创建VPN网关

场景描述

如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通，创建VPN连接之前，需要创建VPN网关。

背景信息

根据对端网关IP地址个数不同，推荐的组网如表1所示。

表1 组网关系
对端网关IP个数	推荐组网	说明
1		VPN网关推荐使用双活模式，该场景占用1个VPN连接组配额。
2		VPN网关推荐使用主备模式，该场景占用2个VPN连接组配额。

如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，VPN网关推荐使用双活模式，主EIP、主EIP2各创建一条VPN连接，对接同一个对端网关的同一个IP地址。该场景下仅占用一个VPN连接组配额。
如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，VPN网关推荐使用主备模式，主EIP、备EIP各创建一条VPN连接，对接到对端网关的不同IP地址。该场景下占用两个VPN连接组配额。

约束与限制

非国密型网关不支持变更为国密型网关。
关联企业路由器场景下，需要关注企业路由器的路由表条数规格限制。
非固定IP接入特性仅在部分区域上线，且仅支持“计费模式”采用“包年/包月”的公网网关场景。

前提条件

请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。
请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。
如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。

操作步骤

登录管理控制台。
在管理控制台左上角单击图标，选择区域和项目。
在页面左上角单击图标，选择区域，选择“网络 > 虚拟专用网络VPN”。
在左侧导航栏，单击“虚拟专用网络 > 企业版-VPN网关”。
在“VPN网关”界面，单击“创建VPN网关”。

