VPN与VPC peering配合使用实现云下数据中心与云上同区域VPC互通

操作场景

用户在华为云的同区域中创建了两个VPC，用户数据中心通过VPN连接至其中一个VPC。本任务指导书通过在两个VPC之间建立VPC-peering使得用户数据中心的网络和华为云端两个VPC之间的网络数据互联互通。

前提条件

1. 前置资源。
   • 用户已购买了VPN连接，完成了用户端数据中心网络和云端VPC的VPN连接；
   • 用户购买了多个VPC，且每个VPC下的子网不冲突，云端多个VPC下的ECS服务正常；
2. 连接拓扑。
   图1 VPN与VPC peering配合使用
   
   

   • 用户数据中心本地子网：172.16.1.0/24，VPN网关IP：1.1.1.1
   • VPC1子网：192.168.1.0/24，VPN网关IP：11.11.11.11
   • VPC2子网：192.168.2.0/24
3. 配置概述。

   表1 局点配置说明

   配置说明	用户数据中心	VPC1	VPC2
   VPN连接子网配置	本端网关：1.1.1.1 本地子网：172.16.1.0/24 远端子网：192.168.1.0/24 192.168.2.0/24 远端网关：11.11.11.11 说明： 网关IP与VPC1互为镜像。 VPN资源与VPC1相同。	本端网关：11.11.11.11 本端子网：192.168.1.0/24； 192.168.2.0/24 远端网关：1.1.1.1 远端子网：172.16.1.0/24	-
   VPC对等连接路由配置	-	VPC1目的地址：192.168.2.0/24	VPC2目的地址： 172.16.1.0/24；192.168.1.0/24
   备注	本示例在创建VPC-peering时指定VPC1为本端，VPC2为远端。 云连接网络实例可在任一局点配置，通过查看路由信息验证网络实例配置。

4. 配置思路。
   • 通过VPC-peering将VPC1和VPC2进行连接。
   • 用户数据中心VPN连接的本地子网不变，远端子网变为192.168.1.0/24和192.168.2.0/24。
   • VPC1的VPN连接的本地子网变更为192.168.1.0/24和192.168.2.0/24，远端子网不变。
   • VPC1的VPC-peering本端路由仅包含目标网段为VPC2子网192.168.2.0/24的路由。
   • VPC2的VPC-peering远端路由包含目标网段为VPC1子网192.168.1.0/24和客户子网172.16.1.0/24。

配置步骤

1. 创建VPC-peering。
   1. 登录管理控制台，选择VPC所在的区域，然后在服务列表中选择“虚拟私有云VPC”，在页面左侧页签中选择“对等连接”，单击页面右上方“创建对等连接”，在弹出页面中选择本端的VPC和对端VPC信息，单击“确定”进行创建。

      本端VPC和对端VPC是在创建VPC对等连接时选择的，请按照VPC子网网段确认是否匹配，VPC-peering创建后无法变更VPC信息，只能修改VPC-peering的名称和VPC的路由。

   2. VPC-peering创建完成后可查询对等连接的相关信息，同时VPC的对等连接会提示本端连接的VPC网络和对端连接的VPC网络，两端网络互通需要添加路由信息。

      本示例中选择VPN连接侧的VPC1为本端，VPC2为远端。

2. 添加VPC-peering路由。
   1. 普通的VPC-peering连接只需要添加两侧VPC的子网网络路由，本示例中本端VPC分别通过VPN连接了用户数据中心网络，因此再添加网络路由时需要将客户的网络也进行添加。在对等连接页面单击要编辑的VPC对等连接的名称，进入添加路由页面。
   2. 在关联路由页面，单击“添加路由”。

      在弹出页面填写目的地址网络信息，多条路由可逐条添加。

      

      VPC1通过VPN连接的用户数据中心网络，对于VPC2来讲，是通过VPC-peering连接的，所以对端路由除去往本端子网的路由外，还需要包含去往用户数据中心子网的路由。

      添加路由的下一跳地址由VPN对端连接自动生成，配置页面无需修改。

3. 修改VPN配置。
   1. VPC1和VPC2通过VPC-peering连接后，用户数据中心网络和VPC1之间的VPN子网也随即发生了变化，从VPN连接的角度看，VPC1的本地子网应该包含自身的子网和通过VPC-peering连接的VPC2的子网，同理，客户端VPN的远端子网也需要做相应的调整。
      

      客户侧：本端子网不变，远端子网添加VPC2的子网，本示例为192.168.2.0/24。

      VPC1侧：本端子网添加VPC2的子网，本示例为192.168.2.0/24，远端子网不变。

   2. 选择“虚拟专用网络 ＞ 经典版 ”，在“VPN连接”界面找到VPC1创建的VPN连接，选择“更多 > 修改”。
   3. 在修改VPN连接页面将本端子网变更为“网段”，并输入VPC1的子网和VPC2的子网，两个网段之间使用英文逗号隔开，远端子网和其它信息保持不变。

      用户侧的VPN配置需要修改远端子网，请将华为云端的VPC1子网、VPC2子网添加至VPN连接的远端子网配置中。

配置验证

本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS，IP地址分别为172.16.1.1、192.168.1.1和192.168.2.1的三台主机，初始情况下ECS1（172.16.1.1）可以和ECS2（192.168.1.1）互联互通（通过VPN访问），ECS3（192.168.2.1）无法和其它主机互通，在建立VPC-peering后，ECS3可以和ECS2互通，但无法和ECS1互通。

经过步骤3的配置调整后，可以实现ECS1、ECS2和ECS3之间互联互通，结果验证如下。

• 用户数据中心。

  ECS1访问VPN连接VPC1子网下的ECS2：结果OK。

  

  ECS1访问VPC2子网下的ECS3：结果OK。

  

• 华为云端VPC1。

  VPC1子网下的ECS2访问用户数据中心子网下的ECS1：结果OK。

  

  VPC1子网下的ECS2访问VPC2子网下的ECS3：结果OK。

  

• 华为云端VPC2。

  VPC2子网下的ECS3访问VPC1子网下的ECS2：结果OK。

  

  VPC2子网下的ECS3访问用户数据中心子网下的ECS1：结果OK。