המאמר פונה בעיקר לאנשי התקשורת בארגון ויוצא מנקודת הנחה כי קיים ידע בסיסי בנוגע לשירותי AWS ו VPC בפרט.
כדי להקים חיבור מסוג זה אשתמש ב VPC Wizard של AWS שיקים עבורנו מספר משאבים הנחוצים לחיבור ה VPN שלנו.
א. Customer Gateway – מייצג את הנתב\FW שעמו נבצע את חיבור ה VPN בצד הארגון.
ב. Virtual Private Gateway – ממשק לוגי בצד AWS המתחבר אל הארגון.
ג. VPC+Subnet – טווח כתובות ip לשימוש עבור תשתיות AWS השונות.
ד. Route table – טבלת ניתוב הכפופה ל VPC לטובת ניתוב בתוך סביבת הענן ומחוצה לה אל התשתית המקומית.
כדי להתחיל יש לגשת אל שירות VPC (בregion הנכון עבורכם!) ולבחור ב START VPC WIZARD.
בדוגמא שלנו בחרתי ב Vpc with a Private Subnet Only and Hardware Vpn Access.
מאחורי הקלעים בסיום ה Wizard יוקם VPC עם Subnet שאינו מקצה כתובות ציבוריות (בברירת מחדל אך ניתן לעקוף) ל instances. כמו כן לא יוקם internet gateway לחיבור מכונות אל רשת האינטרנט.
נמשיך לשלב הבא, יצירת ה VPC שלנו. כאן נגדיר טווח כתובות ו Subnet רצוי.
כעת ה Wizard יבקש מאתנו פרטים הקשורים לחיבור ה VPN. כתובת ה IP החוקית שבאמצעותה נקים את החיבור מול AWS ופרוטוקול הניתוב, סטטי או BGP. בדוגמא שלנו בחרתי ב BGP (מומלץ אם מתאפשר מבחינת ציוד הקצה) כדי לאפשר למידה דינמית של רשתות אל הארגון מכיוון הענן והפוך.
בשלב זה תאלצו להמתין כמה דקות עד שהגמדים החרוצים באמזון יגדירו את החיבור :) סיימנו את שלב הWizard!
זה הזמן שלכם לעבוד. כעת ניגש למסך שירות ה VPC ->VPN Connection (תפריט שמאלי) כדי לראות אילו משאבים הוגדרו ומה נותר להגדיר בציוד שלכם.
במקרה שלי נעשה שימוש ב FW מסוג Fortigate.
ניתן לראות שאמזון תומכת בקובץ הגדרות מוכן עבור מגוון ציודים. ואם לא, אני ממליץ להוריד קובץ של יצרן שאתם מכירים ומבינים את ה CLI שלו ולבצע הגדרה מקבילה בציוד שלכם.
בחרתי שלא להתמקד בהגדרות בצד הארגון מכיוון שיש הבדלים בין היצרנים השונים במימוש ובטרמינולוגיה.
אך לפניכם טופולוגיה הממחישה את תצורת החיבור.
מספר דגשים שיש לשים לב אליהם בעבודה עם פרוטוקול BGP:
א. בעבודה עם ה Wizard ה Customer Gateway יוגדר כ remote-as 65000 , במידה ויש לכם שימוש ב AS חוקי או פרטי במספר אחר תידרש הגדרה ידנית של חיבור ה VPN.
ב. קובץ ההגדרות שאמזון מספקת מנחה אתכם להפיץ ניתוב 0.0.0.0/0 מהארגון אל ה route table ב VPC. ניתן ומומלץ לשנות זאת להפצה של רשתות רלוונטיות בלבד.
לאחר שסיימנו להגדיר את ה IPsec Tunnels והגדרות ה BGP נותר רק לבצע בדיקות שהחיבור שלנו חי ונושם.
נתחיל דווקא מצד הארגון, ב FW שלנו מעניינים אותנו מספר פקודות, מצב ה VPN ומצב ה BGP.
VPN status:
BGP Status:
בפקודת הראשונה הצגתי את הנתיבים ב BGP אל הSubnet שלנו בענן. ניתן לראות כי הוא מתקבל משני הpeers.
ה VPN Gateway שולח את הרשת עם metric גבוה יותר מכיוון ה Backup Tunnel שלנו.
בפקודה השנייה אנחנו מקבלים סטטוס לגבי קישוריות ה BGP אל מול AWS.
וככה זה ייראה בצד AWS.
זהו, סיימנו! החיבור למעלה ומנגן. אתם מוזמנים להרים instance לבדיקה ולנסות לגשת אליו אל הכתובת הפרטית שלו.
ה VPC הוא כעת חלק מהרשת הארגונית, מומלץ בהגדרת security groups לפתוח גישה אל הכתובות הפנימיות של הארגון ולהימנע מגישה ציבורית מרשת האינטרנט.
לשאלות, הערות והארות אתם יותר ממוזמנים להשאיר תגובה בתחתית הדף
המאמר פונה בעיקר לאנשי התקשורת בארגון ויוצא מנקודת הנחה כי קיים ידע בסיסי בנוגע לשירותי AWS ו VPC בפרט.
כדי להקים חיבור מסוג זה אשתמש ב VPC Wizard של AWS שיקים עבורנו מספר משאבים הנחוצים לחיבור ה VPN שלנו.
א. Customer Gateway – מייצג את הנתב\FW שעמו נבצע את חיבור ה VPN בצד הארגון.
ב. Virtual Private Gateway – ממשק לוגי בצד AWS המתחבר אל הארגון.
ג. VPC+Subnet – טווח כתובות ip לשימוש עבור תשתיות AWS השונות.
ד. Route table – טבלת ניתוב הכפופה ל VPC לטובת ניתוב בתוך סביבת הענן ומחוצה לה אל התשתית המקומית.
כדי להתחיל יש לגשת אל שירות VPC (בregion הנכון עבורכם!) ולבחור ב START VPC WIZARD.
בדוגמא שלנו בחרתי ב Vpc with a Private Subnet Only and Hardware Vpn Access.
מאחורי הקלעים בסיום ה Wizard יוקם VPC עם Subnet שאינו מקצה כתובות ציבוריות (בברירת מחדל אך ניתן לעקוף) ל instances. כמו כן לא יוקם internet gateway לחיבור מכונות אל רשת האינטרנט.
נמשיך לשלב הבא, יצירת ה VPC שלנו. כאן נגדיר טווח כתובות ו Subnet רצוי.
כעת ה Wizard יבקש מאתנו פרטים הקשורים לחיבור ה VPN. כתובת ה IP החוקית שבאמצעותה נקים את החיבור מול AWS ופרוטוקול הניתוב, סטטי או BGP. בדוגמא שלנו בחרתי ב BGP (מומלץ אם מתאפשר מבחינת ציוד הקצה) כדי לאפשר למידה דינמית של רשתות אל הארגון מכיוון הענן והפוך.
בשלב זה תאלצו להמתין כמה דקות עד שהגמדים החרוצים באמזון יגדירו את החיבור :) סיימנו את שלב הWizard!
זה הזמן שלכם לעבוד. כעת ניגש למסך שירות ה VPC ->VPN Connection (תפריט שמאלי) כדי לראות אילו משאבים הוגדרו ומה נותר להגדיר בציוד שלכם.
במקרה שלי נעשה שימוש ב FW מסוג Fortigate.
ניתן לראות שאמזון תומכת בקובץ הגדרות מוכן עבור מגוון ציודים. ואם לא, אני ממליץ להוריד קובץ של יצרן שאתם מכירים ומבינים את ה CLI שלו ולבצע הגדרה מקבילה בציוד שלכם.
בחרתי שלא להתמקד בהגדרות בצד הארגון מכיוון שיש הבדלים בין היצרנים השונים במימוש ובטרמינולוגיה.
אך לפניכם טופולוגיה הממחישה את תצורת החיבור.
מספר דגשים שיש לשים לב אליהם בעבודה עם פרוטוקול BGP:
א. בעבודה עם ה Wizard ה Customer Gateway יוגדר כ remote-as 65000 , במידה ויש לכם שימוש ב AS חוקי או פרטי במספר אחר תידרש הגדרה ידנית של חיבור ה VPN.
ב. קובץ ההגדרות שאמזון מספקת מנחה אתכם להפיץ ניתוב 0.0.0.0/0 מהארגון אל ה route table ב VPC. ניתן ומומלץ לשנות זאת להפצה של רשתות רלוונטיות בלבד.
לאחר שסיימנו להגדיר את ה IPsec Tunnels והגדרות ה BGP נותר רק לבצע בדיקות שהחיבור שלנו חי ונושם.
נתחיל דווקא מצד הארגון, ב FW שלנו מעניינים אותנו מספר פקודות, מצב ה VPN ומצב ה BGP.
VPN status:
BGP Status:
בפקודת הראשונה הצגתי את הנתיבים ב BGP אל הSubnet שלנו בענן. ניתן לראות כי הוא מתקבל משני הpeers.
ה VPN Gateway שולח את הרשת עם metric גבוה יותר מכיוון ה Backup Tunnel שלנו.
בפקודה השנייה אנחנו מקבלים סטטוס לגבי קישוריות ה BGP אל מול AWS.
וככה זה ייראה בצד AWS.
זהו, סיימנו! החיבור למעלה ומנגן. אתם מוזמנים להרים instance לבדיקה ולנסות לגשת אליו אל הכתובת הפרטית שלו.
ה VPC הוא כעת חלק מהרשת הארגונית, מומלץ בהגדרת security groups לפתוח גישה אל הכתובות הפנימיות של הארגון ולהימנע מגישה ציבורית מרשת האינטרנט.
לשאלות, הערות והארות אתם יותר ממוזמנים להשאיר תגובה בתחתית הדף
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר