Conectando duas regiões da AWS: Por que não usar dois gateways privados virtuais?

5

Estou tentando conectar duas regiões da AWS. A documentação da AWS sugere iniciar uma instância em ambos os lados para executar o software IPSec (OpenSWAN ou StrongSWAN), dando a ambas as instâncias um IP elástico e usando isso como um túnel. Isso é tudo muito bem, mas agora temos um único ponto de falha em ambos os lados.

A AWS lançou em julho um Guia de conectividade VPC que detalha as possíveis opções para conectar duas VPCs juntas. Eu vinculei esse PDF à página 15, onde explica as opções.

Todas as opções listadas têm desvantagens significativas, pois na maioria dos casos, todo o tráfego passa por uma única instância (crashable). Até agora, parece que as melhores opções são usar um túnel de software de um lado e um Gateway Privado Virtual do outro. Dizem que pelo menos você fica redundante de um lado. Isso ainda parece sub-ótimo.

Existe uma maneira de conectar dois Virtual Private Gateways juntos para obter o melhor dos dois mundos: a redundância gerenciada pela Amazon e a simplicidade de manter tudo isso dentro da minha configuração de VPC? Ou os VGWs são essencialmente somente clientes?

    
por STRML 12.11.2014 / 18:32

1 resposta

6

Não, não é possível, neste momento, conectar dois gateways privados virtuais em regiões diferentes. Tenho certeza de que é um recurso que está chegando, já que o peering VPC está disponível para VPCs em uma única região.

Quanto a "Você é responsável por implementar soluções de alta disponibilidade para todos os pontos de extremidade de VPN (se necessário)", discutei em uma resposta anterior existem várias técnicas para lidar com a falha de uma instância VPN / NAT. Recentemente, eu estava conversando com um colega que não apenas configurou uma VPN de malha completa com escalonamento automático e scripts para reprovisionar instâncias VPN / NAT com falha, mas também tinha scripts adicionais que modificavam as tabelas de rotas VPC para a aquisição imediata das rotas por um AZ diferente. até que a instância VPN / NAT com falha termine de renascer. Eles também falharam na rota quando a instância do VPC / NAT estava ativa e o ENI reativado. Existem muitos scripts "NAT monitor" no github que fazem coisas semelhantes. Há também um artigo da AWS que descreve o processo.

Alta disponibilidade decente? Sim. Configuração simples? Infelizmente não.

    
por 18.11.2014 / 05:18