响应消息 响应参数 返回状态码为 200: 查询成功。 表2 响应Body参数列表 名称 类型 描述 vpn_gateway ResponseVpnGateway object vpn_gateway对象。 request_id String 请求ID。 表3 ResponseVpnGateway 名称 类型 描述 id String 功能说明：VPN网关ID。 格式：36位UUID。 name String 功能说明：VPN网关名称。 取值范围：1-64个字符，支持数字、英文字母、中文（\u4e00 - \u9fa5）、_（下划线）、-（中划线）、.（点）。 network_type String 功能说明：VPN网关网络类型。 取值范围：public，private。 默认值：public。 status String 功能说明：VPN网关状态。 取值范围： PENDING_CREATE：创建中。 PENDING_UPDATE：更新中。 PENDING_DELETE：删除中。 ACTIVE：正常。 FAULT：异常。 FREEZED：冻结。 attachment_type String 功能说明：关联模式。 取值范围：vpc，er。 ip_version String 功能说明：VPN网关的IP协议版本。 取值范围：ipv4、ipv6。 certificate_id String 功能说明：证书ID。 格式：36位UUID。 er_id String VPN网关所连接的ER实例的ID。仅当attachment_type为er时返回。 vpc_id String VPN网关关联的业务VPC的ID。仅当attachment_type为vpc时返回。 local_subnets Array of String IPv4本端子网。本端子网是云上子网，该网段需要通过VPN与用户侧网络进行互通。单个网段格式示例：192.168.52.0/24。仅当attachment_type为vpc且ip_version为ipv4时返回。 local_subnets_v6 Array of String IPv6本端子网。本端子网是云上子网，该网段需要通过VPN与用户侧网络进行互通。单个网段格式示例：16af:cacc:1097::/48。仅当attachment_type为vpc且ip_version为ipv6时返回。 connect_subnet String VPN网关所使用的VPC中的一个子网ID。 bgp_asn Long VPN网关的BGP自治域编号。 flavor String 功能说明：VPN网关的规格类型。 取值范围： Basic：最大转发带宽100Mbps。 Professional1：最大转发带宽300Mbps。 Professional1-NonFixedIP：最大转发带宽300Mbps。 Professional2：最大转发带宽1Gbps。 Professional2-NonFixedIP：最大转发带宽1Gbps。 GM：最大转发带宽500Mbps。 availability_zone_ids Array of String 部署VPN网关的可用区。当指定了可用区时则返回；当未指定可用区时，在VPN网关的状态为ACTIVE时返回。 connection_number Integer VPN网关下的最大VPN连接数。 used_connection_number Integer VPN网关下当前已经使用的VPN连接数。 used_connection_group Integer VPN网关下当前已经使用的VPN连接组个数。同一用户网关入云的两条连接组成一个连接组。VPN网关默认支持10个免费的VPN连接组。 enterprise_project_id String 功能说明：企业项目ID。 格式：36位UUID。创建时不传则返回"0"，表示资源属于default企业项目。 注："0"并不是真实存在的企业项目ID。 eip1 ResponseEip object 双活VPN网关表示使用的第一个EIP，主备模式VPN网关表示主EIP。在VPN网关的状态为ACTIVE时返回。 eip2 ResponseEip object 双活VPN网关表示使用的第二个EIP，主备模式VPN网关表示备EIP。在VPN网关的状态为ACTIVE时返回。 created_at String 创建时间。在VPN网关的状态为ACTIVE时返回。 UTC时间格式：yyyy-MM-ddTHH:mm:ssZ。 updated_at String 最后一次更新时间。在VPN网关的状态为ACTIVE时返回。 UTC时间格式：yyyy-MM-ddTHH:mm:ssZ。 access_vpc_id String 功能说明：VPN网关使用的接入VPC ID。 格式：36位UUID。 access_subnet_id String 功能说明：VPN网关使用的接入VPC中的子网ID。 格式：36位UUID。 access_private_ip_1 String 私网类型VPN网关的接入私网IP，VPN网关使用该私网IP与对端网关建连。双活网关表示使用的第一个私网地址，主备表示主私网地址。 示例：192.168.52.9。仅当network_type为private时返回。 access_private_ip_2 String 私网类型VPN网关的接入私网IP，VPN网关使用该私网IP与对端网关建连。双活网关表示使用的第二个私网地址，主备表示备私网地址。 示例：192.168.52.9。仅当network_type为private时返回。 certificate_id String 功能说明：VPN网关使用的VPN网关证书ID，仅在flavor为GM时返回。 格式：36位UUID ha_mode String 功能说明：网关的HA模式，"active-active"表示双活，"active-standby"表示主备。 取值范围：active-active，active-standby。 默认值：active-active。 policy_template PolicyTemplate object 非固定IP接入VPN网关网关的策略模板配置，只有在规格为非固定IP接入VPN网关时返回。 supported_flavors Array of String 网关可升配到的目标规格。 tags Array of VpnResourceTag objects 标签列表。 表4 ResponseEip 名称 类型 描述 id String 功能说明：EIP的ID。 格式：36位UUID。当使用默认企业项目时返回"0"。 ip_version Integer 功能说明：EIP版本。 取值范围：4。 ip_billing_info String 功能说明：EIP的订单信息。包年/包月EIP才会返回订单信息，按需计费的EIP不返回。 格式：order_id:product_id:region_id:project_id，如： CS 22********LIBIV:00301-******-0--0:br-iaas-odin1:0605768a************c006c7e484aa。 type String 功能说明：EIP的类型。 取值范围：可查看申请EIP表6中type字段的取值范围。 ip_address String 功能说明：EIP的公网IPv4地址。 格式：ipv4类型地址。例如：88.***.***.11。 charge_mode String 功能说明：EIP的带宽计费模式。按流量计费或按带宽计费。 取值范围： bandwidth：按带宽计费。 traffic：按流量计费。 bandwidth_size Integer 功能说明：EIP的带宽大小，单位：Mbit/s。每个region能够提供的EIP最大带宽不同，EIP的最大带宽受限于EIP服务，可以使用工单来提高帐户下的EIP的最大带宽。 取值范围：1-1000，具体取值请参考弹性公网服务创建EIP资料。 bandwidth_name String 功能说明：EIP的带宽名称。 取值范围：1-64个字符，支持数字、英文字母、中文(\u4e00 - \u9fa5)、_(下划线)、-(中划线)、.(点)。 bandwidth_billing_info String 功能说明：EIP的带宽订单信息。包年/包月EIP带宽才会返回带宽订单信息，按需计费的EIP带宽不返回。 格式：order_id:product_id:region_id:project_id，如： CS22********LIBIV:00301-******-0--0:br-iaas-odin1:0605768a************c006c7e484aa。 表5 PolicyTemplate 名称 类型 描述 ike_policy IkePolicy object ike 策略对象。 ipsec_policy IpsecPolicy object ipsec 策略对象。 表6 IkePolicy 名称 类型 描述 encryption_algorithm String 功能说明：加密算法。 取值范围：aes-256-gcm-16，aes-128-gcm-16，aes-256，aes-192，aes-128。 dh_group String 功能说明：第一阶段密钥交换使用的DH组。 取值范围：group14，group15，group16，group19，group20，group21，disable。 authentication_algorithm String 功能说明：认证算法。 取值范围：sha2-512，sha2-384，sha2-256。 lifetime_seconds Integer 功能说明：表示SA的生存周期，当该生存周期超时后IKE SA将自动更新。 取值范围：60-604800，单位：秒。 表7 IpsecPolicy 名称 类型 描述 authentication_algorithm String 功能说明：认证算法。 取值范围：sha2-512，sha2-384，sha2-256。 encryption_algorithm String 功能说明：加密算法。 取值范围：aes-256-gcm-16，aes-128-gcm-16，aes-256，aes-192，aes-128。 pfs String 功能说明：PFS使用的DH密钥组。 取值范围：group14，group15，group16，group19，group20，group21，disable。 lifetime_seconds Integer 功能说明：表示配置IPSec连接建立的隧道以时间为基准的生存周期。 取值范围：30-604800，单位：秒。 表8 VpnResourceTag 名称 类型 描述 key String 功能说明：标签的键。 取值范围：1-128个字符，支持数字、英文字母、中文、西班牙语、葡语、空格，以及以下字符：_.:=+-@。 value String 功能说明：标签的值。 取值范围：0-255个字符，支持数字、英文字母、中文、西班牙语、葡语、空格，以及以下字符：_.:=+-@。 响应样例 查询公网类型关联ER的VPN网关。 { "vpn_gateway": { "id": "66ddeacb-demo-a8df-va86-9a414b5bd7d5", "name": "vpngw-5bd6", "network_type": "public", "status": "ACTIVE", "attachment_type": "er", "ip_version": "ipv4", "er_id": "c62fad0d-demo-a8df-va86-e06c4c351b9f", "bgp_asn": 64512, "flavor": "Professional1", "availability_zone_ids": ["cn-south-1f", "cn-south-1e"], "connection_number": 200, "used_connection_number": 0, "used_connection_group": 0, "enterprise_project_id": "0", "eip1": { "id": "0f6d1415-demo-a8df-va86-edb2ee97c9cc", "ip_version": 4, "type": "5_bgp", "ip_address": "88.