全部產品
Search

搜尋本產品

    Global Accelerator:使用GA加速SSL-VPN

    文件中心

    Global Accelerator:使用GA加速SSL-VPN

    更新時間:Dec 28, 2024

    在遠程辦公或跨地區訪問公司專屬應用程式等情境中,通常使用SSL-VPN來安全訪問雲上VPC內的應用。但由於跨地區訪問,常面臨串連不穩定、延遲過高等問題,影響工作效率。您可以搭配使用GA,依託阿里雲優質BGP頻寬和全球傳輸網路,最佳化SSL-VPN串連,解決跨地區訪問延遲和不穩定問題,提升遠程辦公效率和安全性。

    功能簡介

    SSL-VPN是一種基於OpenVPN架構的網路連接技術,通過安裝認證的方式對互連網用戶端進行身份認證以及對傳輸資料進行加密,用於在互連網用戶端與Virtual Private Cloud(Virtual Private Cloud)之間建立安全、可靠的網路連接。

    GA是一款覆蓋全球的網路加速服務,依託阿里巴巴優質BGP頻寬和全球傳輸網路,實現全球網路就近接入和跨地區部署,減少延遲、抖動、丟包等網路問題對服務品質的影響,為您提供高可用和高效能的網路加速服務。

    SSL-VPN與GA組合使用,可以在保障資料安全的同時,顯著提升遠端連線的品質和速度,提升終端使用者體驗。

    關鍵特性

    • 安全加密:SSL-VPN使用SSL協議加密資料,確保遠端連線的安全性。

    • 加速訪問:通過GA實現全球多地區快速串連,降低延遲,提升訪問速度。

    • 穩定可靠:依託阿里雲全球傳輸網路,提供穩定的串連品質。

    適用情境

    • 跨國企業遠程辦公:企業員工可通過SSL-VPN安全訪問公司內網資源,同時藉助GA提升連線速度,保證工作效率。

    • 遊戲和視頻應用:為需要安全連線的終端使用者提供高速的訪問,加速終端使用者登入和資料轉送。

    • 資料敏感行業:如金融、醫學等需保障資料安全的行業,通過SSL-VPN確保資料安全,同時藉助GA提升訪問體驗。

    情境樣本

    中國香港的員工通過阿里雲VPN網關的SSL-VPN,遠程加密訪問位於美國矽谷的公司內部應用。因跨國公網不穩定,訪問公司內部應用時經常出現延遲卡頓,影響遠程辦公效率。

    為瞭解決這個問題,該公司考慮部署GA,使遠程團隊的訪問請求就近接入阿里雲並進行網路加速,為員工提供更加流暢和高效的工作體驗。

    前提條件

    • 您已在VPC中建立ECS執行個體,並在ECS中部署了應用服務。

      本文以Alibaba Cloud Linux 3作業系統為例,並使用Nginx配置後端HTTP 80服務。

      ECS中測試服務的部署命令參考樣本

      yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS." > index.html

    • 您已完成用戶端遠端連線VPC

    操作步驟

    步驟一:配置執行個體基礎資訊

    本文以隨用隨付的標準型GA執行個體為例。

    1. Global Acceleration控制台標準型執行個體 > 執行個體列表列表頁面,單擊建立標準型隨用隨付執行個體

    2. 執行個體基礎配置的設定精靈頁面,配置基礎資訊,單擊下一步

      GA基礎配置.png

    步驟二:配置加速地區

    配置加速地區設定精靈頁面,添加加速地區並為其分配頻寬,然後單擊下一步

    本文以中國香港地區為例,加速地區添加為中國(香港)公網品質類型均配置為BGP(多線),其他參數可保持預設值或根據實際情況修改。加速地區配置詳細資料,請參見添加和管理加速地區

