Come posso abilitare la comunicazione tra più VPC da un'unica connessione VPN collegata al mio gateway di transito senza consentire l'accesso tra VPC diversi?

5 minuti di lettura
0

Dispongo di due cloud privati virtuali (VPC). Gli utenti on-premise devono accedere a entrambi i VPC con un'unica connessione VPN. Desidero stabilire la connettività di rete tra i VPC e la rete on-premise tramite un'unica connessione VPN. Come posso farlo?

Breve descrizione

Se disponi di due VPC, ad esempio un ambiente di produzione e uno di sviluppo, con una singola connessione VPN, attieniti alla procedura seguente per stabilire la connettività di rete tra le risorse in più VPC in modo che:

  • Gli utenti on-premise possano accedere alle risorse da tutti i VPC attraverso la VPN
  • Le risorse VPC non possano accedere alle risorse negli altri VPC

Risoluzione

Crea un gateway di transito, quindi collega i tuoi VPC e una VPN sito-sito

  1. Nella console Cloud privato virtuale Amazon (Amazon VPC), crea un gateway di transito.
    Nota: disattiva l'impostazione Default association route table (Tabella di instradamento con associazione predefinita) durante la creazione del gateway di transito.
  2. Collega i tuoi VPC al gateway di transito.
  3. Crea una connessione VPN sito-sito e collegala al gateway di transito.
    Nota: per propagare automaticamente gli instradamenti VPN alla tabella di instradamento del gateway di transito, seleziona Dynamic (Dinamico) per Routing option (Opzione di instradamento). Questa opzione richiede Border Gateway Protocol.

Crea una tabella di instradamento del gateway di transito e associala ai VPC

  1. Apri la console Amazon VPC.
  2. Nel riquadro di navigazione, seleziona Transit gateways (Gateway di transito).
  3. Verifica che l'impostazione Default association route table (Tabella di instradamento con associazione predefinita) per il gateway di transito sia impostata su Disable (Disattiva).
    Nota: se l'opzione Default associate route table (Tabella di instradamento con associazione predefinita) è impostata su Enable (Attiva), vai al passaggio 9.
  4. Seleziona Transit gateway route tables (Tabelle di instradamento del gateway di transito).
  5. Seleziona Create transit gateway route table (Crea tabella di instradamento del gateway di transito).
    Per Name tag (Tag del nome), immetti Route Table A (Tabella di instradamento A).
    Per Transit gateway ID (ID gateway di transito), seleziona l'ID del gateway di transito.
    Quindi, seleziona Create transit gateway route table (Crea tabella di instradamento del gateway di transito).
  6. Seleziona la tabella di instradamento Acreata nel passaggio precedente o la tabella di instradamento predefinita del gateway di transito.
  7. Seleziona Associations (Associazioni), quindi Create association (Crea associazione).
  8. For Choose attachment to associate (Scegli collegamento da associare), seleziona gli ID associazione per i VPC. Quindi, seleziona Create association (Crea associazione). Ripeti questo passaggio finché tutti i VPC non vengono visualizzati in Association (Associazione).
  9. Elimina l'associazione VPN dalla tabella di instradamento del gateway di transito predefinita.

Crea una seconda tabella di instradamento del gateway di transito e associala alla connessione VPN

  1. Nella console Amazon VPC, seleziona Transit gateway route tables (Tabelle di instradamento del gateway di transito).
  2. Seleziona Create transit gateway route table (Crea tabella di instradamento del gateway di transito).
    Per Name tag (Tag del nome), immetti Route Table B (Tabella di instradamento B).
    Per Transit gateway ID (ID gateway di transito), seleziona l'ID del gateway di transito.
    Quindi, seleziona Create transit gateway route table (Crea tabella di instradamento del gateway di transito).
  3. Scegli la tabella di instradamento B creata nel passaggio precedente
  4. Seleziona Associations (Associazioni), quindi Create association (Crea associazione).
  5. Associa la connessione VPN creata con la tabella di instradamento B.

Propaga gli instradamenti da VPC e VPN a entrambe le tabelle di instradamento

  1. Nella console Amazon VPC, seleziona Transit gateway route tables (Tabelle di instradamento del gateway di transito).
  2. Seleziona Route Table A (Tabella di instradamento A).
  3. Scegli Actions (Operazioni), quindi Create propagation (Crea propagazione).
  4. Per Choose attachment to propagate (Scegli collegamento da propagare), seleziona la propagazione per la VPN. Se la propagazione è abilitata per tutti i collegamenti, verifica che l'associazione della connessione VPN non sia abilitata in questa tabella di instradamento.
    Importante: se hai creato una connessione VPN con instradamento statico anziché dinamico, devi creare un instradamento statico per la rete on-premise alla VPN nella tabella di instradamento A. Per le connessioni VPN statiche basate su policy, è consentita solo una coppia di associazioni di sicurezza. Consolida il CIDR on-premise e quello dei VPC in un'unica associazione di sicurezza. Per ulteriori informazioni, consulta Come posso risolvere gli errori di connessione tra gli endpoint AWS VPN e i VPN basati su policy?
  5. Scegli Create propagation (Crea propagazione).
  6. Dalle tabelle di instradamento del gateway di transito, seleziona Route table B (Tabella di instradamento B).
  7. Scegli Actions (Operazioni), quindi Create propagation (Crea propagazione).
  8. Per Choose attachment to propagate (Scegli collegamento da propagare), seleziona la propagazione per tutti i VPC. Quindi, seleziona Create propagation (Crea propagazione).

Configura la tabella di instradamento associata al VPC e alla sottorete di collegamento

  1. Nella console Amazon VPC, seleziona Route tables (Tabelle di instradamento).
  2. Scegli la tabella di instradamento collegata alla sottorete di collegamento.
  3. Scegli la scheda Routes (Instradamenti), quindi Edit routes (Modifica instradamenti).
  4. Scegli la scheda Add route (Aggiungi instradamento).
    Per Destination (Destinazione), seleziona la sottorete della rete on-premise.
    Per Target (Destinazione), seleziona il gateway di transito.
  5. Scegli Save routes (Salva instradamenti).

Nota: se nel tuo caso è richiesto un accesso più restrittivo tra i VPC, crea una tabella di instradamento separata per ogni VPC e configura gli instradamenti. Ricorda:

  • L'instradamento nella tabella di instradamento del gateway di transito si basa sull'associazione tra il collegamento del gateway di transito e la tabella di instradamento del gateway di transito.
  • Puoi configurare gli instradamenti verso qualsiasi destinazione nel collegamento del gateway di transito alla VPN in qualsiasi tabella di instradamento del gateway di transito. Il collegamento del gateway di transito alla VPN non deve essere associato a quella tabella di instradamento specifica.

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa