¿Cómo puedo permitir la comunicación entre múltiples VPC desde una conexión de VPN única conectada a mi puerta de enlace de tránsito sin permitir el acceso entre las VPC?

6 minutos de lectura
0

Tengo dos nubes virtuales privadas (VPC) interconectadas. Los usuarios locales necesitan tener acceso a ambas VPC con una sola conexión de VPN. Quiero establecer conectividad de red entre las VPC y la red local a través de una única conexión de VPN. ¿Cómo puedo hacerlo?

Descripción corta

Si tiene dos VPC, como un entorno de producción y un entorno de desarrollo, con una sola conexión de VPN, siga estos pasos para establecer la conectividad de red entre los recursos de varias VPC, de modo que:

  • Los usuarios locales puedan acceder a los recursos de todas las VPC a través de la VPN
  • Los recursos de VPC no puedan acceder a los recursos de las otras VPC

Resolución

Cree una puerta de enlace de tránsito y, a continuación, conecte sus VPC y una VPN de sitio a sitio

  1. En la consola de Amazon Virtual Private Cloud (Amazon VPC), cree una puerta de enlace de tránsito.
    Nota: Desactive la configuración de la tabla de enrutamiento Default association (Asociación predeterminada) al crear su puerta de enlace de tránsito.
  2. Conecte las VPC a la puerta de enlace de tránsito.
  3. Cree una conexión VPN de sitio a sitio y conéctela a su puerta de enlace de tránsito.
    Nota: Para propagar automáticamente las rutas VPN a la tabla de enrutamiento de la puerta de enlace de tránsito, elija la opción Dynamic (Dinámico) en Routing (Enrutamiento). Esta opción requiere el protocolo de puerta de enlace fronteriza.

Crear una tabla de enrutamiento de puerta de enlace de tránsito y asociarla a sus VPC

  1. Abra la consola de Amazon VPC.
  2. En el panel de navegación, seleccione Transit gateways (Puertas de enlace de tránsito).
  3. Verifique que la configuración de Default association route table (Tabla de enrutamiento predeterminada) para su puerta de enlace de tránsito sea Disable (Desactivar).
    Nota: Si la opción Default associate route table (Tabla de enrutamiento asociada predeterminada) está establecida en Enable (Habilitar), vaya al paso 9.
  4. Elija Transit gateway route tables (Tablas de enrutamiento de puerta de enlace de tránsito).
  5. Elija Create transit gateway route table (Crear tabla de enrutamiento de puerta de enlace de tránsito).
    En Name tag (Etiqueta de nombre), ingrese Route Table A (Tabla de enrutamiento A).
    En Transit gateway ID (ID de puerta de enlace de tránsito), elige el ID de su puerta de enlace de tránsito.
    A continuación, elija Create transit gateway route table (Crear tabla de enrutamiento de puerta de enlace de tránsito).
  6. Elija la tabla de enrutamiento A que creó en el paso anterior o la tabla de enrutamiento predeterminada de su puerta de enlace de tránsito.
  7. Seleccione Associations (Asociaciones) y, a continuación, seleccione Create association (Crear asociación).
  8. En Choose attachment to associate (Elegir conexión que asociar), elija los ID de conexión para sus VPC. A continuación, seleccione Create association (Crear asociación). Repita este paso hasta que todas las VPC aparezcan en Association (Asociación).
  9. Eliminar la asociación de la VPN de la tabla de enrutamiento de la puerta de enlace de tránsito predeterminada

Crear una segunda tabla de enrutamiento de puerta de enlace de tránsito y asociarla a su conexión de VPN

  1. En la consola de Amazon VPC, seleccione Transit gateway route tables (Tablas de enrutamiento de la puerta de enlace de tránsito).
  2. Elija Create transit gateway route table (Crear tabla de enrutamiento de puerta de enlace de tránsito).
    En Name tag (Etiqueta de nombre), ingrese Route Table B (Tabla de enrutamiento B).
    En Transit gateway ID (ID de puerta de enlace de tránsito), elija el ID de su puerta de enlace de tránsito.
    A continuación, elija Create transit gateway route table (Crear tabla de enrutamiento de puerta de enlace de tránsito).
  3. Elegir la tabla de enrutamiento B que creó en el paso anterior
  4. Seleccione Associations (Asociaciones) y, a continuación, seleccione Create association (Crear asociación).
  5. Asocie la conexión de VPN que creó con Route Table B (Tabla de enrutamiento B).

Propagar rutas desde sus VPC y VPN a ambas tablas de enrutamiento

  1. En la consola de Amazon VPC, seleccione Transit gateway route tables (Tablas de enrutamiento de la puerta de enlace de tránsito).
  2. Seleccione Route Table A (Tabla de enrutamiento A).
  3. Elija Actions (Acciones) y, a continuación, Create propagation (Crear propagación).
  4. En Choose attachment to propagate (Elegir conexión para propagar), elija la propagación de la VPN. Si tiene habilitada la propagación para todas las conexiones, compruebe que la asociación de conexiones de VPN no esté habilitada en esta tabla de enrutamiento.
    Importante: Si creó una conexión de VPN de enrutamiento estático, en lugar de enrutamiento dinámico, debe crear una ruta estática para la red local a la VPN en la tabla de enrutamiento A. En las conexiones de VPN estáticas basadas en políticas, solo se permiten un par de asociaciones de seguridad (SA). Consolide el CIDR local y el CIDR de las VPC en una sola SA. Para obtener más información, consulte How do I troubleshoot connection problems between an AWS VPN endpoint and a policy-based VPN? (¿Cómo soluciono los problemas de conexión entre un punto de conexión de AWS VPN y una VPN basada en políticas?).
  5. Elija Create propagation (Crear propagación).
  6. En las tablas de enrutamiento de puerta de enlace de tránsito, seleccione Route table B (Tabla de enrutamiento B).
  7. Elija Actions (Acciones) y, a continuación, Create propagation (Crear propagación).
  8. En Choose attachment to propagate (Elegir conexión para propagar), elija la propagación para todas las VPC. A continuación, seleccione Create propagation (Crear propagación).

Configurar la tabla de enrutamiento asociada a la VPC y la subred de conexiones

  1. En la consola de Amazon VPC, elija Route tables (Tablas de enrutamiento).
  2. Elija la tabla de enrutamiento que está conectada a la subred de conexiones.
  3. Seleccione la pestaña Routes (Rutas) y, a continuación, seleccione Edit routes (Editar rutas).
  4. Elija la pestaña Add route (Agregar ruta).
    En Destination (Destino), elija la subred de la red local.
    En Target (Destino), elija su puerta de enlace de tránsito.
  5. Elija Save routes (Guardar rutas).

Nota: Si su caso de uso requiere un acceso más restrictivo entre las VPC, cree una tabla de enrutamiento independiente para cada VPC y configure las rutas. Tenga en cuenta lo siguiente:

  • El enrutamiento en la tabla de enrutamiento de la puerta de enlace de tránsito se basa en la asociación de la puerta de enlace de tránsito y la tabla de enrutamiento de la puerta de enlace de tránsito.
  • Puede configurar rutas a cualquier destino en la conexión de puerta de enlace de tránsito en cualquier tabla de enrutamiento de puerta de enlace de tránsito. La conexión de puerta de enlace de tránsito no necesita asociarse a esa tabla de enrutamiento específica.

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años