虚拟专用网络
最佳实践
文档版本 01
发布日期 2021-08-30
版权所有 © 华为技术有限公司 2022。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目 录
1 通过 VPN 连接云下数据中心与云上 VPC...1
2 通过 VPN 和云连接构建跨境网络连接... 3
3 VPN 与云连接配合使用实现云下数据中心与云上多 VPC 互通...10
4 VPN 与 VPC peering 配合使用实现云下数据中心与云上同区域 VPC 互通...18
5 基于 VPN 和云连接使用 VPN hub 功能实现云下多个数据中心互通...26
虚拟专用网络
最佳实践 目 录
1 通过 VPN 连接云下数据中心与云上 VPC
操作场景
默认情况下,在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中 心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有 网络连通,可以启用VPN功能。申请VPN后,用户需要配置安全组并检查子网的连通 性,以确保VPN功能可用。主要场景分为两类:
● 点对点VPN:本端为处于云服务平台上的一个VPC,对端为一个数据中心,通过 VPN建立用户数据中心与VPC之间的通信隧道。
● 点对多点VPN:本端为处于云服务平台上的一个VPC,对端为多个数据中心,通 过VPN建立不同用户数据中心与VPC之间的通信隧道。
配置VPN时需要注意以下几点:
● 本端子网与对端子网不能重复。
● 本端和对端的IKE策略、IPsec策略、PSK相同。
● 本端和对端子网,网关等参数对称。
● VPC内弹性云服务器安全组允许访问对端和被对端访问。
● VPN对接成功后两端的服务器或者虚拟机之间需要进行通信,VPN的状态才会刷 新为正常。
前提条件
已创建VPN所需的虚拟私有云和子网。
操作步骤
1. 在管理控制台上,选择合适的IKE策略和IPsec策略申请VPN。
2. 检查本端和对端子网的IP地址池。
如图1-1所示,假设您在云中已经申请了VPC,并申请了2个子网
(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心Router下也有2个子 网(192.168.3.0/24,192.168.4.0/24)。您可以通过VPN使VPC内的子网与数据 中心的子网互相通信。
虚拟专用网络
最佳实践 1 通过 VPN 连接云下数据中心与云上 VPC
图1-1 IPsec VPN
本端和对端子网IP池不能重合。例如,本端VPC有两个子网,分别为:
192.168.1.0/24和192.168.2.0/24,那么对端子网的IP地址池不能包含本端VPC的 这两个子网。
3. 为弹性云服务器配置安全组规则,允许通过VPN进出本地数据中心的报文。
4. 检查VPC安全组。
从本地数据中心ping云服务器,验证安全组是否允许通过VPN进出本地数据中心 的报文。
5. 检查远端LAN配置(即对端数据中心网络配置)。
在远程LAN(对端数据中心网络)配置中有可以将VPN流量转发到LAN中网络设 备的路由。如果VPN流量无法正常通信,请检查远程LAN是否存在拒绝策略。
虚拟专用网络
最佳实践 1 通过 VPN 连接云下数据中心与云上 VPC
2 通过 VPN 和云连接构建跨境网络连接
操作场景
当用户的业务涉及跨境部署时,由于涉及跨境,可能会存在VPN连接不稳定的问题。
例如用户侧数据中心在泰国,云上业务在华为云华南区域,泰国数据中心与华南区域 需要进行通信。如果直接将泰国的本地数据中心(10.0.1.0/24)通过VPN连接到华南 区域的VPC(10.0.3.0/24),则由于涉及跨境问题,会出现不稳定的问题,如图2-1所 示。
图2-1 使用 VPN 连接跨国区域场景
针对这种情况,用户可以开通云连接服务,通过云连接和虚拟专用网络的配合,构建 稳定跨境网络连通。首先将用户的本地数据中心就近连接到华为云区域,例如泰国区 域的用户可以使用VPN,将本地数据中心连接到香港区域(10.0.2.0/24)。再通过云 连接连通各个区域,例如将香港区域与华南区域的VPC连接起来。如图2-2所示。
图2-2 VPN 和云连接配合使用场景图
操作步骤
1. 在华为云香港区域购买VPN,配置云上VPN服务。
虚拟专用网络
最佳实践 2 通过 VPN 和云连接构建跨境网络连接
a. 在管理控制台左上角单击 图标,选择“中国-香港”区域。
b. 在系统首页,单击“网络 > 虚拟专用网络”。
c. 在左侧导航栏,选择“虚拟专用网络 > VPN网关”。
d. 在VPN网关页面,单击“创建VPN网关”
e. 根据界面提示,如表2-1所示填写对应参数后,单击“立即购买”。
表2-1 VPN 网关参数说明
参数 说明 取值样例
计费模式 当前区域的VPN网关支持按需计 费。
按需计费
区域 不同区域的资源之间内网不互通。
请选择靠近您客户的区域,可以降 低网络时延、提高访问速度。
本案例中请选择“中国-香港”。
中国-香港
名称 VPN网关的名称。 vpcgw-001
虚拟私有 云
VPN接入的VPC名称。
选择香港区域对应的VPC。
vpc-001
类型 VPN类型。默认为选择“IPsec”。 IPsec 计费方式 按需计费支持两种计费方式:按带
宽计费/按流量计费。
● 按带宽计费:指定带宽上限,按 使用时间计费,与使用的流量无 关。
● 按流量计费:指定带宽上限,按 实际使用的上行流量计费,与使 用时间无关。
按流量计费
带宽大小 本地VPN网关的带宽大小(单位 Mbit/s),为所有基于该网关创建 的VPN连接共享的带宽,VPN连接 带宽总和不超过VPN网关的带宽。
在VPN使用过程中,当网络流量超 过VPN带宽时有可能造成网络拥塞 导致VPN连接中断,请用户提前做 好带宽规划。
可以在云监控服务中配置告警规则 对带宽进行监控。
100 虚拟专用网络
最佳实践 2 通过 VPN 和云连接构建跨境网络连接
表2-2 VPN 连接参数说明
参数 说明 取值样例
名称 VPN连接名称。 vpn-001
VPN网关 VPN连接挂载的VPN网关名称。 vpcgw-001 本端子网 本端子网指需要通过VPN访问用户
本地网络的VPC子网。
这里选择网段,来指定本端子网,
此处需要将香港和华南两个子网都 填写进去,以保证华南发出的流量 也能进入VPN隧道。
这里填写10.0.2.0/24,10.0.3.0/24
10.0.2.0/24,
10.0.3.0/24
远端网关 用户本地数据中心侧的VPN网关地 址
这里填写泰国区域本地数据中心的 VPN网关地址
-
远端子网 远端子网指需要通过VPN访问VPC 的用户本地子网。
这里填写10.0.1.0/24
10.0.1.0/24
预共享密
钥 预共享密钥(Pre Shared Key),
指配置在云上VPN连接的密钥,需 要与本地网络VPN设备配置的密钥 一致。此密钥用于VPN连接协商。
取值范围:
● 取值长度:6~128位。
● 只能包括以下几种字符:
– 数字 – 大小写字母
– 特殊符号:包括“~”、
“`”、“!”、“@”、
“#”、“$”、“%”、
“^”、“(”、“)”、
“-”、“_”、“+”、
“=”、“[”、“]”、
“{”、“}”、“|”、"\"、
","、"."、"/"、“:”和“;”
Test@123
确认密钥 再次输入预共享密钥。 Test@123 高级配置 ● 默认配置
● 自定义配置:自定义配置IKE策 略和IPsec策略。相关配置说明 请参见表2-3和表2-4。
自定义配置 虚拟专用网络
最佳实践 2 通过 VPN 和云连接构建跨境网络连接
表2-3 IKE 策略
参数 说明 取值样例
认证算法 认证哈希算法,支持的算法:SHA1、
SHA2-256、SHA2-384、SHA2-512、
MD5。
默认配置为:SHA2-256。
SHA2-256
加密算法 加密算法,支持的算法:AES-128、
AES-192、AES-256、3DES(有安全风险不 推荐)。
默认配置为:AES-128。
AES-128
DH算法 Diffie-Hellman密钥交换算法,支持的算 法:Group 1、Group 2、Group 5、Group 14、Group 15、Group 16、Group 19、
Group 20、Group 21。
默认配置为:Group 14。
协商双方的dh算法必须一致,否则会导致协 商失败。
Group 14
版本 IKE密钥交换协议版本,支持的版本:v1、
v2。
默认配置为:v2。
v2
生命周期
(秒) 安全联盟(SA—Security Association)的生 存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协 商。
默认配置为:86400。
86400
协商模式 选择IKE策略版本为“v1”时,可以配置协 商模式,取值支持Main、Aggressive。
默认配置为:Main
Main
表2-4 IPsec 策略
参数 说明 取值样例
认证算法 认证哈希算法,支持的算法:SHA1、
SHA2-256、SHA2-384、SHA2-512、
MD5。
默认配置为:SHA2-256。
SHA2-256
加密算法 加密算法,支持的算法:AES-128、
AES-192、AES-256、3DES(有安全风险不 推荐)。
默认配置为:AES-128。
AES-128 虚拟专用网络
最佳实践 2 通过 VPN 和云连接构建跨境网络连接
参数 说明 取值样例 PFS PFS(Perfect Forward Secrecy)即完美前
向安全功能,用来配置IPsec隧道协商时使 用。
PFS组支持的算法:DH group 1、DH group 2、DH group 5、DH group 14、
DH group 15、DH group 16、DH group 19、DH group 20、DH group 21。
默认配置为:DH group 14。
DH group 14
传输协议 IPsec传输和封装用户数据时使用的安全协 议,目前支持的协议:AH、ESP、AH- ESP。
默认配置为:ESP。
ESP
生命周期
(秒) 安全联盟(SA—Security Association)的 生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协 商。
默认配置为:3600。
3600
注意
以下算法安全性较低,请慎用:
认证算法:SHA1、MD5。
加密算法:3DES。
DH算法:Group 1、Group 2、Group 5。
2. 配置用户侧数据中心的VPN网关(即泰国的用户VPN网关)
根据用户使用的VPN网关设备型号,进行相应的配置。
说明
在IPsec策略中引用的ACL,应配置如下:
● 源网段 : 10.0.1.0/24
● 目的网段 : 10.0.2.0/24,10.0.3.0/24
3. 在云连接服务中购买云连接实例。具体步骤请参见创建云连接实例。
4. 加载网络实例。
将香港区域的VPC和华南区域的VPC加入到云连接中。
说明
● 加载香港VPC时,配置的参数请参见表2-5。
● 加入华南VPC时,只需要指定VPC子网10.0.3.0/24即可,不需要重复指定泰国的网段 10.0.1.0/24 。
虚拟专用网络
最佳实践 2 通过 VPN 和云连接构建跨境网络连接
表2-5 加载同帐号网络实例参数
参数 说明 取值样例
帐号 加载的网络实例的帐号
类型。
同帐号加载
区域 需要连接的VPC所在区
域。 中国-香港
实例类型 需要加载到云连接实例
中实现网络互通的实例 类型。
虚拟私有云(VPC)
VPC 需要加载到云连接实例
中实现网络互通的VPC名 称。
这里选择在步骤1.e时选 择的VPC。
vpc-001
VPC CIDRs 需要加载到云连接实例 中实现网络互通的网段 路由。
当类型参数选择虚拟私 有云时,需配置以下两 个参数:
● 子网:选择VPC管理 的子网,这里选 10.0.2.0/24
● 自定义网段:为了使 云连接能够转发到达 泰国本地数据中心的 流量,此处需要增加 自定义网段
10.0.1.0/24
子网:10.0.2.0/24 自定义网段:
10.0.1.0/24
VGW 需要加载到云连接实例
中实现网络互通的VGW 名称。当类型选择虚拟 网关时,需要配置此参 数。
vgw-w2
VGW CIDRs 需要加载到云连接实例 中,实现网络互通的 VGW内的VPC和远端用 户站点的网段路由。当 类型参数选择虚拟网关 时,需配置以下两个参 数:
● VPC CIDRs
● 远端子网
VPC CIDRs:
192.168.0.3/24 虚拟专用网络
最佳实践 2 通过 VPN 和云连接构建跨境网络连接
5. 配置域间带宽。
具体步骤请参见配置域间带宽。
6. 检查路由信息。
在香港VPC实例中,应该包括目的网段为10.0.1.0/24和10.0.2.0/24两条路由信 息。
在华南VPC实例中,应该包括10.0.3.0/24一条路由信息。
具体步骤请参见查看路由信息。
7. 测试业务的连通性。
在华南区域创建虚机部署用户业务,例如虚机的IP地址为10.0.3.17 假设泰国本地数据中心网络的机器IP地址为10.0.1.17 。
从用户侧数据中心机器10.0.1.17 ping包到 10.0.3.17,此时会触发隧道协商。
正常情况下,ping包会通,同时在用户侧数据中心VPN网关上可以查看到IPsec VPN隧道信息(不同型号的网关查看方式略有不同)。
虚拟专用网络
最佳实践 2 通过 VPN 和云连接构建跨境网络连接
3 VPN 与云连接配合使用实现云下数据中心与 云上多 VPC 互通
操作场景
本任务中用户通过VPN接入华为云,在华为云端有多个区域,每个区域中都创建了 VPC。通过配置云连接实现用户数据中心网络和云端多个区域的VPC子网互联互通。
说明
相同区域的多个VPC也可通过云连接互联。
前提条件
1. 前置资源
– 用户已购买了VPN连接,完成了用户端数据中心网络和云端VPC的VPN连接。
– 用户购买了多个Region的VPC,且每个VPC下的子网不冲突,云端多个VPC下 的ECS服务正常。
