ALIYUN::VPC::IpsecServer digunakan untuk membuat server IPsec-VPN.
Sintaks
{
"Type": "ALIYUN::VPC::IpsecServer",
"Properties": {
"LocalSubnet": String,
"EffectImmediately": Boolean,
"ClientIpPool": String,
"VpnGatewayId": String,
"IpsecConfig": Map,
"Psk": String,
"IkeConfig": Map,
"IpsecServerName": String,
"PskEnabled": Boolean
}
}Properti
| Properti | Tipe | Diperlukan | Dapat Diedit | Deskripsi | Kendala |
| LocalSubnet | String | Ya | Ya | Blok CIDR lokal. Ini mengacu pada blok CIDR dari virtual private cloud (VPC) yang digunakan untuk terhubung dengan klien. | Pisahkan beberapa blok CIDR dengan koma (,). Contoh: 192.168.1.0/24,192.168.2.0/24. |
| EffectImmediately | Boolean | Tidak | Ya | Menentukan apakah akan menghapus terowongan IPsec saat ini dan memulai negosiasi ulang. | Nilai default: false. Nilai valid:
|
| VpnGatewayId | String | Ya | Tidak | ID gateway VPN. | Tidak ada |
| IpsecConfig | Map | Tidak | Ya | Konfigurasi negosiasi Fase 2. | Untuk informasi lebih lanjut, lihat properti IpsecConfig. |
| IkeConfig | Map | Tidak | Ya | Konfigurasi negosiasi Fase 1. | Untuk informasi lebih lanjut, lihat properti IkeConfig. |
| ClientIpPool | String | Ya | Ya | Blok CIDR yang dialokasikan ke antarmuka jaringan virtual klien. Bukan blok CIDR tempat klien berada. | Ketika klien mengakses server menggunakan koneksi SSL-VPN, gateway VPN memilih alamat IP dari blok CIDR yang ditentukan dan menetapkannya ke klien. Blok CIDR ini tidak boleh bertentangan dengan blok CIDR yang ditentukan oleh LocalSubnet. |
| IpsecServerName | String | Tidak | Ya | Nama koneksi IPsec-VPN. | Nama harus memiliki panjang 2 hingga 128 karakter dan dapat berisi huruf, angka, titik (.), garis bawah (_), dan tanda hubung (-). Harus dimulai dengan huruf dan tidak boleh dimulai dengan http:// atau https://. |
| Psk | String | Tidak | Ya | Kunci pre-shared. | Kunci digunakan untuk otentikasi antara gateway VPN dan gateway pelanggan. Anda dapat menentukan kunci atau menggunakan kunci default yang dihasilkan secara acak oleh sistem. Kunci dapat memiliki panjang hingga 100 karakter. |
| PskEnabled | Boolean | Tidak | Ya | Menentukan apakah akan mengaktifkan metode otentikasi pre-shared key. | Nilai valid:
|
Sintaks IpsecConfig
"IpsecConfig": {
"IpsecPfs": String,
"IpsecEncAlg": String,
"IpsecAuthAlg": String,
"IpsecLifetime": Integer
}Properti IpsecConfig
| Properti | Tipe | Diperlukan | Dapat Diedit | Deskripsi | Kendala |
| IpsecPfs | String | Tidak | Ya | Algoritma pertukaran kunci Diffie-Hellman yang digunakan dalam negosiasi Fase 2. Jika Anda menyetel parameter ini, sistem meneruskan paket semua protokol. | Nilai default: group2. Nilai valid:
|
| IpsecEncAlg | String | Tidak | Ya | Algoritma enkripsi yang digunakan dalam negosiasi Fase 2. | Nilai default: aes. Nilai valid:
|
| IpsecAuthAlg | String | Tidak | Ya | Algoritma autentikasi yang digunakan dalam negosiasi Fase 2. | Nilai default: sha1. Nilai valid:
|
| IpsecLifetime | Integer | Tidak | Ya | Masa hidup Security Association (SA) sebagai hasil dari negosiasi Fase 2. | Nilai valid: 0 hingga 86400. Satuan: detik. Nilai default: 86400. |
Sintaks IkeConfig
"IkeConfig": {
"IkeAuthAlg": String,
