Открыть сервис

AWS Site-to-Site VPN

AWS Site-to-Site VPN — это управляемый облачный сервис, предоставляемый Amazon Web Services (AWS), который позволяет устанавливать защищённое сетевое соединение между локальной инфраструктурой организации (например, корпоративной сетью или дата-центром) и виртуальным частным облаком (VPC) в AWS через общедоступный интернет. Сервис основан на протоколах IPsec (Internet Protocol Security) и обеспечивает шифрование и аутентификацию трафика, проходящего между двумя сторонами.

Архитектура и компоненты

AWS Site-to-Site VPN состоит из нескольких ключевых элементов, которые взаимодействуют для создания туннеля.

Виртуальный частный шлюз (Virtual Private Gateway, VGW)

Виртуальный частный шлюз — это логический объект на стороне AWS, который подключается к VPC. Он выступает в качестве конечной точки VPN-туннеля со стороны облака. VGW может быть привязан только к одному VPC, но поддерживает одновременное подключение нескольких VPN-соединений от разных локальных сетей. После создания VGW его необходимо прикрепить к целевому VPC.

Транзитный шлюз (Transit Gateway, TGW)

В более сложных архитектурах, где требуется подключение нескольких VPC или гибридных сетей, вместо VGW может использоваться транзитный шлюз. TGW выступает как центральный маршрутизатор, к которому можно подключать VPN-туннели, VPC и локальные сети. Это позволяет масштабировать соединение на множество VPC без необходимости создавать отдельные VPN-подключения для каждого из них.

Клиентское устройство (Customer Gateway, CGW)

Клиентское устройство — это физический или программный маршрутизатор (например, Cisco ASA, Juniper SRX, pfSense, MikroTik или программный VPN-клиент), расположенный в локальной сети организации. В AWS создаётся объект Customer Gateway, который описывает параметры этого устройства: публичный IP-адрес (статический или динамический с использованием FQDN), тип туннеля (маршрутизируемый или статический) и поддерживаемые алгоритмы шифрования. Фактически, CGW — это конфигурационный ресурс, который задаёт параметры удалённой стороны.

VPN-соединение (VPN Connection)

VPN-соединение — это логическая связь между VGW (или TGW) и CGW. При его создании AWS автоматически генерирует два туннеля (первичный и резервный) для обеспечения высокой доступности. Каждый туннель использует отдельный публичный IP-адрес со стороны AWS и уникальный предварительный ключ (pre-shared key, PSK). Конфигурация для каждого туннеля предоставляется в виде файла или текстового блока, совместимого с большинством популярных производителей сетевого оборудования.

Установка и настройка

Процесс настройки AWS Site-to-Site VPN включает несколько шагов:

  1. Создание виртуального частного шлюза (VGW) в регионе AWS и прикрепление его к VPC.
  2. Создание объекта Customer Gateway (CGW) с указанием публичного IP-адреса локального маршрутизатора и других параметров.
  3. Создание VPN-соединения, которое связывает VGW и CGW. На этом этапе AWS генерирует конфигурационные данные для двух туннелей.
  4. Настройка локального маршрутизатора в соответствии с предоставленной конфигурацией: установка IPsec-параметров (IKE версия, алгоритмы шифрования и аутентификации, время жизни ключей), настройка туннельных интерфейсов и маршрутизации.
  5. Настройка таблиц маршрутизации в VPC: добавление статических маршрутов для локальной сети (например, 10.0.0.0/8) с указанием VGW в качестве шлюза. Аналогично на локальном маршрутизаторе прописываются маршруты для подсетей VPC (например, 172.31.0.0/16) через туннельные интерфейсы.
  6. Проверка соединения: после завершения настройки туннели должны перейти в состояние «UP». Тестирование выполняется с помощью ping или traceroute между ресурсами в VPC и локальной сети.

Протоколы и безопасность

AWS Site-to-Site VPN использует стандартный протокол IPsec в режиме туннеля (tunnel mode). Поддерживаются две версии протокола IKE (Internet Key Exchange):

Для шифрования трафика AWS поддерживает алгоритмы AES-128, AES-256, а также 3DES (устаревший). Для аутентификации используется HMAC-SHA1, HMAC-SHA256, HMAC-SHA384 или HMAC-SHA512. В качестве метода аутентификации применяется предварительный ключ (PSK) или сертификаты (при использовании AWS Certificate Manager Private CA). По умолчанию каждый туннель использует уникальный PSK длиной 32 символа.

Для обеспечения высокой доступности AWS создаёт два туннеля с разными IP-адресами. Если один из туннелей выходит из строя (например, из-за проблем с интернет-провайдером или сбоя на оборудовании), трафик автоматически перенаправляется на второй туннель. Время переключения обычно составляет от нескольких секунд до минуты.

Маршрутизация

AWS Site-to-Site VPN поддерживает два режима маршрутизации:

Производительность и ограничения

Максимальная пропускная способность одного VPN-туннеля зависит от типа шлюза:

Ограничения включают:

Стоимость

AWS Site-to-Site VPN тарифицируется по нескольким компонентам:

Варианты использования

AWS Site-to-Site VPN применяется в следующих сценариях:

Альтернативы и сравнение

AWS предлагает несколько альтернативных способов подключения локальной сети к облаку:

По сравнению с Direct Connect, Site-to-Site VPN дешевле и быстрее разворачивается, но имеет более высокую задержку и меньшую пропускную способность. Для критически важных приложений часто используется комбинированная архитектура: Direct Connect в качестве основного канала, а VPN — как резервный.

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →