建立VPC到VPC的连接

场景示例

本文以下述场景为例。某企业在华东1（杭州）地域拥有一个VPC1，在华北1（青岛）地域拥有一个VPC2。两个VPC均已使用云服务器ECS（Elastic Compute Service）部署了业务，企业因后续发展，现在需要VPC1和VPC2中的业务可以互相访问。

出于建设安全的网络环境考虑，企业计划使用VPN网关产品，通过在两个VPC之间建立IPsec-VPN连接，对数据进行加密传输，实现资源的安全互访。

前提条件

• 您已经在阿里云华东1（杭州）地域和华北1（青岛）地域分别创建了VPC1和VPC2，两个VPC中均使用ECS部署了相关业务。具体操作，请参见搭建IPv4专有网络。
  本示例VPC1和VPC2的配置如下表所示。

  重要 您可以自行规划VPC实例的网段，请确保要互通的网段之间没有重叠。

  VPC实例名称	VPC实例所属地域	VPC实例的网段	VPC实例ID	ECS实例名称	ECS实例的IP地址
  VPC1	华东1（杭州）	192.168.0.0/16	vpc-bp1e0yx3nsosmitth****	ECS1	192.168.20.161
  VPC2	华北1（青岛）	10.0.0.0/16	vpc-m5e83sapxp88cgp5f****	ECS2	10.0.1.110

• 您已经了解两个VPC中ECS实例所应用的安全组规则，并确保安全组规则允许两个ECS实例互访。具体操作，请参见查询安全组规则和添加安全组规则。

配置流程

步骤一：创建VPN网关

1. 登录VPN网关管理控制台。
2. 在顶部菜单栏，选择VPN网关实例所属的地域。
   本示例选择华东1（杭州）。

   说明 VPN网关实例的地域和待关联的VPC实例的地域需相同。
3. 在VPN网关页面，单击创建VPN网关。
4. 在购买页面，根据以下信息配置VPN网关，然后单击立即购买并完成支付。

   配置项	说明
   实例名称	输入VPN网关实例的名称。本示例输入VPN网关1。
   地域和可用区	选择VPN网关实例所属的地域。本示例选择华东1（杭州）。
   网关类型	选择VPN网关实例的类型。本示例选择普通型。
   VPC	选择VPN网关实例关联的VPC实例。本示例选择VPC1。
   指定交换机	是否指定VPN网关创建在VPC实例中的某一个交换机下。本示例选择否。
   带宽规格	选择VPN网关实例的公网带宽峰值。单位：Mbps。
   IPsec-VPN	选择开启或关闭IPsec-VPN功能。本示例选择开启。
   SSL-VPN	选择开启或关闭SSL-VPN功能。本示例选择关闭。
   计费周期	选择购买时长。 您可以选择是否自动续费： 按月购买：自动续费周期为1个月。 按年购买：自动续费周期为1年。
   服务关联角色	单击创建关联角色，系统自动创建服务关联角色AliyunServiceRoleForVpn。 VPN网关使用此角色来访问其他云产品中的资源，更多信息，请参见AliyunServiceRoleForVpn。 若本配置项显示为已创建，则表示您的账号下已创建了该角色，无需重复创建。

   更多信息，请参见创建VPN网关实例。
5. 返回VPN网关页面，查看已创建的VPN网关实例。
   创建VPN网关实例后，其状态是准备中，约1~5分钟会变成正常状态。正常状态表明VPN网关实例已经完成了初始化，可以正常使用。
6. 重复步骤2至步骤4，在华北1（青岛）地域创建一个名称为VPN网关2的VPN网关实例，该VPN网关实例关联VPC2，其余配置与VPN网关1相同。
   创建完成后，两个VPN网关实例的信息如下表所示。

   地域	VPN网关实例的名称	VPN网关实例关联的VPC实例名称	VPN网关实例ID	VPN网关IP地址
   华东1（杭州）	VPN网关1	VPC1	vpn-bp1l5zihic47jprwa****	120.XX.XX.40
   华北1（青岛）	VPN网关2	VPC2	vpn-m5eqjnr4ii6jajpms****	118.XX.XX.20

步骤二：创建用户网关

1. 在左侧导航栏，选择网间互联 > VPN > 用户网关。
2. 在顶部菜单栏，选择用户网关实例的地域。
   说明 用户网关实例的地域必须和待连接的VPN网关实例的地域相同。
3. 在用户网关页面，单击创建用户网关。
4. 在创建用户网关面板，根据以下信息配置用户网关实例，然后单击确定。
   您需要在华东1（杭州）地域和华北1（青岛）地域分别创建一个用户网关实例，用户网关实例的配置请参见下表。

   配置项	配置项说明	华东1（杭州）	华北1（青岛）
   名称	输入用户网关实例的名称。	Customer1	Customer2
   IP地址	输入用户网关实例的公网IP地址。	本示例输入VPN网关2的IP地址118.XX.XX.20。 说明 在本示例中VPC1和VPC2互为对方的用户网关。	本示例输入VPN网关1的IP地址120.XX.XX.40。

   更多信息，请参见创建用户网关。

   配置完成后，VPN网关实例、用户网关实例与VPC实例之间的对应关系如下表所示。

   地域	VPC实例名称	VPN网关实例名称	用户网关实例名称	用户网关实例ID	用户网关IP地址
   华东1（杭州）	VPC1	VPN网关1	Customer1	cgw-bp1er5cw26c2b35vm****	118.XX.XX.20
   华北1（青岛）	VPC2	VPN网关2	Customer2	cgw-m5e6qdvuxquse3fvm****	120.XX.XX.40

步骤三：创建IPsec连接

VPN网关和用户网关创建完成后，您需要分别创建两个IPsec连接建立VPN加密通道。

1. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。
2. 在顶部菜单栏，选择IPsec连接的地域。
3. 在IPsec连接页面，单击创建IPsec连接。
4. 在创建IPsec连接页面，根据以下信息配置IPsec连接，然后单击确定。
   您需要在华东1（杭州）地域和华北1（青岛）地域分别创建一个IPsec连接，IPsec连接的配置请参见下表。

   配置项	配置项说明	华东1（杭州）	华北1（青岛）
   名称	输入IPsec连接的名称。	IPsec连接1	IPsec连接2
   VPN网关	选择已创建的VPN网关实例。	VPN网关1	VPN网关2
   用户网关	选择已创建的用户网关实例。	Customer1	Customer2
   路由模式	选择路由模式。	选择目的路由模式。	选择目的路由模式。
   立即生效	选择是否立即生效。 是：配置完成后立即进行协商。 否：当有流量进入时进行协商。 说明 使用VPN网关在两个VPC之间建立IPsec-VPN连接的场景下，推荐其中一个IPsec连接的立即生效配置为是，以便在配置完成后，两个VPC之间可以立即开始IPsec协议的协商。	本示例选择否。	本示例选择是。
   预共享密钥	输入预共享密钥。 密钥长度为1~100个字符，支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?。 若您未指定预共享密钥，系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后，您可以通过编辑按钮查看系统生成的预共享密钥。具体操作，请参见修改IPsec连接。 重要 IPsec连接及其对端配置的预共享密钥需一致，否则系统无法正常建立IPsec-VPN连接。	fddsFF123****

   其他选项使用默认配置。更多信息，请参见创建和管理IPsec连接。

5. 在创建成功对话框中，单击确定。

步骤四：配置路由

1. 在左侧导航栏，选择网间互联 > VPN > VPN网关。
2. 在顶部菜单栏，选择VPN网关实例的地域。
3. 在VPN网关页面，找到目标VPN网关实例，单击实例ID。
4. 在目的路由表页签，单击添加路由条目。
5. 在添加路由条目面板，根据以下信息配置目的路由，然后单击确定。
   您需要分别为VPN网关1和VPN网关2配置路由条目，配置信息如下表所示。

   配置项	配置说明	VPN网关1	VPN网关2
   目标网段	输入待互通的目标网段。	输入VPC2的私网网段10.0.0.0/16。	输入VPC1的私网网段192.168.0.0/16。
   下一跳类型	选择下一跳的类型。	选择IPsec连接。	选择IPsec连接。
   下一跳	选择下一跳。	选择IPsec连接1。	选择IPsec连接2。
   发布到VPC	选择是否将新添加的路由发布到VPN网关关联的VPC中。	本示例选择是。	本示例选择是。
   权重	选择路由的权重值。 100：高优先级。 0：低优先级。	本示例保持默认值100。	本示例保持默认值100。

   更多信息，请参见添加目的路由。

步骤五：测试连通性

1. 登录VPC1内的ECS1实例。
   关于如何登录ECS实例，请参见连接方式概述。
2. 执行ping命令，访问ECS2实例，验证两个VPC之间的资源是否可以互访。

   ping <ECS2实例IP地址>

   收到如下所示的回复报文，则证明两个VPC之间的资源可以正常互访。