QQ咨询
阿里旺旺
#skype#
在 AWS VPC 和客户网络之间创建 IPSec VPN 连接
对于包含托管服务计划的 Creative Cloud,Adobe 将在最靠近客户实际位置的数据中心为客户设置专用实例。
所有托管服务(包括存储)都在一个 Amazon 虚拟私有云 (VPC) 中运行,该 VPC 可在专用于单个企业客户的客户定义的虚拟专用网 (VPN) 中进行隔离。Amazon VPC 可配置为在客户的企业网络内运行,因此 Amazon VPC 中的每台计算机都将分配有一个专用 IP 地址。在此配置中,Amazon VPC 将连接到使用 IPsec 隧道的企业网络,因此 HTTPS 请求可通过安全的隧道(而不是 Internet)从企业网络发送到 Amazon VPC。
有关详细信息,请参阅 Creative Cloud 企业版安全性概述。
Amazon 虚拟私有云 (VPC) 根据您的网络设计和要求提供了多个网络连接选项。您可选择使用 Internet 或 Amazon Web Services (AWS) Direct Connect 连接作为您的主干网络。使您的连接在 AWS 或用户管理的网络端点终止。借助 AWS,您可指定如何利用 AWS 或用户管理的网络设备和路由实现 Amazon VPC 和您所用网络之间的网络路由。您只能使用 Adobe 已提供的 AWS。本文将重点介绍硬件 VPN 连接选项。
您可通过 Internet 在您的远程网络和 Amazon VPC 之间创建基于硬件的 IPsec VPN 连接。
使用基于硬件的 IPSec VPN 连接具有以下几项优势:
- AWS 管理的端点包含多数据中心冗余和自动故障转移。
- 您可重复使用现有 VPN 设备和过程。
- 您可重复使用现有 Internet 连接。
- 支持静态路由或动态边界网关协议 (BGP) 对等互连和路由策略。
Amazon 虚拟私有网关 (VGW) 表示物理位置处于不同数据中心的两个不同的 VPN 端点,这些端点可提高 VPN 连接的可用性。
您可能需要考虑以下限制:
- 网络延迟、变化性和可用性(取决于 Internet 条件)。
- 客户管理的端点负责实施冗余和故障转移(如有必要)。
- 客户设备必须支持单跃点 BGP(利用 BGP 进行动态路由时)。
- 虚拟私有网关:作为连接的 Amazon 端上的 VPN 集中器的虚拟私有网关。
- 客户网关:作为连接的客户端上的物理设备或软件应用程序的客户网关。您的客户网关必须启动隧道而不是虚拟私有网关。要防止隧道出现故障,您可使用网络监控工具生成 Keepalive ping。
VPN 设备的品牌和型号决定了路由的类型选择。有关已经过 Amazon VPC 测试的静态和动态路由设备的列表,请参阅 Amazon 虚拟私有云常见问题。
有了 BGP 设备,您不需要指定静态路由,因为此设备会将其路由播发至虚拟私有网关。对于不支持 BGP 的设备,请选择静态路由并输入您的网络的路由(IP 前缀)。只有虚拟私有网关已知的 IP 前缀会收到来自您的 VPC 的流量。
使用 VPN 连接将您的网络连接到 VPC。每个 VPN 连接有两个隧道,这些隧道各有一个唯一的虚拟私有网关公共 IP 地址。请确保为两个隧道都配置了冗余。当一个隧道不可用时,网络流量将自动路由到该特定连接的可用隧道。
每个 VPN 连接都有两个隧道,用于确保在其中一个隧道不可用时连接不中断。为了更好地防止连接丢失,您可使用另一个客户网关设置到您的 VPC 的另一个 VPN 连接。利用冗余 VPN 连接和客户网关,当一个客户网关的流量溢出到另一个客户网关的 VPN 连接时,可以更轻松地对该网关执行维护操作。
第二个 VPN 连接的客户网关 IP 地址必须可供公开访问,并且不能与您的第一个 VPN 连接的客户网关 IP 地址相同。
有关 VPN 连接要求的详细信息,请参阅 VPN 连接要求。
以下参数由 AWS 指定,无法更改。每个隧道都需要符合这些参数。
| 阶段 I 建议 | AES-128-SHA1
或 AES-256-SHA2 |
| 阶段 I 生命周期(秒) | 28800 |
| Diffe-Hellman 组 | 阶段 I:2、14 – 18、22、23 和 24
阶段:1、2、5、14 – 18、22、23 和 24 |
| PFS(是/否) | 是 |
| 模式(主要/攻击性) | 主要 |
| 阶段 II 建议 | AES-128-SHA1
或 AES-256-SHA2 |
| 阶段 II 生命周期(秒) | 3600 |
| 封装 | ESP |
提供 ACL 规则列表以指定通过 VPN 隧道的入口和出口流量。务必列出这两个方向的所有规则:
源 IP:所有客户企业内部 IP 地址
目标:客户拥有的包含托管服务实例的 Creative Cloud 企业版
协议:HTTPS
端口:443
您需要提供给 Adobe 的信息
- 所需子网(最好是 /27 或以上)
- 客户网关(VPN 设备)IP 地址
- 路由选项(动态或静态)
- 如果为动态,则指定 BGP ASN(有关更多详细信息,请参阅 [1])
- 如果为静态,则指定加密域(路由回客户网络)
- VPN 设备制造商(有关 VPN 制造商和设备的列表,请参阅 [2])
- VPN 设备模型;例如,ASA5850
- VPN 设备固件版本;例如,IOS 12.x
[1] 有了 BGP 设备,您不需要指定静态路由,因为此设备会将其路由播发至虚拟私有网关。对于不支持 BGP 的设备,请选择静态路由并输入您的网络的路由(IP 前缀)。只有虚拟私有网关已知的 IP 前缀会收到来自您的 VPC 的流量。