การขายบัญชี AWS: สอนวิธีผสมผสาน AWS Site-to-Site VPN การเชื่อมต่อที่ปลอดภัยกับ VPC บนคลาวด์
ในกระบวนการเปลี่ยนแปลงข้อมูลขององค์กรมีเพียงไม่กี่บริษัทที่สามารถย้ายธุรกิจทั้งหมดไปยังระบบคลาวด์ได้ในชั่วข้ามคืนวิธีแก้ปัญหาที่เป็นจริงและปลอดภัยที่สุดคือการทิ้งข้อมูลที่เป็นความลับหลักไว้ในห้องคอมพิวเตอร์ในพื้นที่ (IDC) และปรับใช้บริการที่มีความยืดหยุ่นสูงและมีการทำงานพร้อมกันสูงในระบบคลาวด์
ในเวลานี้จุดเจ็บปวดทางเทคนิคแบบฮาร์ดคอร์ปรากฏขึ้น:
จะสร้างช่องทางการสื่อสารที่ปลอดภัยเสถียรและราคาถูกระหว่างห้องทางกายภาพในพื้นที่และคลาวด์ VPC (คลาวด์ส่วนตัวเสมือน) ได้อย่างไร?
เป็นการดีที่จะดึงสายเฉพาะทางกายภาพ (เช่น AWS Direct Connect) แต่องค์กรขนาดเล็กและขนาดกลางส่วนใหญ่ไม่สามารถจ่ายค่าติดตั้งเริ่มต้นได้หลายหมื่นหยวนและระยะเวลาการก่อสร้างหลายเดือนภายใต้สมมติฐานของการคำนึงถึงต้นทุนและความปลอดภัยโซลูชันทองคำที่คุ้มค่าที่สุดคือการใช้
AWS Site-to-Site VPN (เว็บไซต์ไปยังเว็บไซต์ VPN)
。
วันนี้ฉันไม่ได้พูดถึงทฤษฎีเครือข่ายที่ซับซ้อนและปฏิเสธหลักการเราเริ่มต้นจากการต่อสู้จริงที่บริสุทธิ์และนำคุณไปสู่การใช้ข้อกำหนดมาตรฐานของโรงงานขนาดใหญ่เพื่อเชื่อมต่อเครือข่ายคลาวด์ IDC และ AWS ในพื้นที่อย่างสมบูรณ์
ขั้นตอนแรก: ทำความเข้าใจโทโพโลยีเครือข่ายและแนวคิดหลัก
ก่อนที่จะพิมพ์คำสั่งคุณต้องชี้แจงโครงสร้างร่างกายมนุษย์ด้านล่างของท่อความปลอดภัยนี้ในใจของคุณมิฉะนั้นคุณจะตาบอดในการกำหนดค่าการกำหนดเส้นทาง IP ต่างๆที่อยู่เบื้องหลัง
รูปแบบการเชื่อมต่อที่เราต้องการสร้างประกอบด้วยองค์ประกอบหลักสี่ประการดังต่อไปนี้:
เกตเวย์ภายใน (CGW): ไฟร์วอลล์ฮาร์ดแวร์หรือเราเตอร์ (เช่น Sangfor, Huawei, Cisco เป็นต้น) ที่คุณส่งออกในห้องคอมพิวเตอร์ในพื้นที่คุณต้องบอก AWS ที่อยู่ IP สาธารณะของอุปกรณ์นี้
Virtual Private Gateway (VGW): ตัวเชื่อมต่อที่ใช้งานอยู่ในฝั่ง AWS เป็นเราเตอร์เสมือนที่ติดตั้งบน VPC บนคลาวด์ของคุณและรับผิดชอบในการประมวลผลการรับส่งข้อมูลที่เข้ารหัสทั้งหมดที่เข้าและออกจากระบบคลาวด์
VPN Connection: ท่อที่ปลอดภัยอย่างแท้จริงตามค่าเริ่มต้น AWS จะสร้างอุโมงค์เข้ารหัส IPsec สองแห่ง (Tunnel 1และ Tunnel 2) ที่เป็นอิสระสำหรับคุณเพื่อให้เกิดการกู้คืนระบบแบบ dual-acting
