本文介绍如何使用IPsec-VPN在两个专有网络VPC(Virtual Private Cloud)之间建立安全连接,实现两个VPC内的资源互访。
场景示例
说明 VPN网关不支持建立跨境连接。使用IPsec-VPN建立VPC和VPC之间的连接时,两个VPC必须同属于中国内地地域或者同属于非中国内地地域。关于中国内地地域和非中国内地地域的说明,请参见
中国内地和非中国内地包含的地域都有哪些?。
在一个VPC属于中国内地地域,另一个VPC属于非中国内地地域的场景下,如果您需要在两个VPC之间建立连接,您可以使用云企业网产品。更多信息,请参见什么是云企业网。
本文以下述场景为例。某企业在华东1(杭州)地域拥有一个VPC1,在华北1(青岛)地域拥有一个VPC2。两个VPC均已使用云服务器ECS(Elastic Compute
Service)部署了业务,企业因后续发展,现在需要VPC1和VPC2中的业务可以互相访问。
出于建设安全的网络环境考虑,企业计划使用VPN网关产品,通过在两个VPC之间建立IPsec-VPN连接,对数据进行加密传输,实现资源的安全互访。
前提条件
- 您已经在阿里云华东1(杭州)地域和华北1(青岛)地域分别创建了VPC1和VPC2,两个VPC中均使用ECS部署了相关业务。具体操作,请参见搭建IPv4专有网络。
本示例VPC1和VPC2的配置如下表所示。
说明 您可以自行规划VPC实例的网段,请确保要互通的网段之间没有重叠。
| VPC实例名称 |
VPC实例所属地域 |
VPC实例的网段 |
VPC实例ID |
ECS实例名称 |
ECS实例的IP地址 |
| VPC1 |
华东1(杭州) |
192.168.0.0/16 |
vpc-bp1e0yx3nsosmitth**** |
ECS1 |
192.168.20.161 |
| VPC2 |
华北1(青岛) |
10.0.0.0/16 |
vpc-m5e83sapxp88cgp5f**** |
ECS2 |
10.0.1.110 |
- 您已经了解两个VPC中ECS实例所应用的安全组规则,并确保安全组规则允许两个ECS实例互访。具体操作,请参见查询安全组规则和添加安全组规则。
配置流程
步骤一:创建VPN网关
- 登录VPN网关管理控制台。
- 在顶部菜单栏,选择VPN网关实例所属的地域。
本示例选择
华东1(杭州)。
说明 VPN网关实例的地域和待关联的VPC实例的地域需相同。
- 在VPN网关页面,单击创建VPN网关。
- 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
| 配置项 |
说明 |
| 实例名称 |
输入VPN网关实例的名称。本示例输入VPN网关1。
|
| 地域 |
选择VPN网关实例所属的地域。本示例选择华东1(杭州)。
|
| 专有网络 |
选择VPN网关实例关联的VPC实例。本示例选择VPC1。 |
| 指定交换机 |
是否指定VPN网关创建在VPC实例中的某一个交换机下。本示例选择否。
|
| 带宽峰值 |
选择VPN网关实例的公网带宽峰值。单位:Mbps。 |
| 流量 |
VPN网关实例的计费方式。默认值:按流量计费。
更多信息,请参见计费说明。
|
| IPsec-VPN |
选择开启或关闭IPsec-VPN功能。本示例选择开启。
|
| SSL-VPN |
选择开启或关闭SSL-VPN功能。本示例选择关闭。
|
| 购买时长 |
VPN网关的计费周期。默认值:按小时计费。
|
| 服务关联角色 |
单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。
VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。
若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。
|
更多信息,请参见
创建VPN网关。
- 返回VPN网关页面,查看已创建的VPN网关实例。
创建VPN网关实例后,其状态是准备中,约1~5分钟会变成正常状态。正常状态表明VPN网关实例已经完成了初始化,可以正常使用。
- 重复步骤2至步骤4,在华北1(青岛)地域创建一个名称为VPN网关2的VPN网关实例,该VPN网关实例关联VPC2,其余配置与VPN网关1相同。
创建完成后,两个VPN网关实例的信息如下表所示。
| 地域 |
VPN网关实例的名称 |
VPN网关实例关联的VPC实例名称 |
VPN网关实例ID |
VPN网关IP地址 |
| 华东1(杭州) |
VPN网关1 |
VPC1 |
vpn-bp1l5zihic47jprwa**** |
120.XX.XX.40 |
| 华北1(青岛) |
VPN网关2 |
VPC2 |
vpn-m5eqjnr4ii6jajpms**** |
118.XX.XX.20 |
步骤二:创建用户网关
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择用户网关实例的地域。
说明 用户网关实例的地域必须和待连接的VPN网关实例的地域相同。
- 在用户网关页面,单击创建用户网关。
- 在创建用户网关面板,根据以下信息配置用户网关实例,然后单击确定。
您需要在华东1(杭州)地域和华北1(青岛)地域分别创建一个用户网关实例,用户网关实例的配置请参见下表。
| 配置项 |
配置项说明 |
华东1(杭州) |
华北1(青岛) |
| 名称 |
输入用户网关实例的名称。 |
Customer1 |
Customer2 |
| IP地址 |
输入用户网关实例的公网IP地址。 |
本示例输入VPN网关2的IP地址118.XX.XX.20。
说明 在本示例中VPC1和VPC2互为对方的用户网关。
|
本示例输入VPN网关1的IP地址120.XX.XX.40。
|
更多信息,请参见创建用户网关。
配置完成后,VPN网关实例、用户网关实例与VPC实例之间的对应关系如下表所示。
| 地域 |
VPC实例名称 |
VPN网关实例名称 |
用户网关实例名称 |
用户网关实例ID |
用户网关IP地址 |
| 华东1(杭州) |
VPC1 |
VPN网关1 |
Customer1 |
cgw-bp1er5cw26c2b35vm**** |
118.XX.XX.20 |
| 华北1(青岛) |
VPC2 |
VPN网关2 |
Customer2 |
cgw-m5e6qdvuxquse3fvm**** |
120.XX.XX.40 |
步骤三:创建IPsec连接
VPN网关和用户网关创建完成后,您需要分别创建两个IPsec连接建立VPN加密通道。
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择IPsec连接的地域。
- 在IPsec连接页面,单击创建IPsec连接。
- 在创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定。
您需要在华东1(杭州)地域和华北1(青岛)地域分别创建一个IPsec连接,IPsec连接的配置请参见下表。
| 配置项 |
配置项说明 |
华东1(杭州) |
华北1(青岛) |
| 名称 |
输入IPsec连接的名称。 |
IPsec连接1 |
IPsec连接2 |
| VPN网关 |
选择已创建的VPN网关实例。 |
VPN网关1 |
VPN网关2 |
| 用户网关 |
选择已创建的用户网关实例。 |
Customer1 |
Customer2 |
| 路由模式 |
选择路由模式。 |
选择目的路由模式。
|
选择目的路由模式。
|
| 立即生效 |
选择是否立即生效。
- 是:配置完成后立即进行协商。
- 否:当有流量进入时进行协商。
|
本示例选择否。
|
本示例选择否。
|
| 预共享密钥 |
输入预共享密钥。
如果不输入该值,系统默认生成一个16位的随机字符串。
|
fddsFF123****
|
其他选项使用默认配置。更多信息,请参见创建和管理IPsec连接。
- 在创建成功对话框中,单击确定。
步骤四:配置路由
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择VPN网关实例的地域。
- 在VPN网关页面,找到目标VPN网关实例,单击实例ID。
- 在目的路由表页签,单击添加路由条目。
- 在添加路由条目面板,根据以下信息配置目的路由,然后单击确定。
您需要分别为VPN网关1和VPN网关2配置路由条目,配置信息如下表所示。
| 配置项 |
配置说明 |
VPN网关1 |
VPN网关2 |
| 目标网段 |
输入待互通的目标网段。 |
输入VPC2的私网网段10.0.0.0/16。
|
输入VPC1的私网网段192.168.0.0/16。
|
| 下一跳类型 |
选择下一跳的类型。 |
选择IPsec连接。
|
选择IPsec连接。
|
| 下一跳 |
选择下一跳。 |
选择IPsec连接1。 |
选择IPsec连接2。 |
| 发布到VPC |
选择是否将新添加的路由发布到VPN网关关联的VPC中。 |
本示例选择是。
|
本示例选择是。
|
| 权重 |
选择路由的权重值。
|
本示例保持默认值100。
|
本示例保持默认值100。
|
更多信息,请参见
添加目的路由。
步骤五:测试连通性
- 登录VPC1内的ECS1实例。
- 执行ping命令,访问ECS2实例,验证两个VPC之间的资源是否可以互访。
ping <ECS2实例IP地址>
收到如下所示的回复报文,则证明两个VPC之间的资源可以正常互访。
