使用IPsec-VPN实现本地数据中心与VPC的网络互通前,您需要先创建一个VPN网关实例,并为VPN网关实例开启IPsec-VPN功能,VPN网关实例创建完成后,阿里云将会为您部署VPN资源。
使用限制
目前仅华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华中1(武汉-本地地域)、西南1(成都)地域支持国密型VPN网关。
普通型VPN网关不支持变更为国密型VPN网关。
如果您需要使用国密型VPN网关,需要重新创建VPN网关实例,其中网关类型选择国密型。
在使用国密型VPN网关创建IPsec连接时,IKE版本仅支持IKEv1,且协商模式仅支持main(主模式)。
根据VPN网关实例支持的IPsec-VPN隧道模式、VPN网关实例的带宽规格,本地数据中心与VPN网关实例之间两个方向的带宽峰值不完全相同。具体说明如下:
支持的IPsec-VPN隧道模式
VPN网关实例带宽规格值
从VPN网关实例去往本地数据中心方向的带宽峰值
从本地数据中心去往VPN网关实例方向的带宽峰值
双隧道
大于10 Mbps
为VPN网关实例的带宽规格值。
为VPN网关实例的带宽规格值。
小于等于10 Mbps
为VPN网关实例的带宽规格值。
10 Mbps。
单隧道
大于100 Mbps
为VPN网关实例的带宽规格值。
为VPN网关实例的带宽规格值。
小于等于100 Mbps
为VPN网关实例的带宽规格值。
100 Mbps。
VPN网关实例在不同地域下支持的最大带宽规格不同,部分地域下VPN网关实例支持的最大带宽规格可达1000 Mbps。
分类
地域
最大支持1000 Mbps带宽规格的地域
华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、华中1(武汉-本地地域)、中国香港、新加坡、日本(东京)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、泰国(曼谷)、韩国(首尔)、菲律宾(马尼拉)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、英国(伦敦)、华东1金融云、华东2金融云、华南1金融云、华北2金融云(邀测)、华北2阿里政务云1
最大支持500 Mbps带宽规格的地域
华东5(南京-本地地域)、华东6(福州-本地地域)、澳大利亚(悉尼)关停中、阿联酋(迪拜)
创建VPN网关实例
登录VPN网关管理控制台。
在顶部菜单栏,选择VPN网关实例所属的地域。
需确保VPN网关实例的地域和待关联的VPC实例的地域相同。
在VPN网关页面,单击创建VPN网关。
在购买页面,根据以下信息进行配置,然后单击立即购买并完成支付。
配置项
说明
实例名称
输入VPN网关实例的名称。
资源组
选择VPN网关实例所属的资源组。
如果不选择,VPN网关实例创建完成后归属于默认资源组。您可以在资源管理控制台管理VPN网关实例以及其他云产品资源所属的资源组。更多信息,请参见什么是资源管理。
地域和可用区
显示要创建VPN网关实例的地域。
需确保VPN网关实例的地域和待关联的VPC实例的地域相同。
网关类型
选择VPN网关实例的类型。
普通型:选择该类型IPsec-VPN连接将使用国际标准商用密码算法(普通算法)。
国密型:选择该类型IPsec-VPN连接将使用中国国产商用密码算法(国密算法)。
说明使用国密型VPN网关时,国密型VPN网关需要关联SSL证书进行数据加密和身份认证。更多信息,请参见管理SSL证书。
网络类型
选择VPN网关实例的网络类型。
公网:VPN网关通过公网建立VPN连接。
私网:VPN网关通过私网建立VPN连接。
说明如果您需要基于私网建立VPN连接,更推荐您使用私网IPsec连接绑定转发路由器的方式。具体操作,请参见建立多条私有IPsec-VPN连接实现私网流量的负载分担。
隧道
系统直接展示当前地域支持的IPsec-VPN连接的隧道模式。
单隧道
双隧道
关于IPsec-VPN连接隧道模式的说明,请参见【升级公告】IPsec-VPN连接升级为双隧道模式。
VPC
选择VPN网关实例关联的VPC实例。
虚拟交换机1
从VPC实例中选择一个交换机实例。
IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。
IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。
IPsec-VPN功能开启后,系统会在两个交换机实例下各创建一个弹性网卡ENI(Elastic Network Interfaces),作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。
说明系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。
创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。
虚拟交换机2
IPsec-VPN连接的隧道模式为双隧道时,从VPC实例中选择第二个交换机实例。
您需要从VPN网关实例关联的VPC实例下指定两个分布在不同可用区的交换机实例,以实现IPsec-VPN连接可用区级别的容灾。
对于仅支持一个可用区的地域 ,不支持可用区级别的容灾,建议您在该可用区下指定两个不同的交换机实例以实现IPsec-VPN连接的高可用,支持选择和第一个相同的交换机实例。
带宽规格
选择VPN网关实例的带宽规格。单位:Mbps。
IPsec-VPN
选择开启或关闭IPsec-VPN功能。默认值:开启。
建立IPsec-VPN连接时需开启本功能。
SSL-VPN
选择开启或关闭SSL-VPN功能。默认值:关闭。
建立IPsec-VPN连接时无需开启本功能。
计费周期
选择购买时长。
您可以选择是否自动续费:
按月购买:自动续费周期为1个月。
按年购买:自动续费周期为1年。
服务关联角色
单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。
VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。
若本配置项显示为已创建,则表示您当前账号下已创建了该角色,无需重复创建。
VPN网关实例创建完成后,系统会为VPN网关实例分配IP地址,用于和本地数据中心建立IPsec-VPN连接。
后续步骤
为建立IPsec-VPN连接,VPN网关实例创建完成后,您还需要创建用户网关,将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。具体操作,请参见创建和管理用户网关。
修改VPN网关实例的名称和描述信息
登录VPN网关管理控制台。
在顶部菜单栏,选择VPN网关实例的地域。
在VPN网关页面,找到目标VPN网关实例,单击实例ID。
在VPN网关实例详情页面的基本信息区域,修改VPN网关实例的名称和描述信息。
在名称后面单击编辑,在弹出的对话框中修改实例的名称,然后单击确定。
在描述后面单击编辑,在弹出的对话框中修改实例的描述信息,然后单击确定。
删除VPN网关实例
VPN网关实例不支持删除,到期后将进入自动释放流程。VPN网关实例到期状态说明,请参见计费说明。
如果在VPN网关实例未到期前,您不需要再使用VPN网关实例,您可以申请退订,申请退订后系统会自动释放VPN网关实例。退款规则请参见非全额退订退款规则。
如果VPN网关实例处于临时升配状态中,则暂不支持退订,请等待临时升配结束后再申请退订。
登录VPN网关管理控制台。
在顶部菜单栏,选择VPN网关实例的地域。
在VPN网关页面,找到目标VPN网关实例,在操作列选择 。
系统将跳转至阿里云费用与成本控制台,请在费用与成本控制台操作退订。具体操作,请参见退订方式说明。
通过调用API创建和管理VPN网关
支持通过阿里云 SDK(推荐)、阿里云 CLI、Terraform、资源编排等工具调用API创建和管理VPN网关。相关API说明,请参见:
CreateVpnGateway:创建VPN网关实例。
ModifyVpnGatewayAttribute:修改VPN网关实例的名称和描述信息。
DescribeVpnGateway:查询指定VPN网关实例的信息。
DescribeVpnGateways:查询指定地域下VPN网关实例的信息。
MoveVpnResourceGroup:修改VPN网关资源所属的资源组。