部分企业客户会将部分资源分开部署于亚马逊云科技Global区域和CN区域,为支持两个区域资源内网互相访问,那就需要通过VPN或Direct Connect将网络打通,但是目前亚马逊云科技CN区无法提供Ipsec托管服务,为满足该需求,可使用自建openswan部署CN区VPN,企业无需支付除了亚马逊云科技资源以外的任何费用,且该方案可用作Direct Connect备份线路,在Direct Connect出现故障时,自动切换至VPN链路。
1. 登录CN账号,跳转到EC2控制台,创建两台服务器,一台部署openswan服务器,另一台作为测试网络的server服务器。
左右滑动查看
2.在Global账号内创建一台EC2
左右滑动查看
3. 登录Gglobal账号,跳转到VPC控制台,创建site-to-site VPN.
创建客户网关
创建虚拟私有网关
附加到VPC
路由传播
创建VPN
左右滑动查看
下载VPN链接的配置
4. 远程登录CN账号的CN-openswan服务器,部署openswan并进行网络打通
yum install openswan -y
按照下载下来的VPN配置文件对CN账号服务器进行网络配置(VPN配置文件在文档最后)
Vim /etc/ipsec.d/aws.conf
Cat /etc/ipsec.d/aws.conf
Vim /etc/ipsec.d/aws.secrets
Cat /etc/ipsec.d/aws.secrets
5. 在CN账号下添加一条路由指向openswan服务器
左右滑动查看
6. 测试网络是否通
至此,CN环境网络与Global环境网络打通。