STR*_*RML 5 site-to-site-vpn amazon-web-services amazon-vpc
我正在尝试连接两个 AWS 区域。AWS 的文档建议在双方启动一个实例来运行软件 IPSec(OpenSWAN 或 StrongSWAN),为两个实例提供一个弹性 IP 并将其用作隧道。这一切都很好,但现在我们双方都有一个单点故障。
AWS在 7 月发布了VPC 连接指南,其中详细介绍了将两个 VPC 连接在一起的可能选项。我已将该 PDF 链接到第 15 页,其中解释了选项。
它列出的每个选项都有明显的缺点,因为在大多数情况下,所有流量都经过单个(易崩溃)实例。到目前为止,似乎最好的选择是在一侧使用软件隧道,在另一侧使用虚拟专用网关。他们说,至少你在一方面得到了冗余。这似乎仍然是次优的。
有没有办法将两个虚拟私有网关连接在一起,这样我就可以两全其美——亚马逊管理的冗余和将所有这些都保存在我的 VPC 配置中的简单性?或者 VGW 本质上是仅客户端使用的?
不,目前无法连接不同区域的两个虚拟专用网关。我确信这是一项即将推出的功能,因为 VPC 对等可用于单个区域中的 VPC。
至于“您负责为所有 VPN 端点实施 HA 解决方案(如果需要)”,我在之前的回答中讨论过,有各种技术可以处理 VPN/NAT 实例的故障。最近,我与一位同事交谈,他不仅设置了具有自动缩放和脚本功能的全网状 VPN 以重新配置失败的 VPN/NAT 实例,而且还有其他脚本可以修改 VPC 路由表,以便由不同的可用区立即接管路由直到失败的 VPN/NAT 实例完成重生。一旦 VPC/NAT 实例启动并且 ENI 重新连接,他们也会使路由返回失败。github 上有许多“NAT 监视器”脚本可以做类似的事情。还有一篇AWS 文章描述了该过程。
体面的高可用性?是的。配置简单?不幸的是,不是。