如何在 AWS 與 Azure 之間設定具有動態路由的 Site-to-Site VPN 連線？

簡短說明

若要在 AWS 與 Azure 之間建立動態路由，請在 AWS 與 Azure 兩端分別建立並設定客戶閘道、VPN 閘道、本機網路閘道，以及通道組態。接著，設定主動-主動 BGP 容錯移轉，並驗證 VPN 連線狀態。

解決方法

注意： 有關如何最佳化效能的資訊，請參閱 AWS Site-to-Site VPN，選擇合適選項以最佳化效能。

先決條件：

• 確認您已建立與虛擬私有閘道或傳輸閘道關聯的 Amazon Virtual Private Cloud (Amazon VPC) 無類別域間路由 (CIDR)。
• 確保 Amazon VPC CIDR 與 Azure 網路 CIDR 未重疊。

在 Azure 端建立虛擬網路與 VPN 閘道

請完成下列步驟：

1. 使用 Azure 入口網站建立虛擬網路。如需更多資訊，請參閱 Microsoft 網站上的建立 Azure 虛擬網路。
2. 建立具有公用 IP 位址的 VPN 閘道。如需更多資訊，請參閱 Microsoft 網站上的建立 VPN 閘道。請執行下列動作：
   在 Region (區域) 中，選擇您要部署 VPN 閘道的區域。
   在 Gateway type (閘道類型) 中，選擇 VPN。
   在 VPN Type (VPN 類型) 中，選擇 Route-based (以路由為基礎)。
   在 SKU 中，選擇符合您對工作負載、輸送量、功能與 SLA 需求的 SKU。
   在 Virtual Network (虛擬網路) 中，選取與您的 VPN 閘道關聯的虛擬網路 (類似於 AWS 環境中的 VPC)。
   在 Enable active-active mode (啟用主動-主動模式) 中，選擇 Disabled (停用)，以建立新的公用 IP 位址，此位址會在 AWS 管理主控台中作為客戶閘道 IP 位址使用。
   在 Configure BGP (設定 BGP) 中，選擇 Enabled (啟用)。
   在 Custom Azure APIPA BGP IP address (自訂 Azure APIPA BGP IP 位址) 中，選取 169.254.21.2。
   注意： 您為 VPN 閘道使用的 ASN 必須與 AWS 管理主控台中的客戶閘道 ASN (65000) 相同。

在 AWS 端建立客戶閘道與 AWS Site-to-Site VPN 連線

請完成下列步驟：

1. 建立客戶閘道。
   在 BGP ASN (BGP ASN) 中，您可以新增自己的 ASN，或使用預設選項 (65000)。如果您選擇預設選項，則 AWS 會為您的客戶閘道提供一個自治系統編號 (ASN)。
   在 IP address (IP 位址) 中，輸入您在 Azure 入口網站中設定 VPN 閘道時所建立的 Azure 公用 IP 位址。如需更多資訊，請參閱本文中Azure 組態一節的步驟 2。
2. 建立 AWS Site-to-Site VPN 連線。
   在 Site-to-Site VPN 的 Inside IPv4 CIDR for tunnel 1 (通道 1 的內部 IPv4 CIDR) 範圍中，選擇 Azure 保留的自動私有 IP 位址 (APIPA) 範圍內的位址。APIPA 位址範圍為 169.254.21.0 至 169.254.22.255，供通道內的 IPv4 CIDR 位址使用。
   位址範例： 169.254.21.0/30
   BGP IP 位址 (AWS) 範例： 169.254.21.1
   對等 IP 位址 (Azure) 範例： 169.254.21.2
   在 Target gateway type (目標閘道類型) 中，選取虛擬私有閘道或傳輸閘道。
   在 Routing options (路由選項) 中，選擇 Dynamic (動態)。
3. 下載 AWS 組態檔。

