建立VPC到VPC的连接

本文介绍如何使用IPsec-VPN在两个专有网络VPC(Virtual Private Cloud)之间建立安全连接,实现两个VPC内的资源互访。

场景示例

说明
  • VPN网关不支持建立跨境连接。使用IPsec-VPN建立VPC和VPC之间的连接时,两个VPC必须同属于中国内地地域或者同属于非中国内地地域。关于中国内地地域和非中国内地地域的说明,请参见中国内地地域和非中国内地地域

  • 在一个VPC属于中国内地地域,另一个VPC属于非中国内地地域的场景下,如果您需要在两个VPC之间建立连接,您可以使用云企业网产品。更多信息,请参见什么是云企业网

  • 如果您要在跨地域的VPC之间建立IPsec-VPN连接,IPsec-VPN连接的网络质量会受公网质量的影响,推荐您使用云企业网建立VPC到VPC的连接。具体操作,请参见使用云企业网实现跨地域跨账号VPC互通(企业版)

本文以下述场景为例。某企业在华东1(杭州)地域拥有一个VPC1,在华北1(青岛)地域拥有一个VPC2。两个VPC均已使用云服务器ECS(Elastic Compute Service)部署了业务,企业因后续发展,现在需要VPC1和VPC2中的业务可以互相访问。

出于建设安全的网络环境考虑,企业计划使用VPN网关产品,通过在两个VPC之间建立IPsec-VPN连接,对数据进行加密传输,实现资源的安全互访。

VPC之间互联

前提条件

  • 您已经在阿里云华东1(杭州)地域和华北1(青岛)地域分别创建了VPC1和VPC2,两个VPC中均使用ECS部署了相关业务。具体操作,请参见搭建IPv4专有网络

    本示例VPC1和VPC2的配置如下表所示。

    重要

    您可以自行规划VPC实例的网段,请确保要互通的网段之间没有重叠。

    VPC实例名称

    VPC实例所属地域

    VPC实例的网段

    VPC实例ID

    ECS实例名称

    ECS实例的IP地址

    VPC1

    华东1(杭州)

    192.168.0.0/16

    vpc-bp1e0yx3nsosmitth****

    ECS1

    192.168.20.161

    VPC2

    华北1(青岛)

    10.0.0.0/16

    vpc-m5e83sapxp88cgp5f****

    ECS2

    10.0.1.110

  • 您已经了解两个VPC中ECS实例所应用的安全组规则,并确保安全组规则允许两个ECS实例互访。具体操作,请参见查询安全组规则添加安全组规则

配置流程

VPC与VPC互通-配置流程

步骤一:创建VPN网关

  1. 登录VPN网关管理控制台

  2. 在顶部菜单栏,选择VPN网关实例所属的地域。

    本示例选择华东1(杭州)

    说明

    VPN网关实例的地域和待关联的VPC实例的地域需相同。

  3. VPN网关页面,单击创建VPN网关

  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。

    配置项

    说明

    实例名称

    输入VPN网关实例的名称。本示例输入VPN网关1

    地域和可用区

    选择VPN网关实例所属的地域。本示例选择华东1(杭州)

    网关类型

    选择VPN网关实例的类型。本示例选择普通型

    网络类型

    选择VPN网关实例的网络类型。本示例选择公网

    隧道

    系统直接展示当前地域支持的IPsec-VPN连接的隧道模式。

    VPC

    选择VPN网关实例关联的VPC实例。本示例选择VPC1。

    虚拟交换机

    从VPC实例中选择一个交换机实例。

    • IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。

    • IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。

      IPsec-VPN功能开启后,系统会在两个交换机实例下各创建一个弹性网卡ENI(Elastic Network Interfaces),作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。

    说明
    • 系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。

    • 创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。

    虚拟交换机2

    从VPC实例中选择第二个交换机实例。

    IPsec-VPN连接的隧道模式为单隧道时,无需配置该项。

    带宽规格

    选择VPN网关实例的公网带宽峰值。单位:Mbps。

    IPsec-VPN

    选择开启或关闭IPsec-VPN功能。本示例选择开启

    SSL-VPN

    选择开启或关闭SSL-VPN功能。本示例选择关闭

    计费周期

    选择购买时长。

    您可以选择是否自动续费:

    • 按月购买:自动续费周期为1个月。

    • 按年购买:自动续费周期为1年。

    服务关联角色

    单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

    VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

    若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。

    更多信息,请参见创建VPN网关实例

  5. 返回VPN网关页面,查看已创建的VPN网关实例。

    创建VPN网关实例后,其状态是准备中,约1~5分钟会变成正常状态。正常状态表明VPN网关实例已经完成了初始化,可以正常使用。

  6. 重复步骤2步骤4,在华北1(青岛)地域创建一个名称为VPN网关2的VPN网关实例,该VPN网关实例关联VPC2,其余配置与VPN网关1相同。

    创建完成后,两个VPN网关实例的信息如下表所示。

    地域

    VPN网关实例的名称

    VPN网关实例关联的VPC实例名称

    VPN网关实例ID

    VPN网关IP地址

    华东1(杭州)

    VPN网关1

    VPC1

    vpn-bp1l5zihic47jprwa****

    120.XX.XX.40

    华北1(青岛)

    VPN网关2

    VPC2

    vpn-m5eqjnr4ii6jajpms****

    118.XX.XX.20

步骤二:创建用户网关

  1. 在左侧导航栏,选择网间互联 > VPN > 用户网关

  2. 在顶部菜单栏,选择用户网关实例的地域。

    说明

    用户网关实例的地域必须和待连接的VPN网关实例的地域相同。

  3. 用户网关页面,单击创建用户网关

  4. 创建用户网关面板,根据以下信息配置用户网关实例,然后单击确定

    您需要在华东1(杭州)地域和华北1(青岛)地域分别创建一个用户网关实例,用户网关实例的配置请参见下表。

    配置项

    配置项说明

    华东1(杭州)

    华北1(青岛)

    名称

    输入用户网关实例的名称。

    Customer1

    Customer2

    IP地址

    输入用户网关实例的公网IP地址。

    本示例输入VPN网关2的IP地址118.XX.XX.20

    说明

    在本示例中VPC1和VPC2互为对方的用户网关。

    本示例输入VPN网关1的IP地址120.XX.XX.40

    更多信息,请参见创建和管理用户网关

    配置完成后,VPN网关实例、用户网关实例与VPC实例之间的对应关系如下表所示。

    地域

    VPC实例名称

    VPN网关实例名称

    用户网关实例名称

    用户网关实例ID

    用户网关IP地址

    华东1(杭州)

    VPC1

    VPN网关1

    Customer1

    cgw-bp1er5cw26c2b35vm****

    118.XX.XX.20

    华北1(青岛)

    VPC2

    VPN网关2

    Customer2

    cgw-m5e6qdvuxquse3fvm****

    120.XX.XX.40

步骤三:创建IPsec连接

VPN网关和用户网关创建完成后,您需要分别创建两个IPsec连接建立VPN加密通道。

  1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  2. 在顶部菜单栏,选择IPsec连接的地域。

  3. IPsec连接页面,单击创建IPsec连接

  4. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定

    您需要在华东1(杭州)地域和华北1(青岛)地域分别创建一个IPsec连接,IPsec连接的配置请参见下表。

    配置项

    配置项说明

    华东1(杭州)

    华北1(青岛)

    名称

    输入IPsec连接的名称。

    IPsec连接1

    IPsec连接2

    VPN网关

    选择已创建的VPN网关实例。

    VPN网关1

    VPN网关2

    用户网关

    选择已创建的用户网关实例。

    Customer1

    Customer2

    路由模式

    选择路由模式。

    选择目的路由模式

    选择目的路由模式

    立即生效

    选择是否立即生效。

    • :配置完成后立即进行协商。

    • :当有流量进入时进行协商。

    说明

    使用VPN网关在两个VPC之间建立IPsec-VPN连接的场景下,推荐其中一个IPsec连接的立即生效配置为,以便在配置完成后,两个VPC之间可以立即开始IPsec协议的协商。

    本示例选择

    本示例选择

    预共享密钥

    输入预共享密钥。

    • 密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?

    • 若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接

    重要

    IPsec连接及其对端配置的预共享密钥需一致,否则系统无法正常建立IPsec-VPN连接。

    fddsFF123****

    其他选项使用默认配置。更多信息,请参见创建和管理IPsec连接(单隧道模式)

  5. 创建成功对话框中,单击确定

步骤四:配置路由

  1. 在左侧导航栏,选择网间互联 > VPN > VPN网关

  2. 在顶部菜单栏,选择VPN网关实例的地域。

  3. VPN网关页面,找到目标VPN网关实例,单击实例ID。

  4. 目的路由表页签,单击添加路由条目

  5. 添加路由条目面板,根据以下信息配置目的路由,然后单击确定

    您需要分别为VPN网关1和VPN网关2配置路由条目,配置信息如下表所示。

    配置项

    配置说明

    VPN网关1

    VPN网关2

    目标网段

    输入待互通的目标网段。

    输入VPC2的私网网段10.0.0.0/16

    输入VPC1的私网网段192.168.0.0/16

    下一跳类型

    选择下一跳的类型。

    选择IPsec连接

    选择IPsec连接

    下一跳

    选择下一跳。

    选择IPsec连接1。

    选择IPsec连接2。

    发布到VPC

    选择是否将新添加的路由发布到VPN网关关联的VPC中。

    本示例选择

    本示例选择

    权重

    选择路由的权重值。

    • 100:高优先级。

    • 0:低优先级。

    本示例保持默认值100

    本示例保持默认值100

    更多信息,请参见添加目的路由

步骤五:测试连通性

  1. 登录VPC1内的ECS1实例。

    关于如何登录ECS实例,请参见连接方式概述

  2. 执行ping命令,访问ECS2实例,验证两个VPC之间的资源是否可以互访。

    ping <ECS2实例IP地址>

    收到如下所示的回复报文,则证明两个VPC之间的资源可以正常互访。

    VPC与VPC互通-连通性测试