凯发k8国际娱乐官网入口-k8凯发> 虚拟专用网络 vpn> > > 通过vpn连接云下数据中心与云上vpc
更新时间:2023-08-01 gmt 08:00

通过vpn连接云下数据中心与云上vpc-凯发k8国际娱乐官网入口

操作场景

默认情况下,在virtual private cloud (vpc) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将vpc中的弹性云服务器和您的数据中心或私有网络连通,可以启用vpn功能。申请vpn后,用户需要配置安全组并检查子网的连通性,以确保vpn功能可用。主要场景分为两类:

  • 点对点vpn:本端为处于云服务平台上的一个vpc,对端为一个数据中心,通过vpn建立用户数据中心与vpc之间的通信隧道。
  • 点对多点vpn:本端为处于云服务平台上的一个vpc,对端为多个数据中心,通过vpn建立不同用户数据中心与vpc之间的通信隧道。
配置vpn时需要注意以下几点:
  • 本端子网与对端子网不能重复。
  • 本端和对端的ike策略、ipsec策略、psk相同。
  • 本端和对端子网,网关等参数对称。
  • vpc内弹性云服务器安全组允许访问对端和被对端访问。
  • vpn对接成功后两端的服务器或者虚拟机之间需要进行通信,vpn的状态才会刷新为正常。

前提条件

已创建vpn所需的虚拟私有云和子网。

操作步骤

  1. 在管理控制台上,选择合适的ike策略和ipsec策略申请vpn。
  2. 检查本端和对端子网的ip地址池。

    图1所示,假设您在云中已经申请了vpc,并申请了2个子网(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心router下也有2个子网(192.168.3.0/24,192.168.4.0/24)。您可以通过vpn使vpc内的子网与数据中心的子网互相通信。

    图1 ipsec vpn

    本端和对端子网ip池不能重合。例如,本端vpc有两个子网,分别为:192.168.1.0/24和192.168.2.0/24,那么对端子网的ip地址池不能包含本端vpc的这两个子网。

  3. 为弹性云服务器配置安全组规则,允许通过vpn进出用户数据中心的报文。
  4. 检查vpc安全组。

    从用户数据中心ping云服务器,验证安全组是否允许通过vpn进出用户数据中心的报文。

  5. 检查远端lan配置(即对端数据中心网络配置)。

    在远程lan(对端数据中心网络)配置中有可以将vpn流量转发到lan中网络设备的路由。如果vpn流量无法正常通信,请检查远程lan是否存在拒绝策略。

父主题:
分享:
网站地图