背景信息
本文介绍如何使用IPsec VPN在两个VPC之间建立安全连接,实现两个VPC内的资源互访。
场景示例
以本文图中场景为例。某企业在华东1地域创建了一个vpc-1,在青岛20地域创建了vpc-2。两个VPC均已使用弹性云主机部署了业务,企业因后续发展,现在需要将vpc-1和vpc-2中的业务实现互相访问。
出于网络安全环境考虑,企业计划使用VPN网关,在两个VPC之间建立IPsec VPN连接,使用国密算法对数据进行加密传输,实现资源的安全互访。
前提条件
- 已经在天翼云华东1地域创建了vpc-1,在青岛20地域创建了vpc-2,两个VPC中均使用弹性云主机部署了相关业务。
| VPC实例名称 | VPC实例所属地域 | VPC实例的网段 | VPC实例ID | 弹性云主机实例名称 | 弹性云主机实例IP地址 |
|---|---|---|---|---|---|
| vpc-1 | 华东1 | 192.168.0.0/16 | vpc-tooedro7nb | ecm-371c | 192.168.0.3 |
| vpc-2 | 青岛20 | 10.0.0.0/16 | vpc-r8jw6vfdnk | ecm-99df | 10.0.0.62 |
- 您已经了解两个VPC中弹性云主机实例所应用的安全组规则,并确保安全组规则允许两个弹性云主机实例互访。
配置流程
步骤一:创建VPN网关
- 登录控制中心。
- 单击控制中心左上角的
,选择VPN网关实例所在地域。 - 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在VPN网关页面,单击“创建VPN网关”,进入订购页面,按照提示配置参数。
| 参数 | 说明 | 华东1取样 | 青岛20取样 |
|---|---|---|---|
| 地域 | 区域指VPN网关所在的物理位置。可以在控制中心左上角切换区域。 | 华东1 | 青岛20 |
| 名称 | VPN网关的名称。 | vpn-gateway-1 | vpn-gateway-2 |
| 网关类型 | 选择VPN网关的型。 | 国密 | 国密 |
| 实例类型 | 选择VPN网关的实例类型。 | IPsec | IPsec |
| 企业项目 | 选择当前VPN网关归属项目。 | default | default |
| 本端类型 | 选择资源类型(VPC、云间高速)。 | 虚拟私有云VPC | 虚拟私有云VPC |
| 虚拟私有云 | 选择要在哪个VPC作为本端资源。 | vpc-1 | vpc-2 |
| 子网 | 选择当前VPC中本端的子网资源。 | subnet-682f (192.168.0.0/24) | subnet-624c(10.0.0.0/24) |
| IPsec带宽 | VPN网关要通过弹性IP访问公网,这里选择对应的弹性IP带宽大小,单位 Mbps,5M 起售。 | 20M | 20M |
| IPsec连接数 | 选择对应的IPsec VPN并发连接数。 | 20 | 20 |
| 购买时长 | 包年包月场景需要选择,购买VPN网关实例的时长。 | 6个月 | 6个月 |
| 自动续订 | 按月购买:自动续订周期为一个月。 按年购买:自动续订周期为一年。 |
关闭 | 关闭 |
- 单击“下一步”。
- 在购买确认页,勾选服务协议,点击“确认下单”,进入订单列表。
- 在订单页面,单击“立即支付”,支付成功后,VPN网关创建成功,在VPN网关页面,可以查看已创建的VPN网关实例。
重复步骤2~步骤7,在青岛20地域创建vpn-gateway-2,该VPN网关实例关联VPC-2,其余配置流程与vpn-gateway-1相同。创建完成后,两个VPN网关实例的信息如下表所示。
| 地域 | VPN网关实例的名称 | VPN网关实例关联的VPC实例名称 | VPN网关实例ID | VPN网关IP地址 |
|---|---|---|---|---|
| 华东1 | vpn-gateway-1 | vpc-1 | ebe761c4-eb92-4627-b4ac-0571be430f95 | 221.229.103.28 |
| 青岛20 | vpn-gateway-2 | vpc-2 | f8f58c53-5dc0-4cdb-b3f8-9c9327d9f87e | 182.40.104.69 |
步骤二:创建用户网关
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“IPsec VPN”,进入用户网关列表页面。
- 单击“创建用户网关”。
按照提示配置用户网关参数,单击“确定”,创建成功。
您需要在华东1地域和青岛20地域分别创建一个用户网关实例,用户网关实例的配置如下表。
| 参数 | 说明 | 华东1 | 青岛20 |
|---|---|---|---|
| 名称 | 用户网关的名称。 | user-gateway-1 | user-gateway-2 |
| IP地址 | 对端VPN网关的静态公网IP地址,对端网关必须具有固定的公网IP,不能是动态IP。 | 182.40.104.69 | 221.229.103.28 |
步骤三:上传国密证书
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“证书管理”,进入证书管理页面。
- 点击“上传证书”,按照下表配置相关参数。
| 参数 | 说明 | 华东1 | 青岛20 |
|---|---|---|---|
| 证书类型 | 支持普通和国密两种。 | 国密 | 国密 |
| CA证书 | 根证书。 | ca_gm.crt | ca_gm.crt |
| VPN网关证书 | 国密加密证书。 | vpn1_gm_enc.crt | vpn2_gm_enc.crt |
| VPN网关秘钥 | 国密加密证书秘钥。 | vpn1_gm_private_enc.key.pem | vpn2_gm_private_enc.key.pem |
| 签名证书 | 国密签名证书。 | vpn1_gm_sig.crt | vpn2_gm_sig.crt |
| 签名秘钥 | 国密签名证书密钥。 | vpn1_gm_private_sig.key.pem | vpn2_gm_private_sig.key.pem |
| 证书名称 | 设置自定义秘钥。 | cert-vpn1 | cert-vpn2 |
创建IPsec连接
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“IPsec VPN”,进入IPsec VPN页面。
- 单击“IPsec连接”,进入“IPsec连接”页签。
- 单击“创建IPsec连接”,按照提示配置参数,单击“确认”,完成IPsec连接创建。
您需要在华东1地域和青岛20地域分别创建一个IPsec连接,IPsec连接的配置请参见下表。
| 参数 | 说明 | 华东1 | 青岛20 |
|---|---|---|---|
| 名称 | VPN连接的名称。 | connection-1 | connection-2 |
| VPN网关 | 选择已经创建的VPN网关。 | vpn-gateway-1-ipsec | vpn-gateway-2-ipsec |
| 用户网关 | 选择已经创建的用户网关。 | user-gateway-1 | user-gateway-2 |
| 路由模式 | 支持目的路由和感兴趣路由两种路由模式。 | 目的路由 | 目的路由 |
| 协商生效 | 支持立即协商和流量触发两种协商方式。 | 流量触发 | 流量触发 |
| 认证方式 | 仅支持证书认证。 | 证书认证 | 证书认证 |
| 认证选择 | 选择要绑定的证书。 | cert-vpn1 | cert-vpn2 |
| RemoteId | 远端用户网关证书的名称,需要从证书中获取,目前国密只支持DN格式名称。 | /CN=vpn2.home.gm.sig/OU=ctyun/O=ctyun/C=cn | /CN=vpn1.home.gm.sig/OU=ctyun/O=ctyun/C=cn |
其余选项使用默认值。
步骤四: 配置路由
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在VPN网关页面,单击目标VPN网关实例进入实例详情页。
- 在VPN网关实例详情页面,在“目的路由”页签,单击“添加路由条目”。
- 在添加路由条目页面,根据以下信息配置路由条目,单击“确定”。
您需要分别为VPN网关1和VPN网关2配置路由条目,配置信息如下表所示。
| 配置 | 说明 | 华东1 | 青岛20 |
|---|---|---|---|
| 目的网段 | 输入要访问的本地数据中心的私网网段。 | 输入vpc-2的私网网段10.0.0.0/16 | 输入vpc-1的私网网段192.168.0.0/16 |
| 下一跳类型 | 选择IPsec连接。 | IPsec 连接 | IPsec 连接 |
| 下一跳 | 选择需要建立IPsec VPN连接的IPsec连接。 | connection-1 | connection-2 |
| 是否发布 | 选择是否将新添加的路由发布到VPC路由表。 是 (推荐):将新添加的路由发布到VPC路由表。 否 :不发布新添加的路由到VPC路由表。 说明:如果您选择 否 ,添加目的路由后,您还需要执行发布目的路由动作。 |
是 | 是 |
| 权重 | 100 (默认值):表示当前策略路由关联的IPsec连接为主链路。 | 100 | 100 |
步骤五:测试连通性
- 登录VPC-1内的弹性云主机实例。
- 通过ping命令访问VPC-2内的弹性云主机2实例,验证两个VPC之间的资源是否可以互访。
ping 10.0.0.62
能收到回复报文,则证明两个VPC之间的资源可以正常互访。
