我正在尝试连接两个AWS区域。 AWS的文档build议启动一个双方的实例来运行软件IPSec(OpenSWAN或StrongSWAN),为这两个实例提供一个弹性IP并将其用作隧道。 这一切都很好,但现在我们双方都有一个单一的失败点。
AWS在七月份发布了VPC连接指南 ,详细介绍了将两个VPC连接在一起的可能选项。 我已经将该PDF深入链接到了第15页,其中解释了选项。
它列出的每个选项都有明显的缺点,因为在大多数情况下,所有的stream量都是通过一个单独的(可被破坏的)实例。 到目前为止,似乎最好的select是在一侧使用软件隧道,而在另一侧使用虚拟专用网关。 他们说,至less你会在一方面得到冗余。 这似乎还不是最理想的。
有没有办法将两个虚拟专用网关连接在一起,这样我就可以两全其美了 – 亚马逊pipe理的冗余以及在VPCconfiguration中保留所有这一切的简单性? 还是VGW本质上是客户端?
不,目前没有办法在不同地区连接两个虚拟专用网关。 我确定这是一个function,因为VPC对等可用于单个地区的VPC。
对于“您负责为所有VPN端点(如果需要)实施HA解决scheme”,我在之前的回答中讨论了处理VPN / NAT实例故障的各种技术。 最近,我正在和一位同事进行交谈,他不仅设置了一个带有自动缩放和脚本function的全网状VPN来重新设置失败的VPN / NAT实例,而且还有其他脚本修改了VPC路由表,以便通过不同的AZ来立即接pipe路由直到失败的VPN / NAT实例完成重生。 一旦VPC / NAT实例启动并重新连接ENI,它们也会失败。 在github上有很多“NAT监视器”脚本来做类似的事情。 还有一篇描述这个过程的AWS文章 。
体面的高可用性? 是。 简单的configuration? 不幸的是,不。