全部產品
Search
文件中心

VPN Gateway:建立VPC到VPC的串連

更新時間:Jul 25, 2024

本文介紹如何使用IPsec-VPN在兩個Virtual Private Cloud(Virtual Private Cloud)之間建立安全連線,實現兩個VPC內的資源互訪。

情境樣本

說明
  • VPN網關不支援建立跨境串連。使用IPsec-VPN建立VPC和VPC之間的串連時,兩個VPC必須同屬於中國內地地區或者同屬於非中國內地地區。關於中國內地地區和非中國內地地區的說明,請參見中國內地地區和非中國內地地區

  • 在一個VPC屬於中國內地地區,另一個VPC屬於非中國內地地區的情境下,如果您需要在兩個VPC之間建立串連,您可以使用雲企業網產品。更多資訊,請參見什麼是雲企業網

  • 如果您要在跨地區的VPC之間建立IPsec-VPN串連,IPsec-VPN串連的網路品質會受公網品質的影響,推薦您使用雲企業網建立VPC到VPC的串連。具體操作,請參見使用雲企業網實現跨地區跨帳號VPC互連(企業版)

本文以下述情境為例。某企業在華東1(杭州)地區擁有一個VPC1,在華北1(青島)地區擁有一個VPC2。兩個VPC均已使用Elastic Compute Service(Elastic Compute Service)部署了業務,企業因後續發展,現在需要VPC1和VPC2中的業務可以互相訪問。

出於建設安全的網路環境考慮,企業計劃使用VPN網關產品,通過在兩個VPC之間建立IPsec-VPN串連,對資料進行加密傳輸,實現資源的安全互訪。

VPC之間互聯

前提條件

  • 您已經在阿里雲華東1(杭州)地區和華北1(青島)地區分別建立了VPC1和VPC2,兩個VPC中均使用ECS部署了相關業務。具體操作,請參見搭建IPv4專用網路

    本樣本VPC1和VPC2的配置如下表所示。

    重要

    您可以自行規劃VPC執行個體的網段,請確保要互連的網段之間沒有重疊。

    VPC執行個體名稱

    VPC執行個體所屬地區

    VPC執行個體的網段

    VPC執行個體ID

    ECS執行個體名稱

    ECS執行個體的IP地址

    VPC1

    華東1(杭州)

    192.168.0.0/16

    vpc-bp1e0yx3nsosmitth****

    ECS1

    192.168.20.161

    VPC2

    華北1(青島)

    10.0.0.0/16

    vpc-m5e83sapxp88cgp5f****

    ECS2

    10.0.1.110

  • 您已經瞭解兩個VPC中ECS執行個體所應用的安全性群組規則,並確保安全性群組規則允許兩個ECS執行個體互訪。具體操作,請參見查詢安全性群組規則添加安全性群組規則

配置流程

VPC與VPC互連-配置流程

步驟一:建立VPN網關

  1. 登入VPN網關管理主控台

  2. 在頂部功能表列,選擇VPN網關執行個體所屬的地區。

    本樣本選擇華東1(杭州)

    說明

    VPN網關執行個體的地區和待關聯的VPC執行個體的地區需相同。

  3. VPN網關頁面,單擊建立VPN網關

  4. 在購買頁面,根據以下資訊配置VPN網關,然後單擊立即購買並完成支付。

    配置項

    說明

    執行個體名稱

    輸入VPN網關執行個體的名稱。本樣本輸入VPN網關1

    地區

    選擇VPN網關執行個體所屬的地區。本樣本選擇華東1(杭州)

    網關類型

    選擇VPN網關執行個體的類型。本樣本選擇普通型

    網路類型

    選擇VPN網關執行個體的網路類型。本樣本選擇公網

    隧道

    系統直接展示當前地區支援的IPsec-VPN串連的隧道模式。

    專用網路

    選擇VPN網關執行個體關聯的VPC執行個體。本樣本選擇VPC1。

    虛擬交換器

    從VPC執行個體中選擇一個交換器執行個體。

    • IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。

    • IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。

      IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。

    說明
    • 系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。

    • 建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。

    虛擬交換器2

    從VPC執行個體中選擇第二個交換器執行個體。

    IPsec-VPN串連的隧道模式為單隧道時,無需配置該項。

    頻寬峰值

    選擇VPN網關執行個體的公網頻寬峰值。單位:Mbps。

    流量

    VPN網關執行個體的計費方式。預設值:按流量計費

    更多資訊,請參見計費說明

    IPsec-VPN

    選擇開啟或關閉IPsec-VPN功能。本樣本選擇開啟

    SSL-VPN

    選擇開啟或關閉SSL-VPN功能。本樣本選擇關閉

    購買時間長度

    VPN網關的計費周期。預設值:按小時計費。

    服務關聯角色

    單擊建立關聯角色,系統自動建立服務關聯角色AliyunServiceRoleForVpn。

    VPN網關使用此角色來訪問其他雲產品中的資源,更多資訊,請參見AliyunServiceRoleForVpn

    若本配置項顯示為已建立,則表示您的帳號下已建立了該角色,無需重複建立。

    更多資訊,請參見建立VPN網關執行個體

  5. 返回VPN網關頁面,查看已建立的VPN網關執行個體。

    建立VPN網關執行個體後,其狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關執行個體已經完成了初始化,可以正常使用。

  6. 重複步驟2步驟4,在華北1(青島)地區建立一個名稱為VPN網關2的VPN網關執行個體,該VPN網關執行個體關聯VPC2,其餘配置與VPN網關1相同。

    建立完成後,兩個VPN網關執行個體的資訊如下表所示。

    地區

    VPN網關執行個體的名稱

    VPN網關執行個體關聯的VPC執行個體名稱

    VPN網關執行個體ID

    VPN網關IP地址

    華東1(杭州)