"LocalId": String,
"IkeEncAlg": String,
"IkeVersion": String,
"IkeMode": String,
"IkeLifetime": Integer,
"RemoteId": String,
"IkePfs": String
}Properti IkeConfig
| Properti | Tipe | Diperlukan | Dapat Diedit | Deskripsi | Kendala |
| IkeAuthAlg | String | Tidak | Ya | Algoritma autentikasi yang digunakan dalam negosiasi Fase 1. | Nilai default: sha1. Nilai valid:
|
| LocalId | String | Tidak | Ya | ID gateway VPN. | ID dapat memiliki panjang hingga 100 karakter. Nilai default adalah alamat IP publik gateway VPN. |
| IkeEncAlg | String | Tidak | Ya | Algoritma enkripsi yang digunakan dalam negosiasi Fase 1. | Nilai default: aes. Nilai valid:
|
| IkeVersion | String | Tidak | Ya | Versi protokol Internet Key Exchange (IKE). | Nilai default: ikev2. Nilai valid:
|
| IkeMode | String | Tidak | Ya | Mode negosiasi IKE. | Nilai default: main. Nilai valid:
|
| IkeLifetime | Integer | Tidak | Ya | Masa hidup SA sebagai hasil dari negosiasi Fase 1. | Nilai valid: 0 hingga 86400. Satuan: detik. Nilai default: 86400. |
| RemoteId | String | Tidak | Ya | ID gateway pelanggan. | ID dapat memiliki panjang hingga 100 karakter. Nilai default adalah alamat IP publik gateway pelanggan. |
| IkePfs | String | Tidak | Ya | Algoritma pertukaran kunci Diffie-Hellman yang digunakan dalam negosiasi Fase 1. | Nilai default: group2. Nilai valid:
|
Parameter respons
Fn::GetAtt
- IpsecServerId: ID server IPsec-VPN.
- IpsecServerName: Nama server IPsec-VPN.
Contoh
JSON Format
{
"ROSTemplateFormatVersion": "2015-09-01",
"Parameters": {
"LocalSubnet": {
"Type": "String",
"Description": "Segmen jaringan lokal mengacu pada segmen jaringan di sisi VPC yang perlu diinterkoneksi dengan segmen jaringan klien. Gunakan koma setengah lebar (,) untuk memisahkan beberapa segmen jaringan, misalnya: 192.168.1.0/24,192.168.2.0/24."
},
"EffectImmediately": {
"Type": "Boolean",
"Description": "true: Terapkan konfigurasi baru dan picu rekoneksi segera. \nfalse: Picu rekoneksi hanya ketika lalu lintas jaringan terjadi. (Rekoneksi dapat menyebabkan jaringan tidak tersedia selama beberapa saat)",
"AllowedValues": [
"True",
"true",
"False",
"false"
]
},
"ClientIpPool": {
"Type": "String",
"Description": "Segmen jaringan klien mengacu pada segmen alamat yang memberikan alamat akses ke kartu jaringan virtual klien. Catatan: Segmen jaringan klien tidak boleh bertentangan dengan segmen jaringan di sisi VPC."
},
"VpnGatewayId": {
"Type": "String",
"Description": "ID instance gateway VPN."
},
"IpsecConfig": {
"Type": "Json",
"Description": "Konfigurasi parameter negosiasi di fase kedua."
},
"Psk": {
"Type": "String",
"Description": "Pre-Shared key. Digunakan untuk otentikasi identitas antara gateway VPN dan klien. Sebuah string acak 16-bit dihasilkan secara default, atau Anda dapat menentukan kunci secara manual. Panjang dibatasi hingga 100 karakter."
},
"IkeConfig": {
"Type": "Json",
"Description": "Konfigurasi parameter negosiasi di fase pertama."
},
"IpsecServerName": {
"Type": "String",
"Description": "Nilainya harus memiliki panjang 2 hingga 128 karakter dan dimulai dengan huruf atau karakter Cina. Dapat berisi angka, garis bawah (_), dan tanda hubung (-)."
