Jualan akaun AWS: mengajar anda cara mencampurkan dan menggunakan VPN AWS Site-to-Site untuk menghubungkan bilik komputer tempatan dengan selamat dan VPC awan
Dalam proses transformasi maklumat syarikat, hanya sedikit syarikat yang dapat memindahkan semua perniagaan mereka ke awan semalam. Penyelesaian yang paling realistik dan paling selamat biasanya meninggalkan data sulit inti di ruang komputer fizikal tempatan (IDC), dan menggunakan perkhidmatan yang sangat fleksibel dan memerlukan keseragaman yang tinggi di awan.
Pada masa ini, titik sakit teknikal tegar muncul:
Bagaimana membina saluran komunikasi yang selamat, stabil dan murah antara bilik komputer fizikal tempatan dan awan VPC (awan peribadi maya)?
Adalah baik untuk menarik talian khusus fizikal (seperti AWS Direct Connect), tetapi kebanyakan perusahaan kecil dan sederhana tidak dapat menanggung kos pemasangan awal puluhan ribu yuan dan tempoh pembinaan selama beberapa bulan. Dengan mengambil kira kos dan keselamatan, penyelesaian emas yang paling menjimatkan adalah menggunakan
AWS Site-to-Site VPN (Laman ke Laman VPN)
。
Hari ini, kita tidak akan membincangkan teori rangkaian yang rumit, tetapi menolak kebenaran. Bermula dari pertempuran sebenar yang murni, kami akan membawa anda menggunakan spesifikasi standard pengeluar utama untuk menghubungkan sepenuhnya rangkaian awan IDC dan AWS tempatan.
Tahap pertama: memahami topologi rangkaian dan konsep teras
Sebelum anda memulakan arahan, anda mesti memahami struktur badan manusia yang mendasari saluran keselamatan ini dalam fikiran anda, jika tidak, anda pasti akan buta dengan pelbagai konfigurasi perutean IP di belakang.
Model sambungan yang ingin kami bina terdiri daripada empat komponen teras berikut:
Pintu masuk tempatan (CGW): Firewall perkakasan atau penghala (seperti Sangfor, Huawei, Cisco, dll.) Di mana anda keluar dari bilik fizikal tempatan. Anda perlu memberitahu AWS alamat IP rangkaian awam peranti ini.
Gerbang Peribadi Maya (VGW): Penyambung aktif AWS. Ini adalah penghala maya yang dipasang di VPC awan anda, yang bertanggungjawab untuk memproses semua lalu lintas yang dienkripsi masuk dan keluar dari awan.
Sambungan VPN (VPN Connection): Paip yang benar-benar selamat. Secara lalai, AWS akan membuat dua (Tunnel 1 dan Tunnel 2) terowong penyulitan IPsec yang saling bergantung untuk mencapai toleransi bencana hidup berganda.
Perutean dinamik BGP dan perutean statik: menentukan bagaimana lalu lintas berjalan. Sekiranya peranti tempatan anda menyokong protokol BGP, utamakan perutean dinamik, dan ia akan diselaraskan secara automatik apabila topologi rangkaian berubah; tidak menjadi masalah jika tidak disokong, sama stabilnya dengan menggunakan perutean statik untuk menentukan segmen rangkaian secara manual.
Tahap kedua: lulus cepat konfigurasi kedudukan pertahanan awan (AWS)
Log masuk ke anda
Konsol AWS
, Beralih ke kawasan di mana perniagaan anda berada (seperti Tokyo
Ap-northeast-1
), Masukkan
Perkhidmatan VPC
。
1. Mewujudkan Gerbang Pelanggan (CGW)
Cari "Gerbang Pelanggan" di menu kiri, klik Buat.
Nama: IDC-Main-Gateway.
BGP ASN: Sekiranya anda menggunakan penghalaan statik, tetap senyap
Kenali (65000).
Alamat IP: Sangat penting! Masukkan IP rangkaian awam sebenar penghala keluar bilik komputer tempatan anda.
2. Buat gerbang peribadi maya (VGW) dan mengikat VPC
Klik "Virtual Private Gateway"-> Buat Virtual Private Gateway, yang diberi nama AWS-To-IDC-VGW.
Setelah penciptaan selesai, pilih, klik Operasi-> "Add to VPC", dan pilih VPC yang anda menjalankan perniagaan. Langkah ini sama dengan memasang penyambung penyulitan awan ke pangkalan pelayan anda.
3. Secara rasmi menubuhkan sambungan VPN
Klik "Site-to-Site VPN Connection"-> Buat sambungan VPN.
Konfigurasi pengelasan parameter: Nama: AWS-IDC-Vpn-Pipe. Jenis gerbang sasaran: pilih "gerbang khusus maya" dan pilih VGW yang baru dibina. Pintu masuk pelanggan: pilih "Sedia" dan pilih CGW yang baru dibina pada langkah pertama. Pilihan penghalaan: Sekiranya penghala tempatan anda lebih tua, pilih "Statik". Dalam awalan IP statik di bawah, isikan segmen rangkaian intranet dengan tepat di ruang komputer fizikal tempatan anda (contohnya 192.168.1.0/24).
Klik Buat. Pada masa ini, konfigurasi sisi AWS telah memasuki keadaan "Mending (dalam konfigurasi)" dan akan menjadi "Available" dalam beberapa minit.
Tahap ketiga: konfigurasi perkakasan firewall tempatan (IDC) (titik paling mudah terbalik)
Setelah terminal AWS dikonfigurasikan, titik paling keren datang: AWS secara automatik telah menulis fail konfigurasi untuk anda menyesuaikan diri dengan pelbagai peranti perkakasan arus perdana.
