我如何将自己的 VPN 从虚拟私有网关迁移到中转网关?

上次更新时间:2019 年 5 月 23 日

我想要使用中转网关在 Amazon Virtual Private Cloud (Amazon VPC) 与 VPN 之间提供安全连接。我如何将自己的 VPN 从虚拟私有网关迁移到中转网关?

简短描述

要将 VPN 从虚拟私有网关迁移到中转网关:

1.    创建一个中转网关

2.    将 VPC 附加到中转网关

3.    将 VPN 附加到中转网关

4.    将流量从虚拟网关故障转移到中转网关

解决方法

您可以终止中转网关的 VPN。然后,您可以将流量从虚拟网关故障转移到中转网关。中转网关上附加的任一 VPC 可以通过单个 VPN 连接访问。附加到中转网关的所有 VPC 如果通过允许通过路由和安全组,可以相互通信。

注:与 AWS Transit Gateway 的单一 VPN 连接必须仍然具有高达 1.25 Gbps 的吞吐量。如果您需要更快的带宽,您必须终止与中转网关的多个 VPN 连接,然后在它们之间分布您的本地子网。

在开始之前,请注意以下事项:

  • 您可以使用 TGW 迁移工具自动化下面的步骤 1 和 2。
  • 要在不进行任何更改的情况下将现有虚拟网关迁移到中转网关,您可以使用 ModifyVpnConnection API 调用。由于这可能会导致停机,考虑在计划的维护时段进行更改。

步骤 1: 创建中转网关

配置中转网关时,务必选择自动接受共享附件以启用跨账户附件的自动接受。

您还可以使用 AWS 命令行界面 (CLI) 创建中转网关:

aws ec2 create-transit-gateway

步骤 2:将 VPC 附加到中转网关

您必须从每个可用区指定一个子网,以供中转网关用于路由流量。从每个可用区指定一个子网可使流量到达该可用区中每个子网中的资源。

要使用 CLI 将 VPC 连接到中转网关:

aws ec2 create-transit-gateway-vpc-attachment
--transit-gateway-id tgw-14324bbc412a43243
--vpc-id vpc-2321314314
--subnet-ids subnet-12312312,subnet-41343432

步骤 3:将 VPN 附加到中转网关

创建中转网关附件时:

  • 对于客户网关,选择现有,然后从下拉列表中选择您的客户网关 ID。
  • 对于隧道选项,您可以选择指定 CIDR 的自定义隧道和 VPN 隧道的预共享密钥。否则,将随机生成隧道选项。

要使用 AWS CLI 创建 VPN 附件,请使用 create-vpn-connection 命令。

创建 VPN 附件后,请下载配置文件并将配置应用到您的客户网关。您可以启用互联网协议安全 (IPsec) 和 边界网关协议 (BGP) 会话,但确保通过 VPN 将流量路由到虚拟网关。

AWS Transit Gateway 路由域包含所附加 VPC 和 VPN 的路由。要查看路由表:

  • 在控制台中的导航窗格中选择中转网关路由表并选择路由表。
  • 在 AWS CLI 中,运行以下命令:
aws ec2 search-transit-gateway-routes --transit-gateway-route-table-id tgw-rtb-xxxxxxxxxxxxxxxxxx --filters Name=route-search.subnet-of-match,Values="0.0.0.0/0"

步骤 4:将流量从虚拟网关故障转移到中转网关

1.    打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台

2.    在导航窗格中,选择路由表

3.    对于包含虚拟网关条目的每个 VPC 路由表:

  • 从列表中选择 VPC 路由表。
  • 选择路由选项卡并选择编辑路由
  • 为您的本地网络添加一个不太特定的路由,以指向中转网关。例如,如果当前通过虚拟私有网关访问您的本地网络的路由为 10.10.0.0/24,则使用 10.10.0.0/16 CIDR 数据块。此配置可确保虚拟私有网关的路由优先级,直到您准备好将流量重定向到中转网关。
  • 要将流量转入中转网关,请配置与您的私有网关连接的客户网关,以停止通过 VPN 隧道发布本地 CIDR 的广告。或者,您可以禁用您的 BGP 会话。
  • 禁用 VPC 路由的路由传播

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?