Conectando-se a vários AWS VPCs por meio de uma única conexão VPN

Question

Conectando-se a vários AWS VPCs por meio de uma única conexão VPN

#1 resposta do (3 votos)
#2 resposta do (1 votos)

1

Estou tentando bloquear uma configuração existente da AWS. No momento, tudo está dentro de um único VPC padrão (teste, teste, produção) e em todas as sub-redes públicas.

Meu plano é separar os três ambientes em três VPCs diferentes, utilizando sub-redes públicas e privadas.

Também queremos restringir o acesso aos servidores, pois atualmente eles têm IPs públicos e qualquer pessoa pode acessá-los. Idealmente, eu apenas faria a lista de permissões de IP, no entanto, isso é uma equipe remota e eles trabalham em todo o lugar, então eu tenho IPs dinâmicos para lidar com isso.

Meu plano é usar uma instância do OpenVPN e fazer com que as pessoas se conectem por meio disso. Do meu conhecimento extremamente limitado (formação em engenharia de software, experiência de rede muito limitada), isso deve funcionar.

A minha pergunta é , teremos 3 VPCs e a instância da VPN terá de viver em uma delas. Qual a melhor forma de permitir o acesso aos outros 2 VPCs através da VPN? Essa é a melhor abordagem (acesso direto) ou devo ter uma conexão VPN por VPC. O último parece um exagero, mas não tenho certeza.

Obrigado.

Editar: Ou outra opção é ter apenas um único VPC, mas isolar teste, teste e produção usando sub-redes? Eu li que algumas pessoas fazem isso, embora não seja ideal.

vpn amazon-web-services amazon-vpc

por Stephen Melrose 25.11.2014 / 16:26

2 respostas

Tags vpn amazon-web-services amazon-vpc

Spam de saída através de contas de e-mail invadidas PXE inicializando um Dell Precision M3800 para uma instalação do WDS

score 3 · Answer 1

A melhor opção é realmente utilizar a VPN que a AWS já inclui em sua configuração de VPC. Falando de já ter configurado o que você está tentando fazer. Supor que seus usuários se conectem a um local central, como um escritório ou data center, é uma opção. Se não for, então uma versão expandida da configuração abaixo funcionaria, adicionando outra instância de VPN para as pessoas se conectarem.

Se você precisar que as VPCs também conversem entre si, convém configurar várias instâncias de VPN, pelo menos uma por VPC, de preferência mais de uma para redundância, mas para isso você precisaria de outra instância para controlar o failover e atualizar as tabelas de roteamento da AWS com o novo caminho.

Opção 1:

Um servidor VPN central para os usuários se conectarem na AWS com túneis criados para encaminhar o tráfego para suas outras VPCs. Você precisaria de outras instâncias nas VPCs separadas para a criação do túnel VPN.

Opção 2:

Um servidor VPN central para os usuários se conectarem na AWS. Uma ou mais instâncias de VPN por VPC configuradas com túneis para conectividade com outras VPCs.

Opção 3:

Funcionalidade AWS VPN para um escritório central ou datacenter no qual uma VPN de usuário está configurada. Uma ou mais instâncias de VPN na AWS com túneis configurados para conectividade entre VPCs.

A Amazon infelizmente não tem configurações para VPN entre VPCs, portanto, nos casos em que estou sugerindo um túnel, é claro que você precisaria de um conjunto de instâncias, pelo menos, para cada configuração de túnel.

score 1 · Answer 2

Eu realmente acho que a resposta é encontrada nesta documentação AWS : Configurações com rotas para um bloco CIDR inteiro

Após essa configuração, consegui ter uma única instância de VPN em execução

Adicione o roteamento para a conexão de peering na tabela de rotas associada à sub-rede que possui minha caixa vpn, da mesma forma na sub-rede da VPC emparelhada, onde as caixas que desejo acessar residem

Consegui ssh nessas caixas sem um problema