Blog de Amazon Web Services (AWS)
Configurando una conexión VPN Sitio a Sitio entre AWS y Azure
Por Daniel Maldonado Ibarra
Introducción
Una VPN sitio a sitio crea un puente virtual que une redes en diferentes lugares para conectarlas a internet y mantener una comunicación segura y privada entre ellas.
Existen múltiples clientes con una arquitectura multi-nube que necesitan transferir datos o comunicar servicios entre Azure y AWS, o simplemente requieren habilitar la comunicación entre ambas nubes para un proyecto especifico, para este tipo de escenarios es altamente recomendable habilitar una conexión VPN que nos permita cifrar la comunicación.
El presente documento tiene como objetivo mostrarles como configurar una conexión VPN Sitio a Sitio, de 2 vías entre Azure y AWS, la cual nos brinda alta disponibilidad, ya que, si llegamos a tener un problema con una de las conexiones, tendremos otra conexión redundante.
El diagrama de configuración de la conexión es:
El procedimiento es el siguiente:
Azure 1. Configure una Virtual Network 2. Configure el Gateway Subnet 3. Configure una dirección IP Publica 4. Configure el Virtual Network Gateway AWS
|
Azure
AWS
Azure |
- Configure una Virtual Network
- Para fines de este post vamos a crear el segmento de red 10.0.0.0/16 en Azure.
- Configure el Gateway Subnet
- Vaya a la opción “Subnet” de la pantalla de Virtual Network y presione “Gateway Subnet” para crearla.
- Especifique una nueva subnet con un CIDR diferente, en este caso 10.0.254.0/24.
- Confirme que el Gateway Subnet fue creado.
3. Configure una dirección IP Publica
4. Configure el Virtual Network Gateway
5. Configure una Virtual Private Cloud (VPC)
El segmento de red a crear en AWS es 168.0.0/16, poner atención en NO utilizar el mismo CIDR de Azure, para evitar que se sobrepongan.
6. Configure una “Subnet”
7. Configure el Internet Gateway (Opcional)
- Este paso es recomendado si desea habilitar la salida a internet a nuestra VPC.
- Agregue el Internet Gateway a la VPC
- Vaya a la tabla de ruteo de la VPC para agregar una nueva regla.
- Especifique 0.0.0/0 en “Destination” y el Internet Gateway como “Target” en la tabla de ruteo, esto indica que el Internet Gateway aceptara cualquier solicitud de acceso de cualquier red.
- Tome nota de la dirección IP publica del Virtual Network Gateway de Azure
8. Configure el Customer Gateway estático
- Ingrese la dirección IP publica que anotamos en el punto anterior.
9. Crear Virtual Private Gateway
- Agregue el Virtual Private Gateway a la VPC
10. Configure una conexión VPN estática
- Agregue la subred de Azure en el campo “Static IP Prefix”.
11. Descargue el archivo de configuración
Seleccione ”Generic” y anote los siguientes datos:
- IPSec Tunnel # 1
Pre-Shared Key - Outside IP Addresses:
Virtual Private Gateway
12. Configure el Local Network Gateway
-
- Para la dirección IP, ponga la dirección IP identificada en el paso anterior (Virtual Private Gateway).
- En Address Space ingrese el segmento de red del VPC de AWS.
13. Configure una Conexion desde el Virtual Network Gateway
- Ingrese la “Pre-Shared Key” que obtuvimos en el paso 11.
- Espere unos minutos y confirme que la conexión se encuentra en estatus “Connected”.
14. Agregue el Virtual Private Gateway a la tabla de ruteo
14.1 Configure una segunda Conexión para tener redundancia:
- Para crear la segunda Conexión vamos a utilizar la información del archivo de configuración de la segunda sección:
IPSec Tunnel # 2
Pre-Shared Key
Outside IP Addresses:
Virtual Private Gateway
- Configure el segundo Local Network Gateway (Repetir paso No. 12).
- Para la dirección IP, ponga la dirección IP identificada en el paso anterior (Virtual Private Gateway)
- En “Address Space” ingrese el segmento de red del VPC de AWS
- Agregar Conexión desde el Virtual Network Gateway (Repetir paso No. 13).
- Especifique el “Local network Gateway” que acabamos de crear
- Ingrese el Pre-Shared Key
Estableciendo 2 Conexiones, la comunicación continua aun si una de ellas expira.
15. Validar las 2 conexiones
- Ingrese a un servidor en Azure y un servidor en AWS y haga ping de un servidor hacia el otro.
AWS |
AZURE |
Conclusión
En este post describimos como habilitar la comunicación entre Azure y AWS de una manera segura, mediante una conexión VPN Sitio-a-Sitio de 2 vías, la cual nos permite tener alta disponibilidad en caso de que perdamos una de las conexiones, este servicio es altamente recomendado para aquellas empresas que estén considerando tener una arquitectura multi-nube o que simplemente requieran transferir información de una nube a otra de una manera segura y estable.
Sobre el autor
Daniel Maldonado is an AWS Senior Solution Architect focused on helping customers to run Microsoft Workloads in AWS. Daniel has 8+ years of experience working with Microsoft technologies and enjoys helping customers gain the benefits of running their workloads in the cloud.