文档

CreateSslVpnServer - 创建SSL-VPN服务端

更新时间:

调用CreateSslVpnServer接口创建SSL-VPN服务端。

接口说明

  • CreateSslVpnServer 接口属于异步接口,即系统先返回一个实例 ID,但该 SSL-VPN 服务端尚未创建成功,系统后台的创建任务仍在进行。您可以调用 DescribeVpnGateway 查询 VPN 网关实例的状态,来确定 SSL-VPN 服务端的创建状态:
    • 当 VPN 网关实例处于 updating 状态时,表示 SSL-VPN 服务端正在创建中。
    • 当 VPN 网关实例处于 active 状态时,表示 SSL-VPN 服务端创建成功。
  • CreateSslVpnServer 接口不支持在同一 VPN 网关下并发创建 SSL-VPN 服务端。

前提条件

  • 您已经创建了 VPN 网关且 VPN 网关已开启 SSL-VPN 功能。具体操作,请参见 CreateVpnGateway
  • 如果您需要为 SSL 服务端开启双因子认证功能,请先确保 VPN 网关实例支持该功能,您可能需要升级 VPN 网关实例。更多信息,请参见SSL-VPN 双因子认证支持 IDaaS EIAM 2.0

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
vpc:CreateSslVpnServercreate
  • SslVpnServer
    acs:vpc:{#regionId}:{#accountId}:sslvpnserver/*
  • VpnGateway
    acs:vpc:{#regionId}:{#accountId}:vpngateway/{#VpnGatewayId}

请求参数

名称类型必填描述示例值
ClientTokenstring

客户端 Token,用于保证请求的幂等性。

从您的客户端生成一个参数值,确保不同请求间该参数值唯一。ClientToken 只支持 ASCII 字符。

说明 若您未指定,则系统自动使用 API 请求的 RequestId 作为 ClientToken 标识。每次 API 请求的 RequestId 不一样。
02fb3da4-130e-11e9-8e44-0016e04115b
RegionIdstring

VPN 网关所在的地域 ID。

您可以通过调用 DescribeRegions 接口获取地域 ID。

cn-shanghai
VpnGatewayIdstring

VPN 网关的 ID。

vpn-bp1hgim8by0kc9nga****
Namestring

SSL-VPN 服务端的名称。

长度为 1~100 个字符,不能以http://https://开头。

sslvpnname
ClientIpPoolstring

客户端网段。

是给客户端虚拟网卡分配访问地址的地址段,不是指客户端已有的内网网段。

当客户端通过 SSL-VPN 连接访问本端时,VPN 网关会从指定的客户端网段中分配一个 IP 地址给客户端使用,客户端将会使用分配的 IP 地址访问云上资源。

在您指定客户端网段时需保证客户端网段所包含的 IP 地址个数是当前 VPN 网关 SSL 连接数的 4 倍及以上。

单击查看原因。
例如您指定的客户端网段为 192.168.0.0/24,系统在为客户端分配 IP 地址时,会先从 192.168.0.0/24 网段中划分出一个子网掩码为 30 的子网段,例如 192.168.0.4/30,然后从 192.168.0.4/30 中分配一个 IP 地址供客户端使用,剩余三个 IP 地址会被系统占用以保证网络通信,此时一个客户端会耗费 4 个 IP 地址。因此,为保证您的客户端均能分配到 IP 地址,请确保您指定的客户端网段所包含的 IP 地址个数是 VPN 网关 SSL 连接数的 4 倍及以上。
单击查看不支持配置的网段。
  • 100.64.0.0~100.127.255.255
  • 127.0.0.0~127.255.255.255
  • 169.254.0.0~169.254.255.255
  • 224.0.0.0~239.255.255.255
  • 255.0.0.0~255.255.255.255
单击查看每个 SSL 连接数建议的客户端网段。
  • 若 SSL 连接数为 5,则客户端网段的子网掩码位数建议小于或等于 27。例如:10.0.0.0/27、10.0.0.0/26。
  • 若 SSL 连接数为 10,则客户端网段的子网掩码位数建议小于或等于 26。例如:10.0.0.0/26、10.0.0.0/25。
  • 若 SSL 连接数为 20,则客户端网段的子网掩码位数建议小于或等于 25。例如:10.0.0.0/25、10.0.0.0/24。
  • 若 SSL 连接数为 50,则客户端网段的子网掩码位数建议小于或等于 24。例如:10.0.0.0/24、10.0.0.0/23。
  • 若 SSL 连接数为 100,则客户端网段的子网掩码位数建议小于或等于 23。例如:10.0.0.0/23、10.0.0.0/22。
  • 若 SSL 连接数为 200,则客户端网段的子网掩码位数建议小于或等于 22。例如:10.0.0.0/22、10.0.0.0/21。
  • 若 SSL 连接数为 500,则客户端网段的子网掩码位数建议小于或等于 21。例如:10.0.0.0/21、10.0.0.0/20。
  • 若 SSL 连接数为 1000,则客户端网段的子网掩码位数建议小于或等于 20。例如:10.0.0.0/20、10.0.0.0/19。
说明
  • 客户端网段的子网掩码位数在 16 至 29 位之间。
  • 请确保客户端网段和本端网段不冲突。
  • 在指定客户端网段时,建议您使用 10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16 网段及其子网网段。如果您的客户端网段需要指定为公网网段,您需要将公网网段设置为 VPC 的用户网段,以确保 VPC 可以访问到该公网网段。关于用户网段的更多信息,请参见专有网络 FAQ
  • 创建 SSL 服务端后,系统后台会自动将客户端网段的路由添加在 VPC 实例的路由表中(控制台默认不显示),请勿再手动将客户端网段的路由添加到 VPC 实例的路由表,否则会导致 SSL-VPN 连接流量传输异常。
  • 192.168.1.0/24
    LocalSubnetstring

    本端网段。

    是客户端通过 SSL-VPN 连接要访问的地址段。

    本端网段可以是 VPC 的网段、交换机的网段、通过专线和 VPC 互连的 IDC 的网段、云服务如对象存储服务 OSS(Object Storage Service)等的网段。

    本端网段的子网掩码位数在 8 至 32 位之间。以下网段不支持指定为本端网段:

    • 100.64.0.0~100.127.255.255
    • 127.0.0.0~127.255.255.255
    • 169.254.0.0~169.254.255.255
    • 224.0.0.0~239.255.255.255
    • 255.0.0.0~255.255.255.255
    10.0.0.0/8
    Protostring

    SSL-VPN 服务端所使用的协议,取值:

    • TCP(默认值):TCP 协议。

    • UDP:UDP 协议。

    UDP
    Cipherstring

    SSL-VPN 连接使用的加密算法。

    • 如果客户端使用 Tunnelblick 软件或 2.4.0 及以上版本的 OpenVPN 软件,则 SSL 服务端和客户端之间动态协商加密算法,会优先使用双方均支持的最高安全级别的加密算法。您为 SSL 服务端指定的加密算法不生效。

    • 如果客户端使用 2.4.0 之前版本的 OpenVPN 软件,则 SSL 服务端和客户端将使用您为 SSL 服务端指定的加密算法。SSL 服务端支持指定以下加密算法:

      • AES-128-CBC(默认值):AES-128-CBC 算法。

      • AES-192-CBC:AES-192-CBC 算法。

      • AES-256-CBC:AES-256-CBC 算法。

      • none:不使用加密算法。

    AES-128-CBC
    Portinteger

    SSL-VPN 服务端所使用的端口。端口取值范围:1~65535。默认值:1194

    不支持使用以下端口:222222222229000900190027505804435368123451045605004500

    1194
    Compressboolean

    指定是否对通信进行压缩, 取值:

    • true:对通信进行压缩。

    • false(默认值):对通信不进行压缩。

    false
    EnableMultiFactorAuthboolean

    是否开启双因子认证。如果您选择开启双因子认证功能,您还需要配置IDaaSInstanceIdIDaaSRegionIdIDaaSApplicationId。取值:

    • true:开启。

    • false(默认值):不开启。

    说明
  • 如果您是首次使用双因子认证功能,请先完成授权后再创建 SSL 服务端。
  • IDaaS EIAM 1.0 实例不再支持新购。如果您的阿里云账号下存在 IDaaS EIAM 1.0 实例,开启双因子认证功能后,依旧支持绑定 IDaaS EIAM 1.0 实例。如果您的阿里云账号下不存在 IDaaS EIAM 1.0 实例,开启双因子认证功能后,仅支持绑定 IDaaS EIAM 2.0 实例。
  • false
    IDaaSInstanceIdstring

    IDaaS EIAM 实例 ID。

    idaas-cn-hangzhou-p****
    IDaaSRegionIdstring

    IDaaS EIAM 实例所属地域 ID。

    cn-hangzhou
    IDaaSApplicationIdstring

    IDaaS 应用 ID。

    • 如果您绑定的是 IDaaS EIAM 2.0 实例,需输入 IDaaS 应用 ID。
    • 如果您绑定的是 IDaaS EIAM 1.0 实例,无需输入 IDaaS 应用 ID。
    app_my6g4qmvnwxzj2f****

    返回参数

    名称类型描述示例值
    object
    SslVpnServerIdstring

    SSL-VPN 服务端的 ID。

    vss-bp18q7hzj6largv4v****
    RequestIdstring

    请求 ID。

    E98A9651-7098-40C7-8F85-C818D1EBBA85
    Namestring

    SSL-VPN 服务端的名称。

    test

    示例

    正常返回示例

    JSON格式

    {
      "SslVpnServerId": "vss-bp18q7hzj6largv4v****",
      "RequestId": "E98A9651-7098-40C7-8F85-C818D1EBBA85",
      "Name": "test"
    }

    错误码

    HTTP status code错误码错误信息描述
    400Resource.QuotaFullThe quota of resource is full资源配额已达上限。
    400InvalidNameThe name is not valid该名称格式不合法。
    400VpnGateway.ConfiguringThe specified service is configuring.服务正在配置中,请您稍后再试。
    400VpnGateway.FinancialLockedThe specified service is financial locked.该服务已欠费,请您先充值再操作。
    400SslVpnServer.AlreadyExistThe SSL VPN server of specified vpn gateway already exists.指定VPN网关的SSL VPN服务器已存在。
    400VpnRouteEntry.ConflictThe specified route entry has conflict.路由条目存在冲突。
    400IpConflictClient IP pool conflict with local IP range.客户端IP池与本地IP范围冲突。
    400IpConflictClient IP pool conflict with other SSL VPN server in the same VPC.客户端IP池与同一VPC中的其他SSL VPN服务器冲突。
    400SslVpnServer.AddRouteErrorAdd route error whose destination is client IP pool, please check vpc route entry and relevant quota.添加指向客户端网段的路由失败,请查看VPC路由条目及相关配额。
    400ClientIpPool.NetmaskInvalidThe netmask length of client IP pool must be greater than or equal to 16 and less than or equal to 29.客户端 IP 池的网络掩码长度必须大于等于 16 且小于等于 29。
    400ClientIpPool.SubnetInvalidThe specified client IP pool cannot be used.当前客户端网段不可用。
    400MissingParameter.IDaaSInstanceIdThe input parameter IDaaSInstanceId is mandatory when enable multi-factor authentication.启动双因子认证时请输入IDaaSInstanceId参数。
    400OperationFailed.NoRamPermissionVpn Service has no permission to operate your IDaaS instances.Vpn服务没有权限操作您的IDaaS实例
    400OperationUnsupported.NotSupportMultiFactorAuthCurrent version of the VPN does not support multi-factor authentication.-
    400QuotaExceeded.VpnRouteEntryThe number of route entries to the VPN gateway in the VPC routing table has reached the quota limit.VPC路由表中指向VPN网关的路由条目已经达到配额限制。
    400SystemBusyThe system is busy. Please try again later.当前系统繁忙,请稍后重试。
    400SslVpnServerPort.IllegalThe server port is not in the range of [1-65535].SSL VPN 服务端端口号需要在[1-65535]之间。
    400EnableHaCheck.SslVpnServerClientCidrContainsVpcRouteDestSsl vpn client cidr contains vpc route prefix. The vpc route prefix is %s.vpc路由表中存在路由的前缀%s被包含在ssl vpn 客户端 cidr 中。
    400VpnGateway.SslVpnDisabledThe VPN gateway has not enabled SSL VPN.VPN网关没有开启SSL VPN功能。
    400IllegalParam.LocalSubnetThe specified "LocalSubnet" (%s) is invalid.本端网段(%s)不合法。
    400IllegalParam.IDaaSApplicationIdThe specified IDaaS application Id is not illegal, the application instance needs to be created based on the dedicated SSL VPN template.指定的IDaaS应用实例ID不合法,应用实例需要基于专属SSL VPN的模板创建。
    400SslVpnIDaaS2.NotSupportCurrent version of the VPN does not support IDaaS2.0.当前VPN实例版本不支持使用IDaaS2.0。
    400MissingParam.IDaaSApplicationIdThe input parameter IDaaSApplicationId is mandatory when enable multi-factor authentication.启动双因子认证时请输入IDaaSApplicationId参数。
    400MissingParam.IDaaSRegionIdThe input parameter IDaaSRegionId is mandatory when enable multi-factor authentication.启动双因子认证时请输入IDaaSRegionId参数。
    403Forbbiden.SubUserUser not authorized to operate on the specified resource as your account is created by another user.您没有权限操作该资源,请您申请操作权限后再试。
    403ForbiddenUser not authorized to operate on the specified resource.您没有权限操作指定资源,请申请权限后再操作。
    404InvalidRegionId.NotFoundThe specified region is not found during access authentication.接入认证时未找到指定区域。
    404InvalidVpnGatewayInstanceId.NotFoundThe specified vpn gateway instance id does not exist.指定的 VPN 网关不存在,请您检查 VPN 网关是否正确。
    404InvalidIDaaSInstanceId.NotFoundThe specified IDaaS instance ID does not exist.指定的IDaaS实例ID不存在
    404InvalidIDaaSApplicationId.NotFoundThe specified IDaaS application Id does not exist.指定的IDaaS应用实例ID不存在。

    访问错误中心查看更多错误码。

    变更历史

    变更时间变更内容概要操作
    2024-05-10OpenAPI 错误码发生变更、OpenAPI 入参发生变更查看变更详情
    2023-10-19OpenAPI 描述信息更新、OpenAPI 去除了 deprecated 标记、OpenAPI 错误码发生变更查看变更详情
    2023-05-30OpenAPI 错误码发生变更查看变更详情