虚拟专用网络
用户指南
文档版本 01
发布日期 2021-11-30
版权所有 © 华为技术有限公司 2021。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目 录
1 查看已购买 VPN... 1
2 修改已购买 VPN... 2
3 删除 VPN...3
4 VPN 连接管理...4
4.1 查看已创建的 VPN 连接...4
4.2 修改已创建的 VPN 连接...6
4.3 删除 VPN 连接... 6
5 VPN 网关管理...7
5.1 查看已创建的 VPN 网关...7
5.2 修改已创建的 VPN 网关...7
5.3 退订包周期 VPN 网关... 9
5.4 删除按需 VPN 网关... 10
6 监控... 11
6.1 监控虚拟专用网络... 11
6.2 支持的监控指标... 11
6.3 创建告警规则...13
6.4 查看监控指标...14
7 权限管理...15
7.1 创建用户并授权使用 VPN... 15
7.2 VPN 自定义策略... 16
8 关于配额...19
A 修订记录... 21
用户指南 目 录
1 查看已购买 VPN
操作场景
本章节适用当前VPN版本为老版VPN的区域。
用户VPN后,可以查看已购买的VPN。
操作步骤
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
4. 在“虚拟专用网络”界面,即可看到已购买的VPN。其中VPN的状态信息如表1-1 所示。
表1-1 VPN 状态
状态 说明
正常 当VPN创建成功并已经和用户本地数据中心正常连接时,
显示此状态。
未连接 当VPN创建成功,但未和用户本地数据中心连接时,显示 此状态。
创建中 当系统正在创建VPN时,显示此状态。
更新中 当系统正在更新VPN信息时,显示此状态。
删除中 当系统正在删除VPN时,显示此状态。
异常 异常情况下,显示此状态。
VPN资源被冻结时,显示此状态。
用户指南 1 查看已购买 VPN
2 修改已购买 VPN
操作场景
本章节适用当前VPN版本为老版VPN的区域。
当创建的VPN网络信息和VPC网络有冲突或需要根据最新网络环境调整时,可通过修改 VPN信息的方式进行调整。
操作步骤
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
4. 在“虚拟专用网络”界面所需修改的VPN所在行,单击“修改”。
5. 根据界面提示配置参数。
6. 单击“确定”。
用户指南 2 修改已购买 VPN
3 删除 VPN
操作场景
本章节适用当前VPN版本为老版VPN的区域。
当无需使用VPN网络、需要释放网络资源时,可删除VPN。
操作步骤
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
4. 在“虚拟专用网络”界面所需删除的VPN所在行,单击“删除”。
5. 单击“是”。
用户指南 3 删除 VPN
4 VPN 连接管理
4.1 查看已创建的 VPN 连接
操作场景
用户申请VPN连接后,可以查看已申请的VPN连接。
操作步骤
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
图4-1 虚拟专用网络
4. 在左侧导航栏选择“虚拟专用网络> VPN连接”。
用户指南 4 VPN 连接管理
图4-2 VPN 连接
5. 在“VPN连接”页面的VPN列表中,查看VPN连接信息,也可以在VPN连接所在 行,单击“操作”列的“策略详情”,查看该VPN连接对应的IKE策略和IPsec策略 详情。
图4-3 VPN 连接列表
用户指南 4 VPN 连接管理
4.2 修改已创建的 VPN 连接
操作场景
VPN连接是建立VPN网关和外部数据中心VPN网关之间的加密通道。当VPN连接的网 络参数变化时,可以修改VPN连接。
注意
修改VPN连接高级配置时,有流量中断风险,请谨慎操作。
修改预共享密钥不会删除当前连接,新的预共享密钥在IKE生命周期到期后重协商时生 效。
操作步骤
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
4. 在左侧导航栏选择“虚拟专用网络 > VPN连接”。
5. 在“VPN连接”界面所需修改的VPN连接所在行,单击“修改”。
6. 根据界面提示配置参数。
7. 单击“确定”。
4.3 删除 VPN 连接
操作场景
当无需使用VPN网络、需要释放网络资源时,可删除VPN连接。
当购买的VPN网关计费模式为按需时,删除最后一个VPN连接时,会同时删除绑定的 VPN网关。
操作步骤
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
4. 在左侧导航栏选择“虚拟专用网络 > VPN连接”。
5. 在“VPN连接”界面所需删除的VPN连接所在行,单击“删除”。
6. 单击“是”。
用户指南 4 VPN 连接管理
5 VPN 网关管理
5.1 查看已创建的 VPN 网关
操作场景
用户申请VPN网关后,可以查看已申请的VPN网关。
操作步骤
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
4. 在左侧导航栏选择“虚拟专用网络 > VPN网关”。
5. 在“VPN网关”页面的VPN网关列表中可以查看VPN网关。
5.2 修改已创建的 VPN 网关
修改 VPN 网关基本信息
操作场景:
用户根据需要修改VPN网关名称和描述信息。
操作步骤:
1. 登录管理控制台。
用户指南 5 VPN 网关管理
修改 VPN 网关带宽
操作场景:
当VPN网关带宽不能满足需求时,可修改VPN网关带宽。
操作步骤:
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
4. 在左侧导航栏选择“虚拟专用网络 > VPN网关”。
5. 在“VPN网关”界面目标VPN网关所在行,选择“更多 > 修改带宽”。
6. 根据界面参数,重新选择合适的带宽。
7. 单击“提交”。
说明
● 包周期计费的网关只支持增加网关带宽值。
● 按需计费的网关支持增加或减小网关带宽值。
修改 VPN 网关规格
操作场景:
当VPN网关所关联的VPN连接数不能满足需求时,可修改VPN网关规格。
操作步骤:
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
4. 在左侧导航栏选择“虚拟专用网络 > VPN网关”。
5. 在“VPN网关”界面目标VPN网关所在行,选择“更多>修改规格”。
6. 根据界面参数,重新输入此VPN网关可以关联的VPN连接数。
7. 单击“提交”。
说明
修改VPN网关的规格时,VPN连接数只支持增加连接数。
修改 VPN 网关计费方式
操作场景:
当用户需要将按带宽计费VPN网关的计费方式修改为包周期时,可修改VPN网关规格 的计费方式。
说明
VPN网关按需转包周期功能已上线区域:华北-北京四、华北-北京一、华东-上海二、华东-上海 一、华南-广州、华南-深圳、西南-贵阳一、亚太-曼谷、中国-香港、非洲-约翰内斯堡。
用户指南 5 VPN 网关管理
前提条件
● 计费方式选择为按带宽计费。即当前支持按带宽计费的按需计费方式转包周期。
● 已创建的VPN连接数量小于10个。
● 帐号下可创建VPN连接的配额余量不少于10个。
操作步骤:
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
4. 在左侧导航栏选择“虚拟专用网络 > VPN网关”。
5. 在“VPN网关”界面目标VPN网关所在行,选择“更多>转包年/包月”。
6. 在“转包年/包月”弹窗界面,单击“确定”。
说明
● 包周期模式下,VPN连接数表示基于当前VPN网关可免费创建的VPN连接的数量。
● 按需转包周期场景下,按需VPN网关只能转为VPN连接数为10个的包周期VPN网关。
7. 在“按需转包周期”界面,确认需要操作的VPN网关信息,选择续费时长。
单击“去支付”。
8. 在支付界面,确认订单信息,选择优惠和付款方式。
单击“确认付款”,完成支付。
5.3 退订包周期 VPN 网关
操作场景
当无需使用包年包月购买的VPN网关时,可退订VPN网关。
说明
● 创建包周期网关时不强制创建VPN连接。
● 如果包周期网关下已创建VPN连接,退订包周期网关后VPN连接会被同步删除,请谨慎操 作。
操作步骤
1. 登录管理控制台。
用户指南 5 VPN 网关管理
5.4 删除按需 VPN 网关
操作场景
当无需使用VPN网关时,可删除VPN网关。
已被VPN连接使用的VPN网关不可删除,请先删除相关的VPN连接,再删除VPN网 关。
说明
创建按需网关时强制创建VPN连接,无法直接手动删除。如果您购买的是按需VPN网关,您可以 删除VPN网关下的所有VPN连接,VPN网关将会自动被删除。删除VPN连接请参见删除VPN连 接。
操作步骤
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 在系统首页,单击“网络 > 虚拟专用网络”。
4. 在左侧导航栏选择“虚拟专用网络 > VPN网关”。
5. 在“VPN网关”界面所需删除的VPN网关所在行,单击“删除”。
6. 单击“是”。
用户指南 5 VPN 网关管理
6 监控
6.1 监控虚拟专用网络
监控是保持VPN可靠性、可用性和性能的重要部分,通过监控,用户可以观察VPN资 源。为使用户更好地掌握自己的VPN运行状态,公有云平台提供了云监控。您可以使 用该服务监控您的VPN,执行自动实时监控、告警和通知操作,帮助您更好地了解 VPN的各项性能指标。
通过后续章节,您可以了解以下内容:
● 支持的监控指标
● 创建告警规则
● 查看监控指标
6.2 支持的监控指标
功能说明
本节定义了虚拟专用网络服务上报云监控服务的监控指标的命名空间,监控指标列表 和维度定义,用户可以通过云监控服务提供的管理控制台检索VPN服务产生的监控指 标和告警信息。
命名空间
SYS.VPN
用户指南 6 监控
监控指标
表6-1 VPN 连接状态监控 指标 指标名
称
含义 取值范
围
测量对象 监控周期
(原始指 标)
connecti on_stat us
VPN连
接状态 展示VPN连接的通断状 态。
0:未连接状态 1:连接状态
0,1 VPN连接 5分钟
表6-2 弹性公网 IP 和带宽支持的监控指标
指标 指标名称 含义 取值范围 测试对象
up_bandwidt
h 出网带宽
(已废弃)
该指标用于统计测试 对象出云平台的网络 速度(原指标为上行 带宽)。
该指标用于华北-北京 一、华东-上海二、华 南-广州。
≥ 0bytes/s 带宽或弹性公网 IP。
down_bandw
idth 入网带宽
(已废弃) 该指标用于统计测试 对象入云平台的网络 速度(原指标为下行 带宽)。
该指标用于华北-北京 一、华东-上海二、华 南-广州。
≥ 0bytes/s 带宽或弹性公网 IP。
up_bandwidt
h 出网带宽 该指标用于统计测试
对象出云平台的网络 速度(原指标为上行 带宽)。
该指标用于中国-香 港、亚太-曼谷。
≥ 0bytes/s 带宽或弹性公网 IP。
down_bandw
idth 入网带宽 该指标用于统计测试 对象入云平台的网络 速度(原指标为下行 带宽)。
该指标用于中国-香 港、亚太-曼谷。
≥ 0bytes/s 带宽或弹性公网 IP。
用户指南 6 监控
指标 指标名称 含义 取值范围 测试对象 upstream_ba
ndwidth 出网带宽 该指标用于统计测试 对象出云平台的网络 速度(原指标为上行 带宽)。
该指标用于华北-北京 一、华东-上海二、华 南-广州。
≥ 0 bits/s 带宽或弹性公网 IP。
downstream_
bandwidth 入网带宽 该指标用于统计测试 对象入云平台的网络 速度(原指标为下行 带宽)。
该指标用于华北-北京 一、华东-上海二、华 南-广州。
≥ 0 bits/s 带宽或弹性公网 IP。
upstream_ba ndwidth_usa ge
出网带宽使 用率
该指标用于统计测量 对象出云平台的带宽 使用率,以百分比为 单位。
0-100% 带宽或弹性公网 IP。
up_stream 出网流量 该指标用于统计测试 对象出云平台的网络 流量(原指标为上行 流量)。
≥ 0 bytes 带宽或弹性公网 IP。
down_stream 入网流量 该指标用于统计测试 对象入云平台的网络 流量(原指标为下行 流量)。
≥ 0 bytes 带宽或弹性公网 IP。
维度
key Value
connection_id VPN连接
6.3 创建告警规则
操作场景
用户指南 6 监控
2. 在管理控制台左上角单击 ,选择区域和项目。
3. 在系统首页,选择“管理与监管 > 云监控”。
4. 在左侧导航栏,选择“告警 > 告警规则”。
5. 在“告警规则”界面,单击“创建告警规则”进行添加,或者选择已有的告警规 则进行修改,设置虚拟专用网络的告警规则。
6. 规则参数设置完成后,单击“立即创建”。
虚拟专用网络告警规则设置完成后,当符合规则的告警产生时,系统会自动进行 通知。
说明
更多关于虚拟专用网络监控规则的信息,请参见《云监控用户指南》。
6.4 查看监控指标
操作场景
查看VPN连接状态、带宽、弹性公网IP的使用情况。
操作步骤
查看VPN连接状态:
1. 登录管理控制台。
2. 在管理控制台左上角单击 ,选择区域和项目。
3. 在系统首页,选择“管理与监管 > 云监控服务”。
4. 单击页面左侧的“云服务监控”,选择“虚拟专用网络”。
5. 单击“操作”列的“查看监控指标”,查看VPN连接状态。
支持查看“近1小时”、“近3小时”和“近12小时”的数据。
说明
用户也可以在登录管理控制台,选择“虚拟专用网络服务 > VPN连接”,在目标VPN连接 所在行选择“操作 > 更多 > 查看监控”“”,查看VPN连接状态。
查看带宽或弹性公网IP:
1. 登录管理控制台。
2. 在管理控制台左上角单击 ,选择区域和项目。
3. 在系统首页,选择“网络 > 虚拟专用网络”。
4. 单击页面左侧的“VPN网关”。
5. 单击“操作”列的“查看监控”,查看带宽或弹性公网IP的监控指标详情。
支持查看“近1小时”、“近3小时”和“近12小时”的数据。
用户指南 6 监控
7 权限管理
7.1 创建用户并授权使用 VPN
如果您需要对您所拥有的VPN进行精细的权限管理,您可以使用统一身份认证服务
(Identity and Access Management,简称IAM),通过IAM,您可以:
● 根据企业的业务组织,在您的华为云帐号中,给企业中不同职能部门的员工创建 IAM用户,让员工拥有唯一安全凭证,并使用VPN资源。
● 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
● 将VPN资源委托给更专业、高效的其他华为云帐号或者云服务,这些帐号或者云 服务可以根据权限进行代运维。
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章 节,不影响您使用VPN服务的其它功能。
本章节为您介绍对用户授权的方法,操作流程如图7-1所示。
前提条件
给用户组授权之前,请您了解用户组可以添加的VPN权限,并结合实际需求进行选 择,VPN支持的系统权限,请参见:VPN系统权限。如果您需要对除VPN之外的其它 服务授权,IAM支持服务的所有权限请参见权限策略。
用户指南 7 权限管理
示例流程
图7-1 给用户授予 VPN 权限流程
1. 创建用户组并授权
在IAM控制台创建用户组,并授予虚拟专用网络服务权限“VPN Administrator”。
2. 创建用户并加入用户组
在IAM控制台创建用户,并将其加入1中创建的用户组。
3. 用户登录并验证权限
新创建的用户登录控制台,切换至授权区域,验证权限:
– 在“服务列表”中选择“网络 > 虚拟专用网络”,进入“虚拟专用网络 > VPN网关”页面,单击右上角“创建VPN网关”,尝试创建VPN网关,如果 创建成功,表示“VPN Administrator”已生效。
– 在“服务列表”中选择除VPN服务外(假设当前权限仅包含VPN Administrator)的任一服务,如果提示权限不足,表示“VPN Administrator”已生效。
7.2 VPN 自定义策略
如果系统预置的VPN权限,不满足您的授权要求,可以创建自定义策略。
目前华为云支持以下两种方式创建自定义策略:
● 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服 务、操作、资源、条件等策略内容,可自动生成策略。
● JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内 容;也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见:创建自定义策略。本章为您介绍常用的VPN自定义策略样例。
用户指南 7 权限管理
VPN 自定义策略样例
● 示例1:授权用户删除VPN网关
{ "Version": "1.1", "Statement": [ {
"Effect": "Allow", "Action": [
"vpn:vgws:delete"
] } ] }
● 示例2:拒绝用户删除VPN连接
拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略 中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。
如果您给用户授予VPN FullAccess的系统策略,但不希望用户拥有VPN FullAccess 中定义的删除VPN连接权限,您可以创建一条拒绝删除VPN连接的自定义策略,
然后同时将VPN FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可 以对VPN执行除了删除VPN连接外的所有操作。拒绝策略示例如下:
{ "Version": "1.1", "Statement": [ {
"Effect": "Deny", "Action": [
"vpn:connections:delete"
] } ] }
● 示例3:多个授权项策略
一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还 可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是 项目级服务或都是全局级服务。多个授权语句策略描述如下:
{ "Version": "1.1", "Statement": [ {
"Effect": "Allow", "Action": [
"vpn:connections:create", "vpn:vpnGateways:create", "vpn:cgws:create"
] }, {
"Effect": "Deny", "Action": [
"vpn:connections:delete", "vpn:vpnGateways:delete", "vpn:cgws:create"
用户指南 7 权限管理
] }
用户指南 7 权限管理
8 关于配额
什么是配额?
