Condividi tramite

Come connettere AWS e Azure usando un gateway VPN abilitato per BGP

Questo articolo illustra la configurazione di una connessione abilitata per BGP tra Azure e Amazon Web Services (AWS). Si userà un gateway VPN di Azure con BGP e attivo-attivo abilitati e un gateway privato virtuale AWS con due connessioni da sito a sito.

Architettura

In questa configurazione vengono create le risorse seguenti:

Azure

  • Una rete virtuale
  • Un gateway di rete virtuale con active-active e BGP abilitati
  • Quattro porte di rete locale
  • Quattro connessioni da sito a sito

AWS

  • Un cloud privato virtuale (VPC)
  • Un gateway privato virtuale
  • Due gateway cliente
  • Due connessioni da sito a sito, ognuna con due tunnel (totale di quattro tunnel)

Una connessione da sito a sito in AWS ha due tunnel, ognuno con il proprio indirizzo IP esterno e all'interno del CIDR IPv4 (usato per L'API BGP). Un gateway VPN attivo-passivo supporta solo un'API BGP personalizzata. È necessario abilitare active-active nel gateway VPN di Azure per connettersi a più tunnel AWS.

Sul lato AWS si creano un gateway cliente e una connessione da sito a sito per ognuna delle due istanze del gateway VPN di Azure (totale di quattro tunnel in uscita). In Azure è necessario creare quattro gateway di rete locali e quattro connessioni per ricevere questi quattro tunnel AWS.

Diagramma che mostra l'architettura per questa configurazione

Scelta degli indirizzi APIPA BGP

Puoi utilizzare i seguenti valori per la configurazione APIPA BGP per tutto il tutorial.

Tunnel Indirizzo IP BGP di Azure APIPA personalizzato di Azure Indirizzo IP del peer BGP AWS AWS Inside IPv4 CIDR
Tunnel AWS 1 verso istanza di Azure 0 169.254.21.2 169.254.21.1 169.254.21.0/30
Tunnel AWS 2 verso istanza di Azure 0 169.254.22.2 169.254.22.1 169.254.22.0/30
Tunnel AWS 1 verso istanza di Azure 1 169.254.21.6 169.254.21.5 169.254.21.4/30
Tunnel AWS 2 verso istanza di Azure 1 169.254.22.6 169.254.22.5 169.254.22.4/30

È anche possibile configurare indirizzi APIPA personalizzati. AWS richiede /30 Inside IPv4 CIDR nell'intervallo APIPA di 169.254.0.0/16 per ogni tunnel. Questo CIDR deve essere incluso anche nell'intervallo APIPA riservato di Azure per VPN, compreso tra 169.254.21.0 e 169.254.22.255. AWS usa il primo indirizzo IP di /30 all'interno di CIDR e Azure usa il secondo. Ciò significa che è necessario riservare spazio per due indirizzi IP in AWS /30 CIDR.

Ad esempio, se si imposta AWS Inside IPv4 CIDR su 169.254.21.0/30, AWS usa l'indirizzo IP BGP 169.254.21.1 e Azure usa l'indirizzo IP 169.254.21.2.

Importante

  • Gli indirizzi APIPA non devono sovrapporsi tra i dispositivi VPN locali e tutti i gateway VPN di Azure connessi.
  • Se si sceglie di configurare più indirizzi peer BGP APIPA nel gateway VPN, è necessario configurare anche tutti gli oggetti Connection con l'indirizzo IP corrispondente desiderato. In caso contrario, tutte le connessioni usano il primo indirizzo IP APIPA nell'elenco, indipendentemente dal numero di indirizzi IP presenti.

Prerequisiti

È necessario avere sia un account Azure che un account AWS con una sottoscrizione attiva. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

Parte 1: Creare un gateway VPN active-active in Azure

Creare una rete virtuale

Creare una rete virtuale. Per i passaggi, fare riferimento all'Esercitazione da sito a sito.

Per questo esercizio vengono usati i valori di esempio seguenti:

  • Sottoscrizione: se si dispone di più sottoscrizioni, verificare di usare quella corretta.
  • Gruppo di risorse: TestRG1
  • Nome: VNet1
  • Località: Stati Uniti orientali
  • Spazio indirizzi IPv4: 10.1.0.0/16
  • Nome subnet: FrontEnd
  • Intervallo di indirizzi subnet: 10.1.0.0/24

Creare un gateway VPN attivo-attivo con BGP

In questa sezione viene creato un gateway VPN active-active. Puoi consultare il Tutorial tra siti per i diversi passaggi.

Per questo esercizio vengono usati i valori di esempio seguenti:

  • Nome: VNet1GW

  • Area: Stati Uniti orientali

  • Tipo di gateway: VPN

  • Tipo VPN: Basato sul percorso

  • SKU: VpnGw2AZ

  • Generazione: generazione 2

  • Rete virtuale: VNet1

  • Intervallo di indirizzi subnet del gateway: 10.1.1.0/24

  • Indirizzo IP pubblico: Crea nuovo

  • Nome indirizzo IP pubblico: VNet1GWpip

  • Zona di disponibilità: con ridondanza della zona

  • Abilitare la modalità attiva-attiva: Attiva

  • Secondo indirizzo IP pubblico: Crea nuovo

  • Nome indirizzo IP pubblico 2: VNet1GWpip2

  • Zona di disponibilità: con ridondanza della zona

  • Valori BGP: quando si configura BGP, prestare attenzione alle impostazioni seguenti:

    • Selezionare Abilitato per Configura BGP per visualizzare la sezione di configurazione BGP.

    • Inserisci un ASN (numero di sistema autonomo). Questo ASN deve essere diverso dall'ASN usato da AWS.

      • Esempio: 65000

    • Aggiungere due indirizzi all'indirizzo IP BGP APIPA personalizzato di Azure. Includere gli indirizzi IP per AWS Tunnel 1 a Istanza di Azure 0 e AWS Tunnel 2 a Istanza di Azure 0 dalla configurazione APIPA scelta. Il secondo input verrà visualizzato solo dopo aver aggiunto il primo indirizzo IP BGP APIPA.

      • Esempio: 169.254.21.2, 169.254.22.2

    • Aggiungere due indirizzi in Secondo indirizzo IP BGP APIPA Azure personalizzato. Includere gli indirizzi IP per Tunnel AWS 1 verso Istanza di Azure 1 e Tunnel AWS 2 verso istanza di Azure 1 dalla configurazione APIPA scelta. Il secondo input verrà visualizzato solo dopo aver aggiunto il primo indirizzo IP BGP APIPA.

      • Esempio: 169.254.21.6, 169.254.22.6

Selezionare Rivedi e crea per eseguire la convalida. Una volta superata la convalida, selezionare Crea per distribuire il gateway VPN. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato. È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway.

Per visualizzare gli indirizzi IP pubblici assegnati al gateway, passare al gateway di rete virtuale nel portale e passare a Impostazioni -> Proprietà.

Parte 2: Connettersi al gateway VPN da AWS

In questa sezione ci si connette al gateway VPN di Azure da AWS. Per istruzioni aggiornate, vedere sempre la documentazione ufficiale di AWS.

Creare un VPC

Creare un VPC usando i valori seguenti e la documentazione di AWS più recente.

  • Nome: VPC1
  • Blocco CIDR: 10.2.0.0/16

Assicurarsi che il blocco CIDR non si sovrapponga alla rete virtuale creata in Azure.

Creare un gateway privato virtuale

Creare un gateway privato virtuale usando i valori seguenti e la documentazione di AWS più recente.

  • Nome: AzureGW
  • ASN: ASN predefinito di Amazon (64512)
  • VPC: collegato a VPC1

Se si sceglie di usare un ASN personalizzato, assicurarsi che sia diverso dall'ASN usato in Azure.

Abilitare la propagazione della route

Abilitare la propagazione della route nel gateway privato virtuale usando la documentazione di AWS più recente.

Creare gateway cliente

Creare due gateway cliente usando i valori seguenti e la documentazione più recente di AWS.

Impostazioni del gateway del cliente 1:

  • Nome: ToAzureInstance0
  • Routing: dinamico
  • ASN BGP: 65000 (asn per il gateway VPN di Azure)
  • Indirizzo IP: il primo indirizzo IP pubblico del gateway VPN Azure

Impostazioni del gateway cliente 2:

  • Nome: ToAzureInstance1
  • Routing: dinamico
  • ASN BGP: 65000 (asn per il gateway VPN di Azure)
  • Indirizzo IP: il secondo indirizzo IP pubblico del gateway VPN di Azure

È possibile individuare l'indirizzo IP pubblico e il secondo indirizzo IP pubblico in Azure nella sezione Configurazione del gateway di rete virtuale.

Creare connessioni VPN da sito a sito

Creare due connessioni VPN da sito a sito utilizzando i valori seguenti e la documentazione AWS più recente.

Impostazioni di connessione da sito a sito 1:

  • Nome: ToAzureInstance0
  • Tipo di gateway di destinazione: gateway privato virtuale
  • Gateway privato virtuale: AzureGW
  • Gateway cliente: esistente
  • Gateway cliente: ToAzureInstance0
  • Opzioni di Routing: Dinamico (Richiede BGP)
  • CIDR di rete IPv4 locale: 0.0.0.0/0
  • Tunnel Inside Ip Version: IPv4
  • CIDR IPv4 interno per tunnel 1: 169.254.21.0/30
  • Chiave precondivisa per Tunnel 1: scegliere una chiave sicura
  • CIDR IPv4 interno per tunnel 2: 169.254.22.0/30
  • Chiave pre-condivisa per Tunnel 2: scegliere una chiave sicura
  • Azione di avvio: Avvia

Impostazioni di connessione da sito a sito 2:

  • Nome: ToAzureInstance1
  • Tipo di gateway di destinazione: gateway privato virtuale
  • Virtual Private Gateway: AzureGW
  • Gateway del cliente: esistente
  • Gateway del cliente: ToAzureInstance1
  • Opzioni di routing: dinamico (richiede BGP)
  • CIDR di rete IPv4 locale: 0.0.0.0/0
  • Tunnel Inside Ip Version: IPv4
  • CIDR IPv4 interno per tunnel 1: 169.254.21.4/30
  • Chiave pre-condivisa per Tunnel 1: scegliere una chiave sicura
  • CIDR IPv4 interno per tunnel 2: 169.254.22.4/30
  • Chiave precondivisa per Tunnel 2: scegliere una chiave sicura
  • Azione di avvio: Avvia

Per l’IPv4 CIDR all'interno del Tunnel 1 e l’IPv4 CIDR all'interno del Tunnel 2 per entrambe le connessioni, fare riferimento alla configurazione APIPA che hai scelto.

Parte 3: Connettersi ai gateway cliente AWS da Azure

Successivamente, colleghi i tunnel AWS ad Azure. Per ognuno dei quattro tunnel, si avrà sia un gateway di rete locale che una connessione da sito a sito.

Importante

Ripetere le sezioni seguenti per ognuno dei quattro tunnel AWS, usando il rispettivo indirizzo IP esterno.

Creare gateway di rete locali

Ripetere queste istruzioni per creare ogni gateway di rete locale.

  1. Nel portale di Azure, passare alla risorsa Gateway di rete locale dal Marketplace e selezionare Crea.

  2. Selezionare la stessa sottoscrizione, gruppo di risorse e regione che si è usata per creare il gateway di rete virtuale.

  3. Immettere un nome per il gateway di rete locale.

  4. Lascia Indirizzo IP come valore per Endpoint.

  5. Per Indirizzo IP, immettere l'Indirizzo IP esterno (da AWS) per il tunnel che si sta per creare.

  6. Lasciare vuoto Spazio indirizzi e selezionare Avanzate.

  7. Nella scheda Avanzate configurare le impostazioni seguenti:

    • Selezionare per Configura impostazioni BGP.
    • Per Numero di sistema autonomo (ASN) immettere l'ASN per la rete privata virtuale AWS. Usare l'ASN 64512 se l'ASN è stato lasciato come valore predefinito di AWS.
    • Per Indirizzo IP peer BGP, immettere l'indirizzo IP del peer BGP AWS in base alla configurazione APIPA scelta.

Creare connessioni

Ripetere questi passaggi per creare ognuna delle connessioni necessarie.

  1. Aprire la pagina relativa al gateway di rete virtuale e passare alla pagina Connessioni.

  2. Nella pagina Connessioni selezionare + Aggiungi.

  3. Nella pagina Informazioni di base completare i valori seguenti:

    • Tipo di connessione: da sito a sito (IPsec)
    • Nome: immettere un nome per la connessione. Esempio: AWSTunnel1toAzureInstance0.

  4. Nella pagina Impostazioni completare i valori seguenti:

    • Gateway di rete virtuale: selezionare il gateway VPN.
    • Gateway di rete locale: selezionare il gateway di rete locale creato.
    • Immettere la chiave condivisa (PSK) corrispondente alla chiave precondivisa immessa durante l'esecuzione delle connessioni AWS.
    • Abilita BGP: selezionare per abilitare.
    • Abilita indirizzi BGP personalizzati: selezionare questa opzione per abilitare.

  5. Sotto Indirizzi BGP personalizzati:

    • Immettere l'indirizzo BGP personalizzato in base alla configurazione APIPA scelta.
    • L'indirizzo BGP personalizzato (CIDR IPv4 interno in AWS) deve corrispondere all'indirizzo IP (indirizzo IP esterno in AWS) specificato nel gateway di rete locale usato per questa connessione.
    • Verranno usati solo uno dei due indirizzi BGP personalizzati, a seconda del tunnel per cui si sta specificando.
    • Per stabilire una connessione da AWS al primo indirizzo IP pubblico del gateway VPN (istanza 0), viene usato solo l'indirizzo BGP personalizzato primario.
    • Per stabilire una connessione da AWS al secondo indirizzo IP pubblico del gateway VPN (istanza 1), viene usato solo l'indirizzo BGP personalizzato secondario.
    • Lasciare l'altro indirizzo BGP personalizzato come predefinito.

    Se è stata usata la configurazione APIPA predefinita, è possibile usare gli indirizzi seguenti.

    Tunnel Indirizzo BGP personalizzato primario Indirizzo BGP personalizzato secondario
    Tunnel AWS 1 verso istanza di Azure 0 169.254.21.2 Non usato (selezionare 169.254.21.6)
    Tunnel AWS 2 verso istanza di Azure 0 169.254.22.2 Non usato (selezionare 169.254.21.6)
    Tunnel AWS 1 verso istanza di Azure 1 Non usato (selezionare 169.254.21.2) 169.254.21.6
    Tunnel AWS 2 verso istanza di Azure 1 Non usato (selezionare 169.254.21.2) 169.254.22.6

  6. Configurare le impostazioni seguenti:

    • FastPath: lasciare il valore predefinito (deselezionato)
    • Criterio IPsec/IKE: predefinito
    • Usare il selettore del traffico basato su criteri: Disabilita
    • Timeout DPD in secondi: lasciare il valore predefinito
    • Modalità connessione: è possibile selezionare una delle opzioni disponibili (Impostazione predefinita, Solo iniziatore, Solo risponditore). Per altre informazioni, vedere impostazioni Gateway VPN - modalità di connessione.

  7. Seleziona Salva.

  8. Rivedi + Crea per creare la connessione.

  9. Ripetere questi passaggi per creare connessioni aggiuntive.

  10. Prima di passare alla sezione successiva, verificare di avere un gateway di rete locale e una connessione per ognuno dei quattro tunnel AWS.

Parte 4: (Facoltativo) Controllare lo stato delle connessioni

Controllare lo stato delle connessioni in Azure

  1. Apri la pagina del gateway di rete virtuale, quindi passa alla pagina Connessioni.

  2. Verificare che tutte e 4 le connessioni siano visualizzate come Connesso.

    Screenshot mostra la verifica delle connessioni.

Controllare lo stato dei peer BGP in Azure

  1. Aprire la pagina relativa al gateway di rete virtuale e passare alla pagina Peer BGP.

  2. Nella tabella dei peer BGP, verificare che tutte le connessioni con l'indirizzo del peer specificato siano visualizzate come "Connesso" e stiano scambiando percorsi.

    Screenshot che mostra la verifica dei peer BGP.

Controllare lo stato delle connessioni in AWS

  1. Aprire la console Amazon VPC
  2. Nel riquadro di spostamento selezionare Connessioni VPN da sito a sito.
  3. Selezionare la prima connessione effettuata e quindi selezionare la scheda Dettagli tunnel.
  4. Verificare che lo stato di entrambi i tunnel sia visualizzato come UP.
  5. Verificare che i dettagli di entrambi i tunnel mostrino una o più route BGP.

Passaggi successivi

Per altre informazioni sulle Gateway VPN, vedere le domande frequenti.