使用IPsec-VPN實現本地數據中心與VPC的網絡互通前,您需要先創建一個VPN網關實例,并為VPN網關實例開啟IPsec-VPN功能,VPN網關實例創建完成后,阿里云將會為您部署VPN資源。
使用限制
目前僅華東1(杭州)、華東2(上海)、華東5(南京-本地地域)、華東6(福州-本地地域)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、華中1(武漢-本地地域)、西南1(成都)地域支持國密型VPN網關。
普通型VPN網關不支持變更為國密型VPN網關。
如果您需要使用國密型VPN網關,需要重新創建VPN網關實例,其中網關類型選擇國密型。
在使用國密型VPN網關創建IPsec連接時,IKE版本僅支持IKEv1,且協商模式僅支持main(主模式)。
根據VPN網關實例支持的IPsec-VPN隧道模式、VPN網關實例的帶寬規格,本地數據中心與VPN網關實例之間兩個方向的帶寬峰值不完全相同。具體說明如下:
支持的IPsec-VPN隧道模式
VPN網關實例帶寬規格值
從VPN網關實例去往本地數據中心方向的帶寬峰值
從本地數據中心去往VPN網關實例方向的帶寬峰值
雙隧道
大于10 Mbps
為VPN網關實例的帶寬規格值。
為VPN網關實例的帶寬規格值。
小于等于10 Mbps
為VPN網關實例的帶寬規格值。
10 Mbps。
單隧道
大于100 Mbps
為VPN網關實例的帶寬規格值。
為VPN網關實例的帶寬規格值。
小于等于100 Mbps
為VPN網關實例的帶寬規格值。
100 Mbps。
VPN網關實例在不同地域下支持的最大帶寬規格不同,部分地域下VPN網關實例支持的最大帶寬規格可達1000 Mbps。
分類
地域
最大支持1000 Mbps帶寬規格的地域
華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、華中1(武漢-本地地域)、中國香港、新加坡、日本(東京)、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、泰國(曼谷)、韓國(首爾)、菲律賓(馬尼拉)、美國(硅谷)、美國(弗吉尼亞)、德國(法蘭克福)、英國(倫敦)、華東1金融云、華東2金融云、華南1金融云、華北2金融云(邀測)、華北2阿里政務云1
最大支持500 Mbps帶寬規格的地域
華東5(南京-本地地域)、華東6(福州-本地地域)、阿聯酋(迪拜)
創建VPN網關實例
登錄VPN網關管理控制臺。
在頂部菜單欄,選擇VPN網關實例所屬的地域。
需確保VPN網關實例的地域和待關聯的VPC實例的地域相同。
在VPN網關頁面,單擊創建VPN網關。
在購買頁面,根據以下信息進行配置,然后單擊立即購買并完成支付。
配置項
說明
實例名稱
輸入VPN網關實例的名稱。
資源組
選擇VPN網關實例所屬的資源組。
如果不選擇,VPN網關實例創建完成后歸屬于默認資源組。您可以在資源管理控制臺管理VPN網關實例以及其他云產品資源所屬的資源組。更多信息,請參見什么是資源管理。
地域和可用區
顯示要創建VPN網關實例的地域。
需確保VPN網關實例的地域和待關聯的VPC實例的地域相同。
網關類型
選擇VPN網關實例的類型。
普通型:選擇該類型IPsec-VPN連接將使用國際標準商用密碼算法(普通算法)。
國密型:選擇該類型IPsec-VPN連接將使用中國國產商用密碼算法(國密算法)。
說明使用國密型VPN網關時,國密型VPN網關需要關聯SSL證書進行數據加密和身份認證。更多信息,請參見管理SSL證書。
網絡類型
選擇VPN網關實例的網絡類型。
公網:VPN網關通過公網建立VPN連接。
私網:VPN網關通過私網建立VPN連接。
說明如果您需要基于私網建立VPN連接,更推薦您使用私網IPsec連接綁定轉發路由器的方式。具體操作,請參見建立多條私有IPsec-VPN連接實現私網流量的負載分擔。
隧道
系統直接展示當前地域支持的IPsec-VPN連接的隧道模式。
單隧道
雙隧道
關于IPsec-VPN連接隧道模式的說明,請參見綁定VPN網關場景雙隧道IPsec-VPN連接說明。
VPC
選擇VPN網關實例關聯的VPC實例。
虛擬交換機1
從VPC實例中選擇一個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