为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限 制。如您最多可以创建多少台弹性云服务器、多少块云硬盘。
如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。
怎样查看我的配额?
1. 登录管理控制台。
2. 单击管理控制台左上角的 ,选择区域和项目。
3. 在页面右上角,选择“资源 > 我的配额”。
系统进入“服务配额”页面。
图8-1 我的配额
4. 您可以在“服务配额”页面,查看各项资源的总配额及使用情况。
如果当前配额不能满足业务要求,请参考后续操作,申请扩大配额。
用户指南 8 关于配额
图8-2 我的配额
3. 单击“申请扩大配额”。
4. 在“新建工单”页面,根据您的需求,填写相关参数。
其中,“问题描述”项请填写需要调整的内容和申请原因。
5. 填写完毕后,勾选协议并单击“提交”。
用户指南 8 关于配额
A 修订记录
发布日期 修改说明
2021-02-28 第十八次正式发布。文档内容更新如下:
● 产品介绍:新增“权限管理”。
● 快速入门:优化老版VPN配置流程。
● 用户指南:优化老版VPN相关操作指导。
● 常见问题:优化“带宽与网速”相关FAQ。
2020-08-30 第十七次正式发布。文档内容更新如下:
● 快速入门。
● 最佳实践。
● 常见问题。
2020-06-30 第十六次正式发布。文档内容更新如下:
● 产品介绍。
● 快速入门。
● 最佳实践。
● 常见问题。
2020-04-30 第十五次正式发布。文档内容更新如下:
● 产品介绍:更新“使用约束”。
● 常见问题。
2020-03-30 第十四次正式发布。文档内容更新如下:
● 新增“计费说明”。
● 整体优化文档。
用户指南 A 修订记录
发布日期 修改说明
2019-11-30 第十二次正式发布。文档内容更新如下:
● 新增按需转包周期特性。
● 更新“常见问题”
2019-10-30 第十一次正式发布。文档内容更新如下:
● 更新“常见问题”。
2019-09-30 第十次正式发布。文档内容更新如下:
● 更新监控。
● 整体优化文档。
2019-08-15 第九次正式发布。文档内容更新如下:
更新“价格说明”、“快速入门”、“用户指 南”、“常见问题”。
2019-05-30 第八次正式发布。文档内容更新如下:
新增“故障排除”、“最佳实践”。
2018-11-30 第七次正式发布。文档内容更新如下:
新增VPN包周期特性。
2018-05-30 第六次正式发布。文档内容更新如下:
新增VPN网关和VPN连接特性。
2017-09-30 第五次正式发布。文档内容更新如下:
消费者云VPN支持输入两个远端网关网址。
2017-07-30 第四次正式发布。文档内容更新如下:
新增“最佳实践”。
2017-01-20 第三次正式发布。文档内容更新如下:
支持不同VPC下多个本端网关与同一个远端网关建立 IPsec VPN隧道。
2016-12-30 第二次正式发布。文档内容更新如下:
新增常见问题。
2016-10-19 第一次正式发布。
用户指南 A 修订记录
