用戶端與VPC建立SSL-VPN串連後,用戶端預設僅能訪問該VPC內的資源,無法訪問其他VPC內的資源。但您可以藉助雲企業網產品或VPC對等串連功能先實現跨VPC互聯,然後再在相關產品中添加路由配置,用戶端便可通過SSL-VPN串連訪問跨VPC內的資源。例如訪問同地區其他VPC資源、訪問跨地區VPC資源、訪問跨帳號VPC資源等。
情境說明
用戶端能否訪問跨地區VPC資源、跨帳號VPC資源或同地區其他VPC資源,由跨VPC互聯情境決定。當前雲企業網、VPC對等串連功能均支援同地區VPC互聯、跨地區VPC互聯,跨帳號VPC互聯、多個VPC同時互聯,使用這兩種方式實現的VPC互聯情境均能實現用戶端訪問跨VPC資源。實現跨VPC互聯後,在SSL服務端中添加所有待互連的跨VPC網段,在相關產品中添加去往用戶端的路由,用戶端便可通過SSL-VPN串連訪問跨VPC內的資源。
雲企業網、VPC對等串連兩種VPC互聯方式的區別,請參見跨VPC互聯。
雲企業網 | VPC對等串連 |
情境樣本
本文以下圖情境為例。用戶端已與VPC1建立SSL-VPN串連,可以正常訪問VPC1內的資源。因公司業務部署變化調整,員工在外地辦公時用戶端也需要訪問VPC2內的資源,企業可以先使用雲企業網或VPC對等串連實現VPC1和VPC2互聯,然後分別在SSL服務端、VPC1或VPC2中添加路由配置,用戶端便可通過SSL-VPN串連訪問VPC2內的資源。
前提條件
用戶端與VPC1已建立SSL-VPN串連,用戶端可訪問VPC1內的資源。具體操作,請參見用戶端遠端連線VPC。
在SSL服務端詳情頁面查看SSL服務端配置的用戶端網段和用戶端虛擬位址,用於後續配置和網路連通性測試。
重要請確保用戶端網段與VPC1、VPC2中待互連的網段沒有重疊,VPC1與VPC2之間要與用戶端互連的網段也沒有重疊。如果用戶端網段有重疊,您可以修改用戶端網段,修改操作會導致SSL-VPN串連中斷,用戶端需重新發起SSL-VPN串連。
操作步驟
本文將分別描述使用雲企業網和使用VPC對等串連實現跨VPC互聯情境下如何進行操作,您選擇其中一種方式進行操作即可。
步驟一:跨VPC互聯
使用雲企業網實現跨VPC互聯
本文使用雲企業網實現的是同帳號跨地區VPC互聯,如果您要使用雲企業網實現其他VPC互聯情境,例如跨帳號VPC互聯,請參見雲企業網快速入門。
建立雲企業網執行個體時選擇單獨建立,自訂雲企業網執行個體名稱,其餘配置保持預設狀態即可。
分別在華東1(杭州)和華東2(上海)地區各建立一個TR執行個體。除地區外,其餘配置項保持預設狀態即可。
建立VPC串連。
將VPC1串連至華東1(杭州)地區TR,將VPC2串連至華東2(上海)地區TR。
登入雲企業網管理主控台。
在云企业网实例頁面,找到目標雲企業網執行個體,單擊目標執行個體ID。
在頁簽,在任意一個TR執行個體的操作列單擊创建网络实例连接。
在连接网络实例頁面,根據以下配置分別將VPC1和VPC2串連至TR。
配置項
串連VPC1
串連VPC2
实例类型
選擇Virtual Private Cloud。
選擇Virtual Private Cloud。
地域
選擇華東1(杭州)。
選擇華東2(上海)。
资源归属UID
保持預設值:同帳號。
连接名称
定義為VPC1-Attachment。
定義為VPC2-Attachment。
網路執行個體
選擇VPC1。
選擇VPC2
交換器
在TR支援的可用性區域選擇交換器執行個體。
在支援多個可用性區域的地區,您至少需要在2個可用性區域中各選擇一個交換器執行個體。在VPC和TR流量互連的過程中,這2個交換器執行個體可以實現可用性區域層級的容災。交換器數量不足,可建立交換器。
高级配置
保持預設值,即開啟所有進階配置。
說明如果VPC的路由表中已經存在目標網段為10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由條目,則系統無法再自動下發該路由條目,您需要在VPC路由表中手動添加指向VPC串連的路由條目以實現VPC和TR之間的流量互連。
您可以在網路執行個體右側單擊發起路由檢查查看網路執行個體內是否存在上述路由。
建立跨地區串連。
