从 AWS Classic VPN 迁移到 AWS VPN - AWS 站点到站点 VPN

从 AWS Classic VPN 迁移到 AWS VPN

如果现有的 Site-to-Site VPN 连接是 AWS Classic VPN 连接,则您可以迁移到 AWS VPN 连接。您可以直接迁移到新的虚拟私有网关(选项 1),也可以使用中转网关(选项 2)进行迁移。在针对选项 1 的过程中,当您从 VPC 中分离旧虚拟私有网关时,您的站点到站点 VPN 连接会暂时中断。在针对选项 2 的过程中,您的站点到站点 VPN 连接不会中断,但您将产生额外的中转网关费用

如果您使用 AWS Classic VPN 连接作为 AWS Direct Connect 连接的备份,则可以删除并重新创建 Site-to-Site VPN 连接(选项 3)。在针对选项 3 的过程中,AWS Direct Connect 私有虚拟接口无停机时间。

如果现有的虚拟私有网关与多个站点到站点 VPN 连接关联,则必须为新的虚拟私有网关重新创建各自的站点到站点 VPN 连接。如果有多个 AWS Direct Connect 专用虚拟接口连接到虚拟专用网关,您必须为新的虚拟专用网关重新创建各自的专用虚拟接口。有关更多信息,请参阅 AWS Direct Connect 用户指南中的创建虚拟接口

如果现有的 Site-to-Site VPN 连接是 AWS VPN 连接,则您无法迁移到 AWS Classic VPN 连接。

选项 1:直接迁移到新的虚拟私有网关

如果选择此选项,则将创建新的虚拟私有网关和站点到站点 VPN 连接,将旧的虚拟私有网关与 VPC 分离,然后将新的虚拟私有网关附加到 VPC。

注意

在此过程中,如果您禁用路由传播并将旧的虚拟私有网关与 VPC 分离,则通过当前站点到站点 VPN 连接进行的连接会中断。当新的虚拟私有网关附加到 VPC 并且新的站点到站点 VPN 连接处于活动状态时,将会恢复连接。确保您为预期的停机时间做了计划。

迁移到 AWS VPN 连接

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,依次选择 Virtual Private Gateways (虚拟专用网关)Create Virtual Private Gateway (创建虚拟专用网关),然后创建虚拟专用网关。

  3. 在导航窗格中,依次选择站点到站点 VPN 连接创建 VPN 连接。指定以下信息,然后选择 Yes, Create

    • Virtual Private Gateway:选择您在上一步中创建的虚拟专用网关。

    • 客户网关:选择现有,然后选择当前 AWS Classic VPN 连接的现有客户网关。

    • 根据需要指定路由选项。

  4. 选择新的站点到站点 VPN 连接,然后选择下载配置。为您的客户网关设备下载适当的配置文件。

  5. 使用配置文件在客户网关设备上配置 VPN 隧道。有关更多信息,请参阅客户网关设备。还不要启用隧道。如果需要一直禁用新配置的隧道,请与供应商联系获得指导。

  6. (可选) 创建测试 VPC 并将虚拟专用网关连接到测试 VPC。根据需要更改加密域/源目标地址,并测试从本地网络中的主机到测试 VPC 中的测试实例的连接性。

  7. 如果您正在对路由表使用路由传播,请在导航窗格中选择 Route Tables。为您的 VPC 选择路由表,然后依次选择 Route Propagation (路由传播)Edit route propagation (编辑路由传播)。清除旧的虚拟专用网关的复选框,然后选择保存

    注意

    从此步骤开始,连接将中断,直到附加了新的虚拟私有网关,并且新的站点到站点 VPN 连接处于活动状态为止。

  8. 在导航窗格中,选择 Virtual Private Gateways。选择旧的虚拟专用网关,然后依次选择 Actions (操作)Detach from VPC (与 VPC 分离)Yes, Detach (是,分离)。选择新的虚拟专用网关,然后选择操作附加到 VPC。为您的站点到站点 VPN 连接指定 VPC,然后选择是,请附加

  9. 在导航窗格中,选择 Route Tables。为您的 VPC 选择路由表,然后执行下列操作之一:

    • 如果您正在使用路由传播,请依次选择 Route Propagation (路由传播)Edit route propagation (编辑路由传播)。选中与 VPC 连接的新虚拟私有网关对应的复选框,然后选择 Save (保存)

    • 如果您正在使用静态路由,请依次选择 RoutesEdit。将路由修改为指向新的虚拟专用网关,然后选择 Save

  10. 在客户网关设备上启用新隧道,并禁用旧隧道。要开启隧道,则必须从本地网络启动连接。

    请检查路由表以确保路由正被传播 (如果适用)。当 VPN 隧道的状态为 UP 时,路由会传播到路由表。

    注意

    如果需要恢复到以前的配置,请断开新的虚拟专用网关,然后执行步骤 8 和 9 以重新连接旧的虚拟专用网关并更新您的路由。

  11. 如果您不再需要 AWS Classic VPN 连接,并且不想继续为其付费,请从客户网关设备中删除以前的隧道配置,然后删除 Site-to-Site VPN 连接。要执行此操作,请转到站点到站点 VPN 连接,选择站点到站点 VPN 连接,然后选择删除

    重要

    删除 AWS Classic VPN 连接后,便不能将新的 AWS VPN 连接恢复为或迁移回 AWS Classic VPN 连接。

选项 2:使用中转网关进行迁移

如果选择此选项,则将创建中转网关,将它附加到站点到站点 VPN 连接所在的 VPC,然后使用现有客户网关在中转网关上创建临时站点到站点 VPN 连接。然后,当您在新的虚拟私有网关上配置新的站点到站点 VPN 连接时,可以通过中转网关 VPN 连接来路由流量。

或者,您可以使用此选项将站点到站点 VPN 连接直接迁移到中转网关。在此情况下,您可以在中转网关上创建新的 VPN 连接,而不是在新的虚拟私有网关上创建它。

步骤 1:创建中转网关和 VPN 连接

创建中转网关和 VPN 连接

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择中转网关创建中转网关,然后使用默认选项创建中转网关。

  3. 在导航窗格中,选择 Transit Gateway Attachments (中转网关连接)Create Transit Gateway Attachment (创建中转网关连接)。指定以下信息,然后选择 Create (创建)

    • 对于中转网关 ID,选择您创建的中转网关。

    • 对于 VPC ID,选择要附加到中转网关的 VPC。

  4. 再次选择 Create Transit Gateway Attachment (创建中转网关连接),指定以下信息,然后选择 Create attachment (创建连接)

    • 对于中转网关 ID,选择您创建的中转网关。

    • 对于 Attachment type (挂载类型),选择 VPN

    • 对于客户网关 ID,请为现有站点到站点 VPN 连接选择客户网关,然后选择所需的路由选项。

步骤 2:创建新的虚拟私有网关

创建新的虚拟私有网关和新的站点到站点 VPN 连接。仅当您要迁移到新的虚拟私有网关时,才需要执行此步骤。如果要将 VPN 连接迁移到中转网关,则可以跳过这些步骤并直接转到步骤 3

创建新的站点到站点 VPN 连接

  1. 在导航窗格中,选择 Virtual Private Gateways (虚拟私有网关)Create Virtual Private Gateway (创建虚拟私有网关),然后创建新的虚拟私有网关。

  2. 在导航窗格中,依次选择站点到站点 VPN 连接创建 VPN 连接

  3. 对于 Virtual Private Gateway (虚拟私有网关),选择您创建的虚拟私有网关。

  4. 对于客户网关 ID,选择现有站点到站点 VPN 连接的现有客户网关,然后指定路由类型。选择 Create VPN Connection (创建 VPN 连接)

  5. 选择新的站点到站点 VPN 连接,然后选择下载配置以下载示例配置文件。在客户网关设备上配置 VPN 连接,但不要路由任何流量(不要创建任何静态路由或筛选出 BGP 公告)。

步骤 3:切换到新的 VPN 连接

在此过程中,当您将流量依次切换到中转网关和新的站点到站点 VPN 连接时,您将暂时为 VPN 流量启用非对称路由。

切换到新的站点到站点 VPN 连接

  1. 将您的客户网关设备配置为使用中转网关上的 VPN 连接(根据需要指定静态路由或允许 BGP 公告)。这将启动非对称流量路由。

  2. 在导航窗格中,选择 Route Tables (路由表),再为您的 VPC 选择路由表,然后依次选择 Actions (操作)Edit routes (编辑路由)

  3. 添加指向本地网络的路由,然后选择中转网关作为目标。对于目标路由,输入更具体的路由,例如,如果您的本地网络为 10.0.0.0/16,则创建两个路由,二者分别指向 10.0.0.0/1710.0.128.0/17。非对称流量路由将停止,所有流量都通过中转网关进行路由。

    注意

    如果您将 VPN 连接迁移到中转网关而不是新的虚拟私有网关,则可以在此处停止操作。

  4. 在导航窗格中,选择 Virtual Private Gateways

  5. 选择连接到 VPC 的旧虚拟私有网关,然后依次选择 Actions (操作)Detach from VPC (从 VPC 中分离)。选择 Yes, Detach

  6. 选择您之前创建的新虚拟私有网关,然后选择 Actions (操作)Attach to VPC (连接到 VPC)。选择您的 VPC,然后选择 Yes, Attach (是,连接)

  7. 在导航窗格中,选择 Route Tables。为您的 VPC 选择路由表,然后依次选择 Route Propagation (路由传播)Edit route propagation (编辑路由传播)。选中新的虚拟私有网关的复选框,然后选择 Save (保存)。验证路由是否传播到 VPC 路由表。

  8. 将客户网关设备配置为使用新的虚拟私有网关,并使用静态路由或 BGP 将流量从本地网络路由到 VPC。这将启动非对称路由。

  9. 在导航窗格中,选择 Route Tables。为您的 VPC 选择路由表,然后依次选择 Actions (操作)Edit routes (编辑路由)。删除通往中转网关的更特定的路由。这将停止非对称流量流,并且所有流量都会通过新的站点到站点 VPN 连接进行路由。

步骤 4:清除

如果您不再需要 AWS Classic VPN 连接,则可以将其删除。如果已迁移到新的虚拟私有网关,则还可以删除中转网关 VPN 连接以及您为迁移创建的中转网关。

清除 资源

  1. 在客户网关设备上,删除中转网关上的临时 VPN 连接的配置以及旧 VPN 连接的配置。

  2. 在导航窗格中,选择站点到站点 VPN 连接,再选择您的旧站点到站点 VPN 连接,然后依次选择操作删除

  3. 在导航窗格中,选择 Virtual Private Gateways (虚拟私有网关),再选择您的旧虚拟私有网关,然后依次选择 Actions (操作)Delete Virtual Private Gateway (删除虚拟私有网关)。如果您已将 VPN 连接迁移到中转网关,则可以在此处停止操作。

  4. 在导航窗格中,选择站点到站点 VPN 连接,然后选择中转网关 VPN 连接。依次选择 ActionsDelete

  5. 在导航窗格中,选择 Transit Gateway Attachments (中转网关连接),然后选择 VPC 连接。依次选择 ActionsDelete

  6. 在导航窗格中,选择中转网关,然后选择您的中转网关。依次选择 ActionsDelete

选项 3:(备份 AWS Direct Connect 的 VPN 连接)删除并重新创建 VPN 连接

如果您在同一虚拟私有网关上有 AWS Direct Connect 连接和 AWS Classic VPN 连接,并且您使用 VPN 连接作为 AWS Direct Connect 连接的备份,请使用此选项。在此选项中,您可以删除虚拟私有网关上现有的 AWS Classic VPN 连接。如果 AWS Classic VPN 连接处于 deleted 状态,则您可以通过在新的虚拟私有网关上创建新的 VPN 连接来迁移到 AWS VPN 连接。您无需对现有的 AWS Direct Connect 私有虚拟接口进行任何更改。

重要

在此过程中,通过 AWS Direct Connect 私有虚拟接口的连接不会中断,但您将无法通过 Site-to-Site VPN 连接进行任何连接(零停机时间和冗余损失)。在虚拟私有网关上重新创建 VPN 连接时,将恢复通过 VPN 连接建立的连接。确保您已针对此冗余损失制定计划。

删除 AWS Classic VPN 连接后,便不能将新的 AWS VPN 连接恢复为或迁移回 AWS Classic VPN 连接。

迁移到 AWS VPN 连接

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Site-to-Site VPN Connections (Site-to-Site VPN 连接),然后选择 AWS Classic VPN 连接。依次选择 ActionsDelete

  3. 从客户网关设备中删除以前的隧道配置。

  4. 重复前面的两个步骤,直到删除虚拟私有网关的所有现有 AWS Classic VPN 连接。等待 VPN 连接进入 deleted 状态。

  5. 选择 Create VPN Connection (创建 VPN 连接)。指定以下信息,然后选择 Create VPN Connection (创建 VPN 连接)

    • Virtual Private Gateway (虚拟私有网关):选择用于 AWS Classic VPN 连接的虚拟私有网关。

    • 客户网关:选择现有,然后选择当前 AWS Classic VPN 连接的现有客户网关。

    • 根据需要指定路由选项。

  6. 选择新的站点到站点 VPN 连接,然后选择下载配置。为您的客户网关设备下载适当的配置文件。

  7. 使用配置文件在客户网关设备上配置 VPN 隧道。有关更多信息,请参阅客户网关设备

  8. 在客户网关设备上启用新的隧道。要开启隧道,您必须从本地网络启动连接。

请检查路由表以确保路由正被传播(如果适用)。当 VPN 隧道的状态为 UP 时,路由会传播到路由表。