IBM Cloud Docs
連接至 AWS 對等節點

連接至 AWS 對等節點

您可以使用 IBM Cloud VPN for VPC,透過 VPN 通道將 VPC 安全連接至內部部署網路。 本主題提供如何配置 AWS VPN 閘道以連接至 VPN for VPC的指引。

因為 AWS 需要在「階段 2」中啟用 PFS,所以您必須建立自訂 IPsec 原則,以取代 VPC 中 VPN 的預設原則。 如需相關資訊,請參閱 建立 IPsec 原則

當 AWS VPN 接收來自 VPN for VPC的連線要求時,AWS VPN 會使用 IPsec「階段 1」參數來建立安全連線,並鑑別 VPN for VPC 閘道。 然後,如果安全原則允許連線,則 AWS VPN 會使用 IPsec「階段 2」參數來建立通道,並套用 IPsec 安全原則。 金鑰管理、鑑別及安全服務會透過 IKE 通訊協定動態協議。

在連接至內部部署對等節點之前,請先檢閱 VPN 閘道限制

若要支援這些功能,您必須在 AWS VPN 上執行下列一般配置步驟:

  • 定義 AWS VPN 鑑別遠端對等節點及建立安全連線所需的「階段 1」參數。
  • 定義 AWS VPN 使用 VPN for VPC建立 VPN 通道所需的「階段 2」參數。

將 IBM 原則型 VPN 連接至 AWS 對等節點

您可以使用 VPN for VPC 原則型 VPN 來連接至 AWS 路由型 VPN。 不過,原則型 VPN 需要每個子網路的個別「安全關聯 (SA)」,而路由型 VPN 會針對所有加密資料流量使用單一 SA。 因此,原則型 VPN 與路由型 VPN 之間的連線限制為一個與單一 CIDR 範圍相關聯的 SA。

如果您有多個子網路具有連續位址範圍,則可以建立與 CIDR 的連線,該 CIDR 是子網路的超集。 例如,192.168.0.0/24192.168.1.0/24 由 CIDR 192.168.0.0/23 所涵蓋。

將 IBM 原則型 VPN 連接至 AWS 對等節點
圖 1: 將 IBM 原則型 VPN 連接至 AWS 對等節點

配置 AWS

若要配置 AWS 對等節點,請遵循下列步驟:

  1. 使用 IBM 原則型 VPN IP 位址來建立 AWS 客戶閘道。

  2. 建立 AWS Virtual Private Gateway,並將它連接至必須將資料流量傳送至 IBM VPC 的 AWS VPC。

  3. 建立單一 AWS 站台對站台連線:

    • 虛擬專用閘道 設為您在步驟 2 中建立的閘道。

    • 客戶閘道 設定為您在步驟 1 中建立的客戶閘道。

    • 遞送選項 設為 靜態

    • 將 IBM 端的單一 CIDR 新增至 靜態 IP 字首

      若要在 IBM VPC 中連接多個連續子網路,請使用更大的 CIDR 範圍來涵蓋所有必要的子網路。

    • 輸入 tunnel1tunnel2 的預先共用金鑰。

    • 對於這兩個 AWS 通道,請選擇 編輯通道 x 選項,並選取想要的安全參數。 如果 IBM VPN也支援每一個參數,則您可以為它們選擇多個值。

      AWS 通道選項
      圖 2: AWS 通道選項

  4. 在 AWS 站台對站台連線的狀態為 可用之後,請移至 靜態路徑 標籤,以驗證已自動新增正確的路徑。 必要的話,請進行手動調整。

    下列影像顯示 IBM VPC 端上的網路 10.240.128.0/2710.240.128.32/27 隨新目的地一起遞送 10.240.128.0/26

    AWS 連線靜態路由
    圖 3: AWS 連線靜態路由

  5. 移至 虛擬專用雲端 區段中的 AWS 路徑表格,並尋找與連接 VPN 的 VPC 相關聯的路徑表格。 按一下 編輯路由,並將相同的路由新增至路由表。

    AWS 路由表
    圖 4: AWS 路由表

  6. 在「站台對站台連線」頁面上驗證連線狀態。

  7. 驗證已調整 AWS ACL 及安全群組規則,以容許您需要的資料流量。

配置 IBM 原則型 VPN

若要為 AWS 對等節點配置 IBM 原則型 VPN,請遵循下列步驟:

  1. 為其中一個 AWS 通道 IP 建立新連線。 同時對 本端子網路同層級子網路使用單一 CIDR。

    因為 AWS 在階段 2 中需要 啟用 PFS,所以您必須建立自訂 IPsec 原則,以取代 VPC 中 VPN 的預設原則。 如需相關資訊,請參閱 在 VPN for VPC中建立自訂 IPsec 原則

  2. 在連線狀態為 作用中之後,請驗證子網路之間的資料流量。

將 IBM 路由型 VPN 連接至 AWS 對等節點

此設定必須具有一個 IBM VPN 閘道及兩個 AWS VPN 連線 (總計四個通道)。

將 IBM 路由型 VPN 連接至 AWS 對等節點
圖 5: 將 IBM 路由型 VPN 連接至 AWS 對等節點

配置 AWS

若要配置 AWS 對等節點,請遵循下列步驟:

  1. 使用每一個 IBM 路由型 VPN 成員 IP 位址,建立兩個 AWS 客戶閘道。

  2. 建立 AWS Virtual Private Gateway,並將它連接至必須將資料流量傳送至 IBM VPC 的 AWS VPC。

  3. 建立第一個 AWS 站台對站台連線。

    • 虛擬專用閘道 設為您在步驟 2 中建立的閘道。
    • 客戶閘道 設為您在步驟 1 中建立的第一個客戶閘道。
    • 遞送選項 設為 靜態
    • 將 IBM VPC 子網路分成兩個較小的子網路,並將它們新增至 靜態 IP 字首。 這樣,第一個連線優先於第二個連線。
    • 輸入 tunnel1tunnel2 的預先共用金鑰。
    • 對於這兩個 AWS 通道,請選擇 編輯通道 X 選項,並選取您需要的安全參數。 如果 IBM VPN也支援每一個參數,則您可以為它們選擇多個值。

  4. 建立第二個 AWS 站台對站台連線。

    • 虛擬專用閘道 設為您在步驟 2 中建立的閘道。
    • 客戶閘道 設為您在步驟 1 中建立的第二個客戶閘道。
    • 遞送選項 設為 靜態
    • 將 IBM VPC 子網路新增至 靜態 IP 字首
    • 輸入 tunnel1tunnel2 的預先共用金鑰。
    • 對於這兩個 AWS 通道,請選擇 編輯通道 X 選項,並選取您需要的安全參數。 如果 IBM VPN也支援每一個參數,則您可以為它們選擇多個值。

    AWS 通道選項
    圖 6: AWS 通道選項

  5. 在 AWS 站台對站台連線處於 可用 狀態之後,請移至每一個站台對站台連線的 靜態路徑 標籤,以驗證已自動新增正確的路徑。 必要的話,請進行手動調整。 下列影像顯示在這兩個連線上遞送網路 10.248.0.0/24

    AWS 連線靜態路由
    圖 7: AWS 連線靜態路由

    AWS 連線靜態路由
    圖 8: AWS 連線靜態路由

  6. 移至 VIRTUAL PRIVATE CLOUD 下的 AWS 路由表,並尋找與 VPN 連接之 VPC 相關聯的路由表。 按一下 編輯路徑,並將相同的路徑新增至路徑表。

    AWS 路由表
    圖 9: AWS 路由表

  7. 在「站台對站台連線」頁面上驗證連線狀態。

  8. 驗證已調整 AWS ACL 及安全群組規則,以容許您需要的資料流量。

配置 IBM 路由型 VPN

若要為 AWS 對等節點配置 IBM 路由型 VPN,請遵循下列步驟:

  1. 建立四個新連線,每個 AWS 通道 IP 各一個。

    因為 AWS 需要在「階段 2」中啟用 PFS,所以您必須建立自訂 IPsec 原則,以取代 VPC 中 VPN 的預設原則。 如需相關資訊,請參閱 在 VPN for VPC中建立自訂 IPsec 原則

  2. 使用 下一個中繼站 選項來指向您在步驟 1 中建立的每一個連線,為每一個對等節點子網路建立四個路徑。 然後將每一個路徑設為不同的 優先順序 值。

    具有最低 優先順序 值的路由是優先順序路由。

    IBM 遞送表
    圖 5: IBM 遞送表

  3. 在這兩個連線的狀態顯示 作用中之後,請驗證子網路之間的資料流量。

    驗證 AWS 上的偏好連線與 IBM 上的偏好連線相同,以避免非對稱遞送。