在 Azure 端建立本機網路閘道

請完成下列步驟：

1. 使用 Azure 入口網站建立本機網路閘道。如需更多資訊，請參閱 Microsoft 網站上的建立本機網路閘道。請執行下列動作：
   在 IP Address (IP 位址) 中，輸入您建立 Site-to-Site VPN 時所收到的通道 1 公用 IP 位址。您可在從 AWS 管理主控台下載的組態檔中查看此資訊。
   在 Address space (位址空間) 中，輸入 Amazon VPC CIDR 區塊。
   在 Autonomous System Number (ASN) (自治系統編號 (ASN)) 中，輸入 AWS ASN。
   在 BGP peer IP address (BGP 對等 IP 位址) 中，輸入 AWS BGP IP 位址。如需更多資訊，請參閱本文中設定 AWS 一節的步驟 2。
2. 在 Azure 入口網站中建立啟用 BGP 的 Site-to-Site VPN 連線。如需更多資訊，請參閱 Microsoft 網站上的建立 VPN 連線。
   **注意：**Azure 與 AWS 上的加密演算法與預先共用金鑰 (PSK) 必須相同。
   階段 1 (IKE)

   Encryption: AES56      Authentication: SHA256      DH Group: 14

   階段 2 (IPSEC)

   Encryption: AES256      Authentication: SHA256      DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
       Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

設定 AWS 與 Azure 之間的 Site-to-Site VPN 主動-主動 BGP 容錯移轉

請完成下列步驟：

1. 在 Azure 入口網站中建立 VPN 閘道。
   在 Active-active mode (主動-主動模式) 中，選擇 Enabled (啟用)。此操作會提供兩個公用 IP 位址。如需更多資訊，請參閱 Microsoft 網站上的建立 VPN 閘道。
2. 開啟 Amazon VPC console (Amazon VPC 主控台)。
3. 選擇 Customer gateways (客戶閘道)。
4. 輸入步驟 1 的 Azure 入口網站中提供的兩個公用 IP 位址，建立兩個客戶閘道。
   在 BGP ASN (BGP ASN) 中，輸入您在 Azure 入口網站中設定的 ASN。
   在 Routing type (路由類型) 中，選擇 Dynamic (動態)。
5. 建立兩個 Site-to-Site VPN 連線，連線至虛擬私有閘道或傳輸閘道。在每個 VPN 連線的 Tunnel inside IP address ranges (通道內部 IP 位址範圍) 中，對 Tunnel 1 (通道 1) 使用下列 CIDR 範圍：
   在 Site-to-Site VPN 1 中，使用 169.254.21.0/30。
   在 Site-to-Site VPN 2 中，使用 169.254.22.0/30。
   **注意：**此範圍的第一個 IP 位址 (21.1 和 22.1) 會指派給 Site-to-Site VPN 端點。請確保在 Azure 上正確設定第二個 IP 位址 (21.2 和 22.2)。
6. 使用 Azure 入口網站建立兩個 Azure 本機網路閘道。在 IP 位址中，使用 AWS Site-to-Site VPN 通道 Tunnel 1 (通道 1) 的公用 IP 位址。同時，確保 ASN 與虛擬私有閘道或傳輸閘道相符。如需更多資訊，請參閱 Microsoft 網站上的建立 VPN 閘道。
7. 使用 Azure 入口網站建立兩個 Azure Site-to-Site VPN 連線。確保每個連線都有 Azure VPN 閘道，其指向您在上一個步驟中建立的本機網路閘道。

**注意：**若要在主動-主動設定中實現 ECMP，必須在傳輸閘道上啟用 VPN ECMP 支援。

確認 VPN 連線狀態

建立 Site-to-Site VPN 組態後，請確認 VPN 通道狀態為 UP (啟動)。

在 Azure 入口網站中，確認 VPN 連線狀態為 Succeeded (成功)。成功建立連線後，確認狀態變更為 Connected (已連線)。如需更多資訊，請參閱確認 VPN 連線。

接著，在 Amazon VPC 中建立 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，以確認 AWS 與 Azure 之間的連線。連線至 Azure 虛擬機器 (VM) 私有 IP 位址，確認您已建立 Site-to-Site VPN 連線。如需更多資訊，請參閱 Microsoft 網站上的在 Azure 入口網站建立 Site-to-Site VPN 連線。

如需更多資訊，請參閱測試 AWS Site-to-Site VPN 連線。

**注意：**對於 Transit Gateway VPN 連線，請確保 VPC 與 Site-to-Site VPN 均有正確的傳輸閘道連接。然後啟用路由傳播。只有在建立 BGP 後，Azure 虛擬網路 CIDR 路由才會傳播。