Come posso configurare Direct Connect e un failover VPN con Transit Gateway?

5 minuti di lettura
0

Desidero utilizzare AWS Transit Gateway per configurare AWS Direct Connect e il failover VPN.

Risoluzione

1.    Crea un gateway di transito.

2.    Collega il tuo Amazon Virtual Private Cloud (Amazon VPC) al tuo gateway di transito.

3.    Crea una VPN sito-sito AWS e collegala al tuo gateway di transito.
Nota: Se utilizzi una VPN statica, assicurati che le rotte statiche definite utilizzino un CIDR meno specifico rispetto alle rotte propagate da BGP. In base all'ordine di valutazione del percorso per le rotte che utilizzano lo stesso CIDR, Transit Gateway preferisce le rotte statiche anziché le rotte propagate da BGP.

4.    Collega il tuo gateway Direct Connect al tuo gateway di transito. Inoltre, devi aggiungere l'intervallo CIDR di Amazon VPC alle interazioni con prefisso consentite dal gateway Direct Connect per ogni allegato Amazon VPC. Dopo aver aggiunto i prefissi, questi vengono pubblicizzati sul lato remoto tramite un'interfaccia virtuale di transito.
Nota: Su un'interfaccia virtuale di transito, puoi pubblicizzare un massimo di 200 prefissi per gateway di transito da AWS a locali. Per pubblicizzare più di 200 prefissi CIDR, riepiloga i percorsi in modo che siano uguali o inferiori a 200 prefissi CIDR in base alle quote di servizio. Dopo aver riepilogato i percorsi, aggiungili alla sezione di interazione con i prefissi consentiti. Per ulteriori informazioni, vedi le quote di AWS Direct Connect.

5.    (Facoltativo) i CIDR VPC pubblicizzati dalle tabelle di route associate a AWS VPN Transit Gateway sono più specifici dei CIDR dell'interfaccia virtuale di transito pubblicizzati. Questo potrebbe far sì che il gateway del cliente dia priorità alla VPN rispetto alla connessione AWS Direct Connect, causando un potenziale routing asimmetrico. Per risolvere questo problema, esegui seguenti passaggi:
Nota: Quando si creano rotte sintetizzate per i CIDR di Amazon VPC nel campo "Direct Connect Gateway allowed prefix", AWS VPN a on-premises pubblicizza i CIDR di Amazon VPC.

  1. Aggiungi i percorsi riepilogati, associati al gateway Direct Connect, all'allegato VPN associato alla tabella dei percorsi di Transit Gateway. Per l'allegato di destinazione nella tabella dei percorsi, seleziona un Amazon VPC con un CIDR. Il CIDR deve far parte del percorso riepilogativo verso la tabella di routing di Transit Gateway con l’allegato VPN sito-sito. Il percorso riepilogato e i percorsi specifici devono essere entrambi pubblicizzati tramite la VPN sito-sito.
  2. Nel gateway clienti VPN, filtra i percorsi che pubblicizzano prefissi CIDR più specifici rispetto alla VPN sito-sito. Il gateway del cliente deve avere gli stessi percorsi riepilogati su entrambe le connessioni. Il gateway preferisce la connessione AWS Direct Connect.

6.    Crea tabelle di percorsi di Transit Gateway, quindi attiva la propagazione del percorso per tutti gli allegati:
Nota: Pubblicizza lo stesso set di prefissi nelle sessioni BGP nelle interfacce virtuali di transito Direct Connect e nella VPN sito-sito.

  1. Apri la console Amazon VPC.
  2. Dal pannello di navigazione, scegli Transit Gateways.
  3. Verifica che l'impostazione della tabella delle rotte di associazione predefinita per il tuo gateway di transito sia impostata su False. Se l'impostazione è True, procedi al passaggio successivo.
  4. Scegli Tabelle di rotta del gateway di transito.
  5. Scegli Crea la tabella delle rotte del gateway di transito.
  6. InName tag, inserisci Tabella di routing A.
  7. InTransit Gateway ID, scegli Transit Gateway ID del tuo gateway di transito.
  8. Scegli Crea la tabella delle rotte del gateway di transito.
  9. Seleziona Tabella di routing A (o la tabella dei percorsi predefinita del tuo gateway di transito), quindi scegli Associazioni.
  10. Quindi, scegli Crea associazione.
  11. In Scegli l'allegato da associare, scegli gli ID di associazione per i tuoi Amazon VPC, quindi scegli Crea associazione. Ripeti questo passaggio fino a quando il gateway Direct Connect, la VPN e gli Amazon VPC non vengono visualizzati in Associazione.
  12. Scegli Propagazione tabella di routing A.
  13. Scegli Propagazione. In Scegli l'allegato da propagare, seleziona il tuo gateway Direct Connect, VPN e Amazon VPC.

7.    Configura la tabella dei percorsi associata al tuo Amazon VPC e alla sottorete degli allegati:

  1. Apri la console Amazon VPC.
  2. Dal pannello di navigazione, scegli tabelle di rotta.
  3. Seleziona la tabella del percorso collegata alla sottorete degli allegati.
  4. Scegli la scheda Percorsi, quindi scegli Modifica percorsi.
  5. Scegli la scheda Aggiungi percorso.
  6. In Destinazione, selezionare la sottorete della rete locale.
  7. Per Target, seleziona il tuo gateway di transito.
  8. Scegli Salva percorsi.

Nota: Per una maggiore visibilità sugli eventi di aggiornamento del routing, è consigliabile attivare Transit Gateway Network Manager. Per ulteriori informazioni, consulta Routing update events.

8.    Per testare la ridondanza dell'ambiente, utilizza il test di failover di Direct Connect per disattivare la connessione Direct Connect. Per ulteriori informazioni, consulta Testare la resilienza di AWS Direct Connect con Resiliency Toolkit — Failover Testing.

Informazioni correlate

Connettività ibrida con AWS Transit Gateway

AWS UFFICIALE
AWS UFFICIALEAggiornata 8 mesi fa