2. 连接拓扑
图3-1 VPN 与云连接配合使用 虚拟专用网络
最佳实践
3 VPN 与云连接配合使用实现云下数据中心与云上多 VPC 互通
说明
● 用户数据中心本地子网:192.168.11.0/24,VPN网关IP:49.4.113.226
● VPC1子网:192.168.22.0/24,VPN网关122.112.222.135
● VPC2子网:192.168.33.0/24 3. 配置概述
表3-1 配置说明
用户数据中心 VPC1(华东节点) VPC2(华南节
点)
VPN连接子网配置 本端网关:49.4.113.226 本地子网:192.168.11.0/24 远端子网:192.168.22.0/24 192.168.33.0/24
远端网关:122.112.222.135 网关IP与VPC1互为镜像 VPN资源与VPC1相同
VPN连接子网配置 本端网关:
122.112.222.135 本端子网:
192.168.22.0/24 192.168.33.0/24
远端网关:49.4.113.226 远端子网:
192.168.11.0/24 云连接网络实例配置 网络实例:
192.168.22.0/24 192.168.11.0/24
云连接网络实例配 置
网络实例:
192.168.33.0/24
说明
云连接网络实例可在任一Region配置,通过查看路由信息验证网络实例配置。
4. 配置思路:
– 通过CC将华东VPC1和华南VPC2进行连接。
– 用户数据中心VPN连接的本地子网不变,远端子网变为192.168.22.0/24和 192.168.33.0/24。
– VPC1的VPN连接的本地子网变更为192.168.22.0/24和192.168.33.0/24,远 端子网不变。
– VPC1的CC更新VPC CIDRs的网段信息,将192.168.11.0/24添加至VPC子网 中。
– VPC2的网络信息无变化。
– 配置域间带宽。
– 验证云连接路由信息。
配置步骤
步骤1 创建云连接
1. 登录控制台,在服务列表中选择“云连接”,在页面左侧页签中选择“云连 接”,单击页面右上方“创建云连接”。
虚拟专用网络 最佳实践
3 VPN 与云连接配合使用实现云下数据中心与云上多 VPC 互通
2. 根据界面提示配置相关参数,单击“确定”。
图3-2 创建云连接
云连接的创建可在VPC的所在的任意一个区域发起,创建阶段填写云连接的名 称、企业项目和描述等信息。如果客户在同一个Region中有两个VPC,可选择对 等连接(时延相对小)或云连接互联VPC,如果VPC数量多于两个,请选择云连接 进行互联。
3. 云连接创建完成后,单击云连接名称。
4. 选择“网络实例”页签,单击“加载网络实例”。
根据界面提示配置相关参数,单击“确定”。
图3-3 加载网络实例 1 虚拟专用网络
最佳实践
3 VPN 与云连接配合使用实现云下数据中心与云上多 VPC 互通
5. 添加华南区域的VPC2,选择VPC名称和VPC CIDRs,VPC CIDRs可选择全部子网或 部分子网,也可通过自定义网段进行添加VPC的子网。
同理,添加华东区域的VPC1及网络配置,添加完成信息配置如图3-4所示。
图3-4 加载网络实例 2
说明
– 云连接提供同帐号或跨帐号的连接,跨帐号连接需要先获取授权。
– 自定义添加的子网系统不会做校验。
6. 选择“域间带宽”页签,单击“配置域间带宽”,如果存在多个Region,需要按 照链路使用情况将云连接建立时的总带宽进行划分,本实例将所有带宽用于两个 Region互联,配置信息如图。
图3-5 配置域间带宽
7. 验证路由信息,选择“路由信息”。
系统可展示区域互联的路由信息,路由中存在的子网即为通过云连接互通的子 网,此时VPC1和VPC2的子网可以互相访问。
图3-6 验证路由信息 虚拟专用网络
最佳实践
3 VPN 与云连接配合使用实现云下数据中心与云上多 VPC 互通
步骤2 更新VPC CIDRs
VPC1与VPC2之间建立的云连接,在配置网络实例时,VPC1除自身的子网外,连接 VPN的子网也被视同为连接在VPC1下,VPC2的子网只包含自身子网。因此,需要对 VPC1的网络实例进行修改。
1. 单击云连接名称进入云连接实例。
2. 在“网络实例”页签中,选择华东-上海二的实例。
3. 单击页面右侧“修改VPC CIDRs”。
图3-7 修改 VPC CIDRs
4. 根据界面提示,在“高级配置”的“其他网段”中输入VPC1通过VPN连接的客户 侧子网,单击“添加”。
图3-8 修改 VPC CIDRs
5. 验证配置更新信息,请单击页面“路由信息”进行查验。
图3-9 验证信息 虚拟专用网络
最佳实践
3 VPN 与云连接配合使用实现云下数据中心与云上多 VPC 互通
步骤3 更新VPN配置
VPC1和VPC2通过CC连接后,用户数据中心网络和VPC1之间的VPN子网也随即发生了 变化,从VPN连接的角度看,VPC1的本地子网应该包含自身的子网和通过CC连接的 VPC2的子网,同理,客户端VPN的远端子网也需要做相应的调整。
● 客户侧:本端子网不变,远端子网添加VPC2的子网,本实例为192.168.33.0/24。
● VPC1侧:本端子网添加VPC2的子网,本实例为192.168.33.0/24,远端子网不 变。
1. 选择“虚拟专用网络 > VPN连接”,找到VPC1创建的VPN连接,在“更多”列 单击“修改”。
图3-10 修改 VPN 连接
2. 在修改VPN连接页面将本端子网变更为“网段”,并输入VPC1的子网和VPC2的子 网,两个网段之间使用英文逗号隔开,远端子网和其它信息保持不变。
图3-11 修改 VPN 连接
3. 用户侧的VPN配置需要修改远端子网。
请将华为云端的VPC1子网、VPC2子网添加至VPN连接的远端子网配置中,其它配 置保持不变。
----结束
配置验证
本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS,IP地址分别为 192.168.11.11、192.168.22.170和192.168.33.33的三台主机,初始情况下ECS1
(192.168.11.11)可以和ECS2(192.168.22.170)互联互通(通过VPN访问),ECS3 虚拟专用网络
最佳实践
3 VPN 与云连接配合使用实现云下数据中心与云上多 VPC 互通
(192.168.33.33)无法和其它主机互通,在建立云连接CC后,ECS3可以和ECS2互 通,但无法和ECS1互通。
经过更新VPC CIDRs和更新VPN配置的配置调整后,已实现ECS1、ECS2和ECS3之间互 联互通,结果验证如下。
● 用户数据中心
ECS1访问VPN连接VPC1子网下的ECS2:结果OK。
ECS1访问VPC2子网下的ECS3:结果OK。
● 华为云云端VPC1
VPC1子网下的ECS2访问用户数据中心子网下的ECS1:结果OK。
VPC1子网下的ECS2访问VPC2子网下的ECS3:结果OK。
● 华为云云端VPC2
VPC2子网下的ECS3访问VPC1子网下的ECS2:结果OK。
虚拟专用网络 最佳实践
3 VPN 与云连接配合使用实现云下数据中心与云上多 VPC 互通
VPC2子网下的ECS3访问用户数据中心子网下的ECS1:结果OK。
虚拟专用网络 最佳实践
3 VPN 与云连接配合使用实现云下数据中心与云上多 VPC 互通
4 VPN 与 VPC peering 配合使用实现云下数 据中心与云上同区域 VPC 互通
操作场景
用户在华为云的同区域中创建了两个VPC,本地数据中心通过VPN连接至其中一个 VPC。本任务指导书通过在两个VPC之间建立VPC-peering使得用户本地数据中心的网 络和华为云端两个VPC之间的网络数据互联互通。
前提条件
1. 前置资源
– 用户已购买了VPN连接,完成了用户端数据中心网络和云端VPC的VPN连接;
– 用户购买了多个VPC,且每个VPC下的子网不冲突,云端多个VPC下的ECS服 务正常;
2. 连接拓扑
图4-1 VPN 与 VPC peering 配合使用
说明
● 用户数据中心本地子网:192.168.1.0/24,VPN网关IP:117.78.30.194
● VPC1子网:192.168.11.0/24,VPN网关IP:122.112.222.232
● VPC2子网:192.168.22.0/24 3. 配置概述
虚拟专用网络 最佳实践
4 VPN 与 VPC peering 配合使用实现云下数据中心与 云上同区域VPC 互通
表4-1 局点配置说明
配置说明 用户数据中心 VPC1 VPC2
VPN连接 子网配置
本端网关:
117.78.30.194 本地子网:
192.168.1.0/24 远端子网:
192.168.11.0/24 192.168.22.0/24 远端网关:
122.112.222.232 说明
● 网关IP与VPC1互为 镜像。
● VPN资源与VPC1相 同。
本端网关:
122.112.222.232 本端子网:
192.168.11.0/24;
192.168.22.0/24 远端网关:
117.78.30.194 远端子网:
192.168.1.0/24
-
VPC对等 连接路由 配置
- VPC1目的地址:
192.168.22.0/24 VPC2目的地址:
192.168.1.0/24;
192.168.11.0/24 备注 ● 本实例在创建VPC-peering时指定VPC1为本端,VPC2为远端。
● 云连接网络实例可在任一局点配置,通过查看路由信息验证网 络实例配置。
4. 配置思路
– 通过VPC-peering将VPC1和VPC2进行连接。
– 用户数据中心VPN连接的本地子网不变,远端子网变为192.168.11.0/24和 192.168.22.0/24。
– VPC1的VPN连接的本地子网变更为192.168.11.0/24和192.168.22.0/24,远 端子网不变。
– VPC1的VPC-peering本端路由仅包含目标网段为VPC2子网192.168.22.0/24的 路由。
– VPC1的VPC-peering远端路由包含目标网段为VPC1子网192.168.11.0/24和客 户子网192.168.1.0/24。
配置步骤
步骤1 创建VPC-peering
1. 登录控制台,选择VPC所在的区域,然后在服务列表中选择“虚拟私有云VPC”,
在页面左侧页签中选择“对等连接”,单击页面右上方“创建对等连接”,在弹 出页面中选择本端的VPC和对端VPC信息,单击“确定”进行创建。
虚拟专用网络 最佳实践
4 VPN 与 VPC peering 配合使用实现云下数据中心与 云上同区域VPC 互通
图4-2 创建对等连接
本端VPC和对端VPC是在创建VPC对等连接时选择的,请按照VPC子网网段确认是 否匹配,VPC-peering创建后无法变更VPC信息,只能修改VPC-peering的名称和 VPC对端连接本端路由和远端路由。
图4-3 修改 VPC 信息
2. VPC-peering创建完成后可查询对等连接的相关信息,同时VPC的对等连接会提示 本端连接的VPC网络和对端连接的VPC网络,两端网络互通需要添加路由信息。
虚拟专用网络 最佳实践
4 VPN 与 VPC peering 配合使用实现云下数据中心与 云上同区域VPC 互通
图4-4 VPC 信息
本实例中选择VPN连接侧的VPC1为本端,VPC2为远端。
步骤2 添加VPC-peering路由
1. 普通的VPC-peering连接只需要添加两侧VPC的子网网络路由,本实例中本端VPC 分别通过VPN连接了用户数据中心网络,因此再添加网络路由时需要将客户的网 络也进行添加。在对等连接页面单击要编辑的VPC对等连接的名称,进入如下图 添加路由页面。
图4-5 创建对等连接
2. 添加本端路由:选择关联路由图示左侧“+”或单击下侧“本端路由”,然后单击
“添加本端路由”。
在弹出页面填写目的地址网络信息,多条路由可逐条添加;对端路由添加方式与 添加本端路由相同。
本端路由:即从本端出发,目标地址为VPC2侧子网的路由,即192.168.22.0/24 对端路由:即从对端出发,目标地址为VPC1侧子网的路由,即192.168.11.0/24和 192.168.1.0/24
图4-6 添加本端路由 虚拟专用网络
最佳实践
4 VPN 与 VPC peering 配合使用实现云下数据中心与 云上同区域VPC 互通
说明
VPC1通过VPN连接的用户数据中心网络,对于VPC2来讲,是通过VPC-peering连接的,所 以对端路由除去往本端子网的路由外,还需要包含去往用户数据中心子网的路由。
3. 添加路由的下一跳地址由VPN对端连接自动生成,配置页面无需修改,添加多条 路由选择“增加一条路由”进行逐条添加,页面中可以显示对端VPC的子网信 息,但不包含对端VPC连接的网络,如添加对端路由时查看本端VPC子网不显示通 过VPN连接的用户数据中心网络。
图4-7 添加本端路由
步骤3 修改VPN配置
1. VPC1和VPC2通过VPC-peering连接后,用户数据中心网络和VPC1之间的VPN子网 也随即发生了变化,从VPN连接的角度看,VPC1的本地子网应该包含自身的子网 和通过VPC-peering连接的VPC2的子网,同理,客户端VPN的远端子网也需要做 相应的调整。
说明
客户侧:本端子网不变,远端子网添加VPC2的子网,本实例为192.168.22.0/24。
VPC1侧:本端子网添加VPC2的子网,本实例为192.168.22.0/24,远端子网不变。
2. 选择左侧页签中虚拟专用网络下的“VPN连接”,找到VPC1创建的VPN连接,选 择“修改”。
虚拟专用网络 最佳实践
4 VPN 与 VPC peering 配合使用实现云下数据中心与 云上同区域VPC 互通
图4-8 修改 VPN 连接
3. 在修改VPN连接页面将本端子网变更为“网段”,并输入VPC1的子网和VPC2的子 网,两个网段之间使用英文逗号隔开,远端子网和其它信息保持不变。
用户侧的VPN配置需要修改远端子网,请将华为云端的VPC1子网、VPC2子网添加 至VPN连接的远端子网配置中。
图4-9 修改 VPN 连接
----结束
配置验证
本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS,IP地址分别为 192.168.1.151、192.168.11.84和192.168.22.170的三台主机,初始情况下ECS1
(192.168.1.151)可以和ECS2(192.168.11.84)互联互通(通过VPN访问),ECS3
(192.168.22.170)无法和其它主机互通,在建立VPC-peering后,ECS3可以和ECS2 互通,但无法和ECS1互通。
经过步骤3的配置调整后,可以实现ECS1、ECS2和ECS3之间互联互通,结果验证如 下。
● 用户数据中心
ECS1访问VPN连接VPC1子网下的ECS2:结果OK。
虚拟专用网络 最佳实践
4 VPN 与 VPC peering 配合使用实现云下数据中心与 云上同区域VPC 互通
ECS1访问VPC2子网下的ECS3:结果OK
● 华为云端VPC1
VPC1子网下的ECS2访问用户数据中心子网下的ECS1:结果OK。
VPC1子网下的ECS2访问VPC2子网下的ECS3:结果OK。
● 华为云端VPC2
VPC2子网下的ECS3访问VPC1子网下的ECS2:结果OK。
VPC2子网下的ECS3访问用户数据中心子网下的ECS1:结果OK。
虚拟专用网络 最佳实践
4 VPN 与 VPC peering 配合使用实现云下数据中心与 云上同区域VPC 互通
虚拟专用网络 最佳实践
4 VPN 与 VPC peering 配合使用实现云下数据中心与 云上同区域VPC 互通
5 基于 VPN 和云连接使用 VPN hub 功能实现 云下多个数据中心互通
操作场景
用户在华为云的多个区域购买了VPC,同时用户存在多地数据中心,每个数据中心都 通过VPN连接了云上的VPC网络。本任务指导用户通过同区域和跨区域的云连接,将多 个数据中心网络连接起来,打通用户本地数据中心网络,使得云上云下各个数据中心 的网络可以相互访问。
前提条件
1. 前置资源
– 用户在华为云上多个区域内购买了VPC,且某个区域中存在多个VPC。
– 每个区域都通过VPN和不同的用户数据中心连接。
– 云上VPC和用户的数据中心的子网不冲突,ECS服务正常。
2. 连接拓扑
图5-1 VPN hub 连接拓扑 虚拟专用网络
最佳实践
5 基于 VPN 和云连接使用 VPN hub 功能实现云下多个 数据中心互通
3. 配置思路:
a. 通过云连接将VPC1、VPC2和VPC3进行连接,并配置云连接路由,实际网络 配置需要购买带宽包。
b. 分别创建IDC1-VPC1、IDC2-VPC2、IDC3-VPC3的VPN网络。
c. 更新每一段VPN的本地资源和远端子网。
4. 局点配置说明
表5-1 配置说明 节
点 标 识
VPN本端网 关
VPN本地 子网
VPN远端 网关
VPN远端 子网
CC网络实 例
IDC1 VP
N A 49.4.113.2
26 192.168.1
1.0/24 122.112.22
2.135 192.168.22 .0/24 192.168.33 .0/24 192.168.44 .0/24 192.168.55 .0/24 192.168.66 .0/24
-
VPC1 122.112.22
2.135 192.168.2 2.0/24 192.168.3 3.0/24 192.168.4 4.0/24 192.168.5 5.0/24 192.168.6 6.0/24
49.4.113.2
26 192.168.11
.0/24 192.168.2 2.0/24 192.168.1 1.0/24
IDC2 VP
N B 139.159.22
2.28 192.168.4
4.0/24 122.112.22
2.112 192.168.11 .0/24 192.168.22 .0/24 192.168.33 .0/24 192.168.55 .0/24 192.168.66 .0/24
- 虚拟专用网络
最佳实践
5 基于 VPN 和云连接使用 VPN hub 功能实现云下多个 数据中心互通
节 点
标
识 VPN本端网
关 VPN本地
子网 VPN远端
网关 VPN远端
子网 CC网络实
例 VPC2 122.112.22
2.112 192.168.1 1.0/24 192.168.2 2.0/24 192.168.3 3.0/24 192.168.5 5.0/24 192.168.6 6.0/24
139.159.22
2.28 192.168.44
.0/24 192.168.3 3.0/24 192.168.4 4.0/24
IDC3 VP
N C 139.9.226.
