使用VPN網關及其隧道加密技術,可以實現雲下本機資料中心、辦公網、用戶端和雲上VPC私網連通及安全互訪。
使用情境
情境一:使用IPsec-VPN串連本機資料中心與雲上VPC
IPsec-VPN基於IPsec協議,實現網站到網站(Site-to-Site)類型的加密串連,用於連通雲下資料中心和雲上VPC,適用於混合雲組網、專線備份等情境。
IPsec-VPN有2種形態:
綁定VPN網關:適用於雲下網路連通雲上單個VPC情境。
綁定轉寄路由器(TR):適用於雲下網路連通雲上多個VPC情境。
情境二:使用SSL-VPN允許員工遠程接入VPC
SSL-VPN基於SSL協議,實現用戶端到網站(Client-to-Site)類型的加密串連,用於用戶端(如膝上型電腦、手機等)連通雲上VPC,適用於遠程辦公等情境。管理員為員工授權後,員工可以在本地電腦或行動裝置上安裝用戶端軟體,撥入VPN後即可安全訪問部署在VPC內的應用和服務。
產品優勢
安全:使用IPsec或SSL協議對傳輸資料進行加密,保證資料安全可信。
穩定:底層採用雙機熱備架構,故障時秒級切換,保證會話不中斷,業務不受影響。
簡單:功能開通即用,配置即時生效,實現快速部署。
低成本:支援基於互連網建立加密隧道,相比使用物理專線成本更低。
選擇和入門使用
對比維度 | IPsec-VPN | SSL-VPN |
連線物件 | 企業資料中心、分公司辦公室等固定網站。 | 居家辦公、隨處工作的個人電腦或行動裝置。 |
典型情境 | 網站到網站(Site-to-Site):串連企業本網與雲上VPC,打通混合雲環境。 | 用戶端到網站(Client-to-Site):授權員工從任意地點安全接入雲上辦公系統或開發環境。 |
用戶端要求 | 需要具備IPsec功能的專業網路裝置(如路由器、防火牆)。 | 僅需在終端裝置上安裝輕量級的用戶端軟體。 |
協議 | 標準IPsec協議(網路層)。 | SSL/TLS協議(應用程式層)。 |
配置複雜度 | 較高,需要協同配置雲上和本地兩端裝置參數。 | 極低,管理員在雲端配置完成後,終端使用者只需安裝用戶端並使用憑證登入即可。 |
入門使用IPsec-VPN
IPsec-VPN需綁定VPN網關或轉寄路由器:
組件名稱 | 說明 |
VPN網關 | 連通雲下網路和雲上單個VPC時,VPN網關執行個體是實現互連的雲上出入口。它具備公網IP,用於和本地網關裝置進行通訊。 |
轉寄路由器 | 連通雲下網路和雲上多個VPC時,轉寄路由器是實現互連的雲上出入口。使用時需在轉寄路由器建立VPN串連,並綁定IPsec串連執行個體。 |
建立VPN網關或轉寄路由器後,還需在雲上配置使用者網關和IPsec串連:
組件名稱 | 說明 |
使用者網關 | 阿里雲側的一個邏輯對象,用於在記錄本地網關裝置的公網IP地址。在建立IPsec-VPN串連時需要使用。 |
IPsec串連 | 定義從VPN網關/轉寄路由器到使用者網關的加密隧道。在此串連中配置兩端的密碼編譯演算法、認證演算法、預先共用金鑰(PSK)等參數。 |
請參考如下文檔詳細瞭解和使用:
入門使用SSL-VPN
SSL-VPN涉及如下關鍵組件:
組件名稱 | 說明 |
VPN網關 | 在阿里雲側建立的VPN網關執行個體,是實現網路互連的雲上入口。它具備公網IP,用於和用戶端進行通訊。 |
SSL服務端 | 在VPN網關上開啟SSL-VPN功能後建立的服務執行個體。它定義了用戶端接入所使用的協議、連接埠、密碼編譯演算法以及用戶端網段。 |
SSL用戶端 | 安裝在員工個人電腦或行動裝置上的軟體。用於與SSL服務端建立加密串連,使裝置能夠訪問雲上資源。 |
請參考如下文檔詳細瞭解和使用: