- vừa được xem lúc

[AWS] Triển khai VPN Site to Site trên AWS kết nối với On-Premise

0 0 7

Người đăng: Tuan Vu

Theo Viblo Asia

1. Bài toán và yêu cầu

Bài toán: Hệ thống Công ty AT (viết tắt là AT) chạy trên hạ tầng AWS cần kết nối với hệ thống phía On-premise (không chạy trên AWS) để call API và lấy các thông tin cần thiết.

Yêu cầu từ phía On-Premise: Phía AT phải dùng các IP 172.0.0.128/28 để gọi sang On-Premise. Phía On-Premise sẽ dùng các IP 10.4.198.0/24 và 10.4.97.0/24 để kết nối VPN thông qua một IP public là 123.123.123.123. Thiết bị phía On-Premise sử dụng để setup và đấu nối VPN sẽ là Cissco với Platform ISR. Ở bài viết này mình sẽ tiến hành triển khai hệ thống VPN site to site trên AWS sử dụng AWS VPN để kết nối với hệ thống phía dưới On-Premise.

2. Phân tích bài toán

Với yêu cầu bài toán như trên, phương án kết nối sử dụng VPN site to site là một phương án phù hợp nhất. Vừa đảm bảo được phần kết nối vừa đảm bảo được phần bảo mật hệ thống của cả 2 bên. Thông thường, để khởi tạo kết nối VPN site to site giữa AWS và On-Premise cần có các thông tin như sau: Địa chỉ IP public mà phía On-Premise cần để kết nối VPN. Dải IP nội bộ mà môi trường On-Premise sử dụng để kết nối thông qua VPN. Dải IP nội bộ mà môi trường trên AWS sử dụng để kết nối VPN (Thông thường dải IP này sẽ không bị bắt buộc phải sử dụng 1 dải IP cụ thể. Tuy nhiên trong bài toán này phía On-Premise bắt buộc môi trường AWS muốn kết nối phải dùng dải IP họ cung cấp). IP Tunel sử dụng bắt buộc phải là một block CIDR /30 thuộc dải 254.0.0/16. Tuy nhiên với yêu cầu như trên và các thông tin đã có ở mục 1, khi nhìn lại yêu cầu phía On-Premise cần lưu ý một số điểm như sau: Cần tránh tạo dải VPC trên AWS sử dụng dải IP bao gồm cả 2 dải IP của AT và On-Premise vì sẽ gặp trường hợp lỗi xảy ra khi khởi tạo subnet cũng như khai báo route tables trên AWS. IP Public để kết nối VPN phía On-Premise là 123.123.123. Đây sẽ là địa chỉ IP để khởi tạo Customer Gateway trên AWS.

3. Mô hình và triển khai

3.1. Mô hình triển khai

Dưới đây là mô hình triển khai:

3.2. Triển khai hệ thống (Phía AT trên AWS)

3.2.1. Khởi tạo VPC và Subnet

Do yêu cầu phía On-Premise bắt buộc phải dùng dải IP 172.0.0.128/28 để call sang phía On-Premise, nên sẽ cần khởi tạo dải VPC và subnet bao gồm các IP thuộc phạm vi On-Premise yêu cầu.

=> Khởi tạo VPC 172.0.0.0/24 và subnet tương ứng là 172.0.0.128/28

Note: Trên AWS mặc định CIDR block cho VPC và subnet tối thiểu phải /28. Ngoài ra dải IP này sẽ phải tách biệt so với dải IP của On-Premise để tránh bị chồng chéo.

3.2.2. Khởi tạo Customer Gateway

Mục VPC -> Customer gateway, tiến hành khởi tạo Customer Gateway và nhập địa chỉ IP tương ứng với địa chỉ IP public của On-Premise -> Chọn Create customer gateway.

3.2.3. Khởi tạo Virtual Private Gateways

Mục VPC -> Virtual Private Gateway, tiến hành khởi tạo Virtual Private Gateway -> Chọn Create Virtual Private Gateway.

3.2.4. Khởi tạo Site-to-Site VPN connections

Name: VPN-AT Target gateway type: Virtual private gateway -> chọn virtual private gateway đã khởi tạo ở mục 3.2.3 (VPG-On-PremiseCommunity)

Customer gateway: Existing -> chọn Customer gateway ID được khởi tạo ở 3.2.2 (CGW-AT-On-Premise-250).

Routing options: Static -> 10.4.198.0/24 và 10.4.97.0/24 Local IPv4 network CIDR: 10.4.198.0/24 và 10.4.97.0/24 Remote IPv4 network CIDR: 172.0.0.128/28

3.3. Triển khai hệ thống (Phía On-Premise)

Sau khi setup xong VPN, trên AWS phần VPN -> Site to Site VPN connection -> chọn VPN name “vpn-0cead44252cd7c41f” -> chọn Download Configuration

Sau khi file config được tải về, tiến hành gửi lại file cho phía On-Premise để phía On-Premise thực hiện cấu hình theo file đã được download ở trên.

4. Kiểm tra kết quả

Sau khi phía On-Premise tiến hành cấu hình xong VPN theo file cấu hình ở mục 3.3, tiến hành kiểm tra kết nối bằng cách:

Phía AT khởi tạo các EC2 có các địa chỉ IP 0.0.130, 172.0.0.131 nằm trong VPC và subnet đã được khởi tạo tiến hành ping tới các địa chỉ IP của On-Premise được nêu ở mục 1. Nếu kết quả trả về như ảnh thì kết nối từ AT tới On-Premise đã thông kết nối. Phía On-Premise tiến hành kiểm tra bằng cách ping tới các địa chỉ IP tunel, địa chỉ IP thuộc CIDR block 0.0.128/28 để kết nối đến AWS tương tự như trên.Khi kết nối cả 2 chiều đã thông. Như vậy VPN đã được thiết lập thành công.

Tham khảo thêm tại: https://tuanvd.com

Bình luận

Bài viết tương tự

- vừa được xem lúc

PDF Export, cẩn thận với những input có thể truyền vào

Giới thiệu. Dạo gần đây mình tình cờ gặp rất nhiều lỗi XSS, tuy nhiên trang đó lại có sử dụng dữ liệu người dùng input vào để export ra PDF.

0 0 66

- vừa được xem lúc

Giới thiệu về AWS Batch

Khi sử dụng hệ thống cloud service, điều chúng ta thường phải quan tâm đến không chỉ là hiệu suất hoạt động (performance) mà còn phải chú ý đến cả chi phí bỏ ra để duy trì hoạt động của hệ thống. Chắn hẳn là hệ thống lớn hay nhỏ nào cũng đã từng phải dùng đến những instance chuyên để chạy batch thực

0 0 143

- vừa được xem lúc

Tìm hiểu về AWS KMS

1. AWS KMS là gì. Ở KMS bạn có thể lựa chọn tạo symetric key (khóa đối xứng) hoặc asymetric key (khóa bất đối xứng) để làm CMK (Customer Master Key). Sau khi tạo key thì có thể thiết đặt key policy để control quyền access và sử dụng key.

0 0 66

- vừa được xem lúc

AWS VPC cho người mới bắt đầu

Tuần này, tôi trình bày lại những gì tôi đã học được về Virtual Private Cloud (VPC) của Amazon. Nếu bạn muốn xem những gì tôi đã học được về AWS, hãy xem Tổng quan về DynamoDB và Tổng quan về S3. VPC là gì. Những điều cần lưu ý:.

0 0 84

- vừa được xem lúc

AWS Essentials (Phần 6): Guildline SNS Basic trên AWS

Tiếp tục với chuỗi bài viết về Basic AWS Setting, chúng ta tiếp tục tìm hiểu tiếp tới SNS (Simple Notification Service). Đây là một service của AWS cho phép người dùng setting thực hiện gửi email, text message hay push notification tự động tới mobile device dựa trên event người dùng setting phía AWS

0 0 145

- vừa được xem lúc

Sử dụng Amazon CloudFront Content Delivery Network với Private S3 Bucket — Signing URLs

Trong nhiều trường hợp, thì việc sử dụng CDN là bắt buộc. Mình đã trải nghiệm với một số CDN nhưng cuối cùng mình lựa chọn sử dụng AWS CloudFront.

0 0 118