fr
Non classifié(e)

Comment établir une connexion VPN hautement disponible entre AWS et GCP

Dans cet article, je vais expliquer comment configurer une connexion VPN hautement disponible entre GCP et AWS avec propagation de route dynamique via BGP. AWS ne prend pas en charge plusieurs adresses IP sur une seule passerelle client, par conséquent 4 tunnels sont nécessaires pour faire fonctionner cette configuration.

Dans l’ensemble, la configuration peut être résumée comme suit:

1) (Facultatif) Créez un réseau VPC sur Google Cloud

Nous allons commencer par créer un réseau VPC sur Google Cloud. Vous pouvez ignorer cette étape si vous avez déjà un VPC ou si vous souhaitez utiliser celui par défaut. Nous allons également créer un réseau avec la plage IP 10.0.1.0/24 dans la région us-east.

a) Allez à Networking > VPC Network > VPC networks > Create VPC Network.


2) Créez un router cloud

a) Allez à Networking > Hybrid Connectivity > Cloud Routers > Create router.

3) Commencez à créer le VPN du côté GCP

a) Allez à Networking > Hybrid Connectivity > VPN > Create VPN connection. Sélectionnez High-Availability (HA) VPN

b) Saisissez un nom de passerelle et sélectionnez le réseau vpc et la région.

c) Voud devez cliquer sur CANCEL quand vous arrivez à l’étape 2, parce qu’il faut créer les composantes AWS en premier. Notez les 2 adresses IP attribuées à la passerelle VPN. Elles sont également disponibles sous VPN Connection > VPN gateways.

4) (Facultatif) Créez un réseau VPC sur AWS

Nous allons également créer un réseau VPC sur AWS. Vous pouvez ignorer cette étape si vous disposez déjà d’un VPC ou si vous prévoyez utiliser celui par défaut. Nous allons créer un réseau avec la plage IP 10.0.2.0/24 dans la région us-east.

a) Allez à VPC -> Launch VPC Wizard > VPC with a single public subnet et entrez le nom du vpc, réseau, et plage IP.

5) Créez une passerelle privée virtuelle AWS

a) Sur AWS, allez à VPC > Virtual Private Gateways > Create Virtual Private Gateway

b) Puis cliquez sur Actions > Attach to VPC et sélectionnez le VPC qui va être utilisé pour la connexion VPN.

6) Créez 2 passerelles client AWS

a) Sur AWS, allez à VPC > Customer Gateways > Create Customer Gateway

Vous devez créer une passerelle client par adresse IP donnée à l’étape 3c)

7) Créez 2 connexions VPN AWS

a) Sur AWS, allez à VPC > Site-to-Site VPN Connections > Create VPN Connection

Il doit y avoir une connexion VPN entre chaque passerelle client et la passerelle privée virtuelle, donc 2 connexions VPN sont requises.

b) Sur AWS, allez à VPC > Site-to-Site VPN Connections, vous devez prendre en note les détails du tunnel de chaque connexion (4 au total).

c) Dans VPC > Site-to-Site VPN Connections, cliquez sur Download Configuration et prenez en note les 4 clés pré-partagées

8) Créez les tunnels VPN sur Google Cloud

a) Cliquez Add VPN tunnel sous Networking > Hybrid Connectivity > VPN > VPN gateways.

b) Sélectionnez Non-Google Cloud and cliquez sur Create new peer VPN gateway

c) Entrer les 4 addresses IP externes de l’étape 7b)

d) Sélectionner Create 4 VPN tunnels (Required to connect to AWS) et sélectionner le router crée lors de l’étape 2a)

e) Configurer chaque tunnel avec la bonne clé pré-partagée, puis cliquer sur Create & continue

Tunnel 1 – Interface 0 à interface 0 – Version d’IKE: IKEv2
Tunnel 2 – Interface 0 à interface 1– Version d’IKE: IKEv2
Tunnel 3 – Interface 1 à interface 2 – Version d’IKE: IKEv2
Tunnel 4 – Interface 1 à interface 3 – Version d’IKE: IKEv2

9) Configurer les sessions BGP

Si le CIDR interne de l’étape step 7b) est 169.254.100.200,
– l’IP BGP du router est 169.254.100.202 (ajouter 2 au dernier chiffre)
– l’IP BGP du pair est 169.254.100.201 (ajouter 1 au dernier chiffre)
– Le Pair ASN est 64512, sauf si un ASN personnalisé a été sélectionné à l’étape step 5a)

a) Enter les valeurs pour les sessions BGP. Dans notre exemple, les valeurs sont de:

Tunnel BGP 1 — CIDR Interne 169.254.223.32/30
IP BGP du router est 169.254.223.34
IP BGP du pair est 169.254.223.33

Tunnel BGP 2 — CIDR Interne 169.254.10.104/30
IP BGP du router est 169.254.10.106
IP BGP du pair est 169.254.10.105

Tunnel BGP 3 — CIDR Interne 169.254.183.228/30
IP BGP du router est 169.254.183.230
IP BGP du pair est 169.254.183.229

Tunnel BGP 4 — CIDR Interne 169.254.67.212/30
IP BGP du router est 169.254.67.214
IP BGP du pair est 169.254.67.213

b) Enregistrez la configuration. Les ressources VPN devraient commencer à être allouer.

10) Activer la propagation des routes sur AWS

a) Dans VPC > Route Tables, sélectionnez chaque table de routage et cliquez sur Actions > Edit route propagation afin d’activer la propagation de route.

Si cela est fait correctement, le réseau GCP (i.e. 10.0.1.0/24) devrait apparaître comme cible sous la passerelle privée virtuelle (vgw-…) et avoir ses routes propagées

11) Autoriser le trafic VPN à travers le pare-feu

a) Sur AWS, assurez-vous que la table de routage (VPC > Route tables) autorise le traffic de GCP.

b) Sur AWS, assurez-vous que le groupe de sécurité autorise également le trafic provenant de GCP.

c) Sur GCP, ajouter une règle de pare-feu (Networking > VPC Networks > Firewall Rules) pour autoriser le trafic en provenance et à destination de AWS.

Vous devriez maintenant disposer d’une connexion VPN hautement disponible entre GCP et AWS et vous devriez pouvoir exécuter des requêtes ping sur la connexion VPN.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *