混合云搭建：S2S VPN连接Azure与AWS云的实践指南

一、混合云架构的必要性

在数字化转型浪潮中，企业面临多云环境管理的核心挑战：如何实现跨云资源的高效协同与数据安全流通。据Gartner统计，2023年超过80%的企业采用混合云战略，其中跨云VPN连接成为关键基础设施。本文聚焦的站点到站点（S2S）VPN技术，通过IPSec协议在Azure与AWS之间建立加密隧道，具有以下优势：

• 成本优化：避免专线高额费用，按需使用公网带宽
• 安全可控：AES-256加密保障传输安全
• 灵活扩展：支持动态路由协议（BGP）实现自动故障转移

二、技术架构设计

1. 网络拓扑规划

建议采用”双活VPN网关”架构（图1）：

[Azure VNet] ──(S2S VPN)── [AWS VPC]
      │                      │
      ├─ Azure VPN Gateway  ├─ AWS Virtual Private Gateway
      └─ 本地数据中心       └─ EC2实例

关键参数：

• 隧道类型：IPSec IKEv2
• 加密算法：AES-256 + SHA-256
• DH组：Group 14（2048位）
• 生存时间：86400秒（24小时）

2. 地址空间规划

需严格避免地址冲突：

• Azure VNet：10.0.0.0/16
• AWS VPC：172.16.0.0/16
• 本地网络：192.168.0.0/16

三、分步实施指南

1. Azure端配置

步骤1：创建虚拟网络

# Azure CLI示例
az network vnet create \
  --name AzureVNet \
  --resource-group MyResourceGroup \
  --address-prefix 10.0.0.0/16 \
  --subnet-name GatewaySubnet \
  --subnet-prefix 10.0.1.0/24

步骤2：部署VPN网关

az network vnet-gateway create \
  --name AzureVPNGw \
  --public-ip-address AzureVPNGwIP \
  --vnet AzureVNet \
  --gateway-type Vpn \
  --vpn-type RouteBased \
  --sku VpnGw1

步骤3：配置本地网络网关

az network local-gateway create \
  --name AWSLocalGw \
  --resource-group MyResourceGroup \
  --gateway-ip-address <AWS_VGW_PUBLIC_IP> \
  --address-prefix 172.16.0.0/16

2. AWS端配置

步骤1：创建虚拟私有云

# AWS CLI示例
aws ec2 create-vpc --cidr-block 172.16.0.0/16 \
  --region us-east-1

步骤2：部署虚拟私有网关

aws ec2 create-customer-gateway \
  --type ipsec.1 \
  --public-ip <AZURE_GW_PUBLIC_IP> \
  --bgp-asn 65000
aws ec2 attach-vpn-gateway \
  --vpc-id vpc-12345678 \
  --vpn-gateway-id vgw-12345678

步骤3：配置VPN连接

aws ec2 create-vpn-connection \
  --customer-gateway-id cgw-12345678 \
  --vpn-gateway-id vgw-12345678 \
  --type ipsec.1 \
  --options "{\"StaticRoutesOnly\":false}"

3. 隧道参数协商

通过以下命令获取预共享密钥：

# Azure端
az network vnet-gateway show-shared-key \
  --resource-group MyResourceGroup \
  --name AzureVPNGw \
  --peer AWSLocalGw
# AWS端需在控制台手动配置相同密钥

四、高级配置技巧

1. 高可用性设计

• 双隧道架构：在两个区域分别建立VPN连接
• BGP路由传播：实现自动故障检测与路径切换

  # AWS端启用BGP
  aws ec2 create-vpn-connection \
  --options "{\"StaticRoutesOnly\":false, \"TunnelOptions\":[{\"InsideCidr\":\"169.254.10.0/30\"},{\"InsideCidr\":\"169.254.11.0/30\"}]}"

2. 性能优化

• IKEv2快速重连：设置rekey-margin为300秒
• QoS标记：对关键业务流量打DSCP标签

  # Azure端流量策略配置
  az network vnet-gateway update \
  --name AzureVPNGw \
  --set vpn-client-configuration.vpn-client-protocols=["IKEv2"] \
  --set vpn-type="RouteBased"

五、故障排查指南

常见问题诊断

1. 隧道未建立：

   • 检查安全组规则是否放行UDP 500/4500
   • 验证预共享密钥一致性
   • 使用tcpdump抓包分析IKE协商过程

2. 间歇性断开：

   • 调整dpd-action为clear或restart
   • 检查NAT设备是否支持ESP协议穿透

3. 路由不更新：

   • 验证BGP对等体状态
   • 检查AWS路由表传播设置

监控方案

# AWS端监控命令
aws ec2 describe-vpn-connections \
  --vpn-connection-ids vpn-12345678 \
  --query "VpnConnections[].VgwTelemetry[*].{Status:Status,LastStatusChange:LastStatusChange}"
# Azure端监控
az monitor activity-log list \
  --resource-group MyResourceGroup \
  --resource-type Microsoft.Network/virtualNetworkGateways \
  --caller "Microsoft.Network"

六、安全加固建议

1. 密钥轮换策略：

   • 每90天更换预共享密钥
   • 使用自动化脚本实现无中断轮换

2. 访问控制：

   • 限制VPN网关的管理IP范围
   • 启用Azure RBAC和AWS IAM精细权限控制

3. 日志审计：

   • 启用Azure Network Watcher流量日志
   • 配置AWS CloudTrail跟踪VPN配置变更

七、成本优化方案

1. 按需带宽调整：

   • Azure VPN Gateway支持基本型(100Mbps)到超高性能型(10Gbps)
   • AWS Virtual Private Gateway按小时计费，可随时调整规格

2. 组合使用ExpressRoute：

   • 对关键业务流量使用专线
   • 非关键流量通过VPN传输

八、未来演进方向

1. SD-WAN集成：

   • 通过SD-WAN设备实现多链路智能选路
   • 支持SASE架构的安全访问

2. IPv6过渡：

   • 配置双栈VPN隧道
   • 逐步迁移至IPv6-only环境

3. 自动化运维：

   • 使用Terraform实现基础设施即代码
   • 通过Azure Automation和AWS Lambda实现自愈

结语

通过S2S VPN连接Azure与AWS构建的混合云架构，既保持了多云环境的灵活性，又确保了数据传输的安全性。实际部署中需特别注意：

1. 严格遵循最小权限原则配置网络访问
2. 建立完善的监控告警体系
3. 定期进行灾备演练

建议企业从测试环境开始验证，逐步扩展至生产环境。随着5G和边缘计算的普及，混合云架构将呈现更复杂的分布式特征，提前掌握VPN互联技术将为未来架构升级奠定坚实基础。