一、混合云架构与S2S VPN的价值

混合云已成为企业数字化转型的核心架构，其通过整合公有云（如Azure、AWS）与私有云资源，实现弹性扩展、成本优化与数据主权控制的平衡。在跨云场景中，S2S（Site-to-Site）VPN是连接不同云平台的关键技术，它通过加密隧道在Azure虚拟网络（VNet）与AWS虚拟私有云（VPC）之间建立安全通信，无需暴露公网IP即可实现内网互通。

相较于直接使用公网或专线，S2S VPN的优势在于：

• 成本可控：按流量计费，适合中小规模数据传输；
• 部署灵活：无需硬件投入，支持动态路由（如BGP）；
• 安全合规：符合等保2.0要求，数据传输全程加密。

二、环境准备与前置条件

1. 资源规划

• Azure侧：需提前创建VNet、子网及网关子网（/27或更大），并分配静态公网IP。
• AWS侧：需配置VPC、公有子网（用于VPN终端）及私有子网（业务负载），并启用VPC路由表。

2. 权限配置

• Azure：使用具有“网络贡献者”角色的服务主体，或通过Azure CLI授权。
• AWS：创建IAM角色，附加AmazonVPCFullAccess策略，确保VPN配置权限。

3. 网络连通性测试

在正式部署前，需验证两云平台的公网可达性：

# Azure侧测试AWS VPN终端连通性
ping <AWS-VPN-Endpoint-IP>
# AWS侧测试Azure网关IP
telnet <Azure-Gateway-IP> 500  # IKE协商端口

三、S2S VPN配置步骤

1. Azure侧配置

步骤1：创建虚拟网络网关

# 使用Azure PowerShell创建基于路由的VPN网关
$gwSubnet = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix "10.0.1.0/27"
$vnet = Get-AzVirtualNetwork -Name "AzureVNet" -ResourceGroupName "RG-Hybrid"
Add-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -SubnetConfig $gwSubnet
$vnet | Set-AzVirtualNetwork
$publicIp = New-AzPublicIpAddress -Name "AzureGW-PIP" -ResourceGroupName "RG-Hybrid" -Location "East US" -AllocationMethod Dynamic
$vpnConfig = New-AzVirtualNetworkGatewayIpConfig -Name "vnetGatewayConfig" -PublicIpAddressId $publicIp.Id -SubnetId $vnet.Subnets[0].Id
New-AzVirtualNetworkGateway -Name "AzureVPN-GW" -ResourceGroupName "RG-Hybrid" -Location "East US" -IpConfigurations $vpnConfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

步骤2：配置本地网络网关（指向AWS）

New-AzLocalNetworkGateway -Name "AWS-LocalGW" -ResourceGroupName "RG-Hybrid" -Location "East US" -GatewayIpAddress "<AWS-VPN-Endpoint-IP>" -AddressPrefix "10.1.0.0/16"  # AWS VPC CIDR

步骤3：创建VPN连接

$azureKey = "<Pre-Shared-Key>"  # 需与AWS侧一致
New-AzVirtualNetworkGatewayConnection -Name "Azure-to-AWS" -ResourceGroupName "RG-Hybrid" -Location "East US" -VirtualNetworkGateway1 $azureGW -LocalNetworkGateway2 $awsLocalGW -ConnectionType IPsec -SharedKey $azureKey -EnableBGP $false

2. AWS侧配置

步骤1：创建客户网关（CGW）

# 通过AWS CLI创建指向Azure的客户网关
aws ec2 create-customer-gateway --type ipsec.1 --public-ip <Azure-Gateway-Public-IP> --bgp-asn 65000  # Azure默认ASN

步骤2：创建虚拟私有网关（VGW）

aws ec2 create-vpn-gateway --type ipsec.1 --availability-zone us-east-1a

步骤3：附加VGW到VPC并配置路由

# 附加VGW到目标VPC
aws ec2 attach-vpn-gateway --vpn-gateway-id vgw-123456 --vpc-id vpc-789012
# 添加静态路由指向Azure CIDR
aws ec2 create-vpn-connection-route --vpn-connection-id vpn-345678 --destination-cidr-block 10.0.0.0/16

步骤4：创建VPN连接

# 使用预共享密钥创建VPN隧道
aws ec2 create-vpn-connection --type ipsec.1 --customer-gateway-id cgw-123456 --vpn-gateway-id vgw-123456 --options '{"StaticRoutesOnly":false,"TunnelOptions":[{"PreSharedKey":"<Pre-Shared-Key>","Phase1LifecycleSeconds":28800,"Phase2LifecycleSeconds":3600}]}'

四、安全策略与优化

1. 加密套件选择

推荐使用Azure默认的IKEv2套件（如AES256-SHA256-PRFSHA256），并在AWS侧通过--tunnel-options指定兼容参数，避免因算法不匹配导致连接失败。

2. 动态路由（BGP）配置

若需自动路由传播，需在两云平台启用BGP：

• Azure：在VPN连接创建时设置-EnableBGP $true，并配置ASN（如65515）。
• AWS：在VPN连接选项中指定本地ASN（需与Azure配置一致）。

3. 高可用性设计

建议部署双活VPN网关：

• Azure：使用Active-Active模式网关，分配两个公网IP。
• AWS：创建两个VPN连接，分别绑定到不同可用区的VGW。

五、故障排查与监控

1. 常见问题诊断

• 连接不建立：检查安全组/NSG是否放行UDP 500（IKE）、UDP 4500（NAT-T）和ESP（IP协议50）。
• 路由不通：验证两端的路由表是否包含对方CIDR，并检查NACL规则。
• 隧道频繁断开：调整Phase1/Phase2 Lifecycle参数，或检查网络质量（如丢包率）。

2. 监控工具

• Azure：使用Network Watcher的“连接监视器”跟踪端到端延迟。
• AWS：通过CloudWatch监控VPN隧道的TunnelState和BytesIn/Out指标。

六、总结与扩展

通过S2S VPN连接Azure与AWS，企业可构建灵活的混合云架构，支持跨云灾备、多活部署等场景。后续可探索：

• 集成Azure Arc或AWS Outposts实现统一管理；
• 使用SD-WAN优化跨云流量路径；
• 部署零信任架构（如Azure AD条件访问）强化安全。

混合云的深度整合需要持续优化，建议定期进行渗透测试与合规审计，确保跨云环境的安全性与可用性。