【VPC-最佳实践】通过VPN连接VPC

举报
VPC小蜜蜂 发表于 2018/06/14 19:54:14 2018/06/14
【摘要】 操作场景默认情况下,在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,可以启用VPN功能。申请VPN后,用户需要配置安全组并检查本段与对端网络的连通性,以确保VPN功能可用。主要场景分为两类:点对点VPN:本端为处于公有云平台上的一个VPC,对端为数据中心,通过V...

操作场景

默认情况下,在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,可以启用VPN功能。申请VPN后,用户需要配置安全组并检查本段与对端网络的连通性,以确保VPN功能可用。主要场景分为两类:

  • 点对点VPN:本端为处于公有云平台上的一个VPC,对端为数据中心,通过VPN建立用户数据中心与VPC之间建立通信隧道。

  • 点对多点VPN:本端为处于公有云平台上的多个VPC,对端为数据中心,通过VPN建立用户数据中心与不同VPC之间建立通信隧道。

配置VPN时需要注意以下几点:

  • 本端子网与对端子网不能重叠。

  • 本端子网网段不能重叠。

  • 本端和对端的IKE策略相同。

  • 本端和对端的IPSec策略相同。

  • 本端和对端子网,网关等参数对称。

  • 本端和对端的PSK相同。

  • VPC内弹性云服务器安全组允许访问对端和被对端访问。

  • VPN对接成功后两端的服务器或者虚拟机之间需要进行通信,VPN的状态才会刷新为正常。

前提条件

已创建VPN所需的虚拟私有云和子网。具体操作请参考创建虚拟私有云基本信息及默认子网为虚拟私有云创建新的子网

操作步骤

  1. 在管理控制台上,选择合适的IKE策略和IPsec策略申请VPN。

    具体操作请参见申请VPN

  2. 检查本端和对端子网的IP地址池。

    如图1所示,假设您在云中已经申请了VPC,并申请了2个子网(192.168.1.0/24, 192.168.2.0/24),您在自己的数据中心Router下也有2个子网(192.168.3.0/24, 192.168.4.0/24)。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。

    图1 IPSec VPN 
    zh-cn_image_0063225055.png

    本端和对端子网IP池不能重合。例如,本端VPC有两个子网,分别为:192.168.1.0/24和192.168.2.0/24,那么对端子网的IP地址池不能包含本端VPC的这两个子网。

  3. 配置VPC的安全组策略。

    具体操作请参考配置安全组策略

  4. 检查VPC安全组。

    安全组必须放通来自VPN的报文。可以使用ping方法来检查VPC安全组是否放通。

  5. 检查远端LAN配置(即对端数据中心网络配置)。

    在远程LAN(对端数据中心网络)配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信,请检查远程LAN是否存在拒绝策略。完成对端操作请参考配置VPN对端设备


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。