本文以Linux操作系统的客户端为例介绍如何通过VPN网关拨号接入专有网络VPC(Virtual Private Cloud)。

前提条件

在部署VPN网关前,请确保您的环境满足以下条件:

  • 您已经创建了VPC。
  • 您本地设备的私网网段和VPC的私网网段不相同,否则无法通信。
  • 您的客户端可以访问互联网。

步骤一:创建VPN网关

完成以下操作,创建VPN网关。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择VPN > VPN网关
  3. VPN网关页面,单击创建VPN网关
  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买完成支付。
    • 实例名称:输入VPN网关的实例名称。

      名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    • 地域和可用区:选择VPN网关的地域。
      说明 确保已创建VPC的地域和VPN网关的地域相同。
    • 网关类型:选择要创建的VPN网关类型。本示例选择普通型
    • VPC: 选择要连接的VPC。
    • 指定交换机:是否指定VPN网关创建在VPC中的某一个交换机下。本示例选择

      如果您选择了,您还需要指定具体的虚拟交换机

    • 带宽规格:选择一种带宽规格。带宽规格是VPN网关所具备的公网带宽。
    • IPsec-VPN: 选择是否开启IPsec-VPN功能,IPsec-VPN功能可以将本地数据中心与VPC或不同的VPC之间进行连接。
    • SSL-VPN: 选择开启SSL-VPN功能。SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。
    • SSL连接数: 选择您需要同时连接的客户端最大规格。
      说明 本选项只有在选择开启了SSL-VPN功能后才可配置。
    • 计费周期:选择购买时长。
  5. 返回VPN网关页面,查看创建的VPN网关。
    刚创建好的VPN网关的状态是准备中,约两分钟左右会变成正常状态。正常状态就表明VPN网关完成了初始化,可以正常使用了。
    说明 VPN网关的创建一般需要1~5分钟。

步骤二:创建SSL服务端

完成以下操作,创建SSL服务端。

  1. 在左侧导航栏,选择VPN > SSL服务端
  2. 在顶部菜单栏,选择SSL服务端的地域。
  3. SSL服务端页面,单击创建SSL服务端
  4. 创建SSL服务端面板,根据以下信息配置SSL服务端,然后单击确定
    • 名称:输入SSL服务端的名称。

      名称长度为2~128个字符,以英文大小写字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    • VPN网关:选择已创建的VPN网关。
    • 本端网段:以CIDR地址块的形式输入要连接的网络。单击添加本端网段添加多个本端网段,本端网段可以是任何VPC或交换机的网段,也可以是本地网络的网段。
    • 客户端网段:以CIDR地址块的形式输入客户端连接服务端时使用的网段。
      注意
      • 请确保客户端网段和本端网段不冲突。
      • 请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。

        例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。

    • 高级配置:使用默认高级配置。

步骤三:创建并下载SSL客户端证书

  1. 在左侧导航栏,选择VPN > SSL客户端
  2. 在顶部菜单栏,选择SSL客户端的地域。
  3. SSL客户端页面,单击创建SSL客户端证书
  4. 创建客户端证书面板,输入客户端证书名称并选择对应的SSL服务端,然后单击确定
  5. SSL客户端页面,找到已创建的客户端证书,然后在操作列单击下载

    SSL客户端证书会下载到您本地。

步骤四:客户端配置

完成以下操作,配置Linux客户端。

  1. 执行以下命令安装OpenVPN客户端。
    yum install -y openvpn
  2. 将已下载的证书解压拷贝到/etc/openvpn/conf/目录。
  3. 执行以下命令启动OpenVPN客户端软件。
    openvpn --config /etc/openvpn/conf/config.ovpn --daemon

步骤五:连接测试

在客户端ping已连接的VPC内的一台ECS实例,测试连通性。
说明 确保测试的ECS实例的安全组规则允许客户端远程连接。更多信息,请参见安全组应用案例ECS安全组配置操作指南