本文介紹如何使用IPsec-VPN在兩個Virtual Private Cloud(Virtual Private Cloud)之間建立安全連線,實現兩個VPC內的資源互訪。
情境樣本
VPN網關不支援建立跨境串連。使用IPsec-VPN建立VPC和VPC之間的串連時,兩個VPC必須同屬於中國內地地區或者同屬於非中國內地地區。關於中國內地地區和非中國內地地區的說明,請參見中國內地地區和非中國內地地區。
在一個VPC屬於中國內地地區,另一個VPC屬於非中國內地地區的情境下,如果您需要在兩個VPC之間建立串連,您可以使用雲企業網產品。更多資訊,請參見什麼是雲企業網。
如果您要在跨地區的VPC之間建立IPsec-VPN串連,IPsec-VPN串連的網路品質會受公網品質的影響,推薦您使用雲企業網建立VPC到VPC的串連。具體操作,請參見使用雲企業網實現跨地區跨帳號VPC互連(企業版)。
本文以下述情境為例。某企業在華東1(杭州)地區擁有一個VPC1,在華北1(青島)地區擁有一個VPC2。兩個VPC均已使用Elastic Compute Service(Elastic Compute Service)部署了業務,企業因後續發展,現在需要VPC1和VPC2中的業務可以互相訪問。
出於建設安全的網路環境考慮,企業計劃使用VPN網關產品,通過在兩個VPC之間建立IPsec-VPN串連,對資料進行加密傳輸,實現資源的安全互訪。
前提條件
您已經在阿里雲華東1(杭州)地區和華北1(青島)地區分別建立了VPC1和VPC2,兩個VPC中均使用ECS部署了相關業務。具體操作,請參見搭建IPv4專用網路。
本樣本VPC1和VPC2的配置如下表所示。
重要您可以自行規劃VPC執行個體的網段,請確保要互連的網段之間沒有重疊。
VPC執行個體名稱
VPC執行個體所屬地區
VPC執行個體的網段
VPC執行個體ID
ECS執行個體名稱
ECS執行個體的IP地址
VPC1
華東1(杭州)
192.168.0.0/16
vpc-bp1e0yx3nsosmitth****
ECS1
192.168.20.161
VPC2
華北1(青島)
10.0.0.0/16
vpc-m5e83sapxp88cgp5f****
ECS2
10.0.1.110
您已經瞭解兩個VPC中ECS執行個體所應用的安全性群組規則,並確保安全性群組規則允許兩個ECS執行個體互訪。具體操作,請參見查詢安全性群組規則和添加安全性群組規則。
配置流程
步驟一:建立VPN網關
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體所屬的地區。
本樣本選擇華東1(杭州)。
說明VPN網關執行個體的地區和待關聯的VPC執行個體的地區需相同。
在VPN網關頁面,單擊建立VPN網關。
在購買頁面,根據以下資訊配置VPN網關,然後單擊立即購買並完成支付。
配置項
說明
執行個體名稱
輸入VPN網關執行個體的名稱。本樣本輸入VPN網關1。
地區
選擇VPN網關執行個體所屬的地區。本樣本選擇華東1(杭州)。
網關類型
選擇VPN網關執行個體的類型。本樣本選擇普通型。
網路類型
選擇VPN網關執行個體的網路類型。本樣本選擇公網。
隧道
系統直接展示當前地區支援的IPsec-VPN串連的隧道模式。
專用網路
選擇VPN網關執行個體關聯的VPC執行個體。本樣本選擇VPC1。
虛擬交換器
從VPC執行個體中選擇一個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。
IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。
IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。
說明系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。
建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
虛擬交換器2
從VPC執行個體中選擇第二個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,無需配置該項。
頻寬峰值
選擇VPN網關執行個體的公網頻寬峰值。單位:Mbps。
流量
VPN網關執行個體的計費方式。預設值:按流量計費。
更多資訊,請參見計費說明。
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。本樣本選擇開啟。
SSL-VPN
選擇開啟或關閉SSL-VPN功能。本樣本選擇關閉。
購買時間長度
VPN網關的計費周期。預設值:按小時計費。
服務關聯角色
單擊建立關聯角色,系統自動建立服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他雲產品中的資源,更多資訊,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已建立,則表示您的帳號下已建立了該角色,無需重複建立。
更多資訊,請參見建立VPN網關執行個體。
返回VPN網關頁面,查看已建立的VPN網關執行個體。
建立VPN網關執行個體後,其狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關執行個體已經完成了初始化,可以正常使用。
重複步驟2至步驟4,在華北1(青島)地區建立一個名稱為VPN網關2的VPN網關執行個體,該VPN網關執行個體關聯VPC2,其餘配置與VPN網關1相同。
