如果您的组织已经购买了包含托管服务计划的 Creative Cloud,Adobe 会在距您的物理位置最近的数据中心设置一个专用实例。

所有托管服务(包括存储)都会在一个 Amazon 虚拟私有云 (VPC) 中运行,该 VPC 可在客户定义的供单个企业客户专用的虚拟专用网 (VPN) 中进行隔离。可以将 Amazon VPC 配置为在组织的企业网络内运行,这样 Amazon VPC 中的每台计算机都会分得一个专用的 IP 地址。使用此配置时,Amazon VPC 会连接到使用 IPsec 隧道的网络,因此在从网络中将 HTTPS 请求发送到 Amazon VPC 时,您可以使用安全的隧道,而不是 Internet。

有关详细信息,请参阅 适用于企业的 Creative Cloud 安全性概述

建立硬件 VPN 连接

Amazon 虚拟私有云 (VPC) 根据您的网络设计和要求提供了多个网络连接选项。您可选择使用 Internet 或 Amazon Web Services (AWS) Direct Connect 连接作为您的主干网络。使您的连接在 AWS 或用户管理的网络端点终止。借助 AWS,您可指定如何利用 AWS 或用户管理的网络设备和路由实现 Amazon VPC 和您所用网络之间的网络路由。您只能使用 Adobe 已提供的 AWS。本文将重点介绍了硬件 VPN 连接选项。

您可通过 Internet 在您的远程网络和 Amazon VPC 之间创建基于硬件的 IPsec VPN 连接。

基于硬件的 IPSec VPN 连接的优势:

  • 由 AWS 管理的端点具备多数据中心冗余和自动故障转移功能。
  • 您可重复使用现有 VPN 设备和流程。
  • 您可重复使用现有 Internet 连接
  • 支持静态路由或动态边界网关协议 (BGP) 对等互联和路由策略。

Amazon 虚拟私有网关 (VGW) 是指物理位置处于不同数据中心的两个不同的 VPN 端点,这两个端点的作用是提高 VPN 连接的可用性。

您可能需要考虑以下限制:

  • 网络延迟、变化性和可用性(取决于 Internet 条件)。
  • 客户管理的端点负责实施冗余和故障转移(如有必要)。
  • 客户设备必须支持单跃点 BGP(利用 BGP 进行动态路由时)。

您可以选择动态和静态路由。动态路由利用 BGP 对等互连交换 AWS 和远程端点之间的路由信息。使用 BGP 时,IPSec 和 BGP 连接必须同时终止于相同的用户网关设备上。

VPN 连接的组件

  • 虚拟私有网关:充当连接的 Amazon 端上的 VPN 集中器的虚拟私有网关
  • 客户网关:作为连接的客户端上的物理设备或软件应用程序的客户网关。您的客户网关必须启动隧道而不是虚拟私有网关。要防止隧道出现故障,您可使用网络监控工具生成 Keepalive ping。

VPN 路由选项

VPN 设备的品牌和型号决定了路由的类型选择。有关已经过 Amazon VPC 测试的静态和动态路由设备的列表,请参阅 Amazon 虚拟私有云常见问题

有了 BGP 设备,您不需要指定静态路由,因为此设备会将其路由播发至虚拟私有网关。对于不支持 BGP 的设备,请选择静态路由并输入您的网络的路由(IP 前缀)。只有虚拟私有网关已知的 IP 前缀会收到来自您的 VPC 的流量。

VPN 隧道配置选项

一个虚拟私有网关、一个客户网关、两个 VPN 隧道

使用 VPN 连接将您的网络连接到 VPC。每个 VPN 连接有两个隧道,这些隧道各有一个唯一的虚拟私有网关公共 IP 地址。请确保为两个隧道都配置了冗余。当一个隧道不可用时,网络流量将自动路由到该特定连接的可用隧道。

硬件 VPN

一个虚拟私有网关、两个客户网关、每个客户网关中的两个 VPN 隧道

每个 VPN 连接都有两个隧道,用于确保在其中一个隧道不可用时连接不中断。为了更好地防止连接丢失,您可使用另一个客户网关设置到您的 VPC 的另一个 VPN 连接。利用冗余 VPN 连接和客户网关,当一个客户网关的流量溢出到另一个客户网关的 VPN 连接时,可以更轻松地对该网关执行维护操作。

第二个 VPN 连接的客户网关 IP 地址必须可供公开访问,并且不能与您的第一个 VPN 连接的客户网关 IP 地址相同。

有关 VPN 连接要求的详细信息,请参阅 VPN 连接要求

冗余硬件 VPN 连接

VPN 参数

以下参数由 AWS 指定,无法更改。  每个隧道都需要符合这些参数。

阶段 I 建议

AES-128-SHA1

AES-256-SHA2

阶段 I 生命周期(秒)

28800

Diffe-Hellman 组

阶段 I:2、14 - 18、22、23 和 24

阶段:1、2、5、14 - 18、22、23 和 24

PFS(是/否)

模式(主要/攻击性)

主要

阶段 II 建议

AES-128-SHA1

AES-256-SHA2

阶段 II 生命周期(秒)

3600

封装

ESP

防火墙规则

提供 ACL 规则列表以指定通过 VPN 隧道的入口和出口流量。务必列出这两个方向的所有规则:

源 IP:所有客户企业内部 IP 地址
目标:客户拥有的包含托管服务实例的适用于企业的 Creative Cloud
协议:HTTPS
端口:443

您需要向 Adobe 提供的信息

  • 所需子网(最好是 /27 或以上)
  • 客户网关(VPN 设备)IP 地址
  • 路由选项(动态或静态)
    • 如果为动态,则指定 BGP ASN(有关更多详细信息,请参阅 [1]
    • 如果为静态,则指定加密域(路由回客户网络)
  • VPN 设备制造商(如需 VPN 制造商和设备的列表,请参阅 [2]
  • VPN 设备模型;例如,ASA5850
  • VPN 设备固件版本;例如,IOS 12.x

[1] 有了 BGP 设备,您不需要指定静态路由,因为此设备会将其路由播发至虚拟私有网关。对于不支持 BGP 的设备,请选择静态路由并输入您的网络的路由(IP 前缀)。只有虚拟私有网关已知的 IP 前缀会收到来自您的 VPC 的流量。

[2] http://aws.amazon.com/vpc/faqs/#C9

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略