VPN Gateway：VPN 閘道執行個體

工作原理

VPN 閘道作為 VPC 與本機資料中心的中轉網關，流量處理流程如下：

• VPC 訪問本地 IDC：

  1. 接收資料包：資料包按照 VPC 路由條目發送至 VPN 閘道。

  2. 加密並封裝：VPN 閘道按照 IPsec 協議執行封裝，封裝後的資料包以 VPN 閘道的公網 IP 為源地址、本地 IDC 的公網 IP 為目的地址。

  3. 本地 IDC 處理：本地 IDC 的網關裝置接收資料包後，將解密並還原資料包，即源地址為VPC 網段內的私網 IP、目的地址為本地 IDC 網段內的私網 IP。再按照 IDC 的路由，轉寄至目標執行個體。

• 本地 IDC 訪問 VPC：

  1. 監聽並接收加密流量：VPN 閘道使用公網 IP作為串連端點，持續監聽來自本地 IDC 的 IPsec 串連請求和加密資料。

  2. 解密並還原資料包：VPN 閘道按照 IPsec 協議執行解鎖裝，還原出原始可被 VPC 識別的資料包。

  3. 路由並轉寄：按照還原資料包的目的地址，轉寄至目標執行個體。

建立 VPN 閘道

新購 VPN 閘道僅支援建立雙隧道模式的 IPsec-VPN 串連。針對已建立的支援單隧道模式的 VPN 閘道，建議升級IPsec-VPN串連為雙隧道模式。

升級 VPN 閘道

VPN 閘道版本不斷演化迭代，最新版本的 VPN 閘道支援更多的功能特性，最佳化了和第三方廠商裝置對接的相容性。如果 VPN 閘道非最新版本，可能會存在運行風險，強烈建議將其升級到最新版本，以體驗更多功能並獲得更穩定的網路能力。

• 升級判斷：可在 VPN 閘道詳情頁根據升級按鈕的狀態判斷 VPN 閘道是否為最新版本。新購 VPN 閘道預設為最新版本。

• 升級成本：

  • 升級 VPN 閘道約需要 10 分鐘。

    重要

    VPN 閘道升級期間無法提供服務，已有串連也會中斷。建議在網路維護視窗期間進行升級，以免影響業務運行。

  • 升級 VPN 閘道的操作不會產生費用。

• 升級限制：

  • VPN 閘道不存在 IPsec 串連時，升級前後配置不變。

  • VPN 閘道存在 IPsec 串連時：

    • 若 IPsec 串連配置了多個網段且 IKE 版本為 IKEv1，則需要將 IKE 版本修改為 IKEv2，或者將多個網段拆分為多個IPsec串連才能進行升級，否則會升級失敗。

    • 若 VPN 閘道的策略路由表或目的路由表頁簽下存在舊版 VPN 暫不支援此功能的提示，或者 VPN 閘道在2019年03月21日之前建立且未進行過升級時：以上執行個體建立 IPsec 串連時預設僅需配置感興趣流而無需配置路由，但是為最新版本的 VPN 閘道建立 IPsec 串連時需要配置路由。因此，升級VPN網關後，需要為 VPN 閘道配置路由以確保 IPsec 串連正常工作。

    • 其餘情境下，升級前後 IPsec 串連配置不變。

刪除 VPN 閘道

配額與限制

• 不同 IPsec-VPN 隧道模式、頻寬規格的 VPN 閘道，本機資料中心與 VPN 閘道之間兩個方向的頻寬峰值不完全相同。

  IPsec-VPN隧道模式	VPN網關頻寬規格值	出雲方向的頻寬峰值	入雲方向的頻寬峰值
  雙隧道	> 10 Mbps	VPN網關的頻寬規格值。	VPN網關的頻寬規格值。
  	≤ 10 Mbps	VPN網關的頻寬規格值。	10 Mbps。
  單隧道	> 100 Mbps	VPN網關的頻寬規格值。	VPN網關的頻寬規格值。
  	≤ 100 Mbps	VPN網關的頻寬規格值。	100 Mbps。

• 不同地區下，VPN 閘道支援的最大頻寬規格不同。

  分類	地區
  最大支援 1000 Mbps	華東1（杭州）、華東2（上海）、華北1（青島）、華北2（北京）、華北3（張家口）、華北5（呼和浩特）、華北6（烏蘭察布）、華南1（深圳）、華南2（河源）、華南3（廣州）、西南1（成都）、中國香港、新加坡、日本（東京）、馬來西亞（吉隆坡）、印尼（雅加達）、泰國（曼穀）、韓國（首爾）、菲律賓（馬尼拉）、美國（矽谷）、美國（維吉尼亞）、德國（法蘭克福）、英國（倫敦）、墨西哥
  最大支援 500 Mbps	華東5（南京-本地地區）、阿聯酋（杜拜）、沙特（利雅得） 沙特（利雅得）地區由夥伴營運。

計費說明

• 執行個體費用：VPN 閘道收取執行個體費和流量費。

• 配置變更：為已有的 VPN 閘道開啟 IPsec-VPN，需要為當前計費周期的剩餘時間補繳功能價差。

• 版本升級：升級 VPN 閘道的操作本身不產生任何費用。