使用SSL-VPN實現用戶端遠端存取VPC前,您需要先建立一個VPN網關執行個體,並為VPN網關執行個體開啟SSL-VPN功能,VPN網關執行個體建立完成後,阿里雲將會為您部署VPN資源。
使用限制
根據VPN網關執行個體支援的IPsec-VPN隧道模式、VPN網關執行個體的頻寬規格,本機資料中心與VPN網關執行個體之間兩個方向的頻寬峰值不完全相同。具體說明如下:
支援的IPsec-VPN隧道模式
VPN網關執行個體頻寬規格值
從VPN網關執行個體去往本機資料中心方向的頻寬峰值
從本機資料中心去往VPN網關執行個體方向的頻寬峰值
雙隧道
大於10 Mbps
為VPN網關執行個體的頻寬規格值。
為VPN網關執行個體的頻寬規格值。
小於等於10 Mbps
為VPN網關執行個體的頻寬規格值。
10 Mbps。
單隧道
大於100 Mbps
為VPN網關執行個體的頻寬規格值。
為VPN網關執行個體的頻寬規格值。
小於等於100 Mbps
為VPN網關執行個體的頻寬規格值。
100 Mbps。
VPN網關執行個體在不同地區下支援的最大頻寬規格不同,部分地區下VPN網關執行個體支援的最大頻寬規格可達1000 Mbps。
分類
地區
最大支援1000 Mbps頻寬規格的地區
華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、新加坡、日本(東京)、馬來西亞(吉隆坡)、印尼(雅加達)、泰國(曼穀)、韓國(首爾)、菲律賓(馬尼拉)、美國(矽谷)、美國(維吉尼亞)、德國(法蘭克福)、英國(倫敦)
最大支援500 Mbps頻寬規格的地區
華東5(南京-本地地區)、印度(孟買)關停中、澳大利亞(雪梨)、阿聯酋(杜拜)、沙特(利雅得)
重要沙特(利雅得)地區由夥伴營運。
建立VPN網關執行個體
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體所屬的地區。
需確保VPN網關執行個體的地區和用戶端要互連的VPC執行個體的地區相同。
在VPN網關頁面,單擊建立VPN網關。
在購買頁面,根據以下資訊進行配置,然後單擊立即購買並完成支付。
配置項
說明
執行個體名稱
輸入VPN網關執行個體的名稱。
資源群組
選擇VPN網關執行個體所屬的資源群組。
如果不選擇,VPN網關執行個體建立完成後歸屬於預設資源群組。您可以在資源管理主控台管理VPN網關以及其他雲產品資源所屬的資源群組。更多資訊,請參見什麼是資源管理。
地區
顯示要建立VPN網關執行個體的地區。
需確保VPN網關執行個體的地區和用戶端待互連的VPC執行個體的地區相同。
網關類型
選擇VPN網關執行個體的類型。預設值:普通型。
網路類型
選擇VPN網關執行個體的網路類型。
需選擇公網,表示通過公網建立SSL-VPN串連。
隧道
系統直接展示當前地區支援的IPsec-VPN串連的隧道模式。
單隧道
雙隧道
專用網路
選擇VPN網關執行個體關聯的VPC執行個體。
VPN網關執行個體需關聯用戶端待互連的VPC執行個體。
虛擬交換器
從VPC執行個體中選擇一個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。
IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。
IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。
說明系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。
建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
虛擬交換器2
IPsec-VPN串連的隧道模式為雙隧道時,從VPC執行個體中選擇第二個交換器執行個體。
您需要從VPN網關執行個體關聯的VPC執行個體下指定兩個分布在不同可用性區域的交換器執行個體。
對於僅支援一個可用性區域的地區 ,建議您在該可用性區域下指定兩個不同的交換器執行個體。
頻寬峰值
選擇VPN網關執行個體的頻寬規格。單位:Mbps。
流量
VPN網關執行個體的計費方式。預設值:按流量計費。
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。
建立SSL-VPN串連時無需開啟本功能。
SSL-VPN
選擇開啟或關閉SSL-VPN功能。
建立SSL-VPN串連時需開啟本功能。
說明如果當前VPN網關執行個體的隧道模式為雙隧道,開啟SSL-VPN功能後,系統會在您指定的VPC執行個體的兩個交換器下各建立一個ENI,作為使用SSL-VPN串連與VPC執行個體流量互連的介面。每個ENI會佔用交換器執行個體下的一個IP地址。
開啟SSL-VPN功能產生的ENI與開啟IPsec-VPN功能產生的ENI互相獨立。即如果VPN網關執行個體同時開啟了IPsec-VPN功能和SSL-VPN功能,則系統會在VPC執行個體的交換器下建立4個ENI。
SSL串連數
開啟SSL-VPN功能後,選擇VPN網關執行個體支援串連的最大用戶端數量。
購買時間長度
VPN網關的計費周期。預設值:按小時計費。
服務關聯角色
單擊建立關聯角色,系統自動建立服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他雲產品中的資源,更多資訊,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已建立,則表示您當前帳號下已建立了該角色,無需重複建立。
VPN網關執行個體建立完成後,系統會為VPN網關執行個體分配一個公網IP地址,用於用戶端和VPN網關之間建立SSL-VPN串連。
後續步驟
為建立SSL-VPN串連,VPN網關執行個體建立完成後,您還需要建立SSL服務端。具體操作,請參見建立和管理SSL服務端。
修改VPN網關執行個體的名稱和描述資訊
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,找到目標VPN網關執行個體,單擊執行個體ID。
在VPN網關執行個體詳情頁面的基本資料地區,修改VPN網關執行個體的名稱和描述資訊。
在名稱後面單擊編輯,在彈出的對話方塊中修改執行個體的名稱,然後單擊確定。
在描述後面單擊編輯,在彈出的對話方塊中修改執行個體的描述資訊,然後單擊確定。
刪除VPN網關執行個體
刪除VPN網關執行個體前,請確保VPN網關執行個體下不存在IPsec串連、SSL服務端和IPsec服務端。具體操作,請參見:
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,找到目標VPN網關執行個體,在操作列單擊刪除。
在刪除VPN網關對話方塊,單擊確定。
通過調用API建立和管理VPN網關
支援通過阿里雲 SDK(推薦)、阿里雲 CLI、Terraform、Resource Orchestration Service等工具調用API建立和管理VPN網關。相關API說明,請參見:
CreateVpnGateway:建立VPN網關執行個體。
ModifyVpnGatewayAttribute:修改VPN網關執行個體的名稱和描述資訊。
DeleteVpnGateway:刪除VPN網關執行個體。
DescribeVpnGateway:查詢指定VPN網關執行個體的資訊。
DescribeVpnGateways:查詢指定地區下VPN網關執行個體的資訊。
MoveVpnResourceGroup:修改VPN網關資源所屬的資源群組。