العمل).
العنوان المصدر: يجب ملء مقطع الشبكة الداخلية في غرفة الكمبيوتر المحلية 192.168.1.0/24. بالتأكيد لا تفتح 0.0.0.0/0 ، نريد التأكد من أن الأجهزة المحلية فقط التي تأتي من نفق VPN يمكنها الوصول إلى السحابة.
المرحلة الخامسة: التحقق عبر الإنترنت وتمارين مواجهة الكوارث في النفق المزدوج
بعد 5 دقائق من التكوين الكامل ، قم بالتبديل إلى صفحة تفاصيل اتصال AWS VPN
"تطوير الأنفاق"
. إذا رأيت حالة Tunnel 1 تصبح خضراء
"UP"
، مما يدل على أن الإنترنت قد تم فتحه بالكامل.
1. اختبار الاتصال الحقيقي
في غرفة الكمبيوتر الفعلية المحلية ، ابحث عن خادم (IP:
192.168.1.50
) ، افتح المحطة ، اذهب مباشرة
بينغ
IP الداخلي (IP) لـ EC2 في سحابة AWS:
10-0-1-23
).
إذا قفزت الشاشة من شيء مألوف
64 bytes من 10.0.1.23... time = 25ms
، تهانينا ، لقد حققت الشبكة السحابية المختلطة فوزًا كبيرًا! يمكن للطرفين بالفعل نقل البيانات بأمان عبر الشبكة الداخلية ، ولا يمكن للمتسللين الخارجيين التنصت على الإطلاق.
2. تمرين كسر شبكة المحاكاة المادية (التحقق المزدوج)
كما ذكرنا سابقًا ، أعطت AWS نفقين افتراضيًا لمنع نقطة واحدة من الفشل.
عملية التمرين: دع مدير الشبكة يتعمد تعطيل الواجهة المادية أو استراتيجية التوجيه المقابلة لـ Tunnel 1 في غرفة الكمبيوتر المحلية.
ملاحظة: عند التحديق في وحدة التحكم ، ستجد أن حركة المرور قد قطعت بسلاسة إلى Tunnel 2 بعد بضع ثوانٍ قصيرة من الاهتزاز ، ولم ينقطع اتصال الشبكة الداخلية في كلا الطرفين على الإطلاق. هذه بنية قابلة للاستخدام للغاية تتوافق مع مواصفات الإنتاج على مستوى المؤسسة.
الخلاصة
الاستفادة
AWS Site-to-Site VPN لبناء شبكة سحابية مختلطة ، السر الأساسي هو ثماني كلمات:
محاذاة المعلمات ، التوجيه ثنائي الاتجاه
. مع رسوم تخزين البوابة السحابية المنخفضة للغاية ، بالإضافة إلى الأجهزة المحلية الموجودة ، يمكنك لحام سحابة غير قابلة للكسر وتجهيزًا آليًا وجسرًا محليًا للشركة في فترة ما بعد الظهر. قم بعمل جيد في تحذير الرصيد والكشف المنتظم عن نبضات القلب في النفق ، وسيصبح شريان الحياة المختلط هذا الأساس الأكثر استقرارًا في بنيتك.