Ich habe eine Gruppe von AWS-Webservern, die TCP über ein VPN mit einem Drittanbieter initiieren und kommunizieren müssen. Fragen Sie mich nicht, warum ein VPN die bevorzugte Lösung des Drittanbieters ist; das liegt nicht in meiner Hand. Die einzelnen Server innerhalb der Gruppe bleiben nicht bestehen; sie werden mit Releases hoch- und heruntergefahren. Der Drittanbieter benötigt unterdessen unter anderem statische IPs.
Die allgemeine Idee besteht darin, einen Gateway-Server (oder realistischer gesagt mehrere Gateway-Server, damit er unseren Release-Zyklus verarbeiten kann) als VPN-Clients einzurichten und das VPN dort zu beenden. Unsere Webserver würden nur von den VPN-Gateway-Servern wissen; die Server von Drittanbietern würden nur von den Gateway-Servern wissen; die Gateway-Server leiten alles entsprechend weiter und senden es je nach Bedarf über das VPN oder einfaches TCP.
Die Frage ist natürlich, wie man das Relay am besten handhabt. Der Gateway-Server wird Ubuntu 12.04 oder 14.04 sein. Ich hoffe, dass ich das mit UFW und OpenVPN handhaben kann – UFW kümmert sich um die IP-Umleitung und die Weiterleitung an die entsprechenden Schnittstellen, während OpenVPN im Wesentlichen eine Netzwerkschnittstelle umhüllt. Ist das ein realistisches Schema?
Antwort1
Der richtige Weg hierfür ist die Verwendung einesAmazon VPCund starten Sie Ihre Instanzen darin unter Verwendung privater Adressen – die vollständige Einrichtungsprozedur liegt außerhalb des Umfangs einer ServerFault-Antwort, aber Ihr VPC wird ein gesperrter Bereich von Amazon sein.
Sie können Ihre Instanzen optional mit öffentlichen IP-Adressen einrichten, wenn die Server öffentlich zugänglich sein müssen, in Ihrer Frage wird die öffentliche Zugänglichkeit jedoch nicht erwähnt.
Sobald Sie ein VPC eingerichtet haben, können SieAmazons VPN-Konnektivitätum den Router des Drittanbieters direkt mit dem Amazon VPC zu verbinden und den gesamten Datenverkehr für die Subnetze Ihres VPC statisch über den Tunnel zu leiten.