全部产品
Search
文档中心

VPN网关:CreateSslVpnServer - 创建SSL-VPN服务端

更新时间:Jun 25, 2026

调用CreateSslVpnServer接口创建SSL-VPN服务端。

接口说明

  • CreateSslVpnServer 接口属于异步接口,即系统先返回一个实例 ID,但该 SSL-VPN 服务端尚未创建成功,系统后台的创建任务仍在进行。您可以调用 DescribeVpnGateway 查询 VPN 网关实例的状态,来确定 SSL-VPN 服务端的创建状态:
    • 当 VPN 网关实例处于 updating 状态时,表示 SSL-VPN 服务端正在创建中。

    • 当 VPN 网关实例处于 active 状态时,表示 SSL-VPN 服务端创建成功。

  • CreateSslVpnServer 接口不支持在同一 VPN 网关下并发创建 SSL-VPN 服务端。

前提条件

  • 您已经创建了 VPN 网关且 VPN 网关已开启 SSL-VPN 功能。具体操作,请参见 CreateVpnGateway

  • 如果您需要为 SSL 服务端开启双因子认证功能,请先确保 VPN 网关实例支持该功能,您可能需要升级 VPN 网关实例。更多信息,请参见SSL-VPN 双因子认证支持 IDaaS EIAM 2.0

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。

  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。

  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:

    • 对于必选的资源类型,用前面加 * 表示。

    • 对于不支持资源级授权的操作,用全部资源表示。

  • 条件关键字:是指云产品自身定义的条件关键字。

  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。

操作

访问级别

资源类型

条件关键字

关联操作

vpc:CreateSslVpnServer

create

*SslVpnServer

acs:vpc:{#regionId}:{#accountId}:sslvpnserver/*

*VpnGateway

acs:vpc:{#regionId}:{#accountId}:vpngateway/{#VpnGatewayId}

请求参数

名称

类型

必填

描述

示例值

ClientToken

string

客户端 Token,用于保证请求的幂等性。

从您的客户端生成一个参数值,确保不同请求间该参数值唯一。ClientToken 只支持 ASCII 字符。

说明

若您未指定,则系统自动使用 API 请求的 RequestId 作为 ClientToken 标识。每次 API 请求的 RequestId 不一样。

02fb3da4-130e-11e9-8e44-0016e04115b

RegionId

string

VPN 网关所在的地域 ID。

您可以通过调用 DescribeRegions 接口获取地域 ID。

cn-shanghai

VpnGatewayId

string

VPN 网关的 ID。

vpn-bp1hgim8by0kc9nga****

Name

string

SSL-VPN 服务端的名称。

长度为 1~100 个字符,不能以http://https://开头。

sslvpnname

ClientIpPool

string

客户端网段。

是给客户端虚拟网卡分配访问地址的地址段,不是指客户端已有的内网网段。

当客户端通过 SSL-VPN 连接访问本端时,VPN 网关会从指定的客户端网段中分配一个 IP 地址给客户端使用,客户端将会使用分配的 IP 地址访问云上资源。

在您指定客户端网段时需保证客户端网段所包含的 IP 地址个数是当前 VPN 网关 SSL 连接数的 4 倍及以上。

单击查看原因

例如您指定的客户端网段为 192.168.0.0/24,系统在为客户端分配 IP 地址时,会先从 192.168.0.0/24 网段中划分出一个子网掩码为 30 的子网段,例如 192.168.0.4/30,然后从 192.168.0.4/30 中分配一个 IP 地址供客户端使用,剩余三个 IP 地址会被系统占用以保证网络通信,此时一个客户端会耗费 4 个 IP 地址。因此,为保证您的客户端均能分配到 IP 地址,请确保您指定的客户端网段所包含的 IP 地址个数是 VPN 网关 SSL 连接数的 4 倍及以上。

