Configurei VPN site-to-site redundante entre AWS e GCP com 2 conexões VPN, 4 túneis e roteamento dinâmico BGP. Tudo funciona, tudo bem, os servidores de ambos os lados dos túneis podem se comunicar.
Fiz isso usando o Terraform e se do lado do GCP configurei o anúncio de todas as sub-redes:
name = "gcp-to-aws-router"
project = google_project.aws_gcp_test.project_id
region = var.gcp_region
network = google_compute_network.gcp_aws_vpc.name
bgp {
asn = var.gcp_bgp_asn
advertise_mode = "CUSTOM"
advertised_groups = ["ALL_SUBNETS"]
}
então, na AWS, não fiz nada específico para anunciar rotas, apenas habilitei a propagação de rotas em uma tabela de roteamento onde meu servidor está localizado. Não adicionei explicitamente nenhuma rota nem anunciei sub-redes usadas em ambos os lados do túnel pelos meus servidores. Ativei apenas a propagação de roteamento no lado da AWS.
resource "aws_vpn_gateway_route_propagation" "this" {
vpn_gateway_id = aws_vpn_gateway.aws_vpg.id
route_table_id = aws_route.internet_gw_route.route_table_id
}
Aqui
- https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html
- https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-configure-route-tables
a documentação afirma que:
Você pode ativar a propagação de rotas para sua tabela de rotas para propagar automaticamente suas rotas de rede para a tabela para você. Nada sobre propaganda de rotas locais para BGP.
Não consigo entender como as rotas da AWS estão terminando no lado do GCP. Como isso funciona? :)
Muito obrigado!
Responder1
Quando você conecta um Virtual Private Gateway (VGW) ao seu VPC e tem uma VPN dinâmica (aquela que usa BGP), a AWS anunciará todos os CIDRs do VPC ao seu Customer Gateway (CGW).
A AWS anuncia VPC CIDR e não rotas de uma tabela de rotas individual.
Se sua VPC tiver CIDR 10.10.0.0/16, seu CGW obterá esse CIDR conforme rota anunciada.
Como você pode ter até 5 CIDRs configurados em sua VPC, sempre que você adicionar um novo CIDR, a AWS também o anunciará.