我有 2 个 Kubernetes 集群在两个不同的 AWS 区域运行。我正在寻找一些解决方案,以便在两个不同区域的两个 VPC 之间建立连接。
我听说过 AWS VPN 连接,但不确定它是否适用于不同地区的 VPC?此外,如果它有效,那么我应该将客户网关放在哪里以及将虚拟私有网关放在哪里?
有没有办法做到这一点?
【问题讨论】:
标签: amazon-web-services networking amazon-ec2 vpn amazon-vpc
自 2017 年 11 月 29 日起,区域间 VPC 对等互连已在 AWS 美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)和欧洲(爱尔兰)推出,其他区域的支持即将推出。
2018-03-23 更新
自 2018 年 2 月 20 日起,跨区域 VPC 对等互连在美国西部(加利福尼亚北部)、欧洲(伦敦)、欧洲(巴黎)、亚太地区(孟买)、亚太地区(悉尼)、亚太地区(新加坡)推出、亚太地区(东京)、加拿大(中部)和南美洲(圣保罗)区域以及 AWS 美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、AWS 欧洲(爱尔兰)、美国西部(俄勒冈)区域。
【讨论】:
很好的问题,我认为 AWS 的许多客户都想要区域对等功能。目前,此功能不是 AWS 的原生托管服务。但是,您可以自己实现它。 Rackspace 提供了一个很好的入门指南:How To Build Fault Tolerant Cross-Region AWS Virtual Private Cloud Communication
你基本上有三个选择:
软件: 使用类似 openswan 的工具在 VPC-Region A 和 VPC-Region B 之间连接一个 ipsec 隧道。此 AWS 文档对此进行了说明:Connecting Multiple VPCs with EC2 Instances (IPSec)
硬件: 在这种情况下,您自己的数据中心中的硬件路由器将维护一个到 VPC 区域 A 中的 VGW 的 ipsec 隧道和第二个到 VPC 区域 A 中的 VGW 的 ipsec 隧道VPC-Region B。VGW 是一个虚拟专用网关,基本上是连接 AWS 端的一个 vpn 集中器。客户网关将是您自己数据中心中的路由器。
组合: 以上两种方法的组合,您可以在 VPC-Region A 中拥有一个运行 Sophos UTM(或类似软件)的实例,通过 ipsec 隧道连接到位于VPC-Region B。这在 AWS 文档中进行了解释:Connecting multiple VPCs with Astaro Security Gateway
AZ 内 VPC 对等:要提供有关在 AWS 中作为托管服务提供的 VPC 对等类型的更多说明,您还应该了解 AZ 内 VPC 对等。在 AWS 中,可用区是一组单独的容错基础设施(可以是物理上不同的数据中心,或具有不同公用设施连接、发电机组、路由器等的数据大厅)。 AZ 被分组为区域。如果您的用例适合区域内 VPC,您可以利用 VPC 对等互连,这是一项 AWS 托管服务。见文档:VPC Peering
【讨论】: