阿里云和AWS间的VPC互连

阿里云

阿里云上VPC间VPC互连都可以通过高速通道或VPN网关实现,各自优缺点如下。

方案 描述 优点 限制
高速通道 通过高速通道路由器接口连接两个VPC 同地域VPC互连免费、大带宽、即开即用,配置立即生效 跨地域VPC互连费用相比VPN网关高一些
VPN网关 通过基于Internet加密的IPsec-VPN隧道实现VPC互连 低成本、安全、即开即用,配置立即生效 网络延迟和可用性取决于 Internet

高速通道

高速通道(Express Connect)是一款基于 IPVPN 的便捷高效的网络服务,用于在云上的不同网络环境间实现高速、稳定、安全的私网通信,包括跨地域/跨用户的 VPC 内网互通、专线接入等场景。

相同region下的VPC互连

由于相同region下的VPC互连免费,因此选择使用高速通道。

高速通道

  • 创建路由器接口

    选择同时创建两端,则自动创建2个路由器接口(发起端和接收端)


  • 配置路由

    分别在发起端和接收端的VPC路由表上添加路由条目,下一条类型选择路由器接口(专有网络方向)并选择对端的VPC


VPN网关

跨region的VPC互连

跨region的VPC间互连仍然可通过高速通道,但由于需要另外收费,且费用相比VPN网关高,因此选择使用VPN网关。

VPN网关

  • 创建VPN网关

    分别在两个VPC上创建VPN网关

VPN网关
VPN网关

  • 创建VPN用户网关

    分别在两个VPC上创建VPN用户网关,其中IP地址指向对端VPN网关的IP

VPN网关
VPN网关

  • 创建IPSec连接

    分别在两个VPC上创建IPSec连接,并指定本端网段和对端网段

VPN网关
VPN网关

  • 配置路由

    分别在两个VPC上的路由表中添加路由条目



AWS

VPC Peering

VPC对等连接是两个VPC之间的网络连接,通过此连接,可以使用私有IPv4或IPv6地址在两个 VPC之间路由流量。这两个VPC中的实例可以彼此通信,就像它们在同一网络中一样。您可以在自己的VPC之间创建VPC对等连接,或者在自己的VPC与其他AWS账户中的VPC之间创建连接。VPC可位于不同区域内。

VPC 对等连接
AWS 使用 VPC 的现有基础设施来创建 VPC 对等连接;该连接既不是网关也不是 VPN 连接,并且不依赖某一单独的物理硬件。没有单点通信故障也没有带宽瓶颈。

相同region下的VPC间互连

  • 创建2个VPC
  • 创建VPC对等连接

    刚创建完成的对等连接正常状态为Pending-acceptance,需要在接受方接受请求后才会变成active状态。

  • 更新路由表
    要将流量发送到对等VPC中的实例,必须向路由表中添加与该实例所在子网相关联的路由。
    此路由指向VPC对等连接中另一个VPC的CIDR块(或CIDR块的子网)。


跨region/AWS账户下的VPC间互连

跨region或不同AWS下的VPC间互连只需在创建对等连接时选择指定区域或选择另一个账户,并填写接受方的VPC_ID,创建完成后将会自动在接受方创建相同的对等连接,只需在接受方接受请求即可。其他配置方法与同一region下的相同。


阿里云与AWS之间的VPC互联

阿里云与AWS之间的VPC互连可通过阿里云的”VPN网关”与AWS的”VPN连接”走VPN进行对接,也可以通过阿里云的”高速通道专线接入”与AWS的”Direct Connect”通过物理专线进行对接。

VPN

AWS上配置VPN连接

  • 创建客户网关
  • 创建虚拟专用网关
  • 将虚拟专用网关与VPC关联
  • 创建VPN连接
  • 下载VPN连接配置,并根据配置在阿里云上创建VPN网关

    下载下来的是VPN设备上相关的VPN配置,主要从中获取AWS上分配的VPN连接的IP地址预共享密钥SA生存周期,其他配置默认与阿里云一致。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
crypto isakmp policy 201
encryption aes
authentication pre-share
group 2
lifetime 28800
hash sha
tunnel-group 13.250.249.194 type ipsec-l2l
tunnel-group 13.250.249.194 ipsec-attributes
pre-shared-key GH_Jr4dIkuwAcD3GULOPlimkqBeZwOvN
tunnel-group 52.220.23.174 type ipsec-l2l
tunnel-group 52.220.23.174 ipsec-attributes
pre-shared-key 1Hm255efOyYBij9NPz5hCPfe56AFmF.j
crypto map <amzn_vpn_map> 1 set peer 13.250.249.194 52.220.23.174
crypto map <amzn_vpn_map> 1 set security-association lifetime seconds 3600

这边有个坑就是AWS上的VPN连接提供了2个IP,但是在阿里云上不能创建2个IPSec连接到这2个IP,否则无法互通,但只连接其中1个IP就没问题

  • 配置路由

阿里云上配置VPN网关

  • 创建VPN网关

    可参考以上创建VPN网关的步骤,这里可直接用之前创建的VPN网关,不需再新建

  • 创建用户网关

    这里需要将对端IP指向AWS上的VPN IP

  • 创建IPsec连接


  • 配置路由

专线

坚持原创技术分享,您的支持将鼓励我继续创作!
0%