การกำหนดเส้นทางแบบไดนามิก BGP และการกำหนดเส้นทางแบบคงที่: กำหนดว่าปริมาณการใช้งานจะไปอย่างไรหากอุปกรณ์ภายในของคุณรองรับโปรโตคอล BGP ให้เลือกการกำหนดเส้นทางแบบไดนามิกก่อนและจะซิงโครไนซ์โดยอัตโนมัติเมื่อโทโพโลยีเครือข่ายมีการเปลี่ยนแปลงไม่สำคัญว่าจะไม่รองรับการระบุส่วนเครือข่ายด้วยตนเองด้วยการกำหนดเส้นทางแบบคงที่มีความเสถียร
ขั้นตอนที่สอง: การกำหนดค่าตำแหน่งการป้องกันบนคลาวด์ (AWS)
เข้าสู่ระบบไฟล์
คอนโซล AWS
, สลับไปยังภูมิภาคที่ธุรกิจของคุณตั้งอยู่ (เช่นโตเกียว
Ap-northeast-1
) ป้อน
บริการ VPC
。
1.สร้างเกตเวย์ลูกค้า (CGW)
ค้นหา "เกตเวย์ลูกค้า" ในเมนูด้านซ้ายและคลิกที่สร้าง
ชื่อ: IDC-Main-Gateway 。
BGP ASN: หากใช้การกำหนดเส้นทางแบบคงที่ให้เงียบ
รับรู้ (65000)
ที่อยู่ IP: สำคัญมาก! ป้อน IP สาธารณะจริงของเราเตอร์ทางออกห้องคอมพิวเตอร์ในพื้นที่ของคุณ
2.สร้างเกตเวย์ส่วนตัวเสมือน (VGW) และผูก VPC
คลิก "เกตเวย์ส่วนตัวเสมือน"-> สร้างเกตเวย์ส่วนตัวเสมือนชื่อ AWS-To-IDC-VGW
เมื่อสร้างเสร็จแล้วให้เลือกและคลิกการกระทำ-> "แนบไปกับ VPC" เพื่อเลือก VPC ที่คุณกำลังดำเนินธุรกิจขั้นตอนนี้เทียบเท่ากับการใส่ตัวเชื่อมต่อที่เข้ารหัสบนคลาวด์ลงในค่ายฐานเซิร์ฟเวอร์ของคุณ
3.สร้างการเชื่อมต่อ VPN อย่างเป็นทางการ
คลิก "Site-to-Site VPN Connect"-> สร้างการเชื่อมต่อ VPN 。
การกำหนดค่าการเชื่อมพารามิเตอร์: ชื่อ: AWS-IDC-Vpn-Pipe 。ประเภทเกตเวย์เป้าหมาย: เลือก "เกตเวย์ส่วนตัวเสมือน" และเลือก VGW ที่เพิ่งสร้างขึ้นเกตเวย์ลูกค้า: เลือก "ที่มีอยู่" และเลือก CGW ที่สร้างขึ้นในขั้นตอนแรกตัวเลือกการกำหนดเส้นทาง: หากเราเตอร์ท้องถิ่นของคุณเก่าให้เลือก "คงที่" ในคำนำหน้า IP แบบคงที่ด้านล่างให้กรอกข้อมูลในส่วนเครือข่ายภายในของห้องคอมพิวเตอร์ภายในเครื่องของคุณอย่างถูกต้อง (เช่น192.168.1.0/24)
คลิกสร้างในขณะนี้การกำหนดค่าของฝั่ง AWS ได้เข้าสู่สถานะ "Pending" และจะกลายเป็น "Available" ในไม่กี่นาที
ขั้นตอนที่3: การกำหนดค่าฮาร์ดแวร์ไฟร์วอลล์ท้องถิ่น (IDC) (จุดที่ง่ายที่สุดที่จะพลิกคว่ำ)
หลังจากกำหนดค่าเทอร์มินัล AWS แล้วสิ่งที่เจ๋งที่สุดก็มาถึง: AWS ได้เขียนไฟล์การกำหนดค่าที่ปรับให้เข้ากับอุปกรณ์ฮาร์ดแวร์หลักต่างๆสำหรับคุณโดยอัตโนมัติ
ในรายการการเชื่อมต่อ AWS VPN ให้เลือกการเชื่อมต่อที่คุณเพิ่งสร้างแล้วคลิก "ดาวน์โหลดโปรไฟล์" ที่ด้านบน
ในหน้าต่างป๊อปอัปให้เลือกยี่ห้อเราเตอร์ที่ใช้ในห้องคอมพิวเตอร์ของคุณ (เช่น Huawei, Cisco หรือ Generic Universal) หลังจากดาวน์โหลดแล้วคุณจะได้รับไฟล์ข้อความที่มีพารามิเตอร์ที่เข้ารหัสทั้งหมด (Pre-Shared Key, IKE Protocol, IPsec Protocol)
ให้ผู้จัดการเครือข่ายของคุณให้เขาล็อกอินเข้าสู่พื้นหลังของเราเตอร์ทางกายภาพในเครื่องและกำหนดค่าตามไฟล์มีการดำเนินการหลักสามประการ:
ติดตั้ง IP เครือข่ายสาธารณะของอุโมงค์สองแห่ง (IP เครือข่ายภายนอกของ AWS ที่กำหนดให้กับ Tunnel 1และ Tunnel 2จะได้รับอย่างชัดเจนในไฟล์คอนฟิกูเรชัน)
การจัดตำแหน่งพารามิเตอร์ความปลอดภัย: อัลกอริธึมการเข้ารหัส (โดยปกติคือ AES256), อัลกอริธึมการตรวจสอบสิทธิ์ (SHA256), กลุ่ม DH (กลุ่ม14หรือสูงกว่า) ปลายทั้งสองข้างต้องสอดคล้องกันอย่างสมบูรณ์และไม่สามารถสร้างอุโมงค์เครื่องหมายวรรคตอนที่ไม่ถูกต้องได้
ป้อนคีย์ที่ใช้ร่วมกันล่วงหน้า: วางสตริงของสตริงสุ่มที่ซับซ้อน (PSK) ในข้อความธรรมดาลงในกล่องคีย์ของอุปกรณ์ภายในเครื่อง
ขั้นตอนที่สี่: เปิดการกำหนดค่าตารางเส้นทางที่ปลายทั้งสองด้านและการปล่อยการจราจร
แข็ง
ชิ้นส่วนได้รับการจับคู่และเชื่อมต่อกับอุโมงค์แต่ในเวลานี้คุณไปจากพื้นที่
ปิง
IP อินทราเน็ตของเซิร์ฟเวอร์คลาวด์มีแนวโน้มที่จะล้มเหลวเนื่องจาก "ตารางเส้นทาง" และ "ไฟร์วอลล์" ของระบบปฏิบัติการทั้งสองด้านยังไม่ได้รับการเผยแพร่
1. AWS end: เปิดเส้นทางการแพร่กระจาย (Route Propagation)
นี่คือ99% ของการดำเนินการที่มือใหม่จะพลาด
บนคอนโซล AWS VPC ให้คลิก "ตารางเส้นทาง" เพื่อค้นหาตารางเส้นทางที่เซิร์ฟเวอร์คลาวด์ของคุณตั้งอยู่
สลับไปที่แท็บ "Route Propagation" แล้วคลิกแก้ไข
ติ๊ก "เปิดใช้งาน" VGW ที่สร้างขึ้นเพียง
เรื่องราวภายใน: หลังจากเปิดเครื่อง AWS จะเขียนส่วนเครือข่ายของห้องคอมพิวเตอร์ภายในเครื่องของคุณโดยอัตโนมัติ (192.168.1.0/24) ลงในตารางการกำหนดเส้นทางระบบคลาวด์และบอกเครื่องคลาวด์ว่า: "ในอนาคตเมื่อคุณพบทราฟฟิกในเครื่องทั้งหมดจะถูกส่งไปยัง VGW อุโมงค์เข้ารหัสถูกขนส่ง".
2.กลุ่มรักษาความปลอดภัยให้ไฟเขียว
ไปที่กลุ่มความปลอดภัยของเซิร์ฟเวอร์คลาวด์ (EC2) ของคุณและเพิ่มกฎการเข้า:
ประเภท: การจราจรทั้งหมด (หรือเปิด TCP ตามธุรกิจเท่านั้น)
ที่อยู่ต้นทาง: คุณต้องกรอกข้อมูลในส่วนเครือข่ายอินทราเน็ต192.168.1.0/24ของห้องคอมพิวเตอร์ในเครื่องของคุณอย่าเปิด0.0.0.0/0เราต้องการให้แน่ใจว่ามีเพียงเครื่องท้องถิ่นที่ผ่านอุโมงค์ VPN เท่านั้นที่สามารถเข้าถึงระบบคลาวด์ได้
ขั้นตอนที่ห้า: การตรวจสอบออนไลน์และการฝึกซ้อมการกู้คืนระบบอุโมงค์ที่มีชีวิตสองครั้ง
หลังจากการกำหนดค่าทั้งหมดเสร็จสิ้น5นาทีให้สลับไปที่หน้ารายละเอียดการเชื่อมต่อ AWS VPN
"การพัฒนาอุโมงค์ (Tunnel Details)"
。หากคุณเห็นว่าสถานะของอุโมงค์1เปลี่ยนเป็นสีเขียว
"UP"
แสดงว่าเครือข่ายถูกเปิดอย่างสมบูรณ์
1.การทดสอบการเชื่อมต่อจริง
ในห้องทางกายภาพในพื้นที่ให้ค้นหาเซิร์ฟเวอร์ (IP:
192.168.1.50
) เปิดเทอร์มินัลและไปที่
ปิง
IP อินทราเน็ต (IP:
10.0.1.23
)。
หากความคุ้นเคยปรากฏขึ้นบนหน้าจอ
64 bytes from 10.0.1.23... time = 25ms
ขอแสดงความยินดีเครือข่ายคลาวด์ไฮบริดได้รับชัยชนะครั้งใหญ่! ปลายทั้งสองด้านสามารถส่งข้อมูลได้อย่างราบรื่นและปลอดภัยผ่านอินทราเน็ตและแฮกเกอร์ภายนอกไม่สามารถดักฟังได้เลย
2.แบบฝึกหัดตัดการเชื่อมต่อการจำลองร่างกาย (การตรวจสอบชีวิตคู่)
ดังที่ได้กล่าวไว้ก่อนหน้านี้ AWS ให้อุโมงค์สองแห่งโดยค่าเริ่มต้นเพื่อป้องกันความล้มเหลวเพียงจุดเดียว
การดำเนินการเจาะ: ให้ผู้ดูแลระบบเครือข่ายจงใจปิดใช้งานอินเทอร์เฟซทางกายภาพหรือกลยุทธ์การกำหนดเส้นทางที่สอดคล้องกับ Tunnel 1ในห้องคอมพิวเตอร์ในพื้นที่
ผลการสังเกต: จ้องที่คอนโซลคุณจะพบว่าหลังจากการกระวนกระวายใจเพียงไม่กี่วินาทีการรับส่งข้อมูลจะถูกตัดไปยัง Tunnel 2โดยอัตโนมัติและราบรื่นและการสื่อสารเครือข่ายภายในที่ปลายทั้งสองข้างจะไม่ถูกขัดจังหวะนี่คือสถาปัตยกรรมที่มีความพร้อมใช้งานสูงซึ่งสอดคล้องกับข้อกำหนดการผลิตระดับองค์กร
สรุป
การใช้ประโยชน์
AWS Site-to-Site VPN เพื่อสร้างเครือข่ายคลาวด์แบบไฮบริดความลับหลักคือแปดคำ:
การจัดตำแหน่งพารามิเตอร์การกำหนดเส้นทางสองทาง
。ด้วยค่าธรรมเนียมการโฮสต์เกตเวย์คลาวด์ที่ต่ำมากบวกกับอุปกรณ์ฮาร์ดแวร์ในพื้นที่ที่มีอยู่คุณสามารถเชื่อมระบบคลาวด์ที่ไม่แตกหักและการกู้คืนระบบอัตโนมัติและสะพานในพื้นที่ให้กับบริษัทในช่วงบ่ายทำการเตือนความสมดุลและการตรวจจับการเต้นของหัวใจในอุโมงค์เป็นประจำเส้นชีวิตระบบคลาวด์แบบไฮบริดนี้จะกลายเป็นรากฐานที่มั่นคงที่สุดในสถาปัตยกรรมของคุณ