在多云策略日益成为企业IT架构的常态之下,构建一个既安全又高可用的跨云连接成为了许多企业面临的挑战。本文将探讨如何利用Azure的双活VPN功能,实现与AWS云之间的高可用连接,确保业务连续性和数据的安全传输。
双活VPN是一种高可用性VPN连接方式,它通过在两个VPN设备上同时建立VPN隧道,以实现故障转移和负载均衡。这种方式可以显著提高跨云连接的稳定性和可靠性。
一、构建步骤概览
-
规划地址空间:首先,需要规划Azure和AWS中的VPC(虚拟私有云)和子网,确保它们之间的地址空间不会发生冲突。
-
设置Azure VPN网关:在Azure中创建VPN网关,选择双活模式,这将创建两个独立的公共IP地址,用于两个VPN隧道。
-
配置AWS VPN连接:在AWS管理控制台中创建VPN连接,指定Azure VPN网关的两个公共IP地址作为目标。
-
创建VPN隧道:在Azure和AWS中分别配置VPN隧道,设置适当的加密和隧道协议参数,确保两端兼容。
-
路由和测试:配置适当的路由策略,以确保流量可以正确地在两个云环境之间流动。完成配置后,进行测试以验证连接的稳定性和性能。
通过Azure的双活VPN与AWS云之间建立高可用连接,不仅可以提高跨云服务的稳定性和可靠性,还能确保数据的安全传输。虽然这需要一定的技术投入和成本考量,但对于追求高可用性和业务连续性的企业来说,这是一项值得投资的基础设施建设。
二、系统架构参考
三、系统构建实施
具体实施来说,需要分别在Azure和AWS建立如下服务组件
1、Azure
- 一个虚拟网络
- 一个已启用主动-主动模式和 BGP 的虚拟网络网关
- 四个本地网络网关
- 四个站点到站点连接
2、AWS
- 一个虚拟私有云 (VPC)
- 一个虚拟专用网关
- 两个客户网关
- 两个站点到站点连接,各自具有两个隧道(总共四个隧道)
AWS 上的站点到站点连接有两个隧道,各自具有自己的外部 IP 地址和内部 IPv4 CIDR(用于 BGP APIPA)。 主动-被动 VPN 网关仅支持一个自定义 BGP APIPA。 需要在 Azure VPN 网关上启用主动-主动模式,才能连接到多个 AWS 隧道。
在 AWS 一侧,你会为两个 Azure VPN 网关实例中的每个实例创建客户网关和站点到站点连接(总共四个传出隧道)。
在 Azure 一侧,需要创建四个本地网关和四个连接来接收这四个 AWS 隧道。 详细操作步骤可
参考:混合云搭建-S2S VPN 连接Azure和AWS云动手实践-CSDN博客 ,在这个教程中实现了上面图片的上半部分,大家只需在创建VPN 网关的时候,注意选择 Enable active-active mode(如下图)并重复增加图中的下半部分即可。
同时增加BGP 第二个自定义 Azure APIPA BGP IP 的配置,如下图:
具体两侧的配置,参考下表
四、系统连通性测试
1、在 Azure 上检查连接状态
-
打开虚拟网络网关的页面,导航到“连接”页面 。
-
验证所有 4 个连接是否都显示为“已连接”。
2、在 Azure 上检查 BGP 对等状态
-
打开虚拟网络网关的页面,导航到“BGP 对等机”页面 。
-
在“BGP 对等机”表中,验证具有指定的对等地址的所有连接是否都显示为“已连接”,并且正在交换路由 。
3、在AWS上分别检查2个VPN Tunnel 连接状态
如上图:Status 应当全部为“up”