O blog da AWS

Configurando uma conexão VPN site a site entre a AWS e o Azure

Por Daniel Maldonado, Arquiteto de Soluções Sênior da AWS

 

Introdução

Uma VPN site a site cria uma ponte virtual que liga redes em diferentes lugares para conectá-las à Internet e manter uma comunicação segura e privada entre elas.

Existem vários clientes com uma arquitetura multinuvem que precisam transferir dados ou comunicar serviços entre o Azure e a AWS, ou simplesmente precisam habilitar a comunicação entre ambas as nuvens para um projeto específico. Para esse tipo de cenário, é altamente recomendável habilitar uma conexão VPN que nos permita criptografar a comunicação.

Este documento tem como objetivo mostrar como configurar uma conexão VPN site a site de 2 vias entre o Azure e a AWS, o que nos dá alta disponibilidade, pois, se tivermos um problema com uma das conexões, teremos outra conexão redundante.

O diagrama de configuração da conexão é:

 

 

O procedimento é o seguinte:

Azure
1. Configurar uma rede virtual
2. Configurar o gateway de sub-rede
3. Configurar um endereço IP público
4. Configurar o gateway de rede virtualAWS
5. Configurar uma Virtual Private Cloud (VPC)
6. Configurar uma sub-rede
7. Configurar o gateway da Internet (Opcional)
8. Configurar o gateway estático do cliente
9. Configurar o gateway privado virtual
10. Configure uma conexão VPN estática
11. Baixe o arquivo de configuração		 12. Configurar o gateway de rede local
13. Configurar uma conexãoAWS
14. Adicionar o Virtual Private Gateway à tabela de roteamento

Azure
15. Validar as 2 Conexões

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Configurar uma rede virtual

  • Em caráter de testes, criaremos o segmento de rede 10.0.0.0/16 no Azure.

 

2. Configurar o gateway de sub-rede

  • Vá para a opção “Subnet” na Rede Virtual e pressione “Gateway Subnet” para criá-la.

 

  • Especifique uma nova sub-rede com um CIDR diferente, neste caso “10.0.254.0/24”.

 

 

  • Confirme se o Gateway de sub-rede foi criado.

 

 

3. Configurando um endereço IP público

 

 

4. Configurar o gateway de rede virtual

 

 

5. Configurar uma Virtual Private Cloud (VPC)

  • O segmento de rede a ser criado na AWS é 192.168.0.0/16, preste atenção para NÃO usar o mesmo CIDR do Azure, para evitar overlap.

 

 

6. Configurar uma “Sub-rede”

 

 

7. Configurar o gateway da Internet (Opcional)

  • Esta etapa é recomendada se você quiser habilitar a saída da Internet para nossa VPC.

 

 

  • Adicione o gateway da Internet à VPC.

 

 

  • Vá para a tabela de roteamento da VPC para adicionar uma nova regra.

 

 

  • Especifique 0.0.0.0/0  em “Destino” e o Gateway da Internet como “Destino” na tabela de roteamento, indicando que o Gateway da Internet aceitou quaisquer solicitações de acesso de qualquer rede.

 

 

  • Observe o endereço IP público do Gateway de Rede Virtual do Azure

 

 

8. Configurar o gateway estático do cliente

  • Digite o endereço IP público que observamos no ponto anterior.

 

 

9. Criar gateway privado virtual

 

 

  • Adicionar o Virtual Private Gateway à VPC

 

 

10. Configurar uma conexão VPN estática

  • Adicione a sub-rede do Azure no campo “Prefixo IP estático”.

 

 

11. Baixe o arquivo de configuração

Selecione “Genérico” e anote os seguintes dados:

  • Túnel IPsec #1
    Chave pré-compartilhada
  • Endereços IP externos:
    Gateway Privado Virtual

 

 

12. Configurar o gateway de rede local

  • Para o endereço IP, insira o endereço IP identificado na etapa anterior (Virtual Private Gateway).
  • Em Espaço de endereço, insira o segmento de rede da VPC da AWS.

 

 

13. Configurar uma conexão a partir do gateway de rede virtual

 

 

  • Digite a “Chave Pré-compartilhada” que obtivemos na etapa 11.

 

 

  • Aguarde alguns minutos e confirme se a conexão está no status “Conectado”.

 

 

14. Adicionar o Virtual Private Gateway à tabela de roteamento

 

 

14.1. Configure uma segunda conexão para ter redundância:

  • Para criar a segunda conexão, usaremos as informações do arquivo de configuração da segunda seção:

Túnel IPsec #2
Chave pré-compartilhada

Endereços IP externos:
Gateway Privado Virtual

 

  • Configure o segundo Gateway de Rede Local (Repetir Etapa no. 12).
    • Para o endereço IP, insira o endereço IP identificado na etapa anterior (Virtual Private Gateway)
    • Em “Espaço de endereço”, insira o segmento de rede da VPC da AWS

 

  • Adicionar conexão a partir do gateway de rede virtual (Repetir a etapa no. 13).
    • Especifique o “Gateway de rede local” que acabamos de criar
    • Insira a chave pré-compartilhada

 

Ao definir 2 Conexões, a comunicação continua mesmo se uma delas expirar.

 

15. Validar todas as 2 conexões

  • Faça login em um servidor no Azure e em um servidor na AWS e faça o ping de um servidor para o outro.
AWS AZURE

 

Conclusão

Neste post, descrevemos como habilitar a comunicação entre o Azure e a AWS de forma segura, através de uma conexão VPN local a site de 2 vias, o que nos permite ter alta disponibilidade no caso de perder uma das conexões, este serviço é altamente recomendado para as empresas que estão considerando ter um multi-ou simplesmente exigir a transferência de informações de uma nuvem para outra de forma segura e estável.

 

Este artigo foi traduzido do Blog da AWS em Espanhol.

 

Sobre o autor

Daniel Maldonado é um arquiteto de soluções sênior da AWS focado em ajudar os clientes a executar cargas de trabalho da Microsoft na AWS. Daniel tem mais de 8 anos de experiência trabalhando com tecnologias Microsoft e gosta de ajudar os clientes a obter os benefícios de executar suas cargas de trabalho na nuvem.