根据界面提示配置参数，单击“立即购买”。

VPN网关参数请参见表2。

表2 VPN网关参数说明
参数	说明	取值样例
计费模式	包年/包月：预付费方式，在创建VPN网关阶段按月或按年收取费用，默认包含10个VPN连接组的费用。按需计费：后付费方式，VPN网关和VPN连接组按使用时长收取费用，计费周期为1小时。	包年/包月按需计费
区域	选择靠近您所在地域的区域可以降低网络时延，从而提高访问速度。不同区域的资源之间网络不互通。	亚太-新加坡
名称	VPN网关的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。	vpngw-001
网络类型	公网：VPN网关通过公网建立VPN连接。私网：VPN网关通过私网建立VPN连接。	公网
关联模式	虚拟私有云通过VPC向对端网关或本端子网内服务器发送通信消息。企业路由器通过ER向对端网关或ER下所有VPC所在子网发送通信消息。说明：该场景下需要关注企业路由器的路由表条数规格限制。如果对端网关和VPN网关发送的路由条数超过企业路由器的规格，则企业路由器将无法学习到超出部分的路由信息，最终导致VPN网关和对端网关之间的流量不通。	虚拟私有云
虚拟私有云	仅“关联模式”采用“虚拟私有云”时需要配置。选择虚拟私有云VPC信息。	vpc-001(192.168.0.0/16)
企业路由器	仅“关联模式”采用“企业路由器”时需要配置。选择企业路由器ER信息。	er-001
互联子网	仅“关联模式”采用“虚拟私有云”时需要配置。用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。	192.168.66.0/24
本端子网	仅“关联模式”采用“虚拟私有云”时需要配置。 VPC与对端网关对应数据中心互通的子网。选择子网选择本VPC子网信息。输入网段可以输入本VPC下的子网信息；也可以输入与本VPC建立了对等网络的VPC子网信息。	192.168.1.0/24,192.168.2.0/24
BGP ASN	VPN网关会根据输入值创建相应的ASN，VPN网关和对端网关的BGP ASN需要不同。	64512
规格	支持专业型1、专业型2、国密型三种类型。仅“网络类型”为“公网”且“计费模式”采用“包年/包月”时，专业型1、专业型2支持非固定IP接入。详细规格差异请参见规格介绍。	专业型1
可用区	可用区是指在同一地域内，电力和网络互相独立的物理区域。在同一VPC网络内可用区与可用区之间内网互通，可用区之间能做到物理隔离。当存在两个及以上可用区时，必须选择两个可用区。部署在两个可用区的VPN网关具备更高的可用性。建议您根据VPC内资源所在的可用区选择网关的可用区。当仅存在一个可用区时，可选择此可用区创建VPN网关。	可用区1、可用区2
VPN连接组数	仅“计费模式”采用“包年/包月”时需要配置。 VPN网关默认提供10个免费的VPN连接组。如果用户侧数据中心只有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet：这种情况需要配置一个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和用户侧出口网关通信。如果用户侧数据中心有两个公网出口网关，所有服务器（或用户主机）通过两个网关连接至Internet：这种情况需要配置两个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和两个用户侧出口网关通信。	10
HA模式	双活关联模式选择“虚拟私有云”时，对端子网和哪个EIP先创建VPN连接，则VPN网关到该对端子网的出云流量优先走该VPN连接。该VPN连接失效后，出云流量会自动切换到该对端子网的其他VPN连接。关联模式选择“企业路由器”时，VPN网关到该对端子网的出云流量由该对端子网对应的所有VPN连接负载分担。主备 VPN网关到该对端子网的出云流量优先走该对端子网和主EIP建立的VPN连接。该VPN连接失效后，出云流量自动切换到该对端子网和备EIP建立的VPN连接。	双活
主EIP	仅“网络类型”采用“公网”时需要配置。用于VPN网关和对端网关进行网络连接。现在创建：购买新EIP，新购买EIP的计费模式跟VPN网关的计费模式保持一致。使用已有：使用已有EIP，支持与其他网络服务的EIP共享带宽。	现在创建
公网带宽	仅“计费模式”采用“按需计费”、“网络类型”采用“公网”时需要配置。按需计费支持两种计费方式：按带宽计费/按流量计费。按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。按流量计费：指定带宽上限，按实际使用的出云流量计费，与使用时间无关。	按流量计费
带宽大小	仅“网络类型”采用“公网”、“主EIP”选择“现在创建”时需要配置。 EIP对应带宽大小，单位：Mbit/s。所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小，所有VPN连接的带宽总和不能超过该EIP的带宽大小。当网络流量超过EIP的带宽大小时，有可能造成网络拥塞导致VPN连接中断，请提前做好带宽规划。支持在云监控中配置告警规则对带宽进行监控。支持用户在允许的带宽范围内自定义带宽大小。部分区域默认仅支持300M带宽。如果需要更大带宽，您可以先申请300M带宽，然后提交工单进行带宽扩容。	10 Mbit/s
带宽名称	仅“网络类型”采用“公网”时需要配置。 EIP对应带宽对象的名称。	Vpngw-bandwidth1
主EIP2	仅“网络类型”采用“公网”、“HA模式”选择“双活”时需要配置。一个VPN网关需要绑定一组弹性公网IP（即主EIP、主EIP2），每个公网IP可以独立规划带宽和付费方式，也可以与其他网络服务的EIP共享带宽。	现在创建
备EIP	仅“网络类型”采用“公网”、“HA模式”选择“主备”时需要配置。一个VPN网关需要绑定一组弹性公网IP（即主/备EIP），每个公网IP可以独立规划带宽和付费方式，也可以与其他网络服务的EIP共享带宽。说明： VPN网关“计费模式”为“按需计费”场景下，若备EIP为按流量计费，强烈建议用户在云监控中配置告警规则对备EIP进行监控，避免因VPN连接故障、主链路切换至备链路导致的流量费用超支问题。如何在云监控中对EIP配置告警规则，请参见创建告警规则。	现在创建
公网带宽	仅“计费模式”采用“按需计费”、“网络类型”采用“公网”时需要配置。按需计费支持两种计费方式：按带宽计费/按流量计费。按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。按流量计费：指定带宽上限，按实际使用的出云流量计费，与使用时间无关。	按流量计费
带宽大小	仅“网络类型”采用“公网”、“主EIP2”或“备EIP”选择“现在创建”时需要配置。 EIP对应带宽大小，单位Mbit/s。所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小，所有VPN连接的带宽总和不能超过该EIP的带宽大小。当网络流量超过EIP的带宽大小时，有可能造成网络拥塞导致VPN连接中断，请提前做好带宽规划。支持在云监控中配置告警规则对带宽进行监控。支持用户在允许的带宽范围内自定义带宽大小。部分区域默认仅支持300M带宽。如果需要更大带宽，您可以先申请300M带宽，然后提交工单进行带宽扩容。	10 Mbit/s
带宽名称	仅“网络类型”采用“公网”时需要配置。 EIP对应带宽对象的名称。	Vpngw-bandwidth2
企业项目	创建VPN时，可以将VPN加入已启用的企业项目。企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。关于创建和管理企业项目的详情，请参见《企业管理用户指南》。	default
高级配置	仅“网络类型”为“私网”、“关联模式”采用“虚拟私有云”时需要配置。选择：适用于同租户场景，选择本租户下接入虚拟私有云、接入子网、接入IP。输入：适用于跨租户场景，填写接入项目、接入帐号、接入虚拟私有云和接入子网。	选择
接入项目	仅“高级配置”中配置方式选择“输入”方式时配置。输入接入项目ID，如何获取对应项目ID请参见如何获取企业项目ID。	请根据实际设置
接入帐号	仅“高级配置”中配置方式选择“输入”方式时配置。输入接入帐号ID，如何获取对应帐号ID请参见查看或修改IAM用户信息。	请根据实际设置
接入虚拟私有云	“关联模式”采用“企业路由器”时需要配置。 “关联模式”采用“虚拟私有云”、“网络类型”为“私网”时需要配置。当VPN网关的南北向需要连接不同的虚拟私有云时，设置北向的虚拟私有云为该接入虚拟私有云。VPN网关关联的虚拟私有云为南向业务虚拟私有云。	选择“与网关关联的虚拟私有云一致”
接入子网	“关联模式”采用“企业路由器”时需要配置。 “关联模式”采用“虚拟私有云”、“网络类型”为“私网”时需要配置。缺省情况下，VPN网关从关联的虚拟私有云的互联子网接入。当VPN网关需要从指定子网接入时设置。	选择“与互联子网一致”
网关接入IP	仅“网络类型”为“私网”时需要配置。自动分配IP地址（默认）使用接入子网对VPN网关分配网关IP。自动分配的私网网关IP，可以在“VPN网关”页面进行查看。手动指定IP地址指定接入子网中的IP地址配置VPN网关IP。 “高级配置”中配置方式选择“选择”方式时，单击右侧“查看已使用IP地址”可查看已使用IP地址，支持刷新和模糊匹配搜索功能。 VPN网关“HA模式”选择“主备”时，依次配置为主IP、备IP；“HA模式”选择双活时，依次配置为主IP、主IP2。	自动分配IP地址
标签	VPN服务的标识，包括键和值，最大可以创建20对标签。标签设置时，可以选择预定义标签，也可以自定义创建。预定义标签可以通过单击“查看预定义标签”进行查看。	-
购买时长	仅“计费模式”采用“包年/包月”时需要配置。在账户余额充足场景下，如果勾选“自动续费”功能，系统会在当前服务购买时长到期后自动进行续费。按月购买场景，自动续费周期为一个月。按年购买场景，自动续费周期为一年。	6