調用ALIYUN::VPC::VpnConnection建立IPsec串連 -

ALIYUN::VPC::VpnConnection類型用於建立IPsec串連。

文法

{
  "Type": "ALIYUN::VPC::VpnConnection",
  "Properties": {
    "IpsecConfig": Map,
    "Name": String,
    "IkeConfig": Map,
    "HealthCheckConfig": Map,
    "VpnGatewayId": String,
    "CustomerGatewayId": String,
    "RemoteSubnet": String,
    "LocalSubnet": String,
    "EffectImmediately": Boolean,
    "EnableTunnelsBgp": Boolean,
    "RemoteCaCertificate": String,
    "BgpConfig": Map,
    "AutoConfigRoute": Boolean,
    "EnableDpd": Boolean,
    "EnableNatTraversal": Boolean,
    "TunnelOptionsSpecification": List
  }
}

屬性

屬性名稱	類型	必須	允許更新	描述	約束
Name	String	否	是	IPsec串連的名稱。	長度為2~128個字元。必須以英文字母或漢字開頭，不能以`http://`或`https://`開頭。可包含英文字母、漢字、數字、英文句點（.）、底線（_）和短劃線（-）。
IkeConfig	Map	否	是	第一階段協商的配置資訊。	詳情請參見IkeConfig屬性。
IpsecConfig	Map	否	是	第二階段協商的配置資訊。	詳情請參見IpsecConfig屬性。
HealthCheckConfig	Map	否	否	健全狀態檢查的配置資訊。	詳情請參見HealthCheckConfig屬性。
VpnGatewayId	String	是	否	VPN網關的ID。	無
CustomerGatewayId	String	否	否	使用者網關的ID。	無
RemoteSubnet	String	是	是	本地IDC的網段，用於第二階段協商。	多個網段之間用半形逗號（,）分隔，例如：192.168.3.0/24,192.168.4.0/24。
LocalSubnet	String	是	是	和本地IDC互連的VPC側的網段，用於第二階段協商。	多個網段之間用半形逗號（,）分隔，例如：192.168.1.0/24,192.168.2.0/24。
EffectImmediately	Boolean	否	是	是否刪除當前已協商成功的IPsec隧道並重新發起協商。	取值： true：配置完成後立即進行協商。 false（預設值）：當有流量進入時進行協商。
EnableTunnelsBgp	Boolean	否	否	隧道BGP的開啟狀態。	取值： true：已開啟。 false：未開啟。
RemoteCaCertificate	String	否	否	對端的CA認證。	無
BgpConfig	Map	否	是	隧道的BGP配置資訊。	更多資訊，請參見BgpConfig屬性。
AutoConfigRoute	Boolean	否	是	是否自動設定路由。	取值： false：手動設定路由。 true（預設）：自動設定路由。
EnableDpd	Boolean	否	是	IPsec串連是否已開啟DPD（對等體存活檢測）功能。	取值： true：開啟DPD功能。 IPsec發起端會發送DPD報文用來檢測對端的裝置是否存活，如果在設定時間內未收到正確回應則認為對端已經斷線，IPsec將刪除ISAKMP SA和相應的IPsec SA，安全隧道同樣也會被刪除。 false：不開啟DPD功能，IPsec發起端不會發送DPD探測報文。
EnableNatTraversal	Boolean	否	是	隧道是否已開啟NAT穿越功能。	取值： false：未開啟。 true：已開啟。
TunnelOptionsSpecification	List	否	否	IPsec串連的隧道配置資訊。	更多資訊，請參見TunnelOptionsSpecification屬性。

IkeConfig文法

"IkeConfig": {
  "RemoteId": String,
  "Psk": String,
  "IkeVersion": String,
  "IkeMode": String,
  "IkeAuthAlg": String,
  "IkeEncAlg": String,
  "IkePfs": String,
  "IkeLifetime": Integer,
  "LocalId": String
}

IkeConfig屬性

屬性名稱	類型	必須	允許更新	描述	約束
RemoteId	String	否	是	使用者網關的標識。	最大長度為100個字元。預設值為使用者網關的公網IP地址。
Psk	String	否	是	IPsec VPN網關與使用者網關之間的身份認證。	最大長度為100個字元。預設情況下該參數值會隨機產生，您也可以手動指定密鑰。
IkeVersion	String	否	是	IKE協議的版本。	取值： ikev1（預設值） ikev2
IkeMode	String	否	是	IKE V1版本的協商模式。	取值： main（預設值） aggressive
IkeAuthAlg	String	否	是	第一階段協商的認證演算法。	取值： md5（預設值） sha1
IkeEncAlg	String	否	是	第一階段協商的密碼編譯演算法。	取值： aes（預設值） aes192 aes256 des 3des
IkePfs	String	否	是	第一階段協商使用的Diffie-Hellman金鑰交換演算法。	取值： group1 group2（預設值） group5 group14 group24
IkeLifetime	Integer	否	是	第一階段協商出的SA的生存周期。	取值範圍：0~86,400。預設值：86,400。
LocalId	String	否	是	VPN網關的標識。	長度限制為100個字元，預設值為VPN網關的IP地址。

IpsecConfig文法

"IpsecConfig": {
  "IpsecAuthAlg": String,
  "IpsecEncAlg": String,
  "IpsecLifetime": Integer,
  "IpsecPfs": String
}

IpsecConfig屬性

屬性名稱	類型	必須	允許更新	描述	約束
IpsecAuthAlg	String	否	是	第二階段協商的認證演算法。	取值： md5（預設值） sha1
IpsecEncAlg	String	否	是	第二階段協商的密碼編譯演算法。	取值： aes（預設值） aes192 aes256 des 3des
IpsecLifetime	Integer	否	是	第二階段協商出的SA的生存周期。	取值範圍：0~86,400。單位：秒。預設值：86,400。
IpsecPfs	String	否	是	第二階段協商使用的Diffie-Hellman金鑰交換演算法。	取值： group1 group2（預設值） group5 group14 group24

HealthCheckConfig文法

"HealthCheckConfig": {
  "Enable": Boolean,
  "Dip": Boolean,
  "Retry": Integer,
  "Sip": String,
  "Interval": Integer,
  "Policy": String 
}

HealthCheckConfig屬性

屬性名稱	類型	必須	允許更新	描述	約束
Enable	Boolean	否	是	是否開啟健全狀態檢查。	取值： true false 如果取值為true，則其他參數必須配置。
Interval	Integer	否	是	健全狀態檢查的稍候再試時間。	單位：秒。
Retry	Integer	否	是	健全狀態檢查的重試發包次數。	無
Dip	String	否	是	目標IP，即通過IPSec串連可以訪問的線下IDC的IP地址。	無
Sip	String	否	是	源IP，即線下IDC通過IPSec串連可以訪問的IP地址。	無
Policy	String	否	是	健全狀態檢查失敗時是否撤銷發布的路由。	無

BgpConfig文法

"BgpConfig": {
  "TunnelCidr": String,
  "LocalBgpIp": String,
  "EnableBgp": Boolean,
  "LocalAsn": Number
}

BgpConfig屬性

屬性名稱	類型	必須	允許更新	描述	約束
TunnelCidr	String	否	是	隧道的BGP網段。	無
LocalBgpIp	String	否	是	隧道本端（阿里雲側）的BGP地址。	無
EnableBgp	Boolean	否	否	指定隧道是否啟用BGP特性。	取值： true。 false。預設值：false。
LocalAsn	Number	否	是	隧道本端（阿里雲側）的自治系統號。	無

TunnelOptionsSpecification文法

"TunnelOptionsSpecification": [
  {
    "RemoteCaCertificate": String,
    "CustomerGatewayId": String,
    "TunnelBgpConfig": Map,
    "TunnelIpsecConfig": Map,
    "EnableDpd": Boolean,
    "TunnelIkeConfig": Map,
    "EnableNatTraversal": Boolean,
    "Role": String
  }
]

TunnelOptionsSpecification屬性

屬性名稱	類型	必須	允許更新	描述	約束
RemoteCaCertificate	String	否	否	隧道對端的CA認證。	僅VPN網關執行個體的類型為國密型時才會返回當前參數。
CustomerGatewayId	String	否	是	隧道關聯的使用者網關ID。	無
TunnelBgpConfig	Map	否	是	隧道的BGP配置資訊。	更多資訊，請參見TunnelBgpConfig屬性。
TunnelIpsecConfig	Map	否	否	第二階段協商的配置。	更多資訊，請參見TunnelIpsecConfig屬性。
EnableDpd	Boolean	否	是	IPsec串連是否已開啟DPD（對等體存活檢測）功能。	取值： true：開啟DPD功能。 IPsec發起端會發送DPD報文用來檢測對端的裝置是否存活，如果在設定時間內未收到正確回應則認為對端已經斷線，IPsec將刪除ISAKMP SA和相應的IPsec SA，安全隧道同樣也會被刪除。 false：不開啟DPD功能，IPsec發起端不會發送DPD探測報文。
TunnelIkeConfig	Map	否	是	第一階段協商的配置。	更多資訊，請參見TunnelIkeConfig屬性。
EnableNatTraversal	Boolean	否	是	IPsec串連是否已開啟NAT穿越功能。	取值： true：開啟NAT穿越功能。開啟後，IKE協商過程會刪除對UDP連接埠號碼的驗證過程，同時實現對VPN隧道中NAT Gateway裝置的發現功能。 false：不開啟NAT穿越功能。
Role	String	否	是	隧道的角色。	取值： master：表示當前隧道為主隧道。 slave：表示當前隧道為備隧道。

TunnelBgpConfig文法

"TunnelBgpConfig": {
  "TunnelCidr": String,
  "LocalAsn": Number,
  "LocalBgpIp": String
}

TunnelBgpConfig屬性

屬性名稱	類型	必須	允許更新	描述	約束
TunnelCidr	String	否	是	隧道的BGP網段。	無
LocalBgpIp	String	否	是	隧道本端（阿里雲側）的BGP地址。	無
LocalAsn	Number	否	是	隧道本端（阿里雲側）的自治系統號。	無

TunnelIpsecConfig文法

"TunnelIpsecConfig": {
  "IpsecAuthAlg": String,
  "IpsecEncAlg": String,
  "IpsecPfs": String,
  "IpsecLifetime": Integer
}

TunnelIpsecConfig屬性

屬性名稱	類型	必須	允許更新	描述	約束
IpsecAuthAlg	String	否	是	IPsec階段認證演算法。	無
IpsecEncAlg	String	否	是	IPsec階段密碼編譯演算法。	無
IpsecPfs	String	否	是	IPsec階段存留時間。	單位：秒。
IpsecLifetime	Integer	否	是	隧道本端（阿里雲側）的自治系統號。	無

TunnelIkeConfig文法

"TunnelIkeConfig": {
  "Psk": String,
  "IkePfs": String,
  "LocalId": String,
  "IkeVersion": String,
  "IkeAuthAlg": String,
  "IkeMode": String,
  "RemoteId": String,
  "IkeLifetime": Integer,
  "IkeEncAlg": String
}

TunnelIkeConfig屬性

屬性名稱	類型	必須	允許更新	描述	約束
Psk	String	否	是	預先共用金鑰。	無
IkePfs	String	否	是	IKE階段DH分組。	無
LocalId	String	否	是	隧道本端（阿里雲側）的標識。	無
IkeVersion	String	否	是	IKE協議版本。	取值： ikev1 ikev2 相對於IKEv1版本，IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援。
IkeAuthAlg	String	否	是	IKE階段認證演算法。
IkeMode	String	否	是	IKE協商模式。	物質： main：主模式，協商過程安全性高。 aggressive：野蠻模式，協商快速且協商成功率高。
RemoteId	String	否	是	隧道對端的標識。	無
IkeLifetime	Integer	否	是	IKE階段存留時間。	單位：秒。
IkeEncAlg	String	否	是	IKE階段密碼編譯演算法。	無

傳回值

Fn::GetAtt

VpnConnectionId：IPsec串連的ID。
Status：IPsec串連的狀態。
PeerVpnConnectionConfig：對等的VPC串連配置。

樣本

YAML格式

ROSTemplateFormatVersion: '2015-09-01'
Parameters:
  LocalSubnet:
    Type: String
    Description: >-
      A network segment on the VPC side that needs to be interconnected with the
      local IDC for the second phase negotiation.

      Multiple network segments are separated by commas, for example:
      192.168.1.0/24, 192.168.2.0/24.
  EffectImmediately:
    Type: Boolean
    Description: >-
      Whether to delete the currently negotiated IPsec tunnel and re-initiate
      the negotiation. Value:

      True: Negotiate immediately after the configuration is complete.

      False (default): Negotiate when traffic enters.
    AllowedValues:
      - 'True'
      - 'true'
      - 'False'
      - 'false'
    Default: false
  RemoteSubnet:
    Type: String
    Description: >-
      The network segment of the local IDC is used for the second phase
      negotiation.

      Multiple network segments are separated by commas, for example:
      192.168.3.0/24, 192.168.4.0/24.
  CustomerGatewayId:
    Type: String
    Description: The ID of the user gateway.
  VpnGatewayId:
    Type: String
    Description: ID of the VPN gateway.
  IpsecConfig:
    Type: Json
    Description: Configuration information for the second phase negotiation.
  HealthCheckConfig:
    Type: Json
    Description: Whether to enable the health check configuration.
  IkeConfig:
    Type: Json
    Description: Configuration information for the first phase of negotiation.
  Name:
    Type: String
    Description: >-
      The name of the IPsec connection.

      The length is 2-128 characters and must start with a letter or Chinese. It
      can contain numbers, periods (.), underscores (_) and dashes (-), but
      cannot start with http:// or https:// .
    MinLength: 2
    MaxLength: 128
Resources:
  VpnConnection:
    Type: 'ALIYUN::VPC::VpnConnection'
    Properties:
      LocalSubnet:
        Ref: LocalSubnet
      EffectImmediately:
        Ref: EffectImmediately
      RemoteSubnet:
        Ref: RemoteSubnet
      CustomerGatewayId:
        Ref: CustomerGatewayId
      VpnGatewayId:
        Ref: VpnGatewayId
      IpsecConfig:
        Ref: IpsecConfig
      HealthCheckConfig:
        Ref: HealthCheckConfig
      IkeConfig:
        Ref: IkeConfig
      Name:
        Ref: Name
Outputs:
  Status:
    Description: Status of the IPsec connection.
    Value:
      'Fn::GetAtt':
        - VpnConnection
        - Status
  PeerVpnConnectionConfig:
    Description: Peer vpc connection config.
    Value:
      'Fn::GetAtt':
        - VpnConnection
        - PeerVpnConnectionConfig
  VpnConnectionId:
    Description: ID of the IPsec connection.
    Value:
      'Fn::GetAtt':
        - VpnConnection
        - VpnConnectionId

JSON格式

{
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
    "LocalSubnet": {
      "Type": "String",
      "Description": "A network segment on the VPC side that needs to be interconnected with the local IDC for the second phase negotiation.\nMultiple network segments are separated by commas, for example: 192.168.1.0/24, 192.168.2.0/24."
    },
    "EffectImmediately": {
      "Type": "Boolean",
      "Description": "Whether to delete the currently negotiated IPsec tunnel and re-initiate the negotiation. Value:\nTrue: Negotiate immediately after the configuration is complete.\nFalse (default): Negotiate when traffic enters.",
      "AllowedValues": [
        "True",
        "true",
        "False",
        "false"
      ],
      "Default": false
    },
    "RemoteSubnet": {
      "Type": "String",
      "Description": "The network segment of the local IDC is used for the second phase negotiation.\nMultiple network segments are separated by commas, for example: 192.168.3.0/24, 192.168.4.0/24."
    },
    "CustomerGatewayId": {
      "Type": "String",
      "Description": "The ID of the user gateway."
    },
    "VpnGatewayId": {
      "Type": "String",
      "Description": "ID of the VPN gateway."
    },
    "IpsecConfig": {
      "Type": "Json",
      "Description": "Configuration information for the second phase negotiation."
    },
    "HealthCheckConfig": {
      "Type": "Json",
      "Description": "Whether to enable the health check configuration."
    },
    "IkeConfig": {
      "Type": "Json",
      "Description": "Configuration information for the first phase of negotiation."
    },
    "Name": {
      "Type": "String",
      "Description": "The name of the IPsec connection.\nThe length is 2-128 characters and must start with a letter or Chinese. It can contain numbers, periods (.), underscores (_) and dashes (-), but cannot start with http:// or https:// .",
      "MinLength": 2,
      "MaxLength": 128
    }
  },
  "Resources": {
    "VpnConnection": {
      "Type": "ALIYUN::VPC::VpnConnection",
      "Properties": {
        "LocalSubnet": {
          "Ref": "LocalSubnet"
        },
        "EffectImmediately": {
          "Ref": "EffectImmediately"
        },
        "RemoteSubnet": {
          "Ref": "RemoteSubnet"
        },
        "CustomerGatewayId": {
          "Ref": "CustomerGatewayId"
        },
        "VpnGatewayId": {
          "Ref": "VpnGatewayId"
        },
        "IpsecConfig": {
          "Ref": "IpsecConfig"
        },
        "HealthCheckConfig": {
          "Ref": "HealthCheckConfig"
        },
        "IkeConfig": {
          "Ref": "IkeConfig"
        },
        "Name": {
          "Ref": "Name"
        }
      }
    }
  },
  "Outputs": {
    "Status": {
      "Description": "Status of the IPsec connection.",
      "Value": {
        "Fn::GetAtt": [
          "VpnConnection",
          "Status"
        ]
      }
    },
    "PeerVpnConnectionConfig": {
      "Description": "Peer vpc connection config.",
      "Value": {
        "Fn::GetAtt": [
          "VpnConnection",
          "PeerVpnConnectionConfig"
        ]
      }
    },
    "VpnConnectionId": {
      "Description": "ID of the IPsec connection.",
      "Value": {
        "Fn::GetAtt": [
          "VpnConnection",
          "VpnConnectionId"
        ]
      }
    }
  }
}