VPC1和VPC2位於不同的地區,需在華東1(杭州)地區TR和華東2(上海)地區TR之間建立跨地區串連,才能實現VPC1和VPC2互聯。
在頁簽,在任意一個TR執行個體的操作列單擊创建网络实例连接。
在连接网络实例頁面,根據以下資訊建立跨地區串連。
配置項
說明
实例类型
選擇跨地域连接。
地域
選擇華東1(杭州)。
對端地區
選擇華東2(上海)。
頻寬分配方式
選擇按流量付費的頻寬分配方式。
說明按流量付費模式下跨地區串連的流量傳輸費由CDT產品統一計費。
頻寬
輸入跨地區串連的頻寬值。單位:Mbps。
高级配置
保持預設值,即開啟所有進階配置。
使用VPC對等串連實現跨VPC互聯
本文使用VPC對等串連實現的是同帳號跨地區VPC互聯,如果您要使用VPC對等串連實現其他VPC互聯情境,例如跨帳號VPC互聯,請參見使用VPC對等串連實現VPC私網互連。
建立VPC對等串連。
登入對等串連管理主控台,在頂部功能表列處,選擇發起端VPC所在地區。
本文指定VPC1為發起端,選擇華東1(杭州)地區。
如果您是初次使用VPC對等串連,請在VPC对等连接頁面,單擊開通CDT功能,然後在彈出的對話方塊單擊確定開通。
在VPC对等连接頁面,單擊建立對等串連,配置以下參數資訊。
配置VPC對等連線路由。
在VPC对等连接頁面,找到已建立的VPC對等串連,在發起端VPC執行個體列單擊配置路由條目,為VPC1添加去往VPC2的路由條目,以便後續用戶端可以通過VPC1訪問VPC2。
(可選)在接收端VPC執行個體列單擊配置路由條目,為VPC2添加去往VPC1的路由條目。
完成該步驟後,VPC1和VPC2可實現私網互連。如果您不需要VPC1和VPC2實現私網互連,可跳過該步驟。
步驟二:在SSL服務端添加跨VPC網段
在SSL服務端中添加VPC2網段,VPN網關才會允許用戶端訪問該網段下的資源。
如果用戶端要同時訪問多個跨VPC資源,需要在SSL服務端中添加所有跨VPC網段。
登入VPN網關管理主控台。
在左側導覽列,選擇。
在頂部狀態列處,選擇SSL服務端的地區。
在SSL服務端頁面,找到目標SSL服務端,在操作列單擊編輯。
在編輯SSL服務端面板,單擊添加本端網段,添加VPC2網段,然後單擊確定。
步驟三:配置去往用戶端的路由
雲企業網
在VPC1中將去往用戶端的路由發布至雲企業網,VPC2通過雲企業網與用戶端互連。
- 登入專用網路管理主控台。
在頂部功能表列,選擇VPC1的地區。
- 在左側導覽列,單擊路由表。
在路由表頁面,找到VPC1的路由表,單擊路由表ID。
在頁簽,找到去往用戶端的路由,在專用網路路由發布狀態列單擊發布。
VPC對等串連
登入對等串連管理主控台。在VPC对等连接頁面,找到已建立的VPC對等串連。在接收端VPC執行個體列單擊配置路由條目,為VPC2配置去往用戶端的路由。
如果用戶端要同時訪問多個跨VPC資源,需要在每個跨VPC路由表中添加去往用戶端的路由。
步驟四:測試連通性
完成上述配置後,用戶端已經可以訪問VPC2下的資源。同時,VPC2下的資源也可以訪問用戶端。
開啟用戶端的命令列視窗。
執行
ifconfig命令查看已建立SSL-VPN串連的介面。執行
ping <ECS IP地址> -I <SSL-VPN隧道介面>命令,使用SSL-VPN隧道介面嘗試訪問ECS2執行個體,如果用戶端可以收到如下的回複報文,則證明用戶端已經可以訪問VPC2內資源。說明執行ping命令前,確保ECS2安全性群組規則和用戶端側存取控制規則允許ICMP協議訊息通過。
登入VPC2下的ECS2執行個體,執行
ping <用戶端虛擬位址>命令,嘗試訪問用戶端,如果ECS2可以收到如下的回複報文,則證明ECS2也可以訪問用戶端。
常見問題
將用戶端路由發布至雲企業網後,流量測試不通怎麼辦?
如果建立VPC串連和跨地區串連時您開啟了所有進階配置,轉寄路由器預設會自動完成路由的傳播和學習。但如果您未開啟所有進階配置,自訂了路由條目,或者您的環境中存在路由衝突,可能會導致轉寄路由器無法學習到路由或者導致路由建立失敗,進而導致流量不通。請登入相關產品控制台,逐個排查VPC互聯情境中每個執行個體的路由,確保各個執行個體下擁有去往跨VPC和用戶端的路由,如果缺失相關路由,請手動添加。具體操作,請參見為企業版轉寄路由器添加自訂路由條目和添加自訂路由條目。