云服务器内容精选

  • 配置验证 本环境中在用户数据中心、VPC1、VPC2中分别存在三台E CS ,IP地址分别为192.168.1.151、192.168.11.84和192.168.22.170的三台主机,初始情况下ECS1(192.168.1.151)可以和ECS2(192.168.11.84)互联互通(通过VPN访问),ECS3(192.168.22.170)无法和其它主机互通,在建立VPC-peering后,ECS3可以和ECS2互通,但无法和ECS1互通。 经过步骤2的配置调整后,可以实现ECS1、ECS2和ECS3之间互联互通,结果验证如下。 IDC1 ECS1访问VPN连接VPC1子网下的ECS2:结果OK。 ECS1访问VPC2子网下的ECS3:结果OK。 IDC2 ECS1访问VPN连接VPC1子网下的ECS2:结果OK。 ECS1访问VPC2子网下的ECS3:结果OK。 华为云端VPC1 VPC1子网下的ECS2访问用户数据中心子网下的ECS1:结果OK VPC1子网下的ECS2访问VPC2子网下的ECS3:结果OK 华为云端VPC2 VPC2子网下的ECS3访问VPC1子网下的ECS2:结果OK。 VPC2子网下的ECS3访问用户数据中心子网下的ECS1:结果OK。
  • 前提条件 前置资源 用户在华为云上多个区域内购买了VPC,且某个区域中存在多个VPC。 每个区域都通过VPN和不同的用户数据中心连接。 云上VPC和用户的数据中心的子网不冲突,ECS服务正常。 连接拓扑 图1 VPN hub连接拓扑 配置思路: 通过云连接将VPC1、VPC2和VPC3进行连接,并配置云连接路由,实际网络配置需要购买带宽包。 分别创建IDC1-VPC1、IDC2-VPC2、IDC3-VPC3的VPN网络。 更新每一段VPN的本地子网和远端子网。 局点配置说明 表1 配置说明 节点 标识 VPN本端网关 VPN本地子网 VPN远端网关 VPN远端子网 CC网络实例 IDC1 VPN A 1.1.1.1 192.168.11.0/24 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 - VPC1 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 1.1.1.1 192.168.11.0/24 192.168.22.0/24 192.168.11.0/24 IDC2 VPN B 4.4.4.4 192.168.44.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 - VPC2 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 4.4.4.4 192.168.44.0/24 192.168.33.0/24 192.168.44.0/24 IDC3 VPN C 5.5.5.5 192.168.55.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 - VPC3 6.6.6.6 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 5.5.5.5 192.168.55.0/24 192.168.55.0/24 192.168.66.0/24 云连接网络实例可在任一局点配置,通过查看路由信息验证网络实例配置。 用户侧VPN网关IP与VPC互为镜像,VPN连接创建的资源信息与华为云一致。
  • 配置步骤 创建云连接 登录控制台,选择VPC所在的区域,然后在服务列表中选择网络下的“云连接”,根据图2输入相关创建信息后,单击“确定”创建云连接。 图2 创建云连接 选择已创建的云连接,单击名称添加网络实例。 图3 加载网络实例 在新页签中选择“加载网络实例”,添加云连接所连接的VPC网络,VPC子网可直接进行选择,通过VPN连接的客户网络需要手动添加在自定义网段中,然后单击“确定”。 图4 加载网络实例 另一侧VPC2配置信息和VPC1的相同,请不要忘记添加VPN连接的客户网络,如果忘记添加可通过选择云连接中的VPC,然后单击右侧“更新VPC CIDRs”进行添加。 图5 更新VPC CIDRs 云连接配置完成后, 网络实例连接示意图如下所示。 图6 更新VPC CIDRs 通过查看路由信息验证路由配置 图7 验证路由配置 更新VPN网络配置 修改思路: 用户侧:本端子网不变,远端子网添加VPC2的子网。 VPC侧:本端子网添加VPC2的子网,远端子网不变。 选择华为云端的虚拟专线网络配置,在已创建的VPN连接中修改本端子网配置。 图8 创建对等连接 更改本端子网类型为网段,添加云连接所连接的VPC1的网络实例和本端VPC子网,远端网络信息不变 VPC1的VPN连接信息配置如下图所示。 图9 修改VPN连接 VPC2的VPN连接信息配置如下图所示。 图10 修改VPN连接
  • 拓扑连接 拓扑连接方式: 使用防火墙设备直接和云端建立VPN连接。 使用DMZ区域的专用VPN设备结合NAT穿越与云端建立VPN连接。 VPN接入方式的配置指导,相关信息说明如下: 用户数据中心VPN设备私网IP:10.10.10.10/24 用户数据中心用户子网:10.0.0.0/16 防火墙出口IP:11.11.11.2/24,公网网关:11.11.11.1,VPN设备的NAT IP:11.11.11.11 云端VPN网关IP:22.22.22.22,云端子网:172.16.0.0/16 现通过创建VPN连接方式来连通本地网络到VPC子网。 图1 深信服NAT场景 华为云端的VPN连接资源策略配置按照图2所示信息配置,使用DMZ区域专用的VPN设备进行NAT穿越连接时,协商模式修改为野蛮模式;使用防火墙进行连接协商模式选择缺省。 图2 华为云VPN策略配置
  • 命令行配置 物理接口配置 config system interface edit "port1" set vdom "root" set ip 11.11.11.11 255.255.255.0 set type physical next edit "IPsec" //隧道接口配置信息 set vdom "root" set type tunnel set interface "port1" //隧道绑定的物理接口 next end 接口划分区域配置 config system zone edit "trust" set intrazone allow set interface "A1" next edit "untrust" set intrazone allow set interface "port1 " next end 地址对象配置 config firewall address edit "hw-172.16.0.0/24" set uuid f612b4bc-5487-51e9-e755-08456712a7a0 set subnet 172.16.0.0 255.255.255.0 //云端地址网段 next edit "local-10.10.0.0/16" set uuid 9f268868-5489-45e9-d409-5abc9a946c0c set subnet 10.10.0.0 255.255.0.0 //本地地址网段 next IPsec配置 config vpn IPsec phase1-interface //一阶段配置 edit "IPsec" set interface "port1" set nattraversal disable set proposal aes128-sha1 set comments "IPsec" set dhgrp 5 set remote-gw 22.22.22.22 set psksecret ENC dmFyLzF4tRrIjV3T+lSzhQeU2nGEoYKC31NaYRWFJl8krlwNmZX5SfwUi5W5RLJqFu82VYKYsXp5+HZJ13VYY8O2Sn/vruzdLxqu84zbHEIQkTlf5n/63KEru1rRoNiHDTWfh3A3ep3fKJmxf43pQ7OD64t151ol06FMjUBLHgJ1ep9d32Q0F3f3oUxfDQs21Bi9RA== next end config vpn IPsec phase2-interface //二阶段配置 edit "IP-TEST" set phase1name "IPsec " set proposal aes128-sha1 set dhgrp 5 set keylifeseconds 3600 set src-subnet 10.10.0.0 255.255.0.0 set dst-subnet 172.16.0.0 255.255.255.0 next end 访问策略配置 config firewall policy edit 15 //策略编号15,流入至内网策略,未启用NAT set uuid 4f452870-ddb2-51e5-35c9-38a987ebdb6c set srcintf "IPsec" set dstintf "trust" set srcaddr "hw-172.16.0.0/24" set dstaddr "local-10.10.0.0/16" set action accept set schedule "always" set service "ALL" set logtraffic all next edit 29 //策略编号29,流出至云端策略,未启用NAT set uuid c2d0ec77-5254-51e9-80dc-2813ccf51463 set srcintf "trust" set dstintf "IPsec" set srcaddr "local-10.10.0.0/16" set dstaddr "hw-172.16.0.0/24" set action accept set schedule "always" set service "ALL" set logtraffic all next 路由配置 config router static edit 24 //路由编号24,访问云端静态路由 set dst 172.16.0.0 255.255.255.0 set gateway 11.11.11.1 set distance 10 set device "port1" config router policy edit 2 //策略路由编号2,云下访问云端策略路由 set input-device "A1" set src "10.10.00/255.255.0.0" set dst "172.16.0.0/255.255.255.0" set gateway 11.11.11.1 set output-device "port1"
  • 拓扑连接 如图1所示,用户数据中心存在多个互联网出口,当前指定11.11.11.11的物理接口和华为云的VPC建立VPN连接,本地子网网段为10.10.0.0/16,华为云VPC子网为172.16.0.0/24。假设您在华为云购买的VPN网关IP为22.22.22.22,现通过创建VPN连接方式来连通本地网络到VPC子网。 图1 多出口客户网络通过VPN接入VPC连接拓扑 华为云端的VPN连接资源策略配置按照缺省信息配置,详见图2。 图2 策略配置