Comment configurer un VPN statique géré et basé sur le routage entre AWS et IBM Cloud ?

Lecture de 4 minute(s)
0

Je souhaite configurer une connexion AWS Site-to-Site VPN statique entre AWS et IBM Cloud.

Résolution

La configuration d’une connexion Site-to-Site VPN entre AWS et IBM Cloud nécessite les opérations suivantes :

  • Côté IBM, vous devez configurer un cloud privé virtuel (VPC), des sous-réseaux, des tables de routage, des groupes de sécurité et des règles de liste de contrôle d'accès (ACL).
  • Côté AWS, vous devez configurer un VPC, des sous-réseaux et un routage.

Configuration d’AWS

  1. Ouvrez la console Amazon VPC, puis créez une passerelle client. Comme vous ne connaissez pas encore l'adresse IP de la passerelle VPN IBM, vous pouvez saisir les informations de votre choix. Vous pourrez spécifier l'adresse IP de la passerelle client et le numéro de système autonome (ASN) corrects ultérieurement.

    Remarque : vous devez impérativement utiliser AWS pour créer la passerelle client. La console Amazon VPC vous permet en effet de modifier votre passerelle client après l'avoir configurée, ce qui est impossible avec IBM Cloud.

  2. Ouvrez la console Amazon VPC, créez une passerelle réseau privé virtuel, puis attachez-la à votre Amazon VPC.

  3. Créez une connexion VPN. Pour la Passerelle réseau privé virtuel, choisissez le nom de la passerelle réseau privé virtuel que vous avez créée. Pour l'ID de la passerelle client, choisissez l'ID de la passerelle client que vous avez créée. Pour les Options de routage, choisissez Statique. (Facultatif) Sous Options avancées pour le tunnel 1, activez les algorithmes de chiffrement avancés.

  4. Téléchargez le fichier de configuration Site-to-Site VPN générique. Utilisez les informations de ce fichier pour configurer des tunnels VPN dans IBM Cloud.

Configuration d'IBM Cloud

  1. Ouvrez IBM Cloud et suivez les instructions du site Web d'IBM pour créer une stratégie IKE. Saisissez un nom pour votre stratégie, puis entrez les informations suivantes :

    Région : Washington DC
    Version IKE : 2
    Authentification : sha1
    Chiffrement : aes128
    Groupe Diffie-Hellman: 2
    Durée de vie de la clé : 28 800

  2. Créez une stratégie IPsec. Saisissez un nom pour votre stratégie, puis entrez les informations suivantes :

    Région : Washington DC
    Version IKE : 2
    Authentification : sha1
    Perfect Forward Secrecy : activé
    Groupe Diffie-Hellman: 2
    Durée de vie de la clé : 3 600

  3. Créez une connexion Site-to-Site VPN dans IBM Cloud. Entrez les détails des stratégies IKE et IPsec que vous avez créées. Pour créer la connexion VPN, vous avez besoin de l'adresse IP de la passerelle homologue et des clés pré-partagées d'AWS. Consultez le fichier de configuration que vous avez téléchargé depuis AWS pour prendre connaissance de ces informations avant de poursuivre la configuration de votre VPN.

  4. Une fois votre Site-to-Site VPN créé dans IBM, vous pouvez consulter l'adresse IP publique de Tunnel1. Prenez note de cette adresse IP pour pouvoir l’utiliser dans les étapes suivantes.

Configuration de la passerelle VPN sur la console Amazon VPC

  1. Ouvrez la console Amazon VPC, puis créez une passerelle client. Pour l'adresse IP, entrez l'adresse IP du VPN créé dans IBM (et non pas l'adresse IP secondaire).
  2. Accédez à votre connexion Site-to-Site VPN. Choisissez Actions, puis Modifier la connexion VPN. Mettez à jour le type de cible pour la passerelle client. Choisissez la nouvelle passerelle client qui utilise l'adresse IP du VPN créé dans IBM.

Remarque : AWS nécessite plusieurs minutes pour modifier et mettre à jour la connexion Site-to-Site VPN.

État du tunnel sur UP et test de la connexion

  1. Une fois la connexion Site-to-Site VPN modifiée par AWS, vérifiez que le tunnel indique l’état UP (actif). Vous devez effectuer cette vérification à la fois du côté AWS et du côté IBM. Vérifiez également que le routage est correct. Lorsque le tunnel est activé, les deux clouds interdisent la circulation du trafic par défaut.
  2. Dans IBM Cloud, configurez les groupes de sécurité et les ACL pour permettre la circulation du trafic entre IBM et AWS.
  3. Dans la console Amazon VPC, configurez les ACL réseau et les groupes de sécurité associés à votre connexion. La circulation du trafic sera ainsi possible entre AWS et IBM.
  4. Effectuez un test de connexion bidirectionnel pour vérifier la connexion par tunnel entre IBM et AWS. Veillez à effectuer un test ping d'AWS à IBM, puis d'IBM à AWS.
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 9 mois