建立完成後,兩個VPN網關執行個體的資訊如下表所示。
地區
VPN網關執行個體的名稱
VPN網關執行個體關聯的VPC執行個體名稱
VPN網關執行個體ID
VPN網關IP地址
華東1(杭州)
VPN網關1
VPC1
vpn-bp1l5zihic47jprwa****
120.XX.XX.40
華北1(青島)
VPN網關2
VPC2
vpn-m5eqjnr4ii6jajpms****
118.XX.XX.20
步驟二:建立使用者網關
在左側導覽列,選擇 。
在頂部功能表列,選擇使用者網關執行個體的地區。
說明使用者網關執行個體的地區必須和待串連的VPN網關執行個體的地區相同。
在使用者網關頁面,單擊建立使用者網關。
在建立使用者網關面板,根據以下資訊配置使用者網關執行個體,然後單擊確定。
您需要在華東1(杭州)地區和華北1(青島)地區分別建立一個使用者網關執行個體,使用者網關執行個體的配置請參見下表。
配置項
配置項說明
華東1(杭州)
華北1(青島)
名稱
輸入使用者網關執行個體的名稱。
Customer1
Customer2
IP地址
輸入使用者網關執行個體的公網IP地址。
本樣本輸入VPN網關2的IP地址118.XX.XX.20。
說明在本樣本中VPC1和VPC2互為對方的使用者網關。
本樣本輸入VPN網關1的IP地址120.XX.XX.40。
更多資訊,請參見建立和系統管理使用者網關。
配置完成後,VPN網關執行個體、使用者網關執行個體與VPC執行個體之間的對應關係如下表所示。
地區
VPC執行個體名稱
VPN網關執行個體名稱
使用者網關執行個體名稱
使用者網關執行個體ID
使用者網關IP地址
華東1(杭州)
VPC1
VPN網關1
Customer1
cgw-bp1er5cw26c2b35vm****
118.XX.XX.20
華北1(青島)
VPC2
VPN網關2
Customer2
cgw-m5e6qdvuxquse3fvm****
120.XX.XX.40
步驟三:建立IPsec串連
VPN網關和使用者網關建立完成後,您需要分別建立兩個IPsec串連建立VPN加密通道。
在左側導覽列,選擇 。
在頂部功能表列,選擇IPsec串連的地區。
在IPsec串連頁面,單擊建立IPsec串連。
在建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定。
您需要在華東1(杭州)地區和華北1(青島)地區分別建立一個IPsec串連,IPsec串連的配置請參見下表。
配置項
配置項說明
華東1(杭州)
華北1(青島)
名稱
輸入IPsec串連的名稱。
IPsec串連1
IPsec串連2
VPN網關
選擇已建立的VPN網關執行個體。
VPN網關1
VPN網關2
使用者網關
選擇已建立的使用者網關執行個體。
Customer1
Customer2
路由模式
選擇路由模式。
選擇目的路由模式。
選擇目的路由模式。
立即生效
選擇是否立即生效。
是:配置完成後立即進行協商。
否:當有流量進入時進行協商。
說明使用VPN網關在兩個VPC之間建立IPsec-VPN串連的情境下,推薦其中一個IPsec串連的立即生效配置為是,以便在配置完成後,兩個VPC之間可以立即開始IPsec協議的協商。
本樣本選擇否。
本樣本選擇是。
預先共用金鑰
輸入預先共用金鑰。
密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元
~`!@#$%^&*()_-+={}[]\|;:',.<>/?
。若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後,您可以通過編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改IPsec串連。
重要IPsec串連及其對端配置的預先共用金鑰需一致,否則系統無法正常建立IPsec-VPN串連。
fddsFF123****
其他選項使用預設配置。更多資訊,請參見建立和管理IPsec串連(單隧道模式)。
在建立成功對話方塊中,單擊確定。
步驟四:配置路由
在左側導覽列,選擇 。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,找到目標VPN網關執行個體,單擊執行個體ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下資訊配置目的路由,然後單擊確定。
您需要分別為VPN網關1和VPN網關2配置路由條目,配置資訊如下表所示。
配置項
配置說明
VPN網關1
VPN網關2
目標網段
輸入待互連的目標網段。
輸入VPC2的私網網段10.0.0.0/16。
輸入VPC1的私網網段192.168.0.0/16。
下一跳類型
選擇下一跳的類型。
選擇IPsec串連。
選擇IPsec串連。
下一跳
選擇下一跳。
選擇IPsec串連1。
選擇IPsec串連2。
發布到VPC
選擇是否將新添加的路由發布到VPN網關關聯的VPC中。
本樣本選擇是。
本樣本選擇是。
權重
選擇路由的權重值。
100:高優先順序。
0:低優先順序。
本樣本保持預設值100。
本樣本保持預設值100。
更多資訊,請參見添加目的路由。
步驟五:測試連通性
登入VPC1內的ECS1執行個體。
關於如何登入ECS執行個體,請參見串連方式概述。
執行ping命令,訪問ECS2執行個體,驗證兩個VPC之間的資源是否可以互訪。
ping <ECS2執行個體IP地址>
收到如下所示的回複報文,則證明兩個VPC之間的資源可以正常互訪。