Come posso configurare una connessione VPN sito-sito con routing dinamico tra AWS e Azure?

Breve descrizione

Per configurare il routing dinamico tra AWS e Azure, crea e configura i gateway del cliente, i gateway VPN, i gateway di rete locale e le configurazioni dei tunnel sia sul lato AWS che sul lato Azure. Quindi configura un failover BGP attivo-attivo e verifica lo stato della connessione VPN.

Risoluzione

Nota: per informazioni sull'ottimizzazione delle prestazioni, consulta AWS Site-to-Site VPN, choosing the right options to optimize performance (VPN sito-sito AWS: come scegliere le opzioni giuste per ottimizzare le prestazioni).

Prerequisiti:

• Verifica di avere un routing interdominio senza classi (CIDR) di Amazon Virtual Private Cloud (Amazon VPC) associato a un gateway privato virtuale o a un gateway di transito.
• Assicurati che il CIDR di Amazon VPC e il CIDR della rete di Azure non si sovrappongano.

Crea una rete virtuale e un gateway VPN sul lato Azure

Completa i seguenti passaggi:

1. Utilizza il portale di Azure per creare una rete virtuale. Per ulteriori informazioni, consulta Creare una rete virtuale di Azure sul sito web Microsoft.
2. Crea un gateway VPN con un indirizzo IP pubblico. Per ulteriori informazioni, consulta Creare un gateway VPN sul sito web Microsoft. Esegui queste azioni:
   Per Region (Regione), scegli la regione in cui desideri distribuire il gateway VPN.
   Per Gateway type (Tipo di gateway), scegli VPN.
   Per VPN Type (Tipo di VPN), scegli Route-based (Basato su route).
   Per SKU, scegli lo SKU che soddisfa i requisiti in termini di carichi di lavoro, produttività, funzionalità e SLA.
   Per Virtual Network (Rete virtuale), seleziona la rete virtuale associata al gateway VPN (simile a un VPC nell'ambiente AWS).
   Per Enable active-active mode (Abilita modalità attiva-attiva), scegli Disabled (Disabilitata) per creare un nuovo indirizzo IP pubblico da utilizzare come indirizzo IP del gateway del cliente nella Console di gestione AWS.
   Per Configure BGP (Configura BGP), scegli Enabled (Abilitato).
   Per Custom Azure APIPA BGP IP address (Indirizzo IP BGP APIPA Azure personalizzato), seleziona 169.254.21.2.
   Nota: l'ASN utilizzato per il gateway VPN deve essere lo stesso dell'ASN del gateway del cliente nella Console di gestione AWS (65000).

Crea un gateway del cliente e una connessione VPN sito-sito AWS sul lato AWS

Completa i seguenti passaggi:

1. Crea un gateway del cliente.
   Per BGP ASN (ASN BGP), puoi aggiungerne uno tuo o utilizzare l'opzione predefinita (65000). Se scegli l'impostazione predefinita, AWS fornisce un Autonomous System Number (ASN) per il gateway del cliente.
   Per IP address (Indirizzo IP), inserisci l'indirizzo IP pubblico di Azure corrispondente alla configurazione del gateway VPN nel portale di Azure. Per ulteriori informazioni, consulta il passaggio 2 della sezione Configurazione di Azure in questo articolo.
2. Crea una connessione VNPN sito-sito AWS.
   Per l'intervallo Inside IPv4 CIDR for tunnel 1 (CIDR IPv4 interno per tunnel 1) per la VPN sito-sito, scegli un indirizzo dell'intervallo di indirizzi APIPA (Automatic Private IP Addressing) riservato ad Azure. Gli indirizzi APIPA vanno da 169.254.21.0 a 169.254.22.255 per i tunnel all'interno dell'indirizzo CIDR IPv4.
   Esempio di indirizzo: 169.254.21.0/30
   Esempio di indirizzo IP BGP (AWS): 169.254.21.1
   Esempio di indirizzo IP peer (Azure): 169.254.21.2
   Per Tipo di gateway di destinazione, seleziona il gateway privato virtuale o il gateway di transito.
   Per Opzioni di routing, scegli Dinamico.
3. Scarica il file di configurazione di AWS.

Crea un gateway di rete locale sul lato Azure

Completa i seguenti passaggi:

1. Utilizza il portale di Azure per creare un gateway di rete locale. Per ulteriori informazioni, consulta Creare un gateway di rete locale sul sito web Microsoft. Esegui queste azioni:
   Per Indirizzo IP, inserisci l'indirizzo IP pubblico del tunnel 1 che hai ricevuto quando hai creato una VPN sito-sito. Puoi trovarlo nella sezione 3 del file di configurazione che hai scaricato dalla Console di gestione AWS.
   Per Address space (Spazio indirizzo), inserisci il blocco CIDR di Amazon VPC.
   Per Numero di sistema autonomo (ASN), inserisci l'ASN di AWS.
   Per BGP peer IP address (Indirizzo IP peer BGP), inserisci l'indirizzo IP BGP di AWS. Per ulteriori informazioni, consulta il passaggio 2 della sezione Configura AWS in questo articolo.
2. Crea una connessione VPN sito-sito con BGP attivato nel portale di Azure. Per ulteriori informazioni, consulta Creare connessioni VPN sul sito web Microsoft.
   Nota: Gli algoritmi crittografici e la chiave precondivisa (PSK) sono gli stessi in Azure e AWS.
   Fase 1 (IKE):

   Encryption: AES56      Authentication: SHA256      DH Group: 14

   Fase 2 (IPSEC):

   Encryption: AES256      Authentication: SHA256      DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
       Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

Configura il failover BGP attivo-attivo con una VPN sito-sito tra AWS e Azure

Completa i seguenti passaggi:

1. Nel portale di Azure, crea un gateway VPN.
   Per Active-active mode (Modalità attiva-attiva), scegli Enabled (Abilitata). Questo fornisce due indirizzi IP pubblici. Per ulteriori informazioni, consulta Creare un gateway VPN sul sito web Microsoft.
2. Apri la console Amazon VPC.
3. Scegli Gateway del cliente.
4. Inserisci i due indirizzi IP pubblici forniti dal portale di Azure nel passaggio 1 per creare due gateway del cliente.
   Per BGP ASN (ASN BGP), inserisci l'ASN che hai configurato nel portale di Azure.
   Per Tipo di routing, scegli Dinamico.
5. Crea due connessioni VPN sito-sito che si connettono a un gateway privato virtuale o a un gateway di transito. Utilizza i seguenti intervalli CIDR per gli intervalli di indirizzi IP interni del tunnel nel Tunnel 1 di ogni connessione VPN:
   Per Site-to-Site VPN 1 (VPN sito-sito 1), utilizza 169.254.21.0/30.
   Per Site-to-Site VPN 2 (VPN sito-sito 2), utilizza 169.254.22.0/30.
   Nota: i primi indirizzi IP (21.1 e 22.1) nell'intervallo vengono assegnati agli endpoint della VPN sito-sito. Assicurati di configurare correttamente i secondi indirizzi IP in Azure (21.2 e 22.2).
6. Utilizza il portale di Azure per creare due gateway di rete locale di Azure. Per gli indirizzi IP, utilizza gli indirizzi IP pubblici Tunnel 1 dei tunnel VPN sito-sito AWS. Inoltre, assicurati che l'ASN corrisponda al gateway privato virtuale o al gateway di transito. Per ulteriori informazioni, consulta Creare un gateway VPN sul sito web Microsoft.
7. Utilizza il portale di Azure per creare due connessioni VPN sito-sito di Azure. Assicurati che ogni connessione abbia un gateway VPN di Azure che punti verso i gateway di rete locale che hai creato nel passaggio precedente.

Nota: per ottenere l'ECMP nella configurazione attiva-attiva, devi attivare il supporto ECMP della VPN nel gateway di transito.

Verifica lo stato della connessione VPN

Dopo aver definito la configurazione della VPN sito-sito, verifica che lo stato del tunnel della VPN sia ATTIVO.

Nel portale di Azure, verifica che la connessione VPN abbia lo stato Succeeded (Riuscita). Quindi assicurati che lo stato diventi Connected (Connesso) quando stabilisci una connessione riuscita. Per ulteriori informazioni, consulta Verificare la connessione VPN.

Quindi crea un'istanza Amazon Elastic Compute Cloud (Amazon EC2) in Amazon VPC per verificare la connettività tra AWS e Azure. Connettiti all'indirizzo IP privato della macchina virtuale (VM) di Azure, quindi verifica di aver stabilito la connessione VPN sito-sito. Per altre informazioni, consulta Creare una connessione VPN sito-sito nel portale di Azure sul sito web Microsoft.

Per ulteriori informazioni, consulta Test di una connessione VPN sito-sito AWS.

Nota: per le connessioni VPN con gateway di transito, assicurati che siano presenti i collegamenti del gateway di transito appropriati sia per il VPC che per la VPN sito-sito. Quindi attiva la propagazione della route. Le route CIDR della rete virtuale di Azure si propagano solo dopo aver stabilito il BGP.