Eu tenho VPCs diferentes em diferentes regiões no AWS:
Eu segui este artigo ( link ) para abrir uma conexão vpn para permitir que as instâncias do servidor em B para comunicar a instância do RDS na sub-rede privada do VPC A.
Eu fiz o seguinte no ipsec.conf:
rightsubnet = 10.2.0.0 / 16
Tudo funciona bem, mas como eu devo conectar C a A? Preciso abrir uma outra instância do OpenVPN? Tenho certeza de que há uma maneira de conseguir isso.
Para VPC na mesma região:
VPC peering, configure uma conexão VPC Peer com as outras VPCs. Portanto, se o servidor vpn estiver em A, crie uma conexão peer VPC de A para B e A para C.
Para o VPC Peering em diferentes regiões:
Você pode usar uma VPN de software como o Openvpn ou o Strongswan
Leverages AWS networking equipment in-region and Internet pipes between regions
Configuração da camada 3 com o OpenVPN
AFAIK você não precisa de várias VPNs para conectar várias VPCs. Uma VPN em cada VPC, configurada para rotear de acordo, deve funcionar. Aqui está um artigo com detalhes. Veja a seção "Conectando VPCs Adicionais"
Infelizmente, para avaliar, as VPCs devem estar na mesma região, portanto, o peering não funcionará. Conectar VPCs em diferentes regiões é um pouco mais compactado. Aqui está um link para um artigo que fala sobre as diferentes opções. As melhores soluções exigem algum tipo de VPN por meio de uma rede corporativa.
Aqui está a solução de software do artigo. De interesse, "O Ocedo AutoVPN atualmente fornece automação de rede avançada para lançar, gerenciar e configurar dispositivos VPN baseados em software para conectar várias VPCs e redes VPN de malha completa."
Essa abordagem aproveita o recurso Amazon VPC para criar túneis de VPN entre instâncias do EC2 para rotear o tráfego entre VPCs em diferentes regiões. Essa opção usa aplicativos VPN de software gerenciados por membros da AWS Partner Network (APN) ou baseados em EC2, e é mais adequada para clientes que desejam gerenciar as duas extremidades das conexões VPN usando seu provedor de software VPN preferido.
Esse design otimiza os custos de transferência de rede entre regiões, no entanto, exige que os clientes projetem e gerenciem sua própria configuração de HA para instâncias de rede EC2.
Esse design usa endereços IP elásticos e gateways de Internet VPC para facilitar a comunicação entre os dispositivos VPN de software. Embora as instâncias do EC2 sejam configuradas com endereços IP públicos, o tráfego de rede entre AWS Regions atravessa o backbone de rede global da AWS por padrão, o que normalmente fornece conectividade de rede de baixa latência mais consistente do que conexões equivalentes baseadas na Internet. O AWS Marketplace oferece várias opções de código aberto e de terceiros (incluindo produtos da Cisco, Fortinet, Ocedo, OpenSWAN, OpenVPN, Palo Alto Networks, Sophos e Vyatta) para a implementação de aplicativos VPN de software. O Ocedo AutoVPN atualmente fornece automação de rede avançada para lançar, gerenciar e configurar dispositivos VPN baseados em software para conectar várias VPCs e redes VPN de malha completa.
Os produtos disponíveis no AWS Marketplace fornecem recursos adicionais de controle de rede para monitorar e controlar o tráfego entre VPCs. Isso inclui recursos de segurança adicionais, como monitoramento aprimorado, regras de firewall com reconhecimento de protocolo de rede ou recursos de gerenciamento universal de ameaças. Observe que os clientes devem executar dispositivos de rede em cada VPC, o que resulta em cobranças adicionais de licença EC2 e, potencialmente, de terceiros. Essas instâncias do EC2 também podem introduzir um ponto único de falha na arquitetura de rede e um possível afunilamento de rede, por isso, escolha um tamanho de instância de appliance de VPN que atenda aos requisitos de roteamento de rede entre regiões. Por fim, aproveite o Auto Recovery for EC2 ou outras opções de monitoramento e recuperação de rede para diminuir o tempo de recuperação de dispositivos VPN com falha.
Tags openvpn amazon-vpc