    GA加速地區.png

    步驟三:配置監聽

    配置監聽設定精靈頁面,配置轉寄協議與連接埠,然後單擊下一步

    本文情境中,協議配置為TCP連接埠輸入SSL服務端使用的連接埠1194,即您建立SSL服務端時指定的連接埠,其他參數可保持預設值或根據實際情況修改。監聽配置詳細資料,請參見添加和管理智能路由類型監聽

    監聽.png

    步驟四:配置終端節點群組與終端節點

    1. 配置終端節點群組設定精靈頁面,配置終端節點後端服務,然後單擊下一步

      本文情境中,地區選擇美國(矽谷)後端服務類型選擇自訂IP後端服務輸入SSL服務端IP地址(即VPN網關的公網IP地址,用於用戶端和VPN網關之間建立SSL-VPN串連,可在VPN網關執行個體的IP地址列擷取網關地址),然後閱讀並選中資料跨境合規承諾,其他參數可保持預設值或根據實際情況修改。終端節點群組配置詳細資料,請參見添加和管理智能路由類型監聽的終端節點群組

      EPG.png

      GA 跨境合規 INTL.png

    2. 組態稽核設定精靈頁面,確認Global Acceleration的配置資訊,然後單擊提交

    3. 建立任務完成後,在建立任務詳情列表下方,單擊進入執行個體詳情,然後在執行個體詳情頁,可選擇執行個體資訊監聽加速地區等頁簽查看執行個體配置資訊。

      例如,GA的加速IP可從加速地區頁簽下擷取。

      加速地區.png

    步驟五:配置用戶端config.ovpn檔案

    說明

    config.ovpn檔案可用於配置OpenVPN用戶端與指定SSL服務端之間建立串連的基本參數和認證等資訊。其中,remote欄位為用戶端要已連線的服務端IP地址資訊。未使用GA時,remote欄位為SSL服務端IP地址;使用GA後,該欄位需修改為GA的加速IP,以確保用戶端可接入阿里雲加速網路實現加速。

    本文以Windows用戶端為例。具體操作以您用戶端的作業系統為準,更多資訊可參考配置用戶端

    1. 在案頭右下角,按右鍵VPN表徵圖,然後單擊Edit config,配置config.ovpn檔案,將remote欄位值從SSL服務端IP地址修改為GA的加速IP並儲存。

      編輯VPN用戶端設定檔.png

    2. 在案頭右下角,再次按右鍵VPN表徵圖,然後單擊Reconnect,重新發起SSL-VPN串連。

    步驟六:訪問測試

    重要

    測試前,請確保ECS的安全性群組規則已放通GA的終端節點出公網IP

    驗證配置是否生效

    1. 在加速地區(本文為中國香港地區)的電腦中,使用瀏覽器訪問http://<ECS的私網IP>,可以正常訪問後端服務。

      訪問服務.png

    2. 在VPN控制台的SSL服務端頁面,找到目標SSL服務端,單擊SSL服務端ID,進入詳情頁查看已串連的用戶端資訊。

      其中,實際地址列所顯示IP為GA的終端節點出公網IP,則該SSL串連已經過GA加速。

      SSL用戶端資訊.png

    測試加速效果

    分別在使用GA前後,執行curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http//<ECS的私網IP>",查看加速後資料包延遲情況。

    1. 測試組態GA前的網路延遲情況。

      執行本步驟測試前,請確保用戶端config.ovpn檔案中remote欄位值為SSL服務端IP地址,且SSL服務端的實際地址為用戶端的公網IP地址。

      使用GA前.png

    2. 測試組態GA後的網路延遲情況。

      執行本步驟測試前,請確保用戶端config.ovpn檔案中remote欄位值為GA的加速IP,且SSL服務端的實際地址GA的終端節點出公網IP。

      使用GA後.png

    3. 對比加速效果。

      對比資料參數介紹:

      • time_connect:連線時間,從開始到建立TCP串連完成所用的時間,單位為秒。

      • time_starttransfer:開始傳輸時間。在用戶端發出請求後,到後端伺服器響應第一個位元組所用的時間,單位為秒。

      • time_total:串連總時間。用戶端發出請求後,到後端伺服器響應會話所用的時間,單位為秒。

      參數

      加速前(單位:秒)

