前提条件
- 已经在天翼云华东1地域创建了vpc-1,且VPC中均使用弹性云主机部署了相关业务。
| VPC实例名称 | VPC实例所属地域 | VPC实例的网段 | VPC实例ID | 弹性云主机实例名称 | 弹性云主机实例IP地址 |
|---|---|---|---|---|---|
| vpc-1 | 华东1 | 192.168.0.0/16 | vpc-tooedro7nb | ecm-371c | 192.168.1.3 |
- 您已经了解VPC中弹性云主机实例所应用的安全组规则,并确保安全组规则允许客户端地址池对VPC内业务的访问。
场景示例
如某公司在华东1地域创建了VPC,网段为192.168.1.0/24。因业务发展,出差员工需要使用Windows客户端访问云上VPC资源。
可以在云上创建VPN网关,配置SSL服务端并开启双因子认证。macOS客户端通过SSL VPN接入云上VPC,不仅要进行证书认证,还需要认证密码,认证通过后才可以访问云上资源,提高了VPN连接的安全性和可管理性。
配置步骤
步骤一:创建VPN网关
- 登录控制中心。
- 单击控制中心左上角的
,选择VPN网关实例所在地域。 - 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在VPN网关页面,单击“创建VPN网关”,进入订购页面,按照提示配置参数。
| 参数 | 说明 | 取样 |
|---|---|---|
| 地域 | VPN网关所在的资源池。 | 华东1 |
| 名称 | VPN网关的名称。 | vpn-gateway-1 |
| 网关类型 | 选择VPN网关的型。 | 普通 |
| 实例类型 | 选择VPN网关的实例类型。 | SSL |
| 企业项目 | 选择当前VPN网关归属项目。 | default |
| 本端类型 | 选择资源类型(VPC、云间高速)。 | 虚拟私有云VPC |
| 虚拟私有云 | 选择要使用的VPC作为本端资源。 | vpc-1 |
| 子网 | 选择当前VPC中本端的子网资源。 | subnet-682f (192.168.1.0/24) |
| SSL带宽 | VPN网关要通过弹性IP访问公网,这里选择对应的弹性IP带宽大小,单位 Mbps,5M 起售。 | 20M |
| SSL并发连接数 | 选择对应的SSL VPN并发连接数。 | 20 |
| 购买时长 | 包年包月场景需要选择,购买VPN网关实例的时长。 | 6个月 |
| 自动续订 | 按月购买:自动续订周期为一个月。 按年购买:自动续订周期为一年。 |
关闭 |
- 单击“下一步”。
- 在购买确认页,勾选服务协议,点击“确认下单”,进入订单列表。
- 在订单页面,单击“立即支付”,支付成功后,VPN网关创建成功。
记录VPN网关的IP地址,步骤五配置客户端的时候要用。
步骤二:创建SSL服务端
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“SSL VPN”,进入SSL VPN服务端列表页面。
- 在SSL服务端页面,单击“创建SSL服务端”。
- 按照提示配置用户网关参数。单击“确定”,创建成功。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 名称 | SSL服务端的名称。 | ssl-server-1 |
| 区域 | VPN网关所在的资源池。 | 华东1 |
| VPN网关 | 选择需要使用的VPN网关。 | vpn-gateway-1-ssl |
| 虚拟私有云 | 选择要使用的VPC作为本端资源。 | vpc-1 |
| 本端子网 | 选择本端需要连接的子网网段信息(可以复选,最多5个网段)。 | subnet-682f(192.168.1.0/24) |
| 客户端地址池 | 配置客户端地址池范围。 | 10.0.0.0/24 |
| 协议 | SSL VPN使用的协议。 默认:TCP |
TCP |
| 端口 | SSL VPN使用的端口,端口可配置范围:1024~49151。 默认:1194 |
1194 |
| 加密算法 | SSL VPN使用的加密算法。 默认:AES-256-GCM |
AES-256-GCM |
| 是否压缩 | 是否对传输数据进行压缩处理。 默认:否 |
否 |
| 自定义DNS | SSL VPN需要配置的自定义DNS地址。 | 取消 |
| 启用双因子认证 | 启用双因子认证,客户端登录不仅需要证书,同时需要输入密码。 取消双因子认证,登录端登录只需要证书,无需密码。 |
开启 |
步骤三:创建SSL客户端
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“SSL VPN”,进入SSL VPN列表页面。
- 在SSL VPN页面中,单击“SSL 客户端”,进入SSL客户端页面,单击“创建客户端”。
- 按照提示配置用户网关参数。单击“确定”,创建成功。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| SSL服务端 | 与当前创建客户端互联的SSL服务端。 | ssl-server-1 |
| 账号名称 | 用于客户端登录的账号信息。 | ssl-client |
| 隧道限速 | 限速开关,选择是否对当前客户端的隧道进行限速。 | 关 |
- 在操作列单击“查看账号密码”,记录该密码,客户端登录的时候使用。
步骤四:下载客户端证书
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“SSL VPN”,进入SSL VPN列表页面。
- 进入SSL VPN页面中,单击“SSL 客户端”,进入SSL客户端页面。
- 在SSL客户端列表,找到目标SSL客户端,在操作列单击“更多”,选择“证书下载”,一共三个证书。
步骤五:配置客户端
按照以下操作,配置macOS客户端。
- 下载客户端,选择“macOS 10.14及以上版本”,单击“立即下载”,下载客户端软件并安装客户端软件。
- 安装完成,打开CT-ClouldConnect客户端软件,单击图中红色标识图标。
- 单击“新增配置”,进入新增配置对话框。
- 输入连接的名称,网关填写步骤一记录的VPN网关IP地址和步骤2配置的端口,这里以121.229.145.113:1194为例,单击“保存”,进入确认信息页面。
- 在确认信息页面,单击“确认信息”。
- 双击图中连接名称,如vpc-2,进入新增配置(高级)页面。
- 在新增配置(高级)页面,导入步骤四下载的三个证书,单击“保存”。
步骤六:连接并测试连通性
按照以下操作,测试macOS客户端与VPC的连通性。
- 单击图中的连接名称,如vpc-2,单击“连接”,进入输入密码对话框。
- 在输入密码对话框,输入步骤三记录的密码,单击“OK”。
经测试,macOS客户端可以正常连接VPC。