单击查看不支持配置的网段

  • 100.64.0.0~100.127.255.255

  • 127.0.0.0~127.255.255.255

  • 169.254.0.0~169.254.255.255

  • 224.0.0.0~239.255.255.255

  • 255.0.0.0~255.255.255.255

单击查看每个 SSL 连接数建议的客户端网段

  • 若 SSL 连接数为 5,则客户端网段的子网掩码位数建议小于或等于 27。例如:10.0.0.0/27、10.0.0.0/26。

  • 若 SSL 连接数为 10,则客户端网段的子网掩码位数建议小于或等于 26。例如:10.0.0.0/26、10.0.0.0/25。

  • 若 SSL 连接数为 20,则客户端网段的子网掩码位数建议小于或等于 25。例如:10.0.0.0/25、10.0.0.0/24。

  • 若 SSL 连接数为 50,则客户端网段的子网掩码位数建议小于或等于 24。例如:10.0.0.0/24、10.0.0.0/23。

  • 若 SSL 连接数为 100,则客户端网段的子网掩码位数建议小于或等于 23。例如:10.0.0.0/23、10.0.0.0/22。

  • 若 SSL 连接数为 200,则客户端网段的子网掩码位数建议小于或等于 22。例如:10.0.0.0/22、10.0.0.0/21。

  • 若 SSL 连接数为 500,则客户端网段的子网掩码位数建议小于或等于 21。例如:10.0.0.0/21、10.0.0.0/20。

  • 若 SSL 连接数为 1000,则客户端网段的子网掩码位数建议小于或等于 20。例如:10.0.0.0/20、10.0.0.0/19。

说明
  • 客户端网段的子网掩码位数在 16 至 29 位之间。

  • 请确保客户端网段与本端网段、VPC 网段以及与客户端终端关联的任何路由网段均没有重叠。

  • 在指定客户端网段时,建议您使用 10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16 网段及其子网网段。如果您的客户端网段需要指定为公网网段,您需要将公网网段设置为 VPC 的用户网段,以确保 VPC 可以访问到该公网网段。关于用户网段的更多信息,请参见专有网络 FAQ

  • 创建 SSL 服务端后,系统后台会自动将客户端网段的路由添加在 VPC 实例的路由表中,请勿再手动将客户端网段的路由添加到 VPC 实例的路由表,否则会导致 SSL-VPN 连接流量传输异常。

192.168.1.0/24

LocalSubnet

string

本端网段。

是客户端通过 SSL-VPN 连接要访问的地址段。

本端网段可以是 VPC 的网段、交换机的网段、通过专线和 VPC 互连的 IDC 的网段、云服务如对象存储服务 OSS(Object Storage Service)等的网段。

本端网段的子网掩码位数在 8 至 32 位之间。以下网段不支持指定为本端网段:

  • 127.0.0.0~127.255.255.255

  • 169.254.0.0~169.254.255.255

  • 224.0.0.0~239.255.255.255

  • 255.0.0.0~255.255.255.255

10.0.0.0/8

Proto

string

SSL-VPN 服务端所使用的协议,取值:

  • TCP(默认值):TCP 协议。

  • UDP:UDP 协议。

UDP

Cipher

string

SSL-VPN 连接使用的加密算法。

  • 如果客户端使用 Tunnelblick 软件或 2.4.0 及以上版本的 OpenVPN 软件,则 SSL 服务端和客户端之间动态协商加密算法,会优先使用双方均支持的最高安全级别的加密算法。您为 SSL 服务端指定的加密算法不生效。

  • 如果客户端使用 2.4.0 之前版本的 OpenVPN 软件,则 SSL 服务端和客户端将使用您为 SSL 服务端指定的加密算法。SSL 服务端支持指定以下加密算法:

    • AES-128-CBC(默认值):AES-128-CBC 算法。

    • AES-192-CBC:AES-192-CBC 算法。

    • AES-256-CBC:AES-256-CBC 算法。

    • none:不使用加密算法。

AES-128-CBC

Port

integer

SSL-VPN 服务端所使用的端口。端口取值范围:1~65535。默认值:1194

不支持使用以下端口:222222222229000900190027505804435368123451045605004500

1194

Compress

boolean

指定是否对通信进行压缩, 取值:

  • true:对通信进行压缩。

  • false(默认值):对通信不进行压缩。

false

EnableMultiFactorAuth

boolean

是否开启双因子认证。如果您选择开启双因子认证功能,您还需要配置IDaaSInstanceIdIDaaSRegionIdIDaaSApplicationId。取值:

  • true:开启。

  • false(默认值):不开启。

说明
  • 如果您是首次使用双因子认证功能,请先完成授权后再创建 SSL 服务端。

  • 在阿联酋(迪拜)地域创建 SSL 服务端时,推荐您绑定新加坡地域的 IDaaS EIAM 2.0 实例,以减少跨地域时延。

  • IDaaS EIAM 1.0 实例不再支持新购。如果您的阿里云账号存在 IDaaS EIAM 1.0 实例,开启双因子认证功能后,依旧支持绑定 IDaaS EIAM 1.0 实例。如果您的阿里云账号下不存在 IDaaS EIAM 1.0 实例,开启双因子认证功能后,仅支持绑定 IDaaS EIAM 2.0 实例。

false

IDaaSInstanceId

string

IDaaS EIAM 实例 ID。

idaas-cn-hangzhou-p****

IDaaSRegionId

string

IDaaS EIAM 实例所属地域 ID。

cn-hangzhou

IDaaSApplicationId

string

IDaaS 应用 ID。

  • 如果您绑定的是 IDaaS EIAM 2.0 实例,需输入 IDaaS 应用 ID。

  • 如果您绑定的是 IDaaS EIAM 1.0 实例,无需输入 IDaaS 应用 ID。

app_my6g4qmvnwxzj2f****

DryRun

boolean

指定是否仅对请求进行预检查。有效值:

  • true:仅对请求进行预检查,不执行操作。系统会预检查必需参数、请求语法和限制。如果请求未通过预检查,则返回错误消息。如果请求通过预检查,则返回 DryRunOperation 错误代码。

  • false(默认值):发送请求。请求通过预检查后,返回 2xx HTTP 状态代码并执行操作。

DnsServers

string

返回参数

名称

类型

描述

示例值

object

SslVpnServerId

string

SSL-VPN 服务端的 ID。

vss-bp18q7hzj6largv4v****

RequestId

string

请求 ID。

E98A9651-7098-40C7-8F85-C818D1EBBA85

Name

string

SSL-VPN 服务端的名称。

test

示例

正常返回示例

JSON格式

{
  "SslVpnServerId": "vss-bp18q7hzj6largv4v****",
  "RequestId": "E98A9651-7098-40C7-8F85-C818D1EBBA85",
  "Name": "test"
}

异常返回示例

JSON格式

{
  "RequestId": "E98A9651-7098-40C7-8F85-C818D1EBBA85",
  "SslVpnServerId": "vss-bp18q7hzj6largv4vk2fe",
  "Name": "test"
}

错误码

HTTP status code

错误码

错误信息

描述

400 Resource.QuotaFull The quota of resource is full
400 InvalidName The name is not valid
400 VpnGateway.Configuring The specified service is configuring.
400 VpnGateway.FinancialLocked The specified service is financial locked.
400 SslVpnServer.AlreadyExist The SSL VPN server of specified vpn gateway already exists. 指定VPN网关的SSL VPN服务器已存在。
400 VpnRouteEntry.Conflict The specified route entry has conflict. 路由条目存在冲突。
400 IpConflict Client IP pool conflict with local IP range. 客户端IP池与本地IP范围冲突。
400 SslVpnServer.AddRouteError Add route error whose destination is client IP pool, please check vpc route entry and relevant quota. 添加指向客户端网段的路由失败,请查看VPC路由条目及相关配额。
400 ClientIpPool.NetmaskInvalid The netmask length of client IP pool must be greater than or equal to 16 and less than or equal to 29. 客户端 IP 池的网络掩码长度必须大于等于 16 且小于等于 29。
400 ClientIpPool.SubnetInvalid The specified client IP pool cannot be used. 当前客户端网段不可用。
400 MissingParameter.IDaaSInstanceId The input parameter IDaaSInstanceId is mandatory when enable multi-factor authentication. 启动双因子认证时请输入IDaaSInstanceId参数。
400 OperationFailed.NoRamPermission Vpn Service has no permission to operate your IDaaS instances. Vpn服务没有权限操作您的IDaaS实例
400 OperationUnsupported.NotSupportMultiFactorAuth Current version of the VPN does not support multi-factor authentication.
400 QuotaExceeded.VpnRouteEntry The number of route entries to the VPN gateway in the VPC routing table has reached the quota limit. VPC路由表中指向VPN网关的路由条目已经达到配额限制。
400 SystemBusy The system is busy. Please try again later.
400 SslVpnServerPort.Illegal The server port is not in the range of [1-65535]. SSL VPN 服务端端口号需要在[1-65535]之间。
400 EnableHaCheck.SslVpnServerClientCidrContainsVpcRouteDest Ssl vpn client cidr contains vpc route prefix. The vpc route prefix is %s. vpc路由表中存在路由的前缀%s被包含在ssl vpn 客户端 cidr 中。
400 VpnGateway.SslVpnDisabled The VPN gateway has not enabled SSL VPN. VPN网关没有开启SSL VPN功能。
400 IllegalParam.LocalSubnet The specified "LocalSubnet" (%s) is invalid. 本端网段(%s)不合法。
400 IllegalParam.IDaaSApplicationId The specified IDaaS application Id is not illegal, the application instance needs to be created based on the dedicated SSL VPN template. 指定的IDaaS应用实例ID不合法,应用实例需要基于专属SSL VPN的模板创建。
400 SslVpnIDaaS2.NotSupport Current version of the VPN does not support IDaaS2.0. 当前VPN实例版本不支持使用IDaaS2.0。
400 MissingParam.IDaaSApplicationId The input parameter IDaaSApplicationId is mandatory when enable multi-factor authentication. 启动双因子认证时请输入IDaaSApplicationId参数。
400 MissingParam.IDaaSRegionId The input parameter IDaaSRegionId is mandatory when enable multi-factor authentication. 启动双因子认证时请输入IDaaSRegionId参数。
400 DryRunOperation Request validation has been passed with DryRun flag set. DryRun校验通过。
403 Forbbiden.SubUser User not authorized to operate on the specified resource as your account is created by another user.
403 Forbidden User not authorized to operate on the specified resource. 您没有权限操作指定资源,请申请权限后再操作。
404 InvalidRegionId.NotFound The specified region is not found during access authentication. 接入认证时未找到指定区域。
404 InvalidVpnGatewayInstanceId.NotFound The specified vpn gateway instance id does not exist.
404 InvalidIDaaSInstanceId.NotFound The specified IDaaS instance ID does not exist. 指定的IDaaS实例ID不存在
404 InvalidIDaaSApplicationId.NotFound The specified IDaaS application Id does not exist. 指定的IDaaS应用实例ID不存在。

访问错误中心查看更多错误码。

变更历史

更多信息,参考变更详情