2 个 AWS 区域之间的 VPC 访问
VPC Access between 2 AWS Regions
我在两个不同的 AWS 区域有 2 个 Kubernetes 集群 运行。我正在寻找一些解决方案,以便在两个不同区域的两个 VPC 之间建立连接。
我听说过 AWS VPN 连接,但不确定它是否适用于不同地区的 VPC?此外,如果它有效,那么我应该将客户网关放在哪里以及将虚拟专用网关放在哪里?
有办法实现吗?
问得好,我认为 AWS 的很多客户都想要区域对等功能。目前,此功能不是 AWS 的原生托管服务。但是,您可以自己实施。 Rackspace 提供了一个很好的入门指南:How To Build Fault Tolerant Cross-Region AWS Virtual Private Cloud Communication
你基本上有三个选择:
软件: 使用类似 openswan 的东西在 VPC-Region A 和 VPC-Region B 之间连接一个 ipsec 隧道。这是解释在此 AWS 文档中:Connecting Multiple VPCs with EC2 Instances (IPSec)
硬件: 在这种情况下,您可以让自己数据中心的硬件路由器维护一个到 VPC-Region 中的 VGW 的 ipsec 隧道和第二个 ipsec 隧道到 VPC-Region B 中的 VGW。VGW 是一个虚拟专用网关,基本上是连接 AWS 端的 vpn 集中器。客户网关将是您自己数据中心的路由器。
组合: 以上两种方法的组合,您可以在 运行 中拥有一个实例 运行 Sophos UTM(或类似软件) =42=] A 通过 ipsec 隧道连接到 VPC-Region B 中的 VGW。这在 AWS 文档中有解释:Connecting multiple VPCs with Astaro Security Gateway
Intra-AZ VPC 对等连接: 要提供有关在 AWS 中作为托管服务提供何种类型的 VPC 对等连接的更多说明,您还应该了解 Intra-AZ VPC 对等。在 AWS 中,可用性区域是一组独立的容错基础设施(可以是物理上不同的数据中心,或者具有不同实用程序 hook-up、发电机组、路由器等的数据大厅)。 AZ 被分组到区域中。如果您的用例适合 intra-region 个 VPC,您可以利用 VPC 对等互连,这是一项 AWS 托管服务。请参阅文档:VPC Peering
自 2017 年 11 月 29 日起,区域间 VPC 对等连接在 AWS 美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)和欧洲(爱尔兰)推出,即将支持其他区域.
更新2018-03-23
自 2018 年 2 月 20 日起,美国西部(加利福尼亚北部)、欧洲(伦敦)、欧洲(巴黎)、亚太地区(孟买)、亚太地区(悉尼)、亚太地区(新加坡)、亚太地区(东京)、加拿大(中部)和南美洲(圣保罗)区域以及 AWS 美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、AWS 欧洲(爱尔兰)、美国西部(俄勒冈)区域.
我在两个不同的 AWS 区域有 2 个 Kubernetes 集群 运行。我正在寻找一些解决方案,以便在两个不同区域的两个 VPC 之间建立连接。
我听说过 AWS VPN 连接,但不确定它是否适用于不同地区的 VPC?此外,如果它有效,那么我应该将客户网关放在哪里以及将虚拟专用网关放在哪里?
有办法实现吗?
问得好,我认为 AWS 的很多客户都想要区域对等功能。目前,此功能不是 AWS 的原生托管服务。但是,您可以自己实施。 Rackspace 提供了一个很好的入门指南:How To Build Fault Tolerant Cross-Region AWS Virtual Private Cloud Communication
你基本上有三个选择:
软件: 使用类似 openswan 的东西在 VPC-Region A 和 VPC-Region B 之间连接一个 ipsec 隧道。这是解释在此 AWS 文档中:Connecting Multiple VPCs with EC2 Instances (IPSec)
硬件: 在这种情况下,您可以让自己数据中心的硬件路由器维护一个到 VPC-Region 中的 VGW 的 ipsec 隧道和第二个 ipsec 隧道到 VPC-Region B 中的 VGW。VGW 是一个虚拟专用网关,基本上是连接 AWS 端的 vpn 集中器。客户网关将是您自己数据中心的路由器。
组合: 以上两种方法的组合,您可以在 运行 中拥有一个实例 运行 Sophos UTM(或类似软件) =42=] A 通过 ipsec 隧道连接到 VPC-Region B 中的 VGW。这在 AWS 文档中有解释:Connecting multiple VPCs with Astaro Security Gateway
Intra-AZ VPC 对等连接: 要提供有关在 AWS 中作为托管服务提供何种类型的 VPC 对等连接的更多说明,您还应该了解 Intra-AZ VPC 对等。在 AWS 中,可用性区域是一组独立的容错基础设施(可以是物理上不同的数据中心,或者具有不同实用程序 hook-up、发电机组、路由器等的数据大厅)。 AZ 被分组到区域中。如果您的用例适合 intra-region 个 VPC,您可以利用 VPC 对等互连,这是一项 AWS 托管服务。请参阅文档:VPC Peering
自 2017 年 11 月 29 日起,区域间 VPC 对等连接在 AWS 美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)和欧洲(爱尔兰)推出,即将支持其他区域.
更新2018-03-23
自 2018 年 2 月 20 日起,美国西部(加利福尼亚北部)、欧洲(伦敦)、欧洲(巴黎)、亚太地区(孟买)、亚太地区(悉尼)、亚太地区(新加坡)、亚太地区(东京)、加拿大(中部)和南美洲(圣保罗)区域以及 AWS 美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、AWS 欧洲(爱尔兰)、美国西部(俄勒冈)区域.