本文介绍如何通过VPN网关的设置,实现本地数据中心访问阿里云文件存储NAS。
背景信息
对于一个地域(例如华东1杭州)内创建的文件系统(NFS或者SMB),只支持挂载到同一地域内的ECS上。您在其他地域(例如华北1青岛)内的ECS或者本地数据中心的服务器,无法直接挂载。只有通过建立不同VPC间或者本地数据中心和VPC间的高速通道才能实现跨地域或者在本地数据中心挂载文件系统,而部署高速通道存在高成本问题。
通过阿里云VPN网关服务,您可以完成本地数据中心到阿里云VPC的访问,以及不同地域VPC之间的互通。您可以通过VPN网关服务,实现以下两种方式的文件系统挂载。
如果您在VPC内已使用一台ECS服务器搭建VPN网关,则还需在另一VPC内创建一个VPN网关进行连接。具体操作,请参见已部署一台VPN网关时跨地域挂载文件系统。
如果您没有这样的环境,请分别在不同的VPC中创建VPN网关进行连接。具体操作,请参见未部署VPN网关时跨地域挂载文件系统。
网络拓扑如下所示。
使用VPN网关的优劣势如下所示。
优势
VPN解决了连通性的问题。
VPN提供安全的访问(通过IPsec实现加密通信)。
使用VPN与使用高速通道相比,客户的使用成本会有明显下降。
劣势
通过VPN访问文件系统时的I/O性能将受限于从IDC到VPC或者VPC之间的公网带宽和时延。
挂载文件系统至本地数据中心
创建文件系统和挂载点。
登录NAS控制台。
创建文件系统。具体操作,请参见通过控制台创建通用型NAS文件系统。
添加VPC类型的挂载点。具体操作,请参见添加挂载点。
建立VPC到本地数据中心的连接。具体操作,请参见建立VPC到本地数据中心的连接。
验证本地数据中心内的服务器和VPC内ECS或者文件系统挂载点的连通性。
登录阿里云VPC内一台无公网IP地址的ECS,并通过ping命令ping本地数据中心内一台服务器的私网IP地址,验证通信是否正常。
确认ping通后,在本地数据中心的服务器上挂载VPC内的文件系统。具体操作,请参见挂载文件系统。
跨地域挂载文件系统至ECS
已部署一台VPN网关时跨地域挂载文件系统
此处以处于不同地域的VPC1和VPC2为例进行说明。
创建文件系统和挂载点。
登录NAS控制台。
创建文件系统。具体操作,请参见通过控制台创建通用型NAS文件系统。
添加VPC类型的挂载点。具体操作,请参见添加挂载点。
此处添加的是VPC1内的挂载点。
在VPC2内,使用一台ECS搭建VPN网关作为用户网关。
说明该ECS需要有公网IP地址,才能与VPC1内的VPN网关建立连接。
关于如何使用ECS服务器搭建VPN网关的教程,请参见Install a strongSwan IPSec VPN Server on CentOS 7。
建立VPC1和VPC2内的VPN网关的连接。
在VPC2内的其他ECS上添加静态路由。具体操作,请参见配置VPN网关路由。
其中,目标网段为VPC1的内网IP地址,下一跳为VPC2内的用户网关。
验证VPC1和VPC2内的ECS或者文件系统挂载点的连通性。
登录阿里云VPC1内一台ECS,并通过ping命令pingVPC2内一台ECS的IP地址,验证通信是否正常。
确认ping通后,在VPC2内的其他ECS上挂载VPC1内的文件系统。具体操作,请参见挂载文件系统。
未部署VPN网关时跨地域挂载文件系统
此处以处于不同地域的VPC1和VPC2为例进行说明。
创建文件系统和挂载点。
登录NAS控制台。
创建文件系统。具体操作,请参见通过控制台创建通用型NAS文件系统。
添加VPC类型的挂载点。具体操作,请参见添加挂载点。
此处添加的是VPC1内的挂载点。
建立VPC1和VPC2内的VPN网关的连接。
验证VPC1和VPC2内的ECS或者文件系统挂载点的连通性。
登录阿里云VPC1内一台ECS,并通过ping命令pingVPC2内一台ECS的IP地址,验证通信是否正常。
确认ping通后,在VPC2内的ECS上挂载VPC1内的文件系统。具体操作,请参见挂载文件系统。