IPsec-VPN功能開啟后,系統會在兩個交換機實例下各創建一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN連接與VPC流量互通的接口。每個ENI會占用交換機下的一個IP地址。
說明系統默認幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認的交換機實例。
創建VPN網關實例后,不支持修改VPN網關實例關聯的交換機實例,您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機、交換機所屬可用區以及交換機下ENI的信息。
虛擬交換機2
IPsec-VPN連接的隧道模式為雙隧道時,從VPC實例中選擇第二個交換機實例。
您需要從VPN網關實例關聯的VPC實例下指定兩個分布在不同可用區的交換機實例,以實現IPsec-VPN連接可用區級別的容災。
對于僅支持一個可用區的地域 ,不支持可用區級別的容災,建議您在該可用區下指定兩個不同的交換機實例以實現IPsec-VPN連接的高可用,支持選擇和第一個相同的交換機實例。
華東5(南京-本地地域)、華東6(福州-本地地域)、華中1(武漢-本地地域)、泰國(曼谷)、韓國(首爾)、菲律賓(馬尼拉)、阿聯酋(迪拜)。
帶寬規格
選擇VPN網關實例的帶寬規格。單位:Mbps。
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。默認值:開啟。
建立IPsec-VPN連接時需開啟本功能。
SSL-VPN
選擇開啟或關閉SSL-VPN功能。默認值:關閉。
建立IPsec-VPN連接時無需開啟本功能。
計費周期
選擇購買時長。
您可以選擇是否自動續費:
按月購買:自動續費周期為1個月。
按年購買:自動續費周期為1年。
服務關聯角色
單擊創建關聯角色,系統自動創建服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他云產品中的資源,更多信息,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已創建,則表示您當前賬號下已創建了該角色,無需重復創建。
VPN網關實例創建完成后,系統會為VPN網關實例分配IP地址,用于和本地數據中心建立IPsec-VPN連接。
后續步驟
為建立IPsec-VPN連接,VPN網關實例創建完成后,您還需要創建用戶網關,將本地網關設備的信息(例如IP地址、BGP AS號)注冊到阿里云上。具體操作,請參見創建和管理用戶網關。
修改VPN網關實例的名稱和描述信息
登錄VPN網關管理控制臺。
在頂部菜單欄,選擇VPN網關實例的地域。
在VPN網關頁面,找到目標VPN網關實例,單擊實例ID。
在VPN網關實例詳情頁面的基本信息區域,修改VPN網關實例的名稱和描述信息。
在名稱后面單擊編輯,在彈出的對話框中修改實例的名稱,然后單擊確定。
在描述后面單擊編輯,在彈出的對話框中修改實例的描述信息,然后單擊確定。
刪除VPN網關實例
VPN網關實例不支持刪除,到期后將進入自動釋放流程。VPN網關實例到期狀態說明,請參見計費說明。
如果在VPN網關實例未到期前,您不需要再使用VPN網關實例,您可以申請退訂,申請退訂后系統會自動釋放VPN網關實例。退款規則請參見非全額退訂退款規則。
如果VPN網關實例處于臨時升配狀態中,則暫不支持退訂,請等待臨時升配結束后再申請退訂。
登錄VPN網關管理控制臺。
在頂部菜單欄,選擇VPN網關實例的地域。
在VPN網關頁面,找到目標VPN網關實例,在操作列選擇 。
系統將跳轉至阿里云費用與成本控制臺,請在費用與成本控制臺操作退訂。具體操作,請參見退訂方式說明。
通過調用API創建和管理VPN網關
支持通過阿里云 SDK(推薦)、阿里云 CLI、Terraform、資源編排等工具調用API創建和管理VPN網關。相關API說明,請參見:
CreateVpnGateway:創建VPN網關實例。
ModifyVpnGatewayAttribute:修改VPN網關實例的名稱和描述信息。
DescribeVpnGateway:查詢指定VPN網關實例的信息。
DescribeVpnGateways:查詢指定地域下VPN網關實例的信息。
MoveVpnResourceGroup:修改VPN網關資源所屬的資源組。