如何透過 VPN 串接 GCP 和 AWS 的 VPC
接續前一篇 VPC Network:GCP 和 AWS 功能比較 的整理,繼續整理如何透過 VPN 把 GCP 和 AWS 的 VPC 串接起來,形成 Hybrid Cloud 架構。
架構
整個架構圖如下:
圖中的顏色意義:
• 藍色:預先準備好,包含 VPC Networking、CIDR、VM Instance
• 紅色:本文介紹過程中建立的資源與設定
• 紫色:本文介紹過程中,可能需要修改的,像是 Firewall / Security Groups
本文設定過程中, GCP and AWS 網路資訊:
• GCP VPC Networking:
• CIDR asia-east1: 10.0.0.0/16
• VM Instance: 10.1.0.3
• AWS VPC:
• Region: N. Virginia (ue-east-1)
• VPC CIDR: 172.30.0.0/16
• Public Subnet: 172.30.3.0/24
• EC2 Instance: 172.30.3.94
流程
以下是整個設定流程:
1. GCP: 獲取一個 Public (Static) IP
2. AWS: 建立 Customer Gateway
3. AWS: 建立 Virtual Private Gateway
4. AWS: 建立 VPN Connections
5. GCP: 建立 VPN Connections
6. 確認 VPN Tunnel 狀態
7. 測試
* 註記:”步驟可以跟架構圖的編號對應。”
1. GCP: 獲取一個 Public (Static) IP
到 GCP Console:
1. VPC network -> External IP addresses
2. 點選 Reserve a static address,取得一個 Public (Static) IP。
• 這邊例子 region 選 asia-east1
設定如下圖:
這個例子取得的 IP 是: 35.185.130.167,記下來,下一個步驟會使用。
2. AWS: 建立 Customer Gateway
到 AWS Console:
1. 到 VPC,確認 Region 正確,這裡是例子是 N. Virginia (us-east-1)
2. 選擇 VPN Connections -> Customer Gateways -> Create Customer Gateway,建立如下圖:
• Name:填入容易了解的識別名稱
• Routing:選 Static
• IP Address:填上一個步驟的 Public IP
設定如下圖:
3. AWS: 建立 Virtual Private Gateway
接續前一個步驟,在 VPC 裡繼續建立 Virtual Private Gateway。選擇 VPN Connections -> Virtual Private Gateway -> Create Virtual Private Gateway
• Name:填入容易了解的識別名稱
• ASN:選 Amazon default ASN
設定如下圖:
完成後,把 VGW attached 到 VPC。
到 Route Table 設定需要使用的 Subnet,打開 Route Propagation,Route Table 會自動交換,否則就要自行設定 Route Rules。設定如下圖:
4. AWS: 建立 VPN Connections
接續前一個步驟,在 VPC 裡繼續建立 VPN Connections。選擇 VPN Connections -> VPN Connections -> Create VPN Connections:
• Name:填入容易了解的識別名稱
• Virtual Private Gateway: 選擇步驟三的 VPG
• Customer Gateway:選擇步驟二的 CGW
• Static IP Prefix: 填入 GCP VPC Networking 的 CIDR,這裡的例子是 10.1.0.0/16
• Tunnel Options: 讓 AWS 自己產生。
設定如下圖:
建立完成後,在 VPN Connections 裡點選剛剛建立的,然後下載 Download Configuration (.txt),Vender 選擇 Generic 就好,再設定檔立面找到以下資訊,下一個步驟會使用。
• IPSec Tunnel #1
• IKE version: IKEv1
• Pre-Shared Key: _s8_w69MhhEB**************
• Virtual Private Gateway: 52.7.24.140
• Tunnel 一般會建立兩個,作為 HA,這邊我只做一個。
設定如下圖:
5. GCP: 建立 VPN Connections
回到 GCP Console 建立 VPN Connections。選擇 Networking -> Hybrid Connectivity -> VPN
VPN Gateway 選擇以下的項目
• Network
• Region
• IP Address: 步驟一建立的 Public (Static) IP
設定如下圖:
VPN Tunnel設定以下,資訊來自於步驟四 VPN Config 裡
• Remote peer IP Address: VPN Config 的 Virtual Private Gateway,這邊例子是 52.7.24.140
• IKE Version: VPN Config 的設定,這邊例子是 IKEv1
• Shared Secret: VPN Config 的設定
• Routing Options 選擇 Policy-based
• Remote network IP ranges: AWS VPC 的 CIDR
• 選擇 GCP subnetworks
6. 確認 VPN Tunnel 狀態
步驟五設定好的之後存檔,等約五到十分鐘,確認連線狀態,順利的話狀態如下圖:
GCP VPN Tunnels:
AWS VPN Connection:
7. 測試
兩邊機器相互 ping,順利狀態如下:
GCP to AWS:
AWS to GCP:
Troubleshooting
過程中如果有問題,可以依序檢查以下的設定:
• AWS:
• VPN Tunnel Status
• Route Table
• Network ACLs
• Security Groups: 可以先開 0.0.0.0/0
• GCP
• VPN Tunnel Status
• Firewall Rules: 增加 0.0.0.0/0 icmp 掛到 VM instance
結論
本文整理如何用 VPN 串接 GCP / AWS 的 VPC,確認技術的可行性,實際上的應用要考慮的更多。
現在 SaaS 越來越流行,很多人會以為 IaaS 不重要,或者忽略。但是企業整體營運還是要面對 IT 基礎設施 (Infrastructure),而最根本的就是 Network Topology 的問題,這些問題包含了 1) 規劃、2) 可控性、3) 執行政策 三個面向,本質上是沒有改變,不會因此而 NoOps。用生活的例子來說:
1. 規劃:公路要先規劃有哪些主幹線、支線,哪些主幹道中哪一些會交錯?
2. 可控性:這些道路可否管控流量?閘道?紅綠燈?單行道?紅綠燈多遠距離設計一個?
3. 執行政策:哪些車可以上快速道路?假日車流如何疏導?活動如何管制車輛?罰款如何?酒駕怎麼辦?
交通建設的技術,會隨時代改變、進步,但是這三個問題不會隨著技術前進而消失,而是會轉化成其他的形式。
會使用 Hybrid Cloud 通常都是要把服務從既有的 Data Center 搬到 Cloud 的中、大型企業,當把服務搬到 Cloud 時,勢必都需要考慮原本的網路和 Cloud Networking 的整合與串接,串好後就會面臨前面提的三個問題。更多相關的經驗,請參考:Plan and Design Multiple VPCs in Different Regions 的分享,未來有機會再整理 GCP VPC Networking 規劃心得。
延伸閱讀
• Experience GCP
• Compare GCP VPC Network with AWS
• Plan and Design Multiple VPCs in Different Regions
• Ops as Code using Serverless
參考資料
• Automated Network Deployment: Building a VPN Between GCP and AWS
• AWS Managed VPN Connections
(本文來自合作部落客 Rick:Complete Think,GCP 專門家授權轉載。)
