文档首页/ 虚拟专用网络 VPN/ 最佳实践/ 站点入云VPN经典版/ VPN与云连接配合使用实现云下数据中心与云上多VPC互通
更新时间:2024-11-29 GMT+08:00
分享

VPN与云连接配合使用实现云下数据中心与云上多VPC互通

操作场景

本任务中用户通过VPN接入华为云,在华为云端有多个区域,每个区域中都创建了VPC。通过配置云连接实现用户数据中心网络和云端多个区域的VPC子网互联互通。

相同区域的多个VPC也可通过云连接互联。

前提条件

  1. 前置资源
    • 用户已购买了VPN连接,完成了用户端数据中心网络和云端VPC的VPN连接。
    • 用户购买了多个Region的VPC,且每个VPC下的子网不冲突,云端多个VPC下的ECS服务正常。
  2. 连接拓扑
    图1 VPN与云连接配合使用
    • 用户数据中心本地子网:192.168.11.0/24,VPN网关IP:1.1.1.1
    • VPC1子网:192.168.22.0/24,VPN网关:2.2.2.2
    • VPC2子网:192.168.33.0/24
  3. 配置概述
    表1 配置说明

    用户数据中心

    VPC1(华东节点)

    VPC2(华南节点)

    VPN连接子网配置

    本端网关:1.1.1.1

    本地子网:192.168.11.0/24

    远端子网:192.168.22.0/24

    192.168.33.0/24

    远端网关:2.2.2.2

    网关IP与VPC1互为镜像

    VPN资源与VPC1相同

    VPN连接子网配置

    本端网关:2.2.2.2

    本端子网:192.168.22.0/24

    192.168.33.0/24

    远端网关:1.1.1.1

    远端子网:192.168.11.0/24

    云连接网络实例配置

    网络实例:192.168.22.0/24

    192.168.11.0/24

    云连接网络实例配置

    网络实例:192.168.33.0/24

    云连接网络实例可在任一Region配置,通过查看路由信息验证网络实例配置。

  4. 配置思路:
    • 通过CC将华东VPC1和华南VPC2进行连接。
    • 用户数据中心VPN连接的本地子网不变,远端子网变为192.168.22.0/24和192.168.33.0/24。
    • VPC1的VPN连接的本地子网变更为192.168.22.0/24和192.168.33.0/24,远端子网不变。
    • VPC1的CC更新VPC CIDRs的网段信息,将192.168.11.0/24添加至VPC子网中。
    • VPC2的网络信息无变化。
    • 配置域间带宽。
    • 验证云连接路由信息。

配置步骤

  1. 创建云连接

    1. 登录管理控制台,在服务列表中选择“云连接”,在页面左侧页签中选择“云连接”,单击页面右上方“创建云连接”。
    2. 根据界面提示配置相关参数,单击“确定”。
      图2 创建云连接

      云连接的创建可在VPC的所在的任意一个区域发起,创建阶段填写云连接的名称、企业项目和描述等信息。如果客户在同一个Region中有两个VPC,可选择对等连接(时延相对小)或云连接互联VPC,如果VPC数量多于两个,请选择云连接进行互联。

    3. 云连接创建完成后,单击云连接名称。
    4. 选择“网络实例”页签,单击“加载网络实例”。
      根据界面提示配置相关参数,单击“确定”。
      图3 加载网络实例1
    5. 添加华南区域的VPC2,选择VPC名称和VPC CIDRs,VPC CIDRs可选择全部子网或部分子网,也可通过自定义网段进行添加VPC的子网。

      同理,添加华东区域的VPC1及网络配置,添加完成信息配置如图4所示。

      图4 加载网络实例2
      • 云连接提供同账号或跨账号的连接,跨账号连接需要先获取授权。
      • 自定义添加的子网系统不会做校验。
    6. 选择“域间带宽”页签,单击“配置域间带宽”,如果存在多个Region,需要按照链路使用情况将云连接建立时的总带宽进行划分,本示例将所有带宽用于两个Region互联,配置信息如图。
      图5 配置域间带宽
    7. 验证路由信息,选择“路由信息”。
      系统可展示区域互联的路由信息,路由中存在的子网即为通过云连接互通的子网,此时VPC1和VPC2的子网可以互相访问。
      图6 验证路由信息

  2. 更新VPC CIDRs

    VPC1与VPC2之间建立的云连接,在配置网络实例时,VPC1除自身的子网外,连接VPN的子网也被视同为连接在VPC1下,VPC2的子网只包含自身子网。因此,需要对VPC1的网络实例进行修改。
    1. 单击云连接名称进入云连接实例。
    2. 在“网络实例”页签中,选择华东-上海二的实例。
    3. 单击页面右侧“修改VPC CIDRs”。
      图7 修改VPC CIDRs
    4. 根据界面提示,在“高级配置”的“其他网段”中输入VPC1通过VPN连接的客户侧子网,单击“添加”。
      图8 修改VPC CIDRs
    5. 验证配置更新信息,请单击页面“路由信息”进行查验。
      图9 验证信息

  3. 更新VPN配置

    VPC1和VPC2通过CC连接后,用户数据中心网络和VPC1之间的VPN子网也随即发生了变化,从VPN连接的角度看,VPC1的本地子网应该包含自身的子网和通过CC连接的VPC2的子网,同理,客户端VPN的远端子网也需要做相应的调整。

    • 客户侧:本端子网不变,远端子网添加VPC2的子网,本示例为192.168.33.0/24。
    • VPC1侧:本端子网添加VPC2的子网,本示例为192.168.33.0/24,远端子网不变。
    1. 选择“虚拟专用网络 > 经典版 ”,在“VPN连接”界面找到VPC1创建的VPN连接,在“更多”列单击“修改”。
    2. 在修改VPN连接页面将本端子网变更为“网段”,并输入VPC1的子网和VPC2的子网,两个网段之间使用英文逗号隔开,远端子网和其它信息保持不变。
      图10 修改VPN连接
    3. 用户侧的VPN配置需要修改远端子网。

      请将华为云端的VPC1子网、VPC2子网添加至VPN连接的远端子网配置中,其它配置保持不变。

配置验证

本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS,IP地址分别为192.168.11.11、192.168.22.170和192.168.33.33的三台主机,初始情况下ECS1(192.168.11.11)可以和ECS2(192.168.22.170)互联互通(通过VPN访问),ECS3(192.168.33.33)无法和其它主机互通,在建立云连接CC后,ECS3可以和ECS2互通,但无法和ECS1互通。

经过更新VPC CIDRs和更新VPN配置的配置调整后,已实现ECS1、ECS2和ECS3之间互联互通,结果验证如下。

  • 用户数据中心

    ECS1访问VPN连接VPC1子网下的ECS2:结果OK。

    ECS1访问VPC2子网下的ECS3:结果OK。

  • 华为云云端VPC1

    VPC1子网下的ECS2访问用户数据中心子网下的ECS1:结果OK。

    VPC1子网下的ECS2访问VPC2子网下的ECS3:结果OK。

  • 华为云云端VPC2

    VPC2子网下的ECS3访问VPC1子网下的ECS2:结果OK。

    VPC2子网下的ECS3访问用户数据中心子网下的ECS1:结果OK。

相关文档