AWSアカウント販売: AWSサイト-to-sitevpnを利用して、ローカルルームとクラウドVPCを安全に接続することを手で教えてください
企業の情報化モデルチェンジの過程で、一晩ですべての業務をクラウドに移す会社は少ないです。最も現実的で安全な案は、通常、コア機密データをローカル物理室 (IDC) に残し、柔軟性が大きく、高同時性を必要とするビジネスをクラウドに導入することである。
この時、ハードコアの技術的なペインポイントが浮上しました
ローカル物理ルームとクラウドVPC (仮想プライベートクラウド) の間に、安全で安定した安価な通信パイプラインをどのように構築しますか?
AWS Direct Connectのような物理専用線を引くのはいいが、数万ドルの初装費、数ヶ月に及ぶ施工サイクルでは、ほとんどの中小企業は耐えられない。コストと安全を両立した上で、最もコストパフォーマンスの高い金案は、利用することである
AWSサイト-to-sitevpn (サイト間VPN)
。
今日は複雑なネット理論を引っ張らず、大きな道理を拒絶する。私たちは純粋な実戦から出発して、手を持って大工場の標準規範を使って、地元のIDCとAWSクラウドネットワークを徹底的に開通させます。
第一段階: ネットワークトポロジと核心概念を理解する
命令を叩く前に、この安全なパイプの基礎的な人体構造を頭の中ではっきりさせなければならない。そうでなければ、後の様々なIPルートの配置は必ず盲目になる。
私たちが作成する接続モデルは、次の4つのコアコンポーネントで構成されています
ローカルゲートウェイ (Customer Gateway、CGW): ローカルの物理的な機械室に輸出されているハードウェアファイアウォールやルーター (例えば、深い納得、華為、シスコなど)。AWSにこの設備のパブリックネットワークのipアドレスを教えてください。
仮想プライベートゲートウェイ (VGW):AWS側のアクティブコネクタ。クラウドVPCにマウントされた仮想ルーターで、クラウドに出入りするすべての暗号化トラフィックを処理します。
VPN接続 (VPN Connection):真のセキュリティパイプライン。AWSはデフォルトで、あなたのために2つの独立したIPsec暗号化トンネルを作成し、2つの災害を実現します。
BGP動的ルーティングと静的ルーティング: トラフィックの移動方法を決定します。ローカルデバイスがBGPプロトコルをサポートしている場合は、動的ルーティングを優先し、ネットワークトポロジが変更されると自動的に同期されますサポートしなくても大丈夫です。静的ルートでネットワークセグメントを手動で指定するのと同じくらい安定しています。
第二段階: クラウド (AWS)防御陣地配置速通
ログインします
AWSコンソール
、あなたのビジネスがある地域 (例えば東京) に切り替えます
Ap-northeast-1
) 、入ります
VPCサービス
。
1.カスタマーゲートウェイの作成 (CGW)
左側のメニューで「カスタマーゲートウェイ」を見つけ、「作成」をクリックします。
名前: IDC-Main-Gateway。
BGP ASN: 静的ルーティングを使用すると、暗黙のままになります
認めてください。
Ipアドレス: 非常に重要です。あなたの地元の機械室の輸出ルータの実際のパブリックネットワークIPを入力します。
2.仮想プライベートゲートウェイ (VGW) を作成してVPCに紐付ける
「仮想プライベートゲートウェイ」-> 仮想プライベートゲートウェイを作成し、AWS-To-IDC-VGWという名前を付けます。
作成が完了したら、それを選択し、アクション-> 「VPCに添付」をクリックして、あなたが業務をしているVPCを選択します。このステップは、クラウドの暗号化コネクタをあなたのサーバの本営地に配置することに相当します。
3.VPN接続を正式に確立する
「Site-to-sitevpn接続」-> をクリックしてVPN接続を作成します。
パラメータ溶接デッド構成: 名前: AWS-IDC-Vpn-Pipe。ターゲットゲートウェイタイプ: 「仮想プライベートゲートウェイ」を選択し、作成したVGWを選択します。クライアントゲートウェイ: 「既存」を選択し、先ほど最初に作成したCGWを選択します。ルーティングオプション: ローカルルーターが古い場合は、「静的」を選択します。下の静的ipプレフィックスには、ローカルの物理機械室のイントラネットセグメント (例: 192.168.1.0/24) が正確に入力されています。
「作成」をクリックします。この時点で、AWS側の構成はすでに「Pending (構成中) 」状態になっており、数分後に「Available」になる。
第3段階: ローカル (IDC) ファイアウォールのハードウェア構成 (最も転覆しやすい点)
AWS側が配置された後、最も爽快な点は、AWSはあなたのために様々な主要なハードウェアデバイスに対応するプロファイルを自動的に作成したことです。
