针对大量Site to Site VPN连接进行架构设计

Question

【以下的问题经过翻译处理】 客户希望将他们的服务从本地迁移到AWS。他们的服务需要一个Site to Site VPN连接到客户的物理位置。客户有数百个外部客户，每个外部客户可能有1-50个人愿。这导致需要建立大量的站点到站点VPN连接。

我一直在思考如何架构这个系统，我倾向于利用TGW +为每个客户设置子网级别隔离的Site to Site VPN连接。这可能是设置这个系统最简单的方法。另一种选择是在中转VPC中设置自管理的EC2实例，并安装开源VPN。我怀疑这种方法比前者更具有成本效益，但管理起来更困难，且仍然需要解决重叠的CIDR地址范围等问题，但我不确定是否有更好的解决方案。

我很好奇是否有其他人遇到过类似的情况，并且是否有任何见解。上述设计是否存在任何限制？

Answer

【以下的回答经过翻译处理】 如果不需要很大的带宽，大多数客户往往会自己搭建管理VPN解决方案并将其连接到AWS Transit Gateway（AWS Transit Gateway Connect功能在这方面非常方便）。自己运行VPN解决方案很快地变得具有成本效益，并且允许您在NAT、路由策略等方面更加灵活。您需要与客户讨论比较一下两种方案的成本，例如1）100个由AWS管理的VPN vs 2）强大的EC2实例运行的解决方案（例如Strong Swan或AWS Marketplace上的设备，如Cisco CSR），并看看他们是否有意愿自己管理。

针对大量Site to Site VPN连接进行架构设计

관련 콘텐츠