针对大量Site to Site VPN连接进行架构设计
0
【以下的问题经过翻译处理】 客户希望将他们的服务从本地迁移到AWS。他们的服务需要一个Site to Site VPN连接到客户的物理位置。客户有数百个外部客户,每个外部客户可能有1-50个人愿。这导致需要建立大量的站点到站点VPN连接。
我一直在思考如何架构这个系统,我倾向于利用TGW +为每个客户设置子网级别隔离的Site to Site VPN连接。这可能是设置这个系统最简单的方法。另一种选择是在中转VPC中设置自管理的EC2实例,并安装开源VPN。我怀疑这种方法比前者更具有成本效益,但管理起来更困难,且仍然需要解决重叠的CIDR地址范围等问题,但我不确定是否有更好的解决方案。
我很好奇是否有其他人遇到过类似的情况,并且是否有任何见解。上述设计是否存在任何限制?
1 Antwort
- Neueste
- Die meisten Stimmen
- Die meisten Kommentare
0
【以下的回答经过翻译处理】 如果不需要很大的带宽,大多数客户往往会自己搭建管理VPN解决方案并将其连接到AWS Transit Gateway(AWS Transit Gateway Connect功能在这方面非常方便)。自己运行VPN解决方案很快地变得具有成本效益,并且允许您在NAT、路由策略等方面更加灵活。您需要与客户讨论比较一下两种方案的成本,例如1)100个由AWS管理的VPN vs 2)强大的EC2实例运行的解决方案(例如Strong Swan或AWS Marketplace上的设备,如Cisco CSR),并看看他们是否有意愿自己管理。
Relevanter Inhalt
AWS OFFICIALAktualisiert vor 2 Jahren- Wie verbinde ich verschiedene Zweigstellen mithilfe von AWS Site-to-Site VPN und AWS Direct Connect?AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 9 Monaten
- AWS OFFICIALAktualisiert vor 10 Monaten