我们的生产环境在 EC2 classic 上,并且我们在托管环境中租用了一些服务器。我们希望将部分后端服务放在数据中心,但应用程序尚未内置安全性,因此我们需要依赖私有网络和 VPN。我认为一旦我们迁移到 VPC,这将变得更容易,因为 AWS 已经提供了这种服务,但我们还没有做到这一点。
网络描述
EC2 Classic 将所有实例放在 10.0.0.0/8 中。我们的数据中心也有一个子网在该范围内,但我想我们可以改变这一点。数据中心有两个路由器可以连接 IPSEC VPN。
服务说明
数据中心内运行的服务需要能够发起与 EC2 中的服务的连接,并且也能接收 EC2 中的服务发起的连接。
想法
我确信,如果我们数据中心的服务只需要发起与 EC2 中的服务的连接,那么只需在 EC2 中设置 VPN 端点,供数据中心的路由器连接,使用数据中心中的不同子网,最后通过 VPN 将所有连接路由到 10.0.0.0/8。
对于另一个方向,最好的选择是在需要启动与数据中心服务的连接的所有 EC2 实例上配置额外的路由吗?
答案1
您需要将实例放入 Amazon VPC 中,Amazon 称之为与您的数据中心的“硬件连接”。有两种情况: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenarios.html我不会复制粘贴文档中已经的内容,因为它已经非常详细了。
场景 3 和 4 与您的用例相关。
对于您的具体问题
- 网络描述:是的,您可以更改 VPC 所在的 IP 范围
- 服务描述:一旦您在 VPC 和数据中心之间设置 VPN 连接,即可实现此功能
- “在所有 EC2 实例上配置额外路由是最佳选择吗?” - 您将在您的 VPC 子网中为此配置一个路由表,该路由表将通过 VPN 连接路由到您的数据中心的流量。
答案2
您可以使用“Endian”或 pfSense 创建 IPSec 站点到站点 VPN。两者都占用空间小,易于配置,并且有良好的文档甚至视频教程。