},
"PskEnabled": {
"Type": "Boolean",
"Description": "Apakah akan mengaktifkan metode otentikasi pre-shared key. Hanya nilai true, yang berarti bahwa mode otentikasi pre-shared key diaktifkan.",
"AllowedValues": [
"True",
"true",
"False",
"false"
]
}
},
"Resources": {
"IpsecServer": {
"Type": "ALIYUN::VPC::IpsecServer",
"Properties": {
"LocalSubnet": {
"Ref": "LocalSubnet"
},
"EffectImmediately": {
"Ref": "EffectImmediately"
},
"ClientIpPool": {
"Ref": "ClientIpPool"
},
"VpnGatewayId": {
"Ref": "VpnGatewayId"
},
"IpsecConfig": {
"Ref": "IpsecConfig"
},
"Psk": {
"Ref": "Psk"
},
"IkeConfig": {
"Ref": "IkeConfig"
},
"IpsecServerName": {
"Ref": "IpsecServerName"
},
"PskEnabled": {
"Ref": "PskEnabled"
}
}
}
},
"Outputs": {
"IpsecServerId": {
"Description": "ID server IPsec.",
"Value": {
"Fn::GetAtt": [
"IpsecServer",
"IpsecServerId"
]
}
},
"IpsecServerName": {
"Description": "Nama server IPsec.",
"Value": {
"Fn::GetAtt": [
"IpsecServer",
"IpsecServerName"
]
}
}
}
}YAML Format
ROSTemplateFormatVersion: '2015-09-01'
Parameters:
ClientIpPool:
Description: 'Segmen jaringan klien mengacu pada segmen alamat yang memberikan
alamat akses ke kartu jaringan virtual klien. Catatan: Segmen jaringan klien
tidak boleh bertentangan dengan segmen jaringan di sisi VPC.'
Type: String
EffectImmediately:
AllowedValues:
- 'True'
- 'true'
- 'False'
- 'false'
Description: "true: Terapkan konfigurasi baru dan picu rekoneksi segera.\
\ \nfalse: Picu rekoneksi hanya ketika lalu lintas jaringan terjadi. (Rekoneksi\
\ dapat menyebabkan jaringan tidak tersedia selama beberapa saat)"
Type: Boolean
IkeConfig:
Description: Konfigurasi parameter negosiasi di fase pertama.
Type: Json
IpsecConfig:
Description: Konfigurasi parameter negosiasi di fase kedua.
Type: Json
IpsecServerName:
Description: Nilainya harus memiliki panjang 2 hingga 128 karakter dan dimulai
dengan huruf atau karakter Cina. Dapat berisi angka, garis bawah (_), dan tanda
hubung (-).
Type: String
LocalSubnet:
Description: 'Segmen jaringan lokal mengacu pada segmen jaringan di sisi VPC
yang perlu diinterkoneksi dengan segmen jaringan klien. Gunakan koma setengah
lebar (,) untuk memisahkan beberapa segmen jaringan, misalnya: 192.168.1.0/24,192.168.2.0/24.'
Type: String
Psk:
Description: Pre-Shared key. Digunakan untuk otentikasi identitas antara gateway
VPN dan klien. Sebuah string acak 16-bit dihasilkan secara default, atau Anda
dapat menentukan kunci secara manual. Panjang dibatasi hingga 100 karakter.
Type: String
PskEnabled:
AllowedValues:
- 'True'
- 'true'
- 'False'
- 'false'
Description: Apakah akan mengaktifkan metode otentikasi pre-shared key. Hanya
nilai true, yang berarti bahwa mode otentikasi pre-shared key diaktifkan.
Type: Boolean
VpnGatewayId:
Description: ID instance gateway VPN.
Type: String
Resources:
IpsecServer:
Properties:
ClientIpPool:
Ref: ClientIpPool
EffectImmediately:
Ref: EffectImmediately
IkeConfig:
Ref: IkeConfig
IpsecConfig:
Ref: IpsecConfig
IpsecServerName:
Ref: IpsecServerName
LocalSubnet:
Ref: LocalSubnet
Psk:
Ref: Psk
PskEnabled:
Ref: PskEnabled
VpnGatewayId:
Ref: VpnGatewayId
Type: ALIYUN::VPC::IpsecServer
Outputs:
IpsecServerId:
Description: ID server IPsec.
Value:
Fn::GetAtt:
- IpsecServer
- IpsecServerId
IpsecServerName:
Description: Nama server IPsec.
Value:
Fn::GetAtt:
- IpsecServer
- IpsecServerName