VPN与云连接配合使用实现云下数据中心与云上多VPC互通

操作场景

本任务中用户通过VPN接入华为云，在华为云端有多个区域，每个区域中都创建了VPC。通过配置云连接实现用户数据中心网络和云端多个区域的VPC子网互联互通。

相同区域的多个VPC也可通过云连接互联。

前提条件

1. 前置资源
   • 用户已购买了VPN连接，完成了用户端数据中心网络和云端VPC的VPN连接。
   • 用户购买了多个Region的VPC，且每个VPC下的子网不冲突，云端多个VPC下的ECS服务正常。
2. 连接拓扑
   图1 VPN与云连接配合使用
   
   

   • 用户数据中心本地子网：192.168.11.0/24，VPN网关IP：1.1.1.1
   • VPC1子网：192.168.22.0/24，VPN网关：2.2.2.2
   • VPC2子网：192.168.33.0/24
3. 配置概述

   表1 配置说明

   用户数据中心	VPC1（华东节点）	VPC2（华南节点）
   VPN连接子网配置 本端网关：1.1.1.1 本地子网：192.168.11.0/24 远端子网：192.168.22.0/24 192.168.33.0/24 远端网关：2.2.2.2 网关IP与VPC1互为镜像 VPN资源与VPC1相同	VPN连接子网配置 本端网关：2.2.2.2 本端子网：192.168.22.0/24 192.168.33.0/24 远端网关：1.1.1.1 远端子网：192.168.11.0/24 云连接网络实例配置 网络实例：192.168.22.0/24 192.168.11.0/24	云连接网络实例配置 网络实例：192.168.33.0/24

   

   云连接网络实例可在任一Region配置，通过查看路由信息验证网络实例配置。

4. 配置思路：
   • 通过CC将华东VPC1和华南VPC2进行连接。
   • 用户数据中心VPN连接的本地子网不变，远端子网变为192.168.22.0/24和192.168.33.0/24。
   • VPC1的VPN连接的本地子网变更为192.168.22.0/24和192.168.33.0/24，远端子网不变。
   • VPC1的CC更新VPC CIDRs的网段信息，将192.168.11.0/24添加至VPC子网中。
   • VPC2的网络信息无变化。
   • 配置域间带宽。
   • 验证云连接路由信息。

配置步骤

1. 创建云连接
   1. 登录控制台，在服务列表中选择“云连接”，在页面左侧页签中选择“云连接”，单击页面右上方“创建云连接”。
   2. 根据界面提示配置相关参数，单击“确定”。
      图2 创建云连接
      

      云连接的创建可在VPC的所在的任意一个区域发起，创建阶段填写云连接的名称、企业项目和描述等信息。如果客户在同一个Region中有两个VPC，可选择对等连接（时延相对小）或云连接互联VPC，如果VPC数量多于两个，请选择云连接进行互联。

   3. 云连接创建完成后，单击云连接名称。
   4. 选择“网络实例”页签，单击“加载网络实例”。
      根据界面提示配置相关参数，单击“确定”。

      图3 加载网络实例1
      
   5. 添加华南区域的VPC2，选择VPC名称和VPC CIDRs，VPC CIDRs可选择全部子网或部分子网，也可通过自定义网段进行添加VPC的子网。

      同理，添加华东区域的VPC1及网络配置，添加完成信息配置如图4所示。

      图4 加载网络实例2
      
      

      • 云连接提供同帐号或跨帐号的连接，跨帐号连接需要先获取授权。
      • 自定义添加的子网系统不会做校验。
   6. 选择“域间带宽”页签，单击“配置域间带宽”，如果存在多个Region，需要按照链路使用情况将云连接建立时的总带宽进行划分，本实例将所有带宽用于两个Region互联，配置信息如图。
      图5 配置域间带宽
      
   7. 验证路由信息，选择“路由信息”。
      系统可展示区域互联的路由信息，路由中存在的子网即为通过云连接互通的子网，此时VPC1和VPC2的子网可以互相访问。

      图6 验证路由信息
      

2. 更新VPC CIDRs
   VPC1与VPC2之间建立的云连接，在配置网络实例时，VPC1除自身的子网外，连接VPN的子网也被视同为连接在VPC1下，VPC2的子网只包含自身子网。因此，需要对VPC1的网络实例进行修改。

   1. 单击云连接名称进入云连接实例。
   2. 在“网络实例”页签中，选择华东-上海二的实例。
   3. 单击页面右侧“修改VPC CIDRs”。
      图7 修改VPC CIDRs
      
   4. 根据界面提示，在“高级配置”的“其他网段”中输入VPC1通过VPN连接的客户侧子网，单击“添加”。
      图8 修改VPC CIDRs
      
   5. 验证配置更新信息，请单击页面“路由信息”进行查验。
      图9 验证信息
      

3. 更新VPN配置

   VPC1和VPC2通过CC连接后，用户数据中心网络和VPC1之间的VPN子网也随即发生了变化，从VPN连接的角度看，VPC1的本地子网应该包含自身的子网和通过CC连接的VPC2的子网，同理，客户端VPN的远端子网也需要做相应的调整。

   • 客户侧：本端子网不变，远端子网添加VPC2的子网，本实例为192.168.33.0/24。
   • VPC1侧：本端子网添加VPC2的子网，本实例为192.168.33.0/24，远端子网不变。
   1. 选择“虚拟专用网络 ＞ 经典版 ”，在“VPN连接”界面找到VPC1创建的VPN连接，在“更多”列单击“修改”。
   2. 在修改VPN连接页面将本端子网变更为“网段”，并输入VPC1的子网和VPC2的子网，两个网段之间使用英文逗号隔开，远端子网和其它信息保持不变。
      图10 修改VPN连接
      
   3. 用户侧的VPN配置需要修改远端子网。

      请将华为云端的VPC1子网、VPC2子网添加至VPN连接的远端子网配置中，其它配置保持不变。

配置验证

本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS，IP地址分别为192.168.11.11、192.168.22.170和192.168.33.33的三台主机，初始情况下ECS1（192.168.11.11）可以和ECS2（192.168.22.170）互联互通（通过VPN访问），ECS3（192.168.33.33）无法和其它主机互通，在建立云连接CC后，ECS3可以和ECS2互通，但无法和ECS1互通。

经过更新VPC CIDRs和更新VPN配置的配置调整后，已实现ECS1、ECS2和ECS3之间互联互通，结果验证如下。

• 用户数据中心

  ECS1访问VPN连接VPC1子网下的ECS2：结果OK。

  

  ECS1访问VPC2子网下的ECS3：结果OK。

  

• 华为云云端VPC1

  VPC1子网下的ECS2访问用户数据中心子网下的ECS1：结果OK。

  

  VPC1子网下的ECS2访问VPC2子网下的ECS3：结果OK。

  

• 华为云云端VPC2

  VPC2子网下的ECS3访问VPC1子网下的ECS2：结果OK。

  

  VPC2子网下的ECS3访问用户数据中心子网下的ECS1：结果OK。