我想要使用中转网关在我的 Amazon Virtual Private Cloud(Amazon VPC)与我的虚拟专用网络(VPN)之间建立安全连接。如何将我的 VPN 从虚拟私有网关迁移到中转网关?
解决方法
按照以下步骤完成从虚拟私有网关到中转网关的 VPN 迁移。
**注意:**如果您在运行 AWS Command Line Interface(AWS CLI)命令时遇到错误,请确保您使用的是最新版本的 AWS CLI。
第 1 步:创建中转网关
按照创建中转网关中的步骤操作。
**注意:**确保选择 Auto accept shared attachments(自动接受共享挂载)以支持自动接受跨账户挂载。
要使用 AWS CLI 创建中转网关:
aws ec2 create-transit-gateway
第 2 步:将 VPC 挂载到中转网关
按照将 VPC 挂载到中转网关中的步骤操作。
您必须从每个可用区指定一个子网,以供中转网关用于路由流量。从每个可用区指定一个子网可使流量到达该可用区中每个子网中的资源。
**注意:**最佳做法是在每个可用区中为中转网关弹性网络接口创建一个单独的子网。
要使用 AWS CLI 将 VPC 挂载到中转网关:
aws ec2 create-transit-gateway-vpc-attachment
--transit-gateway-id tgw-14324bbc412a43243
--vpc-id vpc-2321314314
--subnet-ids "subnet-12312312" "subnet-41343432"
第 3 步:移除静态 VPN 路由(迁移到中转网关的静态 VPN 连接需要执行此操作)
按照步骤移除静态 VPN 路由。
要使用 AWS CLI 移除静态 VPN 路由,请执行以下操作:
aws ec2 delete-vpn-connection-route
--vpn-connection-id vpn-12345678901234567
--destination-cidr-block 10.0.0.0/8
第 4 步:将现有的站点到站点 VPN 迁移到中转网关
要将 VPN 目标从虚拟网关迁移到新的中转网关,请执行以下操作:
1. 打开 Amazon VPC 控制台。
2. 在导航窗格,选择 Site-to-Site VPN Connections(站点到站点 VPN 连接)。
3. 选择站点到站点 VPN 连接,选择 Actions(操作),然后选择 Modify VPN Connection(修改 VPN 连接)。
4. 对于 Target Type(目标类型),选择 Transit Gateway(中转网关)。
5. 从 target transit gateway ID(目标中转网关 ID)下拉列表中选择您的中转网关。
6. 选择 Save(保存)。
要使用 AWS CLI 将站点到站点 VPN 目标迁移到新的传输网关,请执行以下操作:
aws ec2 modify-vpn-connection \
--vpn-connection-id vpn-12345678901234567 \
----transit-gateway-id tgw-12345678910aa213
第 5 步:更新或创建 VPC 路由表
1. 按照步骤修改路由表或向路由表添加路由操作。
2. 对于现有路由,请将路由 Target(目标)从虚拟网关 ID 更改为新的虚拟网关 ID。
3. 如果不存在路由,则使用中转网关 ID 作为 Target(目标)来创建新路由。
**注意:**即使路由表启用了传播,也必须包含 VPC 静态路由。
要使用 AWS CLI 创建新的 VPC 路由,请执行以下操作:
aws ec2 create-route
--route-table-id rtb-4011223344aabb55c
--destination-cidr-block 10.0.0.0/8
--transit-gateway-id tgw-12345678910aa213
要使用 AWS CLI 修改现有路由,请执行以下操作:
aws ec2 replace-route
--route-table-id rtb-4011223344aabb55c
--destination-cidr-block 10.0.0.0/8
--transit-gateway-id tgw-12345678910aa213
第 6 步:更新中转网关路由表
按照步骤创建或传播中转网关路由表操作。
要使用 AWS CLI 创建中转网关路由,请执行以下操作:
aws ec2 create-transit-gateway-route \
--destination-cidr-block 10.0.0.0/8 \
--transit-gateway-route-table-id tgw-rtb-00abc11def22ghi33 \
--transit-gateway-attachment-id tgw-attach-123abc456def789gh
**注意:**迁移 VPN 目标会导致服务短暂中断,直到站点到站点 VPN 完成修改。
相关信息
中转网关设计最佳实践
从 Transit VPC 迁移到 AWS Transit Gateway