文档首页 > > 最佳实践> VPN与云连接配合使用

VPN与云连接配合使用

分享
更新时间: 2019/07/16 GMT+08:00

操作场景

本任务中用户通过VPN接入华为云,在华为云端有多个区域,每个区域中都创建了VPC。通过配置云连接实现用户数据中心网络和云端多个区域的VPC子网互联互通。

说明:

相同区域的多个VPC也可通过云连接互联。

前提条件

  1. 前置资源
    • 用户已购买了VPN连接,完成了用户端数据中心网络和云端VPC的VPN连接。
    • 用户购买了多个Region的VPC,且每个VPC下的子网不冲突,云端多个VPC下的ECS服务正常。
  2. 连接拓扑
    图1 VPN与云连接配合使用
    说明:
    • 客户数据中心本地子网:192.168.11.0/24,VPN网关IP:49.4.113.226
    • VPC1子网:192.168.22.0/24,VPN网关122.112.222.135
    • VPC2子网:192.168.33.0/24
  3. 配置概述
    表1 局点配置说明

    局点

    客户数据中心

    VPC1(华东节点)

    VPC2(华南节点)

    配置说明

    VPN连接子网配置

    本端网关:49.4.113.226

    本地子网:192.168.11.0/24

    远端子网:192.168.22.0/24

    192.168.33.0/24

    远端网关:122.112.222.135

    网关IP与VPC1互为镜像

    VPN资源与VPC1相同

    VPN连接子网配置

    本端网关:122.112.222.135

    本端子网:192.168.22.0/24

    192.168.33.0/24

    远端网关:49.4.113.226

    远端子网:192.168.11.0/24

    云连接网络实例配置

    网络实例:192.168.22.0/24

    192.168.11.0/24

    云连接网络实例配置

    网络实例:192.168.33.0/24

    备注

    云连接网络实例可在任一局点配置,通过查看路由信息验证网络实例配置

    配置思路

    • 通过CC将华东VPC1和华南VPC2进行连接
    • 客户数据中心VPN连接的本地子网不变,远端子网变为192.168.22.0/24和192.168.33.0/24
    • VPC1的VPN连接的本地子网变更为192.168.22.0/24和192.168.33.0/24,远端子网不变
    • VPC1的CC更新VPC CIDRs的网段信息,将192.168.11.0/24添加至VPC子网中
    • VPC2的网络信息无变化
    • 配置域间带宽
    • 验证云连接路由信息

配置步骤

  1. 创建云连接

    1. 登录控制台,在服务列表中选择“云连接”,在页面左侧页签中选择“云连接”,点击页面右上方“创建云连接”,在弹出也面中选择本端的VPC和对端VPC信息,点击“确定”进行创建。
      图2 创建云连接

      云连接的创建可在VPC的所在的任意一个区域发起,创建阶段填写云连接的名称、带宽大小(域间带宽总和)和选择SLA等信息。若客户在同一个Region下有两个VPC,可选择对等连接(时延相对小)或云连接互联VPC,若VPC数量多于两个,请选择云连接进行互联。

    2. 云连接创建完成后点击云连接名称配置云连接网络实例,同时可修改云连接的名称和描述信息。
      图3 修改云连接信息
    3. 加载网络实例,并配置相关参数。
      图4 加载网络实例

      云连接提供同账号或跨账号的连接,跨账号连接需要先获取授权,首先添加的华南区域的VPC2,选择VPC名称和VPC CIDRs,VPC CIDRs可选择全部子网或部分子网,也可通过自定义网段进行添加VPC的子网,需要特殊说明一下,自定义添加的子网系统不会做校验。

      同理,添加华东区域的VPC1及网络配置,添加完成信息配置如图。

      图5 加载网络实例

    4. 配置域间带宽,若存在多个Region,需要按照链路使用情况将云连接建立是的总带宽进行划分,本实例将所有带宽用于两个Region互联,配置信息如图。

      点击云连接页面的“域间带宽”,选择“配置域间带宽”,按照提示信息配置互通区域的带宽。

      图6 配置域间带宽
    5. 验证路由信息,选择“路由信息”,系统可展示区域互联的路由信息,路由中存在的子网即为通过云连接互通的子网,此时VPC1和VPC2的子网可以互相访问。
      图7 验证路由信息

  2. 更新VPC CIDRs

    1. VPC1与VPC2之间建立的云连接,在配置网络实例时,VPC1除自身的子网外,连接VPN的子网也被视同为连接在VPC1下,VPC2的子网只包含自身子网。因此,需要对VPC1的网络实例进行修改,修改方法请进入云连接实例中,点击VPC1,然后选择右侧“更新VPC CIDRs”。
      图8 更新VPC CIDRs

      在更新页面打开“高级配置”,在自定义网段中输入VPC1通过VPN连接的客户侧子网,点击“确定”。

      图9 更新VPC CIDRs
    2. 验证配置更新信息,请点击页面“路由信息”进行查验。
      图10 验证信息

  3. 更新VPN配置

    VPC1和VPC2通过CC连接后,客户数据中心网络和VPC1之间的VPN子网也随即发生了变化,从VPN连接的角度看,VPC1的本地子网应该包含自身的子网和通过CC连接的VPC2的子网,同理,客户端VPN的远端子网也需要做相应的调整。

    客户侧:本端子网不变,远端子网添加VPC2的子网,本实例为192.168.33.0/24。

    VPC1侧:本端子网添加VPC2的子网,本实例为192.168.33.0/24,远端子网不变。

    1. 选择左侧页签中“虚拟专用网络”下的“VPN连接”,找到VPC1创建的VPN连接,选择“修改”。
      图11 修改VPN连接

      在修改VPN连接页面将本端子网变更为“网段”,并输入VPC1的子网和VPC2的子网,两个网段之间使用英文逗号隔开,远端子网和其它信息保持不变;

      图12 修改VPN连接
    2. 用户侧的VPN配置需要修改远端子网。

      请将华为云端的VPC1子网、VPC2子网添加至VPN连接的远端子网配置中,其它配置保持不变。

配置验证

本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS,IP地址分别为192.168.11.11、192.168.22.170和192.168.33.33的三台主机,初始情况下ESC1(192.168.11.11)可以和ECS2(192.168.22.170)互联互通(通过VPN访问),ECS3(192.168.33.33)无法和其它主机互通,在建立云连接CC后,ECS3可以和ECS2互通,但无法和ECS1互通。

经过更新VPC CIDRs和更新VPN配置的配置调整后,已实现ECS1、ECS2和ECS3之间互联互通,结果验证如下。

  • 客户数据中心

    ECS1访问VPN连接VPC1子网下的ECS2:结果OK。

    ECS1访问VPC2子网下的ECS3:结果OK。

  • 华为云云端VPC1

    VPC1子网下的ECS2访问客户数据中心子网下的ECS1:结果OK。

    VPC1子网下的ECS2访问VPC2子网下的ECS3:结果OK。

  • 华为云云端VPC2

    VPC2子网下的ECS3访问VPC1子网下的ECS2:结果OK。

    VPC2子网下的ECS3访问客户数据中心子网下的ECS1:结果OK。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区