VPN与VPC peering配合使用实现云下数据中心与云上同区域VPC互通

操作场景

用户在华为云的同区域中创建了两个VPC，用户数据中心通过VPN连接至其中一个VPC。本任务指导书通过在两个VPC之间建立VPC-peering使得用户数据中心的网络和华为云端两个VPC之间的网络数据互联互通。

前提条件

1. 前置资源
   • 用户已购买了VPN连接，完成了用户端数据中心网络和云端VPC的VPN连接；
   • 用户购买了多个VPC，且每个VPC下的子网不冲突，云端多个VPC下的ECS服务正常；
2. 连接拓扑
   图1 VPN与VPC peering配合使用
   
   

   • 用户数据中心本地子网：172.16.1.0/24，VPN网关IP：1.1.1.1
   • VPC1子网：192.168.1.0/24，VPN网关IP：11.11.11.11
   • VPC2子网：192.168.2.0/24
3. 配置概述

   表1 局点配置说明

   配置说明	用户数据中心	VPC1	VPC2
   VPN连接子网配置	本端网关：1.1.1.1 本地子网：172.16.1.0/24 远端子网：192.168.1.0/24 192.168.2.0/24 远端网关：11.11.11.11 说明： 网关IP与VPC1互为镜像。 VPN资源与VPC1相同。	本端网关：11.11.11.11 本端子网：192.168.1.0/24； 192.168.2.0/24 远端网关：1.1.1.1 远端子网：172.16.1.0/24	-
   VPC对等连接路由配置	-	VPC1目的地址：192.168.2.0/24	VPC2目的地址： 172.16.1.0/24；192.168.1.0/24
   备注	本实例在创建VPC-peering时指定VPC1为本端，VPC2为远端。 云连接网络实例可在任一局点配置，通过查看路由信息验证网络实例配置。

4. 配置思路
   • 通过VPC-peering将VPC1和VPC2进行连接。
   • 用户数据中心VPN连接的本地子网不变，远端子网变为192.168.1.0/24和192.168.2.0/24。
   • VPC1的VPN连接的本地子网变更为192.168.1.0/24和192.168.2.0/24，远端子网不变。
   • VPC1的VPC-peering本端路由仅包含目标网段为VPC2子网192.168.2.0/24的路由。
   • VPC2的VPC-peering远端路由包含目标网段为VPC1子网192.168.1.0/24和客户子网172.16.1.0/24。

配置步骤

1. 创建VPC-peering
   1. 登录控制台，选择VPC所在的区域，然后在服务列表中选择“虚拟私有云VPC”，在页面左侧页签中选择“对等连接”，单击页面右上方“创建对等连接”，在弹出页面中选择本端的VPC和对端VPC信息，单击“确定”进行创建。
      图2 创建对等连接
      

      本端VPC和对端VPC是在创建VPC对等连接时选择的，请按照VPC子网网段确认是否匹配，VPC-peering创建后无法变更VPC信息，只能修改VPC-peering的名称和VPC对端连接本端路由和远端路由。

      图3 修改VPC信息
      
   2. VPC-peering创建完成后可查询对等连接的相关信息，同时VPC的对等连接会提示本端连接的VPC网络和对端连接的VPC网络，两端网络互通需要添加路由信息。
      图4 VPC信息
      

      本实例中选择VPN连接侧的VPC1为本端，VPC2为远端。

2. 添加VPC-peering路由
   1. 普通的VPC-peering连接只需要添加两侧VPC的子网网络路由，本实例中本端VPC分别通过VPN连接了用户数据中心网络，因此再添加网络路由时需要将客户的网络也进行添加。在对等连接页面单击要编辑的VPC对等连接的名称，进入如下图添加路由页面。
      图5 创建对等连接
      
   2. 添加本端路由：选择关联路由图示左侧“+”或单击下侧“本端路由”，然后单击“添加本端路由”。

      在弹出页面填写目的地址网络信息，多条路由可逐条添加；对端路由添加方式与添加本端路由相同。

      本端路由：即从本端出发，目标地址为VPC2侧子网的路由，即192.168.2.0/24

      对端路由：即从对端出发，目标地址为VPC1侧子网的路由，即192.168.1.0/24和172.16.1.0/24

      图6 添加本端路由
      
      

      VPC1通过VPN连接的用户数据中心网络，对于VPC2来讲，是通过VPC-peering连接的，所以对端路由除去往本端子网的路由外，还需要包含去往用户数据中心子网的路由。

   3. 添加路由的下一跳地址由VPN对端连接自动生成，配置页面无需修改，添加多条路由选择“增加一条路由”进行逐条添加，页面中可以显示对端VPC的子网信息，但不包含对端VPC连接的网络，如添加对端路由时查看本端VPC子网不显示通过VPN连接的用户数据中心网络。
      图7 添加本端路由
      

3. 修改VPN配置
   1. VPC1和VPC2通过VPC-peering连接后，用户数据中心网络和VPC1之间的VPN子网也随即发生了变化，从VPN连接的角度看，VPC1的本地子网应该包含自身的子网和通过VPC-peering连接的VPC2的子网，同理，客户端VPN的远端子网也需要做相应的调整。
      

      客户侧：本端子网不变，远端子网添加VPC2的子网，本实例为192.168.2.0/24。

      VPC1侧：本端子网添加VPC2的子网，本实例为192.168.2.0/24，远端子网不变。

   2. 选择“虚拟专用网络 ＞ 经典版 ”，在“VPN连接”界面找到VPC1创建的VPN连接，选择“修改”。
   3. 在修改VPN连接页面将本端子网变更为“网段”，并输入VPC1的子网和VPC2的子网，两个网段之间使用英文逗号隔开，远端子网和其它信息保持不变。

      用户侧的VPN配置需要修改远端子网，请将华为云端的VPC1子网、VPC2子网添加至VPN连接的远端子网配置中。

      图8 修改VPN连接
      

配置验证

本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS，IP地址分别为172.16.1.1、192.168.1.1和192.168.2.1的三台主机，初始情况下ECS1（172.16.1.1）可以和ECS2（192.168.1.1）互联互通（通过VPN访问），ECS3（192.168.2.1）无法和其它主机互通，在建立VPC-peering后，ECS3可以和ECS2互通，但无法和ECS1互通。

经过步骤3的配置调整后，可以实现ECS1、ECS2和ECS3之间互联互通，结果验证如下。

• 用户数据中心

  ECS1访问VPN连接VPC1子网下的ECS2：结果OK。

  

  ECS1访问VPC2子网下的ECS3：结果OK

  

• 华为云端VPC1

  VPC1子网下的ECS2访问用户数据中心子网下的ECS1：结果OK。

  

  VPC1子网下的ECS2访问VPC2子网下的ECS3：结果OK。

  

• 华为云端VPC2

  VPC2子网下的ECS3访问VPC1子网下的ECS2：结果OK。

  

  VPC2子网下的ECS3访问用户数据中心子网下的ECS1：结果OK。