      加速後(單位:秒)

      加速資料參考(單位:秒)

      加速資料參考(百分比)

      time_connect

      0.163520

      0.149367

      提升0.014153

      速度提升8.66%

      time_starttransfer

      0.715961

      0.299847

      提升0.416114

      速度提升58.12%

      time_total

      0.716210

      0.300105

      提升0.416105

      速度提升58.10%

      說明

      本文樣本與資料僅供參考。實際加速效果請以您的實際業務測試為準。

    常見問題

    如果來源站點所在的地區並不在Global Acceleration的支援的地區中,還可以使用Global Acceleration服務嗎?

    可以。

    在配置終端節點群組的地區時,請選擇離您來源站點最近的地區。Global Acceleration會將接收到的訪問請求轉寄至終端節點群組中的最佳終端節點。

    標準型Global Acceleration執行個體配置完成後,用戶端無法訪問後端服務,可能有哪些原因?

    使用阿里雲GA加速訪問後端服務,在Global Acceleration配置完成後,訪問業務失敗。您可以參見以下資訊,排查訪問失敗的原因:

    • 檢查後端服務是否工作正常。

      請直接存取您的後端服務,如果是後端服務訪問異常,請直接排查來源站點服務。

    • 如果您通過CNAME方式添加網域名稱解析,檢查用戶端地區屬於已添加的加速地區。

      GA的CNAME網域名稱具有地區屬性(受加速地區配置影響),跨地區訪問會有失敗的可能。例如,加速地區僅有海外地區時,那麼中國內地地區存在無法解析CNAME網域名稱,無法訪問加速網域名稱的情況。建議您在加速地區中添加中國內地地區,或根據地址協議類型切換為A或AAAA記錄。

    • 檢查後端伺服器是否有安全性原則。

      查看是否允許存取了終端節點出公網IP(可在監聽詳情頁簽下查看終端節點出公網IP)。

    • 檢查業務網域名稱對應的服務連接埠是否已添加到GA的監聽中。

      比如對於同時使用80和443連接埠的Web應用,一般需要將80和443均加入GA的監聽中,否則使用未在監聽中的連接埠訪問Global Acceleration時,會返回失敗。

    • 請確認來源站點是否部署在阿里雲上,如果來源站點部署在非阿里雲上,請排查配置中是否開啟了保持客戶端源IP功能。

      保持客戶端源IP功能需要來源站點支援解析Proxy-Protocol,否則會訪問失敗,更多資訊,請參見通過GA擷取用戶端真實IP。建議您關閉保持客戶端源IP功能後進行訪問,如何關閉保持用戶端源IP功能,請參見如何關閉保持用戶端源IP功能?

    • 檢查流量是否超過了加速地區的頻寬峰值。

      • 您可以通過監控圖表功能,查看串連數和頻寬情況(也可能有DDoS等網路攻擊)。查看執行個體監控,請參見查看執行個體監控

      • 您可以調整加速地區的頻寬峰值以符合業務實際流量需求。修改加速地區頻寬峰值,請參見修改加速地區

    • 檢查GA是否開啟了存取控制,以及用戶端IP是否在存取控制白名單中。

      關於存取控制配置,請參見存取控制

    • 檢查網域名稱DNS解析是否正確,是否解析到了GA的CNAME或加速IP。

      可通過dig等相關命令檢查。如何配置CNAME解析,請參見配置CNAME

    相關文檔

    • 為SSL-VPN串連部署GA後,新增GA相關費用。包括GA執行個體費、CU費、流量費,詳情可參考隨用隨付Global Acceleration執行個體計費

    • 對於跨境情境,預設採用精品頻寬跨域加速。如果需要追求更高的網路品質,可以使用專線跨域加速,詳情可參考加速配置選型