VPN与VPC peering配合使用实现云下数据中心与云上同区域VPC互通
操作场景
用户在华为云的同区域中创建了两个VPC,用户数据中心通过VPN连接至其中一个VPC。本任务指导书通过在两个VPC之间建立VPC-peering使得用户数据中心的网络和华为云端两个VPC之间的网络数据互联互通。
前提条件
- 前置资源。
- 用户已购买了VPN连接,完成了用户端数据中心网络和云端VPC的VPN连接;
- 用户购买了多个VPC,且每个VPC下的子网不冲突,云端多个VPC下的ECS服务正常;
- 连接拓扑。
图1 VPN与VPC peering配合使用
- 用户数据中心本地子网:172.16.1.0/24,VPN网关IP:1.1.1.1
- VPC1子网:192.168.1.0/24,VPN网关IP:11.11.11.11
- VPC2子网:192.168.2.0/24
- 配置概述。
表1 局点配置说明 配置说明
用户数据中心
VPC1
VPC2
VPN连接子网配置
本端网关:1.1.1.1
本地子网:172.16.1.0/24
远端子网:192.168.1.0/24
192.168.2.0/24
远端网关:11.11.11.11
说明:- 网关IP与VPC1互为镜像。
- VPN资源与VPC1相同。
本端网关:11.11.11.11
本端子网:192.168.1.0/24;
192.168.2.0/24
远端网关:1.1.1.1
远端子网:172.16.1.0/24
-
VPC对等连接路由配置
-
VPC1目的地址:192.168.2.0/24
VPC2目的地址:
172.16.1.0/24;192.168.1.0/24
备注
- 本示例在创建VPC-peering时指定VPC1为本端,VPC2为远端。
- 云连接网络实例可在任一局点配置,通过查看路由信息验证网络实例配置。
- 配置思路。
- 通过VPC-peering将VPC1和VPC2进行连接。
- 用户数据中心VPN连接的本地子网不变,远端子网变为192.168.1.0/24和192.168.2.0/24。
- VPC1的VPN连接的本地子网变更为192.168.1.0/24和192.168.2.0/24,远端子网不变。
- VPC1的VPC-peering本端路由仅包含目标网段为VPC2子网192.168.2.0/24的路由。
- VPC2的VPC-peering远端路由包含目标网段为VPC1子网192.168.1.0/24和客户子网172.16.1.0/24。
配置步骤
- 创建VPC-peering。
- 添加VPC-peering路由。
- 修改VPN配置。
- VPC1和VPC2通过VPC-peering连接后,用户数据中心网络和VPC1之间的VPN子网也随即发生了变化,从VPN连接的角度看,VPC1的本地子网应该包含自身的子网和通过VPC-peering连接的VPC2的子网,同理,客户端VPN的远端子网也需要做相应的调整。
客户侧:本端子网不变,远端子网添加VPC2的子网,本示例为192.168.2.0/24。
VPC1侧:本端子网添加VPC2的子网,本示例为192.168.2.0/24,远端子网不变。
- 选择“虚拟专用网络 > 经典版 ”,在“VPN连接”界面找到VPC1创建的VPN连接,选择“更多 > 修改”。
- 在修改VPN连接页面将本端子网变更为“网段”,并输入VPC1的子网和VPC2的子网,两个网段之间使用英文逗号隔开,远端子网和其它信息保持不变。
- VPC1和VPC2通过VPC-peering连接后,用户数据中心网络和VPC1之间的VPN子网也随即发生了变化,从VPN连接的角度看,VPC1的本地子网应该包含自身的子网和通过VPC-peering连接的VPC2的子网,同理,客户端VPN的远端子网也需要做相应的调整。
配置验证
本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS,IP地址分别为172.16.1.1、192.168.1.1和192.168.2.1的三台主机,初始情况下ECS1(172.16.1.1)可以和ECS2(192.168.1.1)互联互通(通过VPN访问),ECS3(192.168.2.1)无法和其它主机互通,在建立VPC-peering后,ECS3可以和ECS2互通,但无法和ECS1互通。
经过步骤3的配置调整后,可以实现ECS1、ECS2和ECS3之间互联互通,结果验证如下。