AWS VPN接続リストで、構築したばかりの接続を選択し、上部にある「プロファイルをダウンロード」をクリックします。
ポップアップウィンドウで、ローカルルームで使用するルーターのブランド (ファーウェイ、Cisco、ジェネリックなど) を選択します。ダウンロードすると、すべての暗号化パラメータ (事前共有キーPre-Shared Key、IKEプロトコル、IPsecプロトコル) を含むテキストファイルが取得されます。
ネットワーク管理者に渡して、ローカルの物理ルーターのバックグラウンドにログインさせて、ファイルと照らし合わせて配置します。コアアクションは次の3つです
2つのトンネルを備えたパブリックネットワークIP (構成ファイルにAWSがあなたに割り当てたTunnel 1とTunnel 2のエクストラネットIPが明記されています)。
整列セキュリティパラメータ: 暗号化アルゴリズム (通常はAES256)、認証アルゴリズム (SHA256)、DHグループ (Group 14以上) は、両端が完全に一致している必要があります句読点トンネルを間違えても建てられない。
事前共有鍵を入力: クリアテキストの複雑なランダム文字列 (PSK) をローカルデバイスの鍵ボックスに貼り付ける。
第四段階: 任督二脈を貫通する ― 両端ルーティングテーブルの配置と流量の開放
硬い
件ができて、トンネルもつながっていますが、この時は地元から行きます
ピン
クラウドサーバのイントラネットIPは、大きな確率では通じない。両側のオペレーティングシステムの「ルーティングテーブル」と「ファイアウォール」はまだ解放されていないからです。
1. AWS側: ルーティング伝播をオンにする
これは初心者の99% が見逃してしまう操作です。
AWS VPCコンソールで「ルーティングテーブル」をクリックして、クラウドサーバが存在するルーティングテーブルを見つけます。
「ルーティング伝播」タブページに切り替え、「編集」をクリックします。
先ほど作成したVGWを「有効化」にチェックを入れます。
基礎内部者: オンにすると、AWSは自動的にあなたのローカル物理室のネットワークセグメント (192.168.1.0/24) をクラウドのルーティング表に書いて、クラウドマシンに「これからローカルに行くトラフィックに遭遇してすべてはVGWが暗号化トンネルを通って運ばれた」。
2.セキュリティグループの大点灯
クラウドサーバ (EC2) セキュリティグループに、受信ルールを追加します
タイプ: すべてのトラフィック (またはトラフィックに応じてTCPのみ)。
ソースアドレス: ローカルルームのイントラネットセグメント192.168.1.0/24を入力する必要があります。絶対に0.0.0/0を開放しないでください。VPNトンネルを通ってきたローカルマシンだけがクラウドにアクセスできるようにします。
第五段階: オンライン検証とダブルトンネル災害復旧訓練
すべての構成が完了してから5分後、AWS VPN接続の詳細ページでに切り替えます
「トンネルの発展状況」
。Tunnel 1の状態が緑になっているのを見たら
「UP」
ネットワークが完全に通じていることを説明します。
1.リアル接続性テスト
ローカルの物理ルームで、サーバ (IP:
192.168.p9
) 、端末を開けて、直接行きます。
ピン
AWSクラウドのあるEC2のイントラネットIP(IP:
10.0.23%
)
画面になじみのあるものが飛び出したら
64 bytes from 10.0.23%... time = 25ms
おめでとうございます。両端はネットを通じて滑りやすく、安全にデータを転送できます。外部のハッカーは全く盗聴できません。
2.肉体模擬ネット切断訓練 (ダブル検証)
先に述べたように、AWSがデフォルトで2つのトンネルを与えたのは、単一点障害を防ぐためである。
演習操作: ネットワーク管理者がローカルルームでTunnel 1に対応する物理インタフェースまたはルーティングポリシーを故意に無効にする。
観察結果: コンソールを見つめていると、トラフィックはわずか数秒で揺れた後、自動的にTunnel 2にシームレスに切断され、両端のイントラネット通信は全く中断されていないことがわかります。これこそが企業レベルの生産規範に適合した高可用性アーキテクチャである。
まとめ
利用
AWS Site-to-sitevpnはハイブリッドクラウドネットワークを構築し、核心的な秘訣は8文字である
パラメータ整列、ルーティング双方向
。非常に低いクラウドゲートウェイの管理費を使って、現地の既存のハードウェア設備を加えて、午後の時間内に、会社のために堅固で、自動的に災害を許すクラウドと現地の高架橋を溶接することができます。余剰警報と定期的なトンネル心拍検査を行うと、この混合雲生命線はあなたの枠組みの中で最も安定した基礎になる。