O blog da AWS
Configurando uma conexão VPN site a site entre a AWS e o Azure
Por Daniel Maldonado, Arquiteto de Soluções Sênior da AWS
Introdução
Uma VPN site a site cria uma ponte virtual que liga redes em diferentes lugares para conectá-las à Internet e manter uma comunicação segura e privada entre elas.
Existem vários clientes com uma arquitetura multinuvem que precisam transferir dados ou comunicar serviços entre o Azure e a AWS, ou simplesmente precisam habilitar a comunicação entre ambas as nuvens para um projeto específico. Para esse tipo de cenário, é altamente recomendável habilitar uma conexão VPN que nos permita criptografar a comunicação.
Este documento tem como objetivo mostrar como configurar uma conexão VPN site a site de 2 vias entre o Azure e a AWS, o que nos dá alta disponibilidade, pois, se tivermos um problema com uma das conexões, teremos outra conexão redundante.
O diagrama de configuração da conexão é:
O procedimento é o seguinte:
Azure 1. Configurar uma rede virtual 2. Configurar o gateway de sub-rede 3. Configurar um endereço IP público 4. Configurar o gateway de rede virtualAWS 5. Configurar uma Virtual Private Cloud (VPC) 6. Configurar uma sub-rede 7. Configurar o gateway da Internet (Opcional) 8. Configurar o gateway estático do cliente 9. Configurar o gateway privado virtual 10. Configure uma conexão VPN estática 11. Baixe o arquivo de configuração |
12. Configurar o gateway de rede local 13. Configurar uma conexãoAWS 14. Adicionar o Virtual Private Gateway à tabela de roteamento Azure
|
1. Configurar uma rede virtual
- Em caráter de testes, criaremos o segmento de rede 10.0.0.0/16 no Azure.
2. Configurar o gateway de sub-rede
- Vá para a opção “Subnet” na Rede Virtual e pressione “Gateway Subnet” para criá-la.
- Especifique uma nova sub-rede com um CIDR diferente, neste caso “10.0.254.0/24”.
- Confirme se o Gateway de sub-rede foi criado.
3. Configurando um endereço IP público
4. Configurar o gateway de rede virtual
5. Configurar uma Virtual Private Cloud (VPC)
- O segmento de rede a ser criado na AWS é 192.168.0.0/16, preste atenção para NÃO usar o mesmo CIDR do Azure, para evitar overlap.
6. Configurar uma “Sub-rede”
7. Configurar o gateway da Internet (Opcional)
- Esta etapa é recomendada se você quiser habilitar a saída da Internet para nossa VPC.
- Adicione o gateway da Internet à VPC.
- Vá para a tabela de roteamento da VPC para adicionar uma nova regra.
- Especifique 0.0.0.0/0 em “Destino” e o Gateway da Internet como “Destino” na tabela de roteamento, indicando que o Gateway da Internet aceitou quaisquer solicitações de acesso de qualquer rede.
- Observe o endereço IP público do Gateway de Rede Virtual do Azure
8. Configurar o gateway estático do cliente
- Digite o endereço IP público que observamos no ponto anterior.
9. Criar gateway privado virtual
- Adicionar o Virtual Private Gateway à VPC
10. Configurar uma conexão VPN estática
- Adicione a sub-rede do Azure no campo “Prefixo IP estático”.
11. Baixe o arquivo de configuração
Selecione “Genérico” e anote os seguintes dados:
- Túnel IPsec #1
Chave pré-compartilhada - Endereços IP externos:
Gateway Privado Virtual
12. Configurar o gateway de rede local
- Para o endereço IP, insira o endereço IP identificado na etapa anterior (Virtual Private Gateway).
- Em Espaço de endereço, insira o segmento de rede da VPC da AWS.
13. Configurar uma conexão a partir do gateway de rede virtual
- Digite a “Chave Pré-compartilhada” que obtivemos na etapa 11.
- Aguarde alguns minutos e confirme se a conexão está no status “Conectado”.
14. Adicionar o Virtual Private Gateway à tabela de roteamento
14.1. Configure uma segunda conexão para ter redundância:
- Para criar a segunda conexão, usaremos as informações do arquivo de configuração da segunda seção:
Túnel IPsec #2
Chave pré-compartilhada
Endereços IP externos:
Gateway Privado Virtual
- Configure o segundo Gateway de Rede Local (Repetir Etapa no. 12).
- Para o endereço IP, insira o endereço IP identificado na etapa anterior (Virtual Private Gateway)
- Em “Espaço de endereço”, insira o segmento de rede da VPC da AWS
- Adicionar conexão a partir do gateway de rede virtual (Repetir a etapa no. 13).
- Especifique o “Gateway de rede local” que acabamos de criar
- Insira a chave pré-compartilhada
Ao definir 2 Conexões, a comunicação continua mesmo se uma delas expirar.
15. Validar todas as 2 conexões
- Faça login em um servidor no Azure e em um servidor na AWS e faça o ping de um servidor para o outro.
AWS | AZURE |
Conclusão
Neste post, descrevemos como habilitar a comunicação entre o Azure e a AWS de forma segura, através de uma conexão VPN local a site de 2 vias, o que nos permite ter alta disponibilidade no caso de perder uma das conexões, este serviço é altamente recomendado para as empresas que estão considerando ter um multi-ou simplesmente exigir a transferência de informações de uma nuvem para outra de forma segura e estável.
Este artigo foi traduzido do Blog da AWS em Espanhol.
Sobre o autor
Daniel Maldonado é um arquiteto de soluções sênior da AWS focado em ajudar os clientes a executar cargas de trabalho da Microsoft na AWS. Daniel tem mais de 8 anos de experiência trabalhando com tecnologias Microsoft e gosta de ajudar os clientes a obter os benefícios de executar suas cargas de trabalho na nuvem.