全部產品
Search
文件中心

VPN Gateway:建立和管理VPN網關執行個體

更新時間:Nov 13, 2024

使用SSL-VPN實現用戶端遠端存取VPC前,您需要先建立一個VPN網關執行個體,並為VPN網關執行個體開啟SSL-VPN功能,VPN網關執行個體建立完成後,阿里雲將會為您部署VPN資源。

使用限制

  • 根據VPN網關執行個體支援的IPsec-VPN隧道模式、VPN網關執行個體的頻寬規格,本機資料中心與VPN網關執行個體之間兩個方向的頻寬峰值不完全相同。具體說明如下:

    支援的IPsec-VPN隧道模式

    VPN網關執行個體頻寬規格值

    從VPN網關執行個體去往本機資料中心方向的頻寬峰值

    從本機資料中心去往VPN網關執行個體方向的頻寬峰值

    雙隧道

    大於10 Mbps

    為VPN網關執行個體的頻寬規格值。

    為VPN網關執行個體的頻寬規格值。

    小於等於10 Mbps

    為VPN網關執行個體的頻寬規格值。

    10 Mbps。

    單隧道

    大於100 Mbps

    為VPN網關執行個體的頻寬規格值。

    為VPN網關執行個體的頻寬規格值。

    小於等於100 Mbps

    為VPN網關執行個體的頻寬規格值。

    100 Mbps。

  • VPN網關執行個體在不同地區下支援的最大頻寬規格不同,部分地區下VPN網關執行個體支援的最大頻寬規格可達1000 Mbps。

    分類

    地區

    最大支援1000 Mbps頻寬規格的地區

    華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、新加坡、日本(東京)、馬來西亞(吉隆坡)、印尼(雅加達)、泰國(曼穀)、韓國(首爾)、菲律賓(馬尼拉)、美國(矽谷)、美國(維吉尼亞)、德國(法蘭克福)、英國(倫敦)

    最大支援500 Mbps頻寬規格的地區

    華東5(南京-本地地區)、阿聯酋(杜拜)、沙特(利雅得)

    重要

    沙特(利雅得)地區由夥伴營運。

建立VPN網關執行個體

  1. 登入VPN網關管理主控台

  2. 在頂部功能表列,選擇VPN網關執行個體所屬的地區。

    需確保VPN網關執行個體的地區和用戶端要互連的VPC執行個體的地區相同。

  3. VPN網關頁面,單擊建立VPN網關

  4. 在購買頁面,根據以下資訊進行配置,然後單擊立即購買並完成支付。

    配置項

    說明

    執行個體名稱

    輸入VPN網關執行個體的名稱。

    資源群組

    選擇VPN網關執行個體所屬的資源群組。

    如果不選擇,VPN網關執行個體建立完成後歸屬於預設資源群組。您可以在資源管理主控台管理VPN網關以及其他雲產品資源所屬的資源群組。更多資訊,請參見什麼是資源管理

    地區

    顯示要建立VPN網關執行個體的地區。

    需確保VPN網關執行個體的地區和用戶端待互連的VPC執行個體的地區相同。

    網關類型

    選擇VPN網關執行個體的類型。預設值:普通型

    網路類型

    選擇VPN網關執行個體的網路類型。

    需選擇公網,表示通過公網建立SSL-VPN串連。

    隧道

    系統直接展示當前地區支援的IPsec-VPN串連的隧道模式。

    • 單隧道

    • 雙隧道

    專用網路

    選擇VPN網關執行個體關聯的VPC執行個體。

    VPN網關執行個體需關聯用戶端待互連的VPC執行個體。

    虛擬交換器

    從VPC執行個體中選擇一個交換器執行個體。

    • IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。

    • IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。

      IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。

    說明
    • 系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。

    • 建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。

    虛擬交換器2

    IPsec-VPN串連的隧道模式為雙隧道時,從VPC執行個體中選擇第二個交換器執行個體。

    • 您需要從VPN網關執行個體關聯的VPC執行個體下指定兩個分布在不同可用性區域的交換器執行個體。

    • 對於僅支援一個可用性區域的地區 ,建議您在該可用性區域下指定兩個不同的交換器執行個體。

      單擊查看支援一個可用性區域的地區。

      華東5(南京-本地地區)、泰國(曼穀)、韓國(首爾)、菲律賓(馬尼拉)、阿聯酋(杜拜)。

    頻寬峰值

    選擇VPN網關執行個體的頻寬規格。單位:Mbps。

    流量

    VPN網關執行個體的計費方式。預設值:按流量計費

    IPsec-VPN

    選擇開啟或關閉IPsec-VPN功能。

    建立SSL-VPN串連時無需開啟本功能。

    SSL-VPN

    選擇開啟或關閉SSL-VPN功能。

    建立SSL-VPN串連時需開啟本功能。

    說明

    如果當前VPN網關執行個體的隧道模式為雙隧道,開啟SSL-VPN功能後,系統會在您指定的VPC執行個體的兩個交換器下各建立一個ENI,作為使用SSL-VPN串連與VPC執行個體流量互連的介面。每個ENI會佔用交換器執行個體下的一個IP地址。

    開啟SSL-VPN功能產生的ENI與開啟IPsec-VPN功能產生的ENI互相獨立。即如果VPN網關執行個體同時開啟了IPsec-VPN功能和SSL-VPN功能,則系統會在VPC執行個體的交換器下建立4個ENI。

    SSL串連數

    開啟SSL-VPN功能後,選擇VPN網關執行個體支援串連的最大用戶端數量。

    購買時間長度

    VPN網關的計費周期。預設值:按小時計費。

    服務關聯角色

    單擊建立關聯角色,系統自動建立服務關聯角色AliyunServiceRoleForVpn。

    VPN網關使用此角色來訪問其他雲產品中的資源,更多資訊,請參見AliyunServiceRoleForVpn

    若本配置項顯示為已建立,則表示您當前帳號下已建立了該角色,無需重複建立。

    VPN網關執行個體建立完成後,系統會為VPN網關執行個體分配一個公網IP地址,用於用戶端和VPN網關之間建立SSL-VPN串連。建立SSL-VPN

    後續步驟

    為建立SSL-VPN串連,VPN網關執行個體建立完成後,您還需要建立SSL服務端。具體操作,請參見建立和管理SSL服務端

修改VPN網關執行個體的名稱和描述資訊

  1. 登入VPN網關管理主控台

  2. 在頂部功能表列,選擇VPN網關執行個體的地區。

  3. VPN網關頁面,找到目標VPN網關執行個體,單擊執行個體ID。

  4. 在VPN網關執行個體詳情頁面的基本資料地區,修改VPN網關執行個體的名稱和描述資訊。

    • 名稱後面單擊編輯,在彈出的對話方塊中修改執行個體的名稱,然後單擊確定

    • 描述後面單擊編輯,在彈出的對話方塊中修改執行個體的描述資訊,然後單擊確定

刪除VPN網關執行個體

刪除VPN網關執行個體前,請確保VPN網關執行個體下不存在IPsec串連、SSL服務端和IPsec服務端。具體操作,請參見:

  1. 登入VPN網關管理主控台

  2. 在頂部功能表列,選擇VPN網關執行個體的地區。

  3. VPN網關頁面,找到目標VPN網關執行個體,在操作列單擊刪除

  4. 刪除VPN網關對話方塊,單擊確定

通過調用API建立和管理VPN網關

支援通過阿里雲 SDK(推薦)阿里雲 CLITerraformResource Orchestration Service等工具調用API建立和管理VPN網關。相關API說明,請參見: