ALIYUN::VPC::VpnAttachment类型用于创建IPsec连接,用于绑定转发路由器实例。
语法
{
"Type": "ALIYUN::VPC::VpnAttachment",
"Properties": {
"LocalSubnet": String,
"CustomerGatewayId": String,
"AutoConfigRoute": Boolean,
"Name": String,
"EffectImmediately": Boolean,
"BgpConfig": Map,
"RemoteSubnet": String,
"RemoteCaCert": String,
"IpsecConfig": Map,
"NetworkType": String,
"HealthCheckConfig": Map,
"EnableNatTraversal": Boolean,
"IkeConfig": Map,
"EnableDpd": Boolean
}
}
属性
属性名称 | 类型 | 必须 | 允许更新 | 描述 | 约束 |
LocalSubnet | String | 是 | 是 | 需要和本地数据中心互通的VPC侧的网段,用于第二阶段协商。 | 多个网段之间用半角逗号(,)分隔,例如:192.168.1.0/24,192.168.2.0/24。 关于IPsec连接路由模式的说明:
示例值:10.1.1.0/24,10.1.2.0/24。 |
CustomerGatewayId | String | 是 | 否 | 用户网关ID。 | 无 |
AutoConfigRoute | Boolean | 否 | 是 | 是否自动配置路由。 | 取值:
|
Name | String | 否 | 是 | IPsec连接的名称。 | 无 |
EffectImmediately | Boolean | 否 | 是 | 选择IPsec连接的配置是否立即生效。 | 取值:
|
BgpConfig | Map | 否 | 是 | BGP的配置信息。 | 更多信息。请参见BgpConfig属性。 说明 在添加BGP配置前,建议您先了解BGP动态路由功能的工作机制和使用限制。更多信息,请参见VPN网关支持BGP动态路由公告。 建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。 示例值:
|
RemoteSubnet | String | 是 | 是 | 需要和VPC互通的本地数据中心侧的网段,用于第二阶段协商。 | 多个网段之间用半角逗号(,)分隔,例如:192.168.3.0/24,192.168.4.0/24。 关于IPsec连接路由模式的说明:
示例值:10.1.3.0/24,10.1.4.0/24 |
RemoteCaCert | String | 否 | 否 | 国密型VPN网关创建IPsec连接时,对端的CA证书。 | 示例值:
|
IpsecConfig | Map | 否 | 是 | 第二阶段协商的配置信息。 | 更多信息,请参见IpsecConfig属性。 示例值:
|
NetworkType | String | 否 | 否 | IPsec连接的网络类型。 | 取值:
|
HealthCheckConfig | Map | 否 | 是 | 健康检查配置信息。 | 更多信息,请参见HealthCheckConfig属性。 示例值:
|
EnableNatTraversal | Boolean | 否 | 是 | 是否开启NAT穿越功能。 | 取值:
|
IkeConfig | Map | 否 | 是 | 第一阶段协商的配置信息。 | 更多信息,请参见IkeConfig属性。 |
EnableDpd | Boolean | 否 | 是 | 是否开启DPD(对等体存活检测)功能。 | 取值:
|
BgpConfig语法
"BgpConfig": {
"EnableBgp": Boolean,
"LocalAsn": Number,
"TunnelCidr": String,
"LocalBgpIp": String
}
BgpConfig属性
属性名称 | 类型 | 必须 | 允许更新 | 描述 | 约束 |
EnableBgp | Boolean | 否 | 否 | 是否开启BGP功能。 | 取值:
|
LocalAsn | Number | 否 | 是 | 阿里云侧的自治系统号。 | 自治系统号取值范围:1~4294967295。默认值:45104。 |
TunnelCidr | String | 否 | 是 | IPsec隧道网段。 | 该网段需是一个在169.254.0.0/16内的掩码长度为30的网段。 |