Dalam senarai sambungan VPN AWS, pilih sambungan yang baru anda buat dan klik "Muat turun Konfigurasi" di bahagian atas.
Di tetingkap pop timbul, pilih jenama penghala yang digunakan di bilik komputer tempatan anda (seperti Huawei, Cisco atau General). Selepas memuat turun, anda akan mendapat fail teks yang mengandungi semua parameter penyulitan (kunci Pra-kongsi Pra-Kunci, protokol IKE, protokol IPsec).
Berikan kepada pengurus rangkaian rangkaian anda, biarkan dia masuk ke latar belakang penghala fizikal tempatan, dan konfigurasikan sesuai dengan file. Terdapat tiga tindakan teras:
Dilengkapi dengan dua IP rangkaian awam terowong (fail konfigurasi akan memberikan IP rangkaian luaran Tunnel 1 dan Tunnel 2 yang diberikan oleh AWS kepada anda dalam teks biasa).
Parameter keselamatan penjajaran: algoritma penyulitan (biasanya AES256), algoritma pengesahan (SHA256), kumpulan DH (Kumpulan 14 atau lebih tinggi), kedua-dua hujungnya mesti sama, dan terowong tanda baca yang salah tidak dapat dibina.
Masukkan kunci pra-kongsi: tampal rentetan rentetan rawak kompleks (PSK) dalam teks biasa ke dalam kotak kunci peranti tempatan.
Tahap keempat: buka dua saluran Ren dan Du-konfigurasi jadual penghalaan dan pelepasan aliran di kedua hujungnya
Keras
Bahagian-bahagian itu dilengkapi dan terowong disambungkan, tetapi pada masa ini anda pergi secara tempatan
ping
IP intranet pelayan awan mungkin tidak tersedia. Kerana "jadual penghalaan" dan "firewall" sistem operasi di kedua-dua belah pihak belum dilepaskan.
1. Akhir AWS: Hidupkan Route Propagation (Route Propagation)
Ini adalah operasi yang 99% orang baru akan ketinggalan.
Pada konsol AWS VPC, klik "jadual penghalaan" untuk mencari jadual penghalaan di mana pelayan awan anda berada.
Tukar ke tab "Route Propagation" dan klik Edit.
Tandakan "Aktifkan" VGW yang baru dibuat.
Orang dalam yang mendasari: Setelah dihidupkan, AWS secara automatik akan menulis segmen rangkaian (192.168.1.0/24) ruang komputer fizikal tempatan anda ke dalam jadual penghalaan awan, dan memberitahu mesin awan: "Di masa depan, jika anda menghadapi lalu lintas tempatan, semuanya akan diserahkan kepada VGW. Dienkripsi melalui terowong".
2. Kumpulan Keselamatan memberi lampu hijau
Pergi ke kumpulan keselamatan pelayan awan (EC2) anda dan tambahkan peraturan kemasukan:
Jenis: Semua lalu lintas (atau hanya TCP yang dibuka mengikut perniagaan).
Alamat sumber: Anda mesti mengisi segmen rangkaian intranet bilik komputer tempatan anda 192.168.1.0/24. Jangan sekali-kali membuka 0.0.0.0/0, kita mesti memastikan bahawa hanya mesin tempatan yang datang dari terowong VPN yang dapat mengakses awan.
Tahap kelima: pengesahan dalam talian dan latihan pemulihan bencana terowong berganda
Selepas 5 minit konfigurasi penuh, beralih ke halaman butiran sambungan VPN AWS
"Pembangunan terowong (Tunnel Details)"
。 Sekiranya anda melihat keadaan Tunnel 1 menjadi hijau
"UP"
, Yang menunjukkan bahawa rangkaian telah dibuka sepenuhnya.
1. Ujian sambungan sebenar
Di ruang komputer fizikal tempatan, cari pelayan (IP:
192.168.1.50
), Buka terminal dan terus ke
ping
IP intranet EC2 (IP:
10.0.1.23
)。
Sekiranya biasa muncul di skrin
64 bytes dari 10.0.1.23... masa = 25ms
, Tahniah, rangkaian awan hibrid telah memperoleh kemenangan besar! Kedua-dua hujungnya dapat menghantar data dengan lancar dan selamat melalui intranet, dan penggodam luaran sama sekali tidak dapat menguping.
2. Latihan pemutusan simulasi fizikal (pengesahan aktiviti berganda)
Seperti disebutkan sebelumnya, AWS memberikan dua terowong secara lalai untuk mencegah satu titik kegagalan.
Operasi latih tubi: Biarkan pentadbir rangkaian sengaja mematikan antara muka fizikal atau strategi penghalaan yang sesuai dengan Tunnel 1 di ruang komputer tempatan.
Hasil pemerhatian: Melihat konsol, anda akan mendapati bahawa setelah beberapa saat gemetar, lalu lintas sepenuhnya automatik dan lancar ke Tunnel 2, dan komunikasi intranet di kedua hujungnya sama sekali tidak terganggu. Ini adalah seni bina yang sangat tersedia yang memenuhi spesifikasi pengeluaran peringkat perusahaan.
Ringkasan
Gunakan
AWS Site-to-Site VPN membina rangkaian awan hibrid, rahsia utamanya adalah lapan perkataan:
Penjajaran parameter, penghalaan dua hala
。 Dengan bayaran hosting gerbang awan yang sangat rendah, ditambah dengan peralatan perkakasan tempatan yang ada, anda boleh mengimpal awan dan jejambat tempatan yang tidak dapat dipecahkan dan automatik untuk syarikat dalam satu petang. Lakukan dengan baik amaran keseimbangan dan pengesanan degupan jantung terowong secara berkala. Garis hidup awan hibrid ini akan menjadi asas paling stabil dalam struktur anda.
