虚拟专用网络 VPN

虚拟专用网络 VPN

虚拟专用网络(Virtual Private Network)用于搭建用户本地数据中心与华为云VPC之间便捷、灵活,即开即用的IPsec加密连接通道,实现灵活一体,可伸缩的混合云计算环境。

虚拟专用网络(Virtual Private Network)用于搭建用户本地数据中心与华为云VPC之间便捷、灵活,即开即用的IPsec加密连接通道,实现灵活一体,可伸缩的混合云计算环境。

虚拟专用网络应用场景

虚拟专用网络多种应用场景架构图及方案优势

混合云部署

混合云部署

通过VPN将用户本地数据中心和云上VPC互联,利用云上弹性和快速伸缩能力,扩展应用计算能力

优势

  • 混合云架构

    混合云部署,即开即用,操作方便,实时生效

  • 安全可靠

    基于Internet建立IPsec加密通道,安全可靠

建议搭配使用
虚拟私有云 VPC
弹性云服务器 ECS
跨地域VPC互联

跨地域VPC互联

通过VPN将华为云上的不同region的VPC连接,使得用户的数据和服务在不同地域能够互联互通

优势

  • 灵活组网

    灵活支持各种VPC组网方式

  • 即开即用

    即开即用,操作简易,迅速上线,安全可靠

建议搭配使用
虚拟私有云 VPC
弹性云服务器 ECS
VPN和专线互备

VPN和专线互备

本地数据中心与云上VPC通过专线连接,同时建立VPN连接实现备份,提高可靠性

优势

  • 超高可靠性

    专线故障切换到VPN链路

  • 切换速度快

    VPN提供大带宽保证流量无缝切换

建议搭配使用
虚拟私有云 VPC
云专线 DC

虚拟专用网络快速入门

一、准备工作

注册华为云并实名认证并且为账户充值

如果您已有一个华为云帐号,请跳到下一个任务。如果您还没有华为云帐号,请参见以下步骤创建。

1、打开https://www.huaweicloud.com/,单击“注册”。

2、根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?

注册成功后,系统会自动跳转至您的个人信息界面。

3、参考实名认证完成个人或企业帐号实名认证。

4、您需要确保账户有足够金额。

A、关于虚拟专用网络的价格,请参见价格详情。

B、关于充值,请参见如何给华为云账户充值。

二、创建VPN网关

操作场景

您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,需要先购买VPN网关。

背景信息

根据客户网关IP地址个数不同,推荐的组网如表1所示。

表1 组网关系

前置条件

1、请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参考创建虚拟私有云和子网。

2、请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参考安全组规则。


操作步骤

1、登录管理控制台。

2、在管理控制台左上角单击图标,选择区域和项目。

3、在系统首页,单击“网络 > 虚拟专用网络”。

4、在左侧导航栏,单击“虚拟专用网络 > VPN网关”。

5、在“VPN网关”界面,单击“创建VPN网关”。

6、根据界面提示配置参数,单击“立即购买”。VPN网关参数请参见表2。

7、确认订单详情,单击“立即购买”。

表2

参数
说明
取值样例

区域

不同区域的资源之间网络不互通。

选择靠近您所在地域的区域可以降低网络时延,从而提高访问速度。

华北-北京四

名称

VPN网关的名称。

vpngw-001

关联模式

虚拟私有云

通过VPC向客户网关或本端子网内服务器发送通信消息。

虚拟私有云

虚拟私有云

选择虚拟私有云VPC信息。

vpc-001(192.168.0.0/16)

本端子网

仅“关联模式”采用“虚拟私有云”时需要配置。

VPC与客户网关对应数据中心互通的子网。

1、选择子网

选择本VPC子网信息。

2、输入网段

可以输入本VPC下的子网信息;也可以输入与本VPC建立了对等网络的VPC子网信息。

192.168.1.0/24,192.168.2.0/24

互联子网

VPN网关和VPC通信的子网信息。

需要在VPC规划一个28位掩码的独立子网网段给VPN网关使用,且该网段不能与VPC现有的子网重叠。

192.168.66.0/24

BGP ASN

VPN网关会根据输入值创建相应的ASN。

VPN网关和客户网关的BGP ASN需要不同。

64512

计费模式

1、包年/包月:仅支持按带宽计费。

按带宽计费:指定带宽上限,按使用时间计费,且使用时间以年/月为单位,与使用的流量无关。

2、按需计费:支持按带宽计费和按流量计费。

按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关。

按流量计费:指定带宽上限,按实际使用的上行流量计费,与使用时间无关。

按需计费

规格

VPN网关支持的转发带宽和最大VPN连接数。

1、专业版-300

转发带宽:300Mbps

最大VPN连接数:200个

2、专业版-1000

转发带宽:1Gbps

最大VPN连接数:200个

专业版-1000

可用区

可用区是指在同一地域内,电力和网络互相独立的物理区域。在同一VPC网络内可用区与可用区之间内网互通,可用区之间能做到物理隔离。

1、当存在两个及以上可用区且可用区资源充足时,VPN网关支持在两个可用区分别创建一个VPN VM,保证VPN网关跨可用区灾备。

2、当存在一个可用区且可用区资源充足时,VPN网关支持在一个可用区创建两个VPN VM,保证VPN网关同可用区互备。

3、当可用区资源不足时,无法创建VPN网关。

可用区1、可用区2

VPN连接组数

“计费模式”采用“包年/包月”时需要配置。

VPN网关默认提供10个免费的VPN连接组。

1、如果VPN网关的主备EIP分别创建一条VPN连接到同一个客户网关的同一个IP地址,则只占用1个连接组配额。

2、如果VPN网关的主备EIP分别创建一条VPN连接到同一个客户网关的不同IP地址或不同客户网关, 则占用2个连接组配额。

10

企业项目

创建VPN时,可以将VPN加入已启用的企业项目。

企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default。

关于创建和管理企业项目的详情,请参见《企业管理用户指南》。

default

主用EIP

用于VPN网关和客户网关进行网络连接。

1、现在购买:购买新EIP

2、使用已有:使用已有EIP

现在购买

公网带宽

“计费模式”采用“按需计费”时需要配置。

按需计费支持两种计费方式:按带宽计费/按流量计费。

1、按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关。

2、按流量计费:指定带宽上限,按实际使用的上行流量计费,与使用时间无关。

按流量计费

带宽大小

EIP对应带宽大小,单位Mbit/s。

1、所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小,所有VPN连接的带宽总和不能超过该EIP的带宽大小。

当网络流量超过EIP的带宽大小时,有可能造成网络拥塞导致VPN连接中断,请提前做好带宽规划。

2、可以在云监控中配置告警规则对带宽进行监控。

10 Mbit/s

带宽名称

EIP对应带宽对象的名称。

Vpngw-bandwtidh1

备用EIP

一个VPN网关需要绑定一组弹性公网IP(即主/备EIP),每个公网IP可以独立规划带宽和付费方式。

-

公网带宽

“计费模式”采用“按需计费”时需要配置。

按需计费支持两种计费方式:按带宽计费/按流量计费。

1、按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关。

2、按流量计费:指定带宽上限,按实际使用的上行流量计费,与使用时间无关。

按流量计费

带宽大小

EIP对应带宽大小,单位Mbit/s。

1、所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小,所有VPN连接的带宽总和不能超过该EIP的带宽大小。

2、当网络流量超过EIP的带宽大小时,有可能造成网络拥塞导致VPN连接中断,请提前做好带宽规划。

3、可以在云监控中配置告警规则对带宽进行监控。

10 Mbit/s

带宽名称

EIP对应带宽对象的名称。

Vpngw-bandwtidh2

购买时长

“计费模式”采用“包年/包月”时需要配置。

在账户余额充足场景下,如果勾选“自动续费”功能,系统会在当前服务购买时长到期后自动进行续费:

1、按月购买场景,自动续费周期为一个月。

2、按年购买场景,自动续费周期为一年。

6

三、创建对端网关

操作场景

如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,创建VPN连接之前,需要创建客户网关。

操作步骤

1、登录管理控制台。

2、在管理控制台左上角单击图标,选择区域和项目。

3、在系统首页,单击“网络 > 虚拟专用网络”。

4、在左侧导航栏,单击“虚拟专用网络 > 对端网关”。

5、在“对端网关”界面,单击“创建对端网关”。

6、根据界面提示配置参数,单击“确定”。

对端网关参数请参见表1。

表1 对端网关参数说明

7、(可选)如果存在两个对端网关IP地址,请参考上述步骤添加另一个IP地址对应的对端网关。

相关操作

因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行IPsecVPN隧道配置。

四、创建VPN连接

背景信息

1、如果本地数据中心仅有一个客户网关,且客户网关只能配置一个IP地址,则建议VPN网关的主备EIP各创建一条VPN连接,对接同一个客户网关的同一个IP地址。该场景下仅占用一个VPN连接组配额。

2、如果本地数据中心存在两个客户网关,或一个客户网关可以配置两个IP地址,则建议VPN网关的主备EIP各创建一条VPN连接,对接到客户网关的不同IP地址。该场景下占用两个VPN连接组配额。

操作场景

您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,创建VPN网关后需要创建VPN连接。

操作步骤

1、登录管理控制台。

2、在管理控制台左上角单击图标,选择区域和项目。

3、在系统首页,单击“网络 > 虚拟专用网络”。

4、在左侧导航栏,单击“虚拟专用网络 > VPN连接”。

5、在“VPN连接”页面,单击“创建VPN连接”。

6、根据界面提示配置参数,单击“立即购买”。

VPN连接参数请参见表1表2

虚拟专用网络常见问题

虚拟专用网络常见问题

  • 什么是VPC、VPN网关、VPN连接?

    VPC:虚拟私有云是指云上隔离的、私密的虚拟网络环境,用户可通过虚拟专用网络(VPN)服务,安全访问云上虚拟网络内的主机(ECS)。

    VPN网关:虚拟私有云中建立的出口网关设备,通过VPN网关可建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。

    VPN连接:是一种基于Internet的IPsec加密技术,帮助用户快速构建VPN网关和用户本地数据中心的远端网关之间的安全、可靠的加密通道。

    云上建立VPN网络分为以下两个步骤:

    1、创建VPN网关:创建VPN网关指明了VPN互联的本地VPC,同时创建连接带宽和网关IP。

    2、VPN连接:创建VPN连接指明了与客户侧对接的网关IP、子网和协商策略信息。


  • 如何理解VPN连接中的对端网关和对端子网?

    对端网关和对端子网是个相对的概念,在建立VPN连接时,从华为云的角度出发,华为云VPC网络就是本地子网,创建的VPN网关就是本地网关,与之对接的用户侧网络就是对端子网, 用户侧的网关就是对端网关。

    对端网关IP就是用户侧网关的公网IP,对端子网指需要和华为云VPC子网互联的子网。

  • VPN接入VPC的网络地址如何规划?

    云上VPC地址段和客户云下的地址段不能冲突,且不允许存在包含关系。

    为避免和云服务地址冲突,用户侧网络应尽量避免使用127.0.0.0/8、169.254.0.0/16、224.0.0.0/3、100.64.0.0/10的网段。

  • IPsec VPN是否会自动建立连接?

    支持自动建立连接。

  • 建立IPsec VPN连接需要帐户名和密码吗?

    常见的使用帐户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP,华为云的IPsec VPN使用预共享密钥方式进行认证,密钥配置在VPN网关上,在VPN协商完成后即建立通道,VPN网关所保护的主机在进行通信时无需输入帐户名和密码。

    说明:

    IPsec XAUTH技术是IPsec VPN的扩展技术,它在VPN协商过程中可以强制接入用户输入帐户名和密码。

    目前华为云VPN不支持该扩展技术。

  • VPN连接支持使用国产加密算法吗?

    不支持。

    请使用华为云控制台界面提供的算法进行协商,请确保两端协商算法一致即可。

  • VPN配置下发后,多久能够生效?

    用户在管理控制台中完成VPN资源创建后,配置1-5分钟下发完成,下发后立即生效

    说明:

    VPN配置下发成功后,并不表示VPN连接已经建立成功,用户还需要对用户侧网关设备进行配置,完成与华为云VPN网关的隧道协商。

  • 华为云VPN是否支持IPv6?

    不支持。

    当前华为云只支持IPv4的VPN网络,暂不支持IPv6,也不支持IPv4与IPv6的双栈。

  • VPN连接中断后会通知我吗?

    VPN连接的状态监控功能已上线,VPN连接创建后即会向云监控服务CES上报状态信息,但是并不会自动向用户发送告警通知,需要在服务列表中选择“管理与监管 > 云监控”创建告警规则。

    VPN连接状态请在VPN连接“监控”列中单击进行查看。

精选文章推荐


更多相关文章精选推荐,带您了解更多华为云产品