凯发k8国际娱乐官网入口-k8凯发> 虚拟专用网络 vpn> > > vpn与vpc peering配合使用实现云下数据中心与云上同区域vpc互通
更新时间:2023-10-23 gmt 08:00

vpn与vpc peering配合使用实现云下数据中心与云上同区域vpc互通-凯发k8国际娱乐官网入口

操作场景

用户在华为云的同区域中创建了两个vpc,用户数据中心通过vpn连接至其中一个vpc。本任务指导书通过在两个vpc之间建立vpc-peering使得用户数据中心的网络和华为云端两个vpc之间的网络数据互联互通。

前提条件

  1. 前置资源
    • 用户已购买了vpn连接,完成了用户端数据中心网络和云端vpc的vpn连接;
    • 用户购买了多个vpc,且每个vpc下的子网不冲突,云端多个vpc下的ecs服务正常;
  2. 连接拓扑
    图1 vpn与vpc peering配合使用
    • 用户数据中心本地子网:172.16.1.0/24,vpn网关ip:1.1.1.1
    • vpc1子网:192.168.1.0/24,vpn网关ip:11.11.11.11
    • vpc2子网:192.168.2.0/24
  3. 配置概述
    表1 局点配置说明

    配置说明

    用户数据中心

    vpc1

    vpc2

    vpn连接子网配置

    本端网关:1.1.1.1

    本地子网:172.16.1.0/24

    远端子网:192.168.1.0/24

    192.168.2.0/24

    远端网关:11.11.11.11

    说明:
    • 网关ip与vpc1互为镜像。
    • vpn资源与vpc1相同。

    本端网关:11.11.11.11

    本端子网:192.168.1.0/24;

    192.168.2.0/24

    远端网关:1.1.1.1

    远端子网:172.16.1.0/24

    -

    vpc对等连接路由配置

    -

    vpc1目的地址:192.168.2.0/24

    vpc2目的地址:

    172.16.1.0/24;192.168.1.0/24

    备注
    • 本实例在创建vpc-peering时指定vpc1为本端,vpc2为远端。
    • 云连接网络实例可在任一局点配置,通过查看路由信息验证网络实例配置。
  4. 配置思路
    • 通过vpc-peering将vpc1和vpc2进行连接。
    • 用户数据中心vpn连接的本地子网不变,远端子网变为192.168.1.0/24和192.168.2.0/24。
    • vpc1的vpn连接的本地子网变更为192.168.1.0/24和192.168.2.0/24,远端子网不变。
    • vpc1的vpc-peering本端路由仅包含目标网段为vpc2子网192.168.2.0/24的路由。
    • vpc1的vpc-peering远端路由包含目标网段为vpc1子网192.168.1.0/24和客户子网172.16.1.0/24。

配置步骤

  1. 创建vpc-peering
    1. 登录控制台,选择vpc所在的区域,然后在服务列表中选择“虚拟私有云vpc”,在页面左侧页签中选择“对等连接”,单击页面右上方“创建对等连接”,在弹出页面中选择本端的vpc和对端vpc信息,单击“确定”进行创建。
      图2 创建对等连接

      本端vpc和对端vpc是在创建vpc对等连接时选择的,请按照vpc子网网段确认是否匹配,vpc-peering创建后无法变更vpc信息,只能修改vpc-peering的名称和vpc对端连接本端路由和远端路由。

      图3 修改vpc信息
    2. vpc-peering创建完成后可查询对等连接的相关信息,同时vpc的对等连接会提示本端连接的vpc网络和对端连接的vpc网络,两端网络互通需要添加路由信息。
      图4 vpc信息

      本实例中选择vpn连接侧的vpc1为本端,vpc2为远端。

  2. 添加vpc-peering路由
    1. 普通的vpc-peering连接只需要添加两侧vpc的子网网络路由,本实例中本端vpc分别通过vpn连接了用户数据中心网络,因此再添加网络路由时需要将客户的网络也进行添加。在对等连接页面单击要编辑的vpc对等连接的名称,进入如下图添加路由页面。
      图5 创建对等连接
    2. 添加本端路由:选择关联路由图示左侧“ ”或单击下侧“本端路由”,然后单击“添加本端路由”。

      在弹出页面填写目的地址网络信息,多条路由可逐条添加;对端路由添加方式与添加本端路由相同。

      本端路由:即从本端出发,目标地址为vpc2侧子网的路由,即192.168.2.0/24

      对端路由:即从对端出发,目标地址为vpc1侧子网的路由,即192.168.1.0/24和172.16.1.0/24

      图6 添加本端路由

      vpc1通过vpn连接的用户数据中心网络,对于vpc2来讲,是通过vpc-peering连接的,所以对端路由除去往本端子网的路由外,还需要包含去往用户数据中心子网的路由。

    3. 添加路由的下一跳地址由vpn对端连接自动生成,配置页面无需修改,添加多条路由选择“增加一条路由”进行逐条添加,页面中可以显示对端vpc的子网信息,但不包含对端vpc连接的网络,如添加对端路由时查看本端vpc子网不显示通过vpn连接的用户数据中心网络。
      图7 添加本端路由
  3. 修改vpn配置
    1. vpc1和vpc2通过vpc-peering连接后,用户数据中心网络和vpc1之间的vpn子网也随即发生了变化,从vpn连接的角度看,vpc1的本地子网应该包含自身的子网和通过vpc-peering连接的vpc2的子网,同理,客户端vpn的远端子网也需要做相应的调整。

      客户侧:本端子网不变,远端子网添加vpc2的子网,本实例为192.168.2.0/24。

      vpc1侧:本端子网添加vpc2的子网,本实例为192.168.2.0/24,远端子网不变。

    2. 选择“虚拟专用网络 > 经典版 ”,在“vpn连接”界面找到vpc1创建的vpn连接,选择“修改”。
    3. 在修改vpn连接页面将本端子网变更为“网段”,并输入vpc1的子网和vpc2的子网,两个网段之间使用英文逗号隔开,远端子网和其它信息保持不变。

      用户侧的vpn配置需要修改远端子网,请将华为云端的vpc1子网、vpc2子网添加至vpn连接的远端子网配置中。

      图8 修改vpn连接

配置验证

本环境中在用户数据中心、vpc1、vpc2中分别存三台ecs,ip地址分别为172.16.1.1、192.168.1.1和192.168.2.1的三台主机,初始情况下ecs1(172.16.1.1)可以和ecs2(192.168.1.1)互联互通(通过vpn访问),ecs3(192.168.2.1)无法和其它主机互通,在建立vpc-peering后,ecs3可以和ecs2互通,但无法和ecs1互通。

经过步骤3的配置调整后,可以实现ecs1、ecs2和ecs3之间互联互通,结果验证如下。

  • 用户数据中心

    ecs1访问vpn连接vpc1子网下的ecs2:结果ok。

    ecs1访问vpc2子网下的ecs3:结果ok

  • 华为云端vpc1

    vpc1子网下的ecs2访问用户数据中心子网下的ecs1:结果ok。

    vpc1子网下的ecs2访问vpc2子网下的ecs3:结果ok。

  • 华为云端vpc2

    vpc2子网下的ecs3访问vpc1子网下的ecs2:结果ok。

    vpc2子网下的ecs3访问用户数据中心子网下的ecs1:结果ok。

父主题:
分享:
网站地图