跨云互联实战：Azure与AWS通过S2S VPN构建混合云

一、混合云架构与S2S VPN技术背景

在多云战略日益普及的今天，企业常面临跨云资源整合的需求。以Azure与AWS为例，两平台分别占据全球云市场第二、第三位，许多企业选择同时使用两者以平衡成本、规避供应商锁定风险。S2S（Site-to-Site）VPN作为连接本地数据中心与云平台的标准方案，同样适用于跨云互联场景，其通过IPSec协议在两个网络边界建立加密隧道，实现安全、可靠的数据传输。

相较于直接使用公有互联网，S2S VPN的核心优势在于：

• 安全性：通过AES-256等加密算法保护传输数据
• 稳定性：依托云服务商骨干网，避免公网波动影响
• 可控性：支持自定义路由策略、访问控制列表（ACL）

二、前期规划与资源准备

1. 网络拓扑设计

推荐采用”对等连接+VPN网关”架构：

• Azure侧：创建虚拟网络（VNet），部署VPN网关（基于路由的配置）
• AWS侧：创建虚拟私有云（VPC），部署虚拟私有网关（VGW）
• 地址规划：确保双方本地网络、云网络CIDR无重叠

示例拓扑：

Azure VNet (10.0.0.0/16)
  ├─ 子网A (10.0.1.0/24) - 应用服务器
  └─ VPN网关 (10.0.255.254/32)
      └─ S2S VPN隧道 → AWS VPC
AWS VPC (172.16.0.0/16)
  ├─ 子网B (172.16.1.0/24) - 数据库
  └─ 虚拟私有网关 (172.16.255.254/32)
      └─ S2S VPN隧道 ← Azure VNet

2. 资源预创建清单

资源类型	Azure配置	AWS配置
VPN网关	路由型，SKU选VpnGw1	虚拟私有网关，默认类型
本地网络网关	配置AWS公网IP	客户网关（CGW），填Azure公网IP
连接	IPSec策略（IKEv2）	VPN连接，选”静态路由”
路由表	添加指向VPN网关的路由	修改VPC路由表指向VGW

三、分步配置指南

1. Azure侧配置

步骤1：创建虚拟网络

# Azure CLI示例
az network vnet create \
  --name AzureVNet \
  --resource-group MyResourceGroup \
  --address-prefix 10.0.0.0/16 \
  --subnet-name AppSubnet \
  --subnet-prefix 10.0.1.0/24

步骤2：部署VPN网关

az network vnet-gateway create \
  --name AzureVpnGateway \
  --resource-group MyResourceGroup \
  --vnet AzureVNet \
  --public-ip-address AzureVpnGatewayIP \
  --gateway-type Vpn \
  --vpn-type RouteBased \
  --sku VpnGw1

步骤3：创建本地网络网关

az network local-gateway create \
  --name AWSLocalGateway \
  --resource-group MyResourceGroup \
  --gateway-ip-address <AWS-VGW-Public-IP> \
  --address-prefixes 172.16.0.0/16

步骤4：配置VPN连接

az network vpn-connection create \
  --name AzureToAWS \
  --resource-group MyResourceGroup \
  --vnet-gateway1 AzureVpnGateway \
  --local-gateway2 AWSLocalGateway \
  --shared-key "MySecureKey123!" \
  --connection-type IPsec

2. AWS侧配置

步骤1：创建虚拟私有网关

# AWS CLI示例
aws ec2 create-vpn-gateway \
  --type ipsec.1 \
  --availability-zone us-east-1a

步骤2：附加VGW到VPC

aws ec2 attach-vpn-gateway \
  --vpc-id vpc-12345678 \
  --vpn-gateway-id vgw-98765432

步骤3：创建客户网关

aws ec2 create-customer-gateway \
  --type ipsec.1 \
  --public-ip <Azure-Gateway-Public-IP> \
  --bgp-asn 65000

步骤4：配置VPN连接

aws ec2 create-vpn-connection \
  --type ipsec.1 \
  --customer-gateway-id cgw-11112222 \
  --vpn-gateway-id vgw-98765432 \
  --options '{
    "StaticRoutesOnly": false,
    "TunnelOptions": [
      {
        "TunnelInsideCidr": "169.254.10.0/30",
        "PreSharedKey": "MySecureKey123!",
        "Phase1Lifecycle": "Seconds",
        "Phase2Lifecycle": "Seconds"
      }
    ]
  }'

四、连接验证与故障排除

1. 连接状态检查

• Azure侧：

  az network vpn-connection show \
    --name AzureToAWS \
    --resource-group MyResourceGroup \
    --query 'connectionStatus' -o tsv

  预期输出：Connected

• AWS侧：

  aws ec2 describe-vpn-connections \
    --vpn-connection-ids vpn-12345678 \
    --query 'VpnConnections[0].VgwTelemetry[0].Status'

  预期输出：UP

2. 常见问题解决方案

问题1：连接状态为”Connecting”

• 检查：
  • 安全组/NSG是否放行UDP 500、4500端口
  • 预共享密钥是否完全匹配
  • 本地网络网关地址前缀是否正确
• 解决：

  # 重启AWS VPN连接
  aws ec2 reset-vpn-connection \
    --vpn-connection-id vpn-12345678

问题2：数据包丢失

• 检查：
  • MTU设置（建议1400字节）
  • 路由表是否包含默认路由（0.0.0.0/0）指向VPN
• 解决：

  # Azure侧调整MTU
  az network vnet-gateway update \
    --name AzureVpnGateway \
    --resource-group MyResourceGroup \
    --set asn=65515

五、高级优化建议

1. 高可用性设计：

   • 部署双活VPN网关（Azure Active-Active模式）
   • AWS侧配置多隧道（每个VGW支持2个隧道）

2. 性能优化：

   • 启用快速路径（Azure Accelerated Networking）
   • 调整TCP窗口大小（AWS建议tcp_window_scaling=on）

3. 监控方案：

   • Azure Network Watcher + AWS VPC Flow Logs
   • 配置CloudWatch警报监控隧道状态

六、实践总结与扩展应用

通过S2S VPN连接Azure与AWS，企业可实现：

• 跨云灾备：关键应用在两平台部署，通过VPN实时同步
• 成本优化：将冷数据存储在成本更低的区域
• 合规需求：满足数据主权要求，部分数据本地化处理

未来可扩展方向：

• 集成Azure ExpressRoute与AWS Direct Connect
• 部署SD-WAN解决方案优化多云流量
• 实现自动化运维（Terraform/Ansible脚本化配置）

本实践验证表明，通过合理规划与精确配置，S2S VPN可提供稳定可靠的跨云连接，其延迟通常控制在30-50ms（同区域跨可用区），吞吐量可达1Gbps（依赖网关型号），完全满足企业级混合云应用需求。