Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

2.3. Configuration du VPN AWS

Cet exemple de processus configure un service Red Hat OpenShift d’Amazon Web Services (AWS) sur le cluster AWS pour utiliser le périphérique VPN matériel d’un client.

Note

AWS VPN ne fournit actuellement pas d’option gérée pour appliquer NAT au trafic VPN. Consultez le centre de connaissances AWS pour plus de détails.

Note

Le routage de tout le trafic, par exemple 0.0.0.0/0, via une connexion privée n’est pas pris en charge. Cela nécessite la suppression de la passerelle Internet, qui désactive le trafic de gestion SRE.

Consultez la documentation Amazon VPC VPN pour plus d’informations sur la connexion d’un VPC AWS à des réseaux distants à l’aide d’un périphérique VPN matériel.

2.3.1. Création d’une connexion VPN
Copier lien

Il est possible de configurer un service Red Hat OpenShift d’Amazon Web Services (AWS) sur le cluster AWS pour utiliser le périphérique VPN matériel d’un client en utilisant les procédures suivantes.

Conditions préalables

  • Le modèle et la version logicielle de périphérique de passerelle VPN matériel, par exemple Cisco ASA en cours d’exécution version 8.3. Consultez le Guide de l’administrateur réseau Amazon VPC pour confirmer si votre périphérique passerelle est pris en charge par AWS.
  • Adresse IP publique et statique pour le périphérique passerelle VPN.
  • BGP ou routage statique: si BGP, l’ASN est requis. En cas de routage statique, vous devez configurer au moins une route statique.
  • Facultatif: IP et port/protocole d’un service accessible pour tester la connexion VPN.

2.3.1.1. Configuration de la connexion VPN
Copier lien

Procédure

  1. Connectez-vous au service Red Hat OpenShift sur AWS Account Dashboard et accédez au tableau de bord VPC.
  2. Cliquez sur Vos VPC et identifiez le nom et l’identifiant VPC pour le VPC contenant le service Red Hat OpenShift sur le cluster AWS.
  3. Dans le tableau de bord VPC, cliquez sur Passerelle client.
  4. Cliquez sur Créer une passerelle client et donnez-lui un nom significatif.
  5. Choisissez la méthode de routage: dynamique ou statique.
  6. Dans le cas de Dynamic, entrez le BGP ASN dans le champ qui apparaît.
  7. Collez dans l’adresse IP de la passerelle VPN.
  8. Cliquez sur Create.

  9. Dans le cas où vous n’avez pas déjà une passerelle privée virtuelle attachée au VPC prévu:

    1. À partir du tableau de bord VPC, cliquez sur Virtual Private Gateway.
    2. Cliquez sur Créer une passerelle privée virtuelle, donnez-lui un nom significatif et cliquez sur Créer.
    3. Laissez l’ASN par défaut Amazon par défaut.
    4. Choisissez la passerelle nouvellement créée, cliquez sur Attach à VPC, et attachez-la au cluster VPC que vous avez identifié plus tôt.

2.3.1.2. Établir la connexion VPN
Copier lien

Procédure

  1. À partir du tableau de bord VPC, cliquez sur Connexions VPN Site à Site.

  2. Cliquez sur Créer une connexion VPN.

    1. Donnez-lui une étiquette de nom significative.
    2. Choisissez la passerelle privée virtuelle créée précédemment.
    3. Dans le cas de la passerelle client, sélectionnez Existing.
    4. Choisissez le périphérique de passerelle client par nom.
    5. Dans le cas où le VPN utilise BGP, sélectionnez Dynamic, autrement, sélectionnez Static. Entrez les CIDR IP statiques. Lorsqu’il existe plusieurs CIDR, ajoutez chaque CIDR en tant qu’autre règle.
    6. Cliquez sur Create.
    7. Attendez que le statut VPN passe à Disponible, environ 5 à 10 minutes.

  3. Choisissez le VPN que vous venez de créer et cliquez sur Télécharger la configuration.

    1. Dans la liste déroulante, sélectionnez le fournisseur, la plate-forme et la version du périphérique de passerelle client, puis cliquez sur Télécharger.
    2. La configuration du fournisseur générique est également disponible pour récupérer des informations dans un format texte clair.
Note

Après la connexion VPN a été établie, assurez-vous de configurer Route Propagation ou le VPN peut ne pas fonctionner comme prévu.

Note

À noter les informations de sous-réseau VPC, que vous devez ajouter à votre configuration en tant que réseau distant.

2.3.1.3. Activer la propagation d’itinéraire VPN
Copier lien

Après avoir configuré la connexion VPN, vous devez vous assurer que la propagation de l’itinéraire est activée afin que les itinéraires nécessaires soient ajoutés à la table d’itinéraires du VPC.

Procédure

  1. À partir du tableau de bord VPC, cliquez sur Tables de Route.

  2. Choisissez la table Route privée associée au VPC qui contient votre Red Hat OpenShift Service sur le cluster AWS.

    Note

    Dans certains clusters, il peut y avoir plus d’une table de route pour un VPC particulier. Choisissez celui qui a un certain nombre de sous-réseaux explicitement associés.

  3. Cliquez sur l’onglet Propagation de route.

  4. Dans le tableau qui apparaît, vous devriez voir la passerelle privée virtuelle que vous avez créée précédemment. Cochez la valeur dans la colonne Propagate.

    1. Lorsque Propagate est réglé sur Non, cliquez sur Modifier la propagation de l’itinéraire, cochez la case à cocher Propagate à côté du nom de la passerelle privée virtuelle et cliquez sur Enregistrer.

Après avoir configuré votre tunnel VPN et AWS le détecte comme Up, vos routes statiques ou BGP sont automatiquement ajoutées à la table d’itinéraires.

2.3.2. La vérification de la connexion VPN
Copier lien

Après avoir configuré votre côté du tunnel VPN, vous pouvez vérifier que le tunnel est dans la console AWS et que la connectivité à travers le tunnel fonctionne.

Conditions préalables

  • Création d’une connexion VPN.

Procédure

  1. Assurez-vous que le tunnel est en haut dans AWS.

    1. À partir du tableau de bord VPC, cliquez sur Connexions VPN.
    2. Choisissez la connexion VPN que vous avez créée précédemment et cliquez sur l’onglet Détails du tunnel.
    3. Il faut être en mesure de voir qu’au moins l’un des tunnels VPN est Up.

  2. Contrôlez la connexion.

    Afin de tester la connectivité réseau à un terminal, nc (ou netcat) est un outil de dépannage utile. Il est inclus dans l’image par défaut et fournit une sortie rapide et claire si une connexion peut être établie:

    1. Créez un pod temporaire à l’aide de l’image busybox, qui nettoie après elle-même: 

      $ oc run netcat-test \
    --image=busybox -i -t \
    --restart=Never --rm \
    -- /bin/sh
      Copy to Clipboard Toggle word wrap

    2. Consultez la connexion à l’aide de nc.

      • Exemple de résultats de connexion réussis: 

        / nc -zvv 192.168.1.1 8080
10.181.3.180 (10.181.3.180:8080) open
sent 0, rcvd 0
        Copy to Clipboard Toggle word wrap

      • Exemple de résultats de connexion échoués: 

        / nc -zvv 192.168.1.2 8080
nc: 10.181.3.180 (10.181.3.180:8081): Connection refused
sent 0, rcvd 0
        Copy to Clipboard Toggle word wrap

    3. Sortez du conteneur, qui supprime automatiquement le Pod: 

      / exit
      Copy to Clipboard Toggle word wrap

2.3.3. Dépannage de la connexion VPN
Copier lien

Le tunnel ne se connecte pas

Lorsque la connexion du tunnel est toujours en panne, il y a plusieurs choses que vous pouvez vérifier:

  • Le tunnel AWS n’initiera pas de connexion VPN. La tentative de connexion doit être initiée à partir de la passerelle client.
  • Assurez-vous que votre trafic source provient de la même IP que la passerelle client configurée. AWS déposera silencieusement tout le trafic vers la passerelle dont l’adresse IP source ne correspond pas.
  • Assurez-vous que votre configuration correspond aux valeurs prises en charge par AWS. Cela inclut les versions IKE, les groupes DH, IKE à vie, et plus encore.
  • Cochez le tableau d’itinéraire pour le VPC. Assurez-vous que la propagation est activée et qu’il y a des entrées dans la table de route qui ont la passerelle privée virtuelle que vous avez créée plus tôt en tant que cible.
  • Confirmez que vous n’avez pas de règles de pare-feu qui pourraient causer une interruption.
  • Vérifiez si vous utilisez un VPN basé sur une stratégie, car cela peut causer des complications en fonction de la façon dont il est configuré.
  • D’autres étapes de dépannage peuvent être trouvées au centre de connaissances AWS.
Le tunnel ne reste pas connecté

Lorsque la connexion du tunnel a du mal à rester en haut, sachez que toutes les connexions de tunnel AWS doivent être initiées à partir de votre passerelle. Les tunnels AWS n’initient pas de tunnel.

Le Red Hat recommande de configurer un moniteur SLA (Cisco ASA) ou un appareil de votre côté du tunnel qui envoie constamment du trafic "intéressant", par exemple ping, nc ou telnet, à n’importe quelle adresse IP configurée dans la gamme VPC CIDR. Il n’a pas d’importance si la connexion est réussie, juste que le trafic est dirigé vers le tunnel.

Tunnel secondaire dans l’état de Down

Lorsqu’un tunnel VPN est créé, AWS crée un tunnel de basculement supplémentaire. En fonction du périphérique de passerelle, parfois le tunnel secondaire sera vu comme dans l’état Down.

La notification AWS est la suivante: 

You have new non-redundant VPN connections

One or more of your vpn connections are not using both tunnels. This mode of
operation is not highly available and we strongly recommend you configure your
second tunnel. View your non-redundant VPN connections.
Copy to Clipboard Toggle word wrap
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat