默认情况下,您在 Amazon VPC 中启动的实例无法与您自己的(远程)网络进行通信。您可以通过创建 AWS Site-to-Site VPN(Site-to-Site VPN)连接并将路由配置为通过该连接传输流量,从而启用从您的 VPC 访问远程网络的权限。
尽管 VPN 连接 术语是一个泛指术语,但是在本文档中,VPN 连接是指您的 VPC 和您自己的本地网络之间的连接。站点到站点 VPN 支持 Internet 协议安全 (IPsec) VPN 连接。
官网地址:https://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/VPC_VPN.html
本地测试环境与生产环境实现内网相互访问(借助于开源软件openswan和aws的点到点vpn打通)
AWS的北京区域,里面作为我的测试站点(172.31.0.0/16)Region:cn-north-1
一个是在AWS的弗吉尼亚北部作为生产环境(10.0.0.0/16)Region:us-east-1
需求:本地测试环与生产环境之间的vpc互通(内网连接)
架构图如下:(该图片来自于互联网)
主机名:openswan
内网IP:172.31.9.78
公网IP:52.81.54.134
描述:需要安装openswan软件进行打通
有一台Openswan的主机,这个主机的公网IP地址,稍后我们会使用到。在弗吉尼亚添加客户网关的时候会使用到这个IP(52.81.54.134)
主机名:test
内网IP:172.31.11.131
公网IP:54.223.248.166
描述:运行一个web服务,方便测试
主机名:lemon-01
内网IP:10.0.2.166
描述:会运行一个web服务
主机名:lemon-02
内网IP:10.0.2.170
描述:会运行一个web服务
客户网关--->虚拟私有网关--->站点到站点网关
创建完成之后,需要绑定对应的VPC。这里绑定的VPC是绑定的弗吉尼亚生产环境所在的这个VPC
下载对应的配置,然后按照配置文件去到对应的北京区域openswan这个服务器上面去操作。
下载下来的配置文件解析:
###yum安装 yum update yum -y install openswan |
/etc/ipsec.d/aws.conf 文件路径,配置来资源在弗吉尼亚下载的字段
配置验证信息
启动Openswan
查看点到点vpn的信息
可以看到是已经UP了的
找到vpc所对应的路由表
弗吉尼亚的云主机,安装web
###主机一 10.0.2.166 yum update yum -y install httpd systemctl start httpd && systemctl enable httpd echo "lemon01" >/var/www/html/index.html ###主机二 10.0.2.170 yum update yum -y install httpd systemctl start httpd && systemctl enable httpd echo "lemon02" >/var/www/html/index.html |
北京区域:openswan主机访问弗吉尼亚的主机
北京区域同一个vpc访问弗吉尼亚网络(需要配置路由表)
让10.0.0.0/16然后找这个openswan所在的实例出去。这个时候需要把openswan所在这个ec2关闭源和目标检查
配置路由表(北京区域)
关闭源和目标检查
在北京区域的另一台机器测试(test)
至此:北京区域到弗吉尼亚区域打通网络访问