我们在EC2 classic上有我们的生产环境,并且我们在托pipe托pipe环境中的某些服务器上有租约。 我们希望将后端服务的一部分放入数据中心,但应用程序中没有内置安全性,因此我们需要依赖专用networking和VPN。 一旦我们迁移到VPC,我认为这会更容易,因为AWS已经提供了这种服务,但我们还没有。
EC2 Classic将所有实例放入10.0.0.0/8。 我们的数据中心在这个范围内也有一个子网,但是我怀疑我们可以改变这个。 数据中心有两台路由器可以连接IPSEC VPN。
在数据中心运行的服务需要能够发起到EC2中的服务的连接,并且还能够接收由EC2中的服务发起的连接。
我确信,如果我们在数据中心的服务只需要启动到EC2服务的连接,那么只需在EC2中为数据中心的路由器build立VPN端点即可连接,使用不同的子网,最后通过VPN将所有连接路由到10.0.0.0/8。
对于另一个方向,在所有需要启动到数据中心服务的连接的EC2实例上configuration额外路由是否最好?
您需要将您的实例放入Amazon VPC中,并将Amazon称为与您的数据中心“硬件连接”。 有两种情况: http : //docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenarios.html我不会复制粘贴文档已经说过的,因为它非常具有描述性。
scheme3和4与您的使用案例相关。
为您的具体问题
您可以使用'Endian'或pfSense来创buildIPSec站点到站点VPN。 两者都有很小的占用空间,并且易于configuration好的文档甚至video教程。