这一切都在 AWS VPC 环境中。
我们有一台旧的 Ubuntu 12.04 机器,运行 OpenSwan,它管理着一堆 VPN 连接。到目前为止,它对我们来说运行良好,但 12.04 不再受支持,OpenSwan 已停产,因此我们想迁移到 18.04 和 LibreSwan(我们知道它们应该基本兼容)。
我的问题是,我们有哪些选择可以做到这一点,同时最大程度地减少停机时间,并且无需与所有这些连接的其他方进行协调?
理论上,我可以构建盒子,复制配置并在某个时候翻转虚拟 IP,但这听起来......如果没有大量停机时间就不太可能正常工作。
理想情况下,我希望每次只将一个源路由到新盒子,然后每次迁移一点,边走边测试。但我不知道我需要在 VPC 或其他级别执行什么路由魔法才能实现这一点。据我所知,AWS 虚拟公共 IP 每次只能属于一台机器,因此不确定如何将所有流量从其他网关之一路由到新盒子,同时将其余流量保留在旧盒子上。
一个简化方法是所有私有流量都停留在这个主机上。也就是说,我们不会通过这个盒子路由流量,而是这个盒子在内部处理所有私有流量。所以我认为这是一种简化方法。
当然,我不是第一个遇到这个问题的人,这样的 ipsec 迁移是如何完成的?