虚拟专用网络应用场景
虚拟专用网络多种应用场景架构图及方案优势
虚拟专用网络快速入门
一、准备工作
注册华为云并实名认证并且为账户充值
如果您已有一个华为云帐号,请跳到下一个任务。如果您还没有华为云帐号,请参见以下步骤创建。
1、打开https://www.huaweicloud.com/,单击“注册”。
2、根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?
注册成功后,系统会自动跳转至您的个人信息界面。
3、参考实名认证完成个人或企业帐号实名认证。
4、您需要确保账户有足够金额。
A、关于虚拟专用网络的价格,请参见价格详情。
B、关于充值,请参见如何给华为云账户充值。
二、创建VPN网关
操作场景
您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,需要先购买VPN网关。
背景信息
根据客户网关IP地址个数不同,推荐的组网如表1所示。
表1 组网关系
前置条件
1、请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参考创建虚拟私有云和子网。
2、请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参考安全组规则。
操作步骤
1、登录管理控制台。
2、在管理控制台左上角单击图标,选择区域和项目。
3、在系统首页,单击“网络 > 虚拟专用网络”。
4、在左侧导航栏,单击“虚拟专用网络 > VPN网关”。
5、在“VPN网关”界面,单击“创建VPN网关”。
6、根据界面提示配置参数,单击“立即购买”。VPN网关参数请参见表2。
7、确认订单详情,单击“立即购买”。
表2
|
参数
|
说明
|
取值样例
|
|---|---|---|
区域 |
不同区域的资源之间网络不互通。 选择靠近您所在地域的区域可以降低网络时延,从而提高访问速度。 |
华北-北京四 |
名称 |
VPN网关的名称。 |
vpngw-001 |
关联模式 |
虚拟私有云 通过VPC向客户网关或本端子网内服务器发送通信消息。 |
虚拟私有云 |
虚拟私有云 |
选择虚拟私有云VPC信息。 |
vpc-001(192.168.0.0/16) |
本端子网 |
仅“关联模式”采用“虚拟私有云”时需要配置。 VPC与客户网关对应数据中心互通的子网。 1、选择子网 选择本VPC子网信息。 2、输入网段 可以输入本VPC下的子网信息;也可以输入与本VPC建立了对等网络的VPC子网信息。 |
192.168.1.0/24,192.168.2.0/24 |
互联子网 |
VPN网关和VPC通信的子网信息。 需要在VPC规划一个28位掩码的独立子网网段给VPN网关使用,且该网段不能与VPC现有的子网重叠。 |
192.168.66.0/24 |
BGP ASN |
VPN网关会根据输入值创建相应的ASN。 VPN网关和客户网关的BGP ASN需要不同。 |
64512 |
计费模式 |
1、包年/包月:仅支持按带宽计费。 按带宽计费:指定带宽上限,按使用时间计费,且使用时间以年/月为单位,与使用的流量无关。 2、按需计费:支持按带宽计费和按流量计费。 按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关。 按流量计费:指定带宽上限,按实际使用的上行流量计费,与使用时间无关。 |
按需计费 |
规格 |
VPN网关支持的转发带宽和最大VPN连接数。 1、专业版-300 转发带宽:300Mbps 最大VPN连接数:200个 2、专业版-1000 转发带宽:1Gbps 最大VPN连接数:200个 |
专业版-1000 |
可用区 |
可用区是指在同一地域内,电力和网络互相独立的物理区域。在同一VPC网络内可用区与可用区之间内网互通,可用区之间能做到物理隔离。 1、当存在两个及以上可用区且可用区资源充足时,VPN网关支持在两个可用区分别创建一个VPN VM,保证VPN网关跨可用区灾备。 2、当存在一个可用区且可用区资源充足时,VPN网关支持在一个可用区创建两个VPN VM,保证VPN网关同可用区互备。 3、当可用区资源不足时,无法创建VPN网关。 |
可用区1、可用区2 |
VPN连接组数 |
仅“计费模式”采用“包年/包月”时需要配置。 VPN网关默认提供10个免费的VPN连接组。 1、如果VPN网关的主备EIP分别创建一条VPN连接到同一个客户网关的同一个IP地址,则只占用1个连接组配额。 2、如果VPN网关的主备EIP分别创建一条VPN连接到同一个客户网关的不同IP地址或不同客户网关, 则占用2个连接组配额。 |
10 |
企业项目 |
创建VPN时,可以将VPN加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default。 关于创建和管理企业项目的详情,请参见《企业管理用户指南》。 |
default |
主用EIP |
用于VPN网关和客户网关进行网络连接。 1、现在购买:购买新EIP 2、使用已有:使用已有EIP |
现在购买 |
公网带宽 |
仅“计费模式”采用“按需计费”时需要配置。 按需计费支持两种计费方式:按带宽计费/按流量计费。 1、按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关。 2、按流量计费:指定带宽上限,按实际使用的上行流量计费,与使用时间无关。 |
按流量计费 |
带宽大小 |
EIP对应带宽大小,单位Mbit/s。 1、所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小,所有VPN连接的带宽总和不能超过该EIP的带宽大小。 当网络流量超过EIP的带宽大小时,有可能造成网络拥塞导致VPN连接中断,请提前做好带宽规划。 2、可以在云监控中配置告警规则对带宽进行监控。 |
10 Mbit/s |
带宽名称 |
EIP对应带宽对象的名称。 |
Vpngw-bandwtidh1 |
备用EIP |
一个VPN网关需要绑定一组弹性公网IP(即主/备EIP),每个公网IP可以独立规划带宽和付费方式。 |
- |
公网带宽 |
仅“计费模式”采用“按需计费”时需要配置。 按需计费支持两种计费方式:按带宽计费/按流量计费。 1、按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关。 2、按流量计费:指定带宽上限,按实际使用的上行流量计费,与使用时间无关。 |
按流量计费 |
带宽大小 |
EIP对应带宽大小,单位Mbit/s。 1、所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小,所有VPN连接的带宽总和不能超过该EIP的带宽大小。 2、当网络流量超过EIP的带宽大小时,有可能造成网络拥塞导致VPN连接中断,请提前做好带宽规划。 3、可以在云监控中配置告警规则对带宽进行监控。 |
10 Mbit/s |
带宽名称 |
EIP对应带宽对象的名称。 |
Vpngw-bandwtidh2 |
购买时长 |
仅“计费模式”采用“包年/包月”时需要配置。 在账户余额充足场景下,如果勾选“自动续费”功能,系统会在当前服务购买时长到期后自动进行续费: 1、按月购买场景,自动续费周期为一个月。 2、按年购买场景,自动续费周期为一年。 |
6 |
三、创建对端网关
操作场景
如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,创建VPN连接之前,需要创建客户网关。
操作步骤
1、登录管理控制台。
2、在管理控制台左上角单击图标,选择区域和项目。
3、在系统首页,单击“网络 > 虚拟专用网络”。
4、在左侧导航栏,单击“虚拟专用网络 > 对端网关”。
5、在“对端网关”界面,单击“创建对端网关”。
6、根据界面提示配置参数,单击“确定”。
对端网关参数请参见表1。
表1 对端网关参数说明
7、(可选)如果存在两个对端网关IP地址,请参考上述步骤添加另一个IP地址对应的对端网关。
相关操作
因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行IPsecVPN隧道配置。
四、创建VPN连接
背景信息
1、如果本地数据中心仅有一个客户网关,且客户网关只能配置一个IP地址,则建议VPN网关的主备EIP各创建一条VPN连接,对接同一个客户网关的同一个IP地址。该场景下仅占用一个VPN连接组配额。
2、如果本地数据中心存在两个客户网关,或一个客户网关可以配置两个IP地址,则建议VPN网关的主备EIP各创建一条VPN连接,对接到客户网关的不同IP地址。该场景下占用两个VPN连接组配额。
操作场景
您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,创建VPN网关后需要创建VPN连接。
操作步骤
1、登录管理控制台。
2、在管理控制台左上角单击图标,选择区域和项目。
3、在系统首页,单击“网络 > 虚拟专用网络”。
4、在左侧导航栏,单击“虚拟专用网络 > VPN连接”。
5、在“VPN连接”页面,单击“创建VPN连接”。
6、根据界面提示配置参数,单击“立即购买”。
虚拟专用网络常见问题
虚拟专用网络常见问题
-
什么是VPC、VPN网关、VPN连接?
VPC:虚拟私有云是指云上隔离的、私密的虚拟网络环境,用户可通过虚拟专用网络(VPN)服务,安全访问云上虚拟网络内的主机(ECS)。
VPN网关:虚拟私有云中建立的出口网关设备,通过VPN网关可建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。
VPN连接:是一种基于Internet的IPsec加密技术,帮助用户快速构建VPN网关和用户本地数据中心的远端网关之间的安全、可靠的加密通道。
云上建立VPN网络分为以下两个步骤:
1、创建VPN网关:创建VPN网关指明了VPN互联的本地VPC,同时创建连接带宽和网关IP。
2、VPN连接:创建VPN连接指明了与客户侧对接的网关IP、子网和协商策略信息。
-
如何理解VPN连接中的对端网关和对端子网?
对端网关和对端子网是个相对的概念,在建立VPN连接时,从华为云的角度出发,华为云VPC网络就是本地子网,创建的VPN网关就是本地网关,与之对接的用户侧网络就是对端子网, 用户侧的网关就是对端网关。
对端网关IP就是用户侧网关的公网IP,对端子网指需要和华为云VPC子网互联的子网。
-
VPN接入VPC的网络地址如何规划?
云上VPC地址段和客户云下的地址段不能冲突,且不允许存在包含关系。
为避免和云服务地址冲突,用户侧网络应尽量避免使用127.0.0.0/8、169.254.0.0/16、224.0.0.0/3、100.64.0.0/10的网段。
-
IPsec VPN是否会自动建立连接?
支持自动建立连接。
-
哪些设备可以与华为云进行VPN对接?
华为云的VPN支持标准IPsec协议,用户可以通过以下两个方面确认用户侧数据中心的设备能否与华为云进行对接:
1、设备是否具备IPsec功能和授权:请查询设备的特性列表获取是否支持IPsec VPN。
2、关于组网结构,要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP(即NAT穿越,VPN设备在NAT网关后部署)也可以。
设备型号多为路由器、防火墙等,对接配置请参见管理员指南。
说明:1、普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务(如L2TP)无法与华为云的VPN进行对接。
2、与华为云VPN服务做过对接测试厂商包括:
A、设备厂商:华为(防火墙)。
B、云服务厂商包括:阿里云,腾讯云,亚马逊(aws),微软(Microsoft Azure)。
C、软件厂商包括:strongSwan。
3、IPsec协议属于IETF标准协议,宣称支持该协议的厂商均可与华为云进行对接,用户不需要关注具体的设备型号。
目前绝大多数企业级路由器和防火墙都支持该协议。
4、部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的,但是需要专门购买软件License才能激活相关功能。
请用户侧数据中心管理员根据设备具体型号与厂商进行确认。
-
建立IPsec VPN连接需要帐户名和密码吗?
常见的使用帐户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP,华为云的IPsec VPN使用预共享密钥方式进行认证,密钥配置在VPN网关上,在VPN协商完成后即建立通道,VPN网关所保护的主机在进行通信时无需输入帐户名和密码。
说明:IPsec XAUTH技术是IPsec VPN的扩展技术,它在VPN协商过程中可以强制接入用户输入帐户名和密码。
目前华为云VPN不支持该扩展技术。
-
VPN连接支持使用国产加密算法吗?
不支持。
请使用华为云控制台界面提供的算法进行协商,请确保两端协商算法一致即可。
-
VPN配置下发后,多久能够生效?
用户在管理控制台中完成VPN资源创建后,配置1-5分钟下发完成,下发后立即生效
说明:VPN配置下发成功后,并不表示VPN连接已经建立成功,用户还需要对用户侧网关设备进行配置,完成与华为云VPN网关的隧道协商。
-
华为云VPN是否支持IPv6?
不支持。
当前华为云只支持IPv4的VPN网络,暂不支持IPv6,也不支持IPv4与IPv6的双栈。
-
VPN连接中断后会通知我吗?
VPN连接的状态监控功能已上线,VPN连接创建后即会向云监控服务CES上报状态信息,但是并不会自动向用户发送告警通知,需要在服务列表中选择“管理与监管 > 云监控”创建告警规则。
VPN连接状态请在VPN连接“监控”列中单击进行查看。