    VPN網關1

    VPC1

    vpn-bp1l5zihic47jprwa****

    120.XX.XX.40

    華北1(青島)

    VPN網關2

    VPC2

    vpn-m5eqjnr4ii6jajpms****

    118.XX.XX.20

步驟二:建立使用者網關

  1. 在左側導覽列,選擇網間互聯 > VPN > 使用者網關

  2. 在頂部功能表列,選擇使用者網關執行個體的地區。

    說明

    使用者網關執行個體的地區必須和待串連的VPN網關執行個體的地區相同。

  3. 使用者網關頁面,單擊建立使用者網關

  4. 建立使用者網關面板,根據以下資訊配置使用者網關執行個體,然後單擊確定

    您需要在華東1(杭州)地區和華北1(青島)地區分別建立一個使用者網關執行個體,使用者網關執行個體的配置請參見下表。

    配置項

    配置項說明

    華東1(杭州)

    華北1(青島)

    名稱

    輸入使用者網關執行個體的名稱。

    Customer1

    Customer2

    IP地址

    輸入使用者網關執行個體的公網IP地址。

    本樣本輸入VPN網關2的IP地址118.XX.XX.20

    說明

    在本樣本中VPC1和VPC2互為對方的使用者網關。

    本樣本輸入VPN網關1的IP地址120.XX.XX.40

    更多資訊,請參見建立和系統管理使用者網關

    配置完成後,VPN網關執行個體、使用者網關執行個體與VPC執行個體之間的對應關係如下表所示。

    地區

    VPC執行個體名稱

    VPN網關執行個體名稱

    使用者網關執行個體名稱

    使用者網關執行個體ID

    使用者網關IP地址

    華東1(杭州)

    VPC1

    VPN網關1

    Customer1

    cgw-bp1er5cw26c2b35vm****

    118.XX.XX.20

    華北1(青島)

    VPC2

    VPN網關2

    Customer2

    cgw-m5e6qdvuxquse3fvm****

    120.XX.XX.40

步驟三:建立IPsec串連

VPN網關和使用者網關建立完成後,您需要分別建立兩個IPsec串連建立VPN加密通道。

  1. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

  2. 在頂部功能表列,選擇IPsec串連的地區。

  3. IPsec串連頁面,單擊建立IPsec串連

  4. 建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定

    您需要在華東1(杭州)地區和華北1(青島)地區分別建立一個IPsec串連,IPsec串連的配置請參見下表。

    配置項

    配置項說明

    華東1(杭州)

    華北1(青島)

    名稱

    輸入IPsec串連的名稱。

    IPsec串連1

    IPsec串連2

    VPN網關

    選擇已建立的VPN網關執行個體。

    VPN網關1

    VPN網關2

    使用者網關

    選擇已建立的使用者網關執行個體。

    Customer1

    Customer2

    路由模式

    選擇路由模式。

    選擇目的路由模式

    選擇目的路由模式

    立即生效

    選擇是否立即生效。

    • :配置完成後立即進行協商。

    • :當有流量進入時進行協商。

    說明

    使用VPN網關在兩個VPC之間建立IPsec-VPN串連的情境下,推薦其中一個IPsec串連的立即生效配置為,以便在配置完成後,兩個VPC之間可以立即開始IPsec協議的協商。

    本樣本選擇

    本樣本選擇

    預先共用金鑰

    輸入預先共用金鑰。

    • 密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元~`!@#$%^&*()_-+={}[]\|;:',.<>/?

    • 若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後,您可以通過編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改IPsec串連

    重要

    IPsec串連及其對端配置的預先共用金鑰需一致,否則系統無法正常建立IPsec-VPN串連。

    fddsFF123****

    其他選項使用預設配置。更多資訊,請參見建立和管理IPsec串連(單隧道模式)

  5. 建立成功對話方塊中,單擊確定

步驟四:配置路由

  1. 在左側導覽列,選擇網間互聯 > VPN > VPN網關

  2. 在頂部功能表列,選擇VPN網關執行個體的地區。

  3. VPN網關頁面,找到目標VPN網關執行個體,單擊執行個體ID。

  4. 目的路由表頁簽,單擊添加路由條目

  5. 添加路由條目面板,根據以下資訊配置目的路由,然後單擊確定

    您需要分別為VPN網關1和VPN網關2配置路由條目,配置資訊如下表所示。

    配置項

    配置說明

    VPN網關1

    VPN網關2

    目標網段

    輸入待互連的目標網段。

    輸入VPC2的私網網段10.0.0.0/16

    輸入VPC1的私網網段192.168.0.0/16

    下一跳類型

    選擇下一跳的類型。

    選擇IPsec串連

    選擇IPsec串連

    下一跳

    選擇下一跳。

    選擇IPsec串連1。

    選擇IPsec串連2。

    發布到VPC

    選擇是否將新添加的路由發布到VPN網關關聯的VPC中。

    本樣本選擇

    本樣本選擇

    權重

    選擇路由的權重值。

    • 100:高優先順序。

    • 0:低優先順序。

    本樣本保持預設值100

    本樣本保持預設值100

    更多資訊,請參見添加目的路由

步驟五:測試連通性

  1. 登入VPC1內的ECS1執行個體。

    關於如何登入ECS執行個體,請參見串連方式概述

  2. 執行ping命令,訪問ECS2執行個體,驗證兩個VPC之間的資源是否可以互訪。

    ping <ECS2執行個體IP地址>

    收到如下所示的回複報文,則證明兩個VPC之間的資源可以正常互訪。

    VPC與VPC互連-連通性測試