244 192.168.5
5.0/24 122.112.22
2.112 192.168.11 .0/24 192.168.22 .0/24 192.168.33 .0/24 192.168.44 .0/24 192.168.66 .0/24
-
VPC3 117.78.30.
55 192.168.1 1.0/24 192.168.2 2.0/24 192.168.3 3.0/24 192.168.4 4.0/24 192.168.6 6.0/24
139.9.226.
244 192.168.55
.0/24 192.168.5 5.0/24 192.168.6 6.0/24
说明
● 云连接网络实例可在任一局点配置,通过查看路由信息验证网络实例配置。
● 用户侧VPN网关IP与VPC互为镜像,VPN连接创建的资源信息与华为云一致。
配置步骤
步骤1 创建云连接
1. 登录控制台,选择VPC所在的区域,然后在服务列表中选择网络下的“云连 接”,根据图5-2输入相关创建信息后,单击“确定”创建云连接。
虚拟专用网络 最佳实践
5 基于 VPN 和云连接使用 VPN hub 功能实现云下多个 数据中心互通
图5-2 创建云连接
2. 选择已创建的云连接,单击名称添加网络实例。
图5-3 加载网络实例
在新页签中选择“加载网络实例”,添加云连接所连接的VPC网络,VPC子网可直 接进行选择,通过VPN连接的客户网络需要手动添加在自定义网段中,然后单击
“确定”。
图5-4 加载网络实例
另一侧VPC2配置信息和VPC1的相同,请不要忘记添加VPN连接的客户网络,如果 忘记添加可通过选择云连接中的VPC,然后单击右侧“更新VPC CIDRs”进行添 加。
虚拟专用网络 最佳实践
5 基于 VPN 和云连接使用 VPN hub 功能实现云下多个 数据中心互通
图5-5 更新 VPC CIDRs
云连接配置完成后, 网络实例连接示意图如下所示。
图5-6 更新 VPC CIDRs
通过查看路由信息验证路由配置
图5-7 验证路由配置 虚拟专用网络
最佳实践
5 基于 VPN 和云连接使用 VPN hub 功能实现云下多个 数据中心互通
步骤2 更新VPN网络配置 修改思路:
用户侧:本端子网不变,远端子网添加VPC2的子网。
VPC侧:本端子网添加VPC2的子网,远端子网不变。
1. 选择华为云端的虚拟专线网络配置,在已创建的VPN连接中修改本端子网配置。
图5-8 创建对等连接
2. 更改本端子网类型为网段,添加云连接所连接的VPC1的网络实例和本端VPC子 网,远端网络信息不变
VPC1的VPN连接信息配置如下图所示。
图5-9 修改 VPN 连接
VPC2的VPN连接信息配置如下图所示。
图5-10 修改 VPN 连接
----结束
配置验证
本环境中在用户数据中心、VPC1、VPC2中分别存在三台ECS,IP地址分别为 192.168.1.151、192.168.11.84和192.168.22.170的三台主机,初始情况下ECS1 虚拟专用网络
最佳实践
5 基于 VPN 和云连接使用 VPN hub 功能实现云下多个 数据中心互通
(192.168.1.151)可以和ECS2(192.168.11.84)互联互通(通过VPN访问),ECS3
(192.168.22.170)无法和其它主机互通,在建立VPC-peering后,ECS3可以和ECS2 互通,但无法和ECS1互通。
经过步骤步骤2的配置调整后,可以实现ECS1、ECS2和ECS3之间互联互通,结果验证 如下。
● IDC1
ECS1访问VPN连接VPC1子网下的ECS2:结果OK。
ECS1访问VPC2子网下的ECS3:结果OK。
● IDC2
ECS1访问VPN连接VPC1子网下的ECS2:结果OK。
ECS1访问VPC2子网下的ECS3:结果OK。
● 华为云端VPC1
VPC1子网下的ECS2访问用户数据中心子网下的ECS1:结果OK 虚拟专用网络
最佳实践
5 基于 VPN 和云连接使用 VPN hub 功能实现云下多个 数据中心互通
VPC1子网下的ECS2访问VPC2子网下的ECS3:结果OK
● 华为云端VPC2
VPC2子网下的ECS3访问VPC1子网下的ECS2:结果OK。
VPC2子网下的ECS3访问用户数据中心子网下的ECS1:结果OK。
虚拟专用网络 最佳实践
5 基于 VPN 和云连接使用 VPN hub 功能实现云下多个 数据中心互通
