AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Comment configurer une connexion de VPN site à site avec routage dynamique entre AWS et Microsoft Azure ?

Lecture de 7 minute(s)

Je souhaite configurer une connexion AWS Site-to-Site VPN avec le protocole de passerelle frontière (BGP) entre AWS et Azure.

Brève description

Pour configurer le routage dynamique entre AWS et Azure, créez et configurez les passerelles client, les passerelles VPN, les passerelles de réseau local et les configurations de tunnel côté AWS et Azure. Puis, configurez un basculement BGP actif-actif et vérifiez l'état de la connexion VPN.

Résolution

Remarque : Pour plus d'informations sur la procédure d'optimisation des performances, consultez la section WS Site-to-Site VPN, choisir les options adéquates pour optimiser les performances.

Prérequis :

Vérifiez que vous avez associé un routage inter-domaines (CIDR) sans classe Amazon Virtual Private Cloud (Amazon VPC) à une passerelle privée virtuelle ou à une passerelle de transit.
Assurez-vous que le CIDR Amazon VPC et le CIDR du réseau Azure ne se chevauchent pas.

Créer un réseau virtuel et une passerelle VPN côté Azure

Procédez comme suit :

Utilisez le portail Azure pour créer un réseau virtuel. Pour plus d'informations, consultez la page Créer un réseau virtuel Azure sur le site Web de Microsoft.
Créez une passerelle VPN avec une adresse IP publique. Pour plus d'informations, consultez la page Créer une passerelle VPN sur le site Web de Microsoft. Effectuez les opérations suivantes :
Dans Région, choisissez la région dans laquelle vous souhaitez déployer la passerelle VPN.
Dans Type de passerelle, choisissez VPN.
Dans Type de VPN, choisissez Basé sur le routage.
Dans SKU, choisissez le SKU qui répond à vos exigences en matière de charges de travail, de débits, de caractéristiques et de SLA.
Dans Réseau virtuel, sélectionnez le réseau virtuel associé à votre passerelle VPN (similaire à un VPC dans l'environnement AWS).
Dans Activer le mode actif-actif, choisissez Désactivé pour créer une nouvelle adresse IP publique qui sera utilisée comme adresse IP de passerelle client dans la console de gestion AWS.
Dans Configurer le protocole BGP, choisissez Activé.
Dans Adresse IP BGP Azure APIPA personnalisée, sélectionnez 169.254.21.2.
Remarque : L'ASN que vous utilisez pour la passerelle VPN doit être identique à l'ASN de la passerelle client dans la console de gestion AWS (65000).

Créer une passerelle client et une connexion AWS Site-to-Site VPN côté AWS

Procédez comme suit :

Créez une passerelle client.
Dans BGP ASN, vous pouvez ajouter la vôtre ou utiliser l'option par défaut (65000). Si vous choisissez la valeur par défaut, AWS fournit un numéro de système autonome (ASN) pour votre passerelle client.
Dans Adresse IP, saisissez l'adresse IP publique Azure que vous avez utilisée lorsque vous avez configuré la passerelle VPN sur le portail Azure. Pour plus d'informations, consultez l'étape 2 de la section Configuration d’Azure de cet article.
Créer une connexion AWS Site-to-Site VPN.
Pour la plage d'adresses CIDR IPv4 internes pour le tunnel 1 de votre VPN site à site, choisissez une adresse dans la plage d'adresses APIPA (Automatic Private IP Addressing) réservée par Azure. Les adresses APIPA sont comprises entre 169.254.21.0 et 169.254.22.255 pour les tunnels situés à l'intérieur de l'adresse CIDR IPv4.
Exemple d'adresse : 169.254.21.0/30
Exemple d'adresse IP du BGP (AWS) : 169.254.21.1
Exemple d'adresse IP du pair (Azure) : 169.254.21.2
Dans Type de passerelle cible, sélectionnez la passerelle privée virtuelle ou la passerelle de transit.
Dans Options de routage, choisissez Dynamique.
Téléchargez le fichier de configuration AWS.

Créer une passerelle réseau locale côté Azure

Procédez comme suit :

Utilisez le portail Azure pour créer une passerelle réseau locale. Pour plus d'informations, consultez la page Créer une passerelle réseau locale sur le site Web de Microsoft. Effectuez les opérations suivantes :
Dans Adresse IP, saisissez l'adresse IP publique du tunnel 1 que vous avez reçue lors de la création d’un VPN site à site. Cette dernière se trouve dans le fichier de configuration que vous avez téléchargé depuis la console de gestion AWS.
Dans Espace d’adressage, saisissez le bloc CIDR Amazon VPC.
Dans Numéro de système autonome (ASN), saisisse l'ASN AWS.
Dans Adresse IP du pair BGP, saisissez l'adresse IP du BPG AWS. Pour plus d'informations, consultez l'étape 2 de la section Configurer AWS de cet article.

Créez une connexion VPN site à site avec le BGP activé dans le portail Azure. Pour plus d'informations, consultez la page Créer des connexions VPN sur le site Web de Microsoft.
Remarque : Les algorithmes cryptographiques et la clé pré-partagée (PSK) sont les mêmes sur Azure et AWS.
Phase 1 (IKE) :

Encryption: AES56      Authentication: SHA256      DH Group: 14

Phase 2 (IPSEC) :

Encryption: AES256      Authentication: SHA256      DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
    Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

Configurer le basculement BGP actif/actif avec le VPN site à site entre AWS et Azure

Procédez comme suit :

Dans le portail Azure, créez une passerelle VPN.
Dans Mode actif-actif, choisissez Activé. Cela fournit deux adresses IP publiques. Pour plus d'informations, consultez la page Créer une passerelle VPN sur le site Web de Microsoft.
Ouvrez la console Amazon VPC.
Choisissez Passerelles client.
Saisissez les deux adresses IP publiques fournies sur le portail Azure à l'étape 1 pour créer deux passerelles client.
Dans ASN BGP, saisissez l'ASN que vous avez configuré dans le portail Azure.
Dans Type de routage, choisissez Dynamique.
Créez deux connexions VPN site à site qui se connectent soit à une passerelle privée virtuelle, soit à une passerelle de transit. Utilisez les plages d'adresses CIDR suivantes pour les plages d'adresses IP internes du tunnel 1 de chaque connexion VPN :
Dans VPN site à site 1, utilisez 169.254.21.0/30.
Dans VPN site à site 2, utilisez 169.254.22.0/30.
Remarque : Les premières adresses IP (21.1 et 22.1) de cette plage sont attribuées aux points de terminaison de VPN site à site. Assurez-vous de configurer correctement les deuxièmes adresses IP sur Azure (21.2 et 22.2).
Utilisez le portail Azure pour créer deux passerelles de réseau local Azure. Pour les adresses IP, utilisez les adresses IP publiques Tunnel 1 issues de vos tunnels AWS Site-to-Site VPN. Assurez-vous également que l'ASN correspond à la passerelle privée virtuelle ou à la passerelle de transit. Pour plus d'informations, consultez la page Créer une passerelle VPN sur le site Web de Microsoft.
Utilisez le portail Azure pour créer deux connexions VPN site à site Azure. Assurez-vous que chaque connexion utilise une passerelle VPN Azure qui pointe vers les passerelles de réseau local que vous avez créées à l'étape précédente.

Remarque : Pour réaliser l'ECMP sur une configuration active-active, vous devez activer la prise en charge du d’ECMP VPN sur la passerelle de transit.

Vérifier l'état de la connexion VPN

Après avoir établi votre configuration VPN site à site, vérifiez que l'état du tunnel VPN est ACTIVÉ.

Sur le portail Azure, vérifiez que l’état de la connexion VPN est Réussi. Puis, assurez-vous que l’état passe à Connecté lorsque vous établissez une connexion. Pour plus d'informations, consultez la section Vérifier la connexion VPN.

Puis, créez une instance Amazon Elastic Compute Cloud (Amazon EC2) dans votre Amazon VPC pour vérifier la connectivité entre AWS et Azure. Connectez-vous à l'adresse IP privée de la machine virtuelle (VM) Azure, puis confirmez que vous avez établi la connexion VPN site à site. Pour plus d'informations, consultez la page Créer une connexion VPN site à site dans le portail Azure du site Web de Microsoft.

Pour plus d'informations, consultez la section Tester une connexion AWS Site-to-Site VPN.

Remarque : Pour les connexions VPN de passerelle de transit, assurez-vous que les attachements de la passerelle de transit appropriés existent à la fois pour le VPC et pour le VPN site à site. Puis, activez la propagation du routage. Les routes CIDR du réseau virtuel Azure ne se propagent qu'une fois le protocole BPG établi.

Sujets: Networking & Content Delivery
Balises: AWS Virtual Private Network (VPN)
Langue: Français

AWS OFFICIELA mis à jour il y a 5 mois

Aucun commentaire

Contenus pertinents

Herbergement site web ecommerce
Faouziya
demandé il y a 3 ans
Reprise gestion AWS
Réponse acceptée
rePost-User-1006075
demandé il y a 3 ans
Problème avec mon instance Wordpress EC2 (crash)
rePost-User-5774152
demandé il y a 3 ans
Résillier tous les abonnements et les moniteurs
rePost-User-8704861
demandé il y a un an
Appels sortants à partir de salesforce / Amazon Connect
benoit paternotte
demandé il y a 2 ans
Comment puis-je configurer un Site-to-Site VPN basé sur le routage dynamique entre AWS et Google Cloud Platform ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je configurer un AWS Site-To-Site VPN basé sur le routage dynamique avec un routeur MikroTik ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment configurer un VPN statique géré et basé sur le routage entre AWS et IBM Cloud ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je configurer ma connexion VPN site à site pour privilégier le tunnel A au tunnel B ?
AWS OFFICIELA mis à jour il y a 5 mois