LocalBgpIp | String | 否 | 是 | 阿里云侧的BGP地址。 | 该地址为IPsec隧道网段内的一个IP地址。 |
IpsecConfig语法
"IpsecConfig": {
"IpsecPfs": String,
"IpsecEncAlg": String,
"IpsecAuthAlg": String,
"IpsecLifetime": Integer
}
IpsecConfig属性
属性名称 | 类型 | 必须 | 允许更新 | 描述 | 约束 |
IpsecPfs | String | 否 | 是 | 第二阶段协商使用的Diffie-Hellman密钥交换算法。 | 取值:
|
IpsecEncAlg | String | 否 | 是 | 第二阶段协商的加密算法。 | 取值:
|
IpsecAuthAlg | String | 否 | 是 | 第二阶段协商的认证算法。 | 取值:
|
IpsecLifetime | Integer | 否 | 是 | 第二阶段协商出的SA的生存周期。 | 单位:秒。取值范围:0~86400。默认值:86400。 |
HealthCheckConfig语法
"HealthCheckConfig": {
"Policy": String,
"Enable": Boolean,
"Dip": String,
"Retry": Integer,
"Sip": String,
"Interval": Integer
}
HealthCheckConfig属性
属性名称 | 类型 | 必须 | 允许更新 | 描述 | 约束 |
Policy | String | 否 | 是 | 健康检查失败时是否撤销已发布的路由。 | 取值:
|
Enable | Boolean | 否 | 是 | 是否开启健康检查。 | 取值:
|
Dip | String | 否 | 是 | 健康检查的目的IP地址。 | 输入VPC侧通过IPsec连接可以访问的本地数据中心的IP地址。 |
Retry | Integer | 否 | 是 | 健康检查的重试发包次数。 | 默认值:3。 |
Sip | String | 否 | 是 | 健康检查的源IP地址。 | 输入本地数据中心通过IPsec连接可以访问的VPC侧的IP地址。 |
Interval | Integer | 否 | 是 | 健康检查的重试间隔时间。 | 单位:秒。默认值:3。 |
IkeConfig语法
"IkeConfig": {
"IkeAuthAlg": String,
"LocalId": String,
"IkeEncAlg": String,
"IkeVersion": String,
"IkeMode": String,
"IkeLifetime": Integer,
"RemoteId": String,
"Psk": String,
"IkePfs": String
}
IkeConfig属性
属性名称 | 类型 | 必须 | 允许更新 | 描述 | 约束 |
IkeAuthAlg | String | 否 | 是 | 第一阶段协商的认证算法。 | 取值:
|
LocalId | String | 否 | 是 | IPsec连接阿里云侧的标识。 | 长度限制为100个字符。默认值为空。 |
IkeEncAlg | String | 否 | 是 | 第一阶段协商的加密算法。 | 取值:
|
IkeVersion | String | 否 | 是 | IKE协议的版本。 | 取值:
|
IkeMode | String | 否 | 是 | 协商模式。 | 取值:
|
IkeLifetime | Integer | 否 | 是 | 第一阶段协商出的SA的生存周期。 | 单位:秒。取值范围:0~86400。默认值:86400。 |
RemoteId | String | 否 | 是 | IPsec连接本地数据中心侧的标识。 | 长度限制为100个字符,默认值为用户网关的IP地址。 |
Psk | String | 否 | 是 | 预共享密钥,用于VPN网关与本地数据中心之间的身份认证。 | 限制:
说明 IPsec连接侧的预共享密钥需和本地数据中心侧的认证密钥一致,否则本地数据中心和VPN网关之间无法建立连接。 |
IkePfs | String | 否 | 是 | 第一阶段协商使用的Diffie-Hellman密钥交换算法。 | 取值:
|
返回值
Fn::GetAtt
InternetIp:IPsec连接的网关地址。
VpnAttachmentId:IPsec连接ID。
PeerVpnAttachmentConfig:IPsec连接配置。
示例
- 本页导读 (1)