***.***.251", "charge_mode": "bandwidth", "bandwidth_id": "e93767cc-demo-a8df-va86-bac2987f90a4", "bandwidth_size": 300, "bandwidth_name": "vpngw-bandwidth-10c3" }, "eip2": { "id": "7b46b62f-demo-a8df-va86-6b8e44312416", "ip_version": 4, "type": "5_bgp", "ip_address": "88.***.***.102", "charge_mode": "bandwidth", "bandwidth_id": "bde3557e-demo-a8df-va86-629a3754ae07", "bandwidth_size": 300, "bandwidth_name": "vpngw-bandwidth-18bd" }, "created_at": "2022-11-28T02:22:27.24Z", "updated_at": "2022-11-28T02:22:27.24Z", "access_vpc_id": "0cf79a3f-demo-a8df-va86-d7ace626b0fa", "access_subnet_id": "f5741286-demo-a8df-va86-2c82bd9ee114", "ha_mode": "active-active" }, "request_id": "28b795f8-d431-4f1e-93ab-1c401a82b799" } 查询私网类型关联VPC的VPN网关。 { "vpn_gateway": { "id": "66ddeacb-demo-a8df-va86-9a414b5bd7d5", "name": "vpngw-5bd6", "network_type": "private", "status": "ACTIVE", "attachment_type": "vpc", "ip_version": "ipv4", "vpc_id": "91a74241-demo-a8df-va86-9b5f98c66c8c", "local_subnets": ["192.168.0.0/24"], "connect_subnet": "f5741286-demo-a8df-va86-2c82bd9ee114", "bgp_asn": 64512, "flavor": "Professional1", "availability_zone_ids": ["cn-south-1f", "cn-south-1e"], "connection_number": 200, "used_connection_number": 0, "used_connection_group": 0, "enterprise_project_id": "0", "created_at": "2022-11-28T02:22:27.24Z", "updated_at": "2022-11-28T02:22:27.24Z", "access_vpc_id": "0cf79a3f-demo-a8df-va86-d7ace626b0fa", "access_subnet_id": "f5741286-demo-a8df-va86-2c82bd9ee114", "access_private_ip_1": "192.168.146.45", "access_private_ip_2": "192.168.146.77", "ha_mode": "active-active" }, "request_id": "28b795f8-d431-4f1e-93ab-1c401a82b799" } 查询公网类型关联VPC的非固定IP接入VPN网关。 { "vpn_gateway":{ "id":"66ddeacb-demo-a8df-va86-9a414b5bd7d5", "name":"vpngw-5bd6", "network_type":"public", "status":"ACTIVE", "attachment_type":"vpc", "ip_version": "ipv4", "vpc_id":"c62fad0d-demo-a8df-va86-e06c4c351b9f", "local_subnets":[ "192.168.0.0/24" ], "connect_subnet":"fd75bf7b-demo-a8df-va86-db13f03e299a", "bgp_asn":64512, "flavor":"Professional1-NonFixedIP", "availability_zone_ids":[ "cn-north-7c" ], "connection_number":200, "used_connection_number":0, "used_connection_group":0, "enterprise_project_id":"0", "ha_mode":"active-standby", "eip1":{ "id":"0f6d1415-demo-a8df-va86-edb2ee97c9cc", "ip_version":4, "type":"5_bgp", "ip_address":"88.***.***.251", "charge_mode":"bandwidth", "bandwidth_id":"e93767cc-demo-a8df-va86-bac2987f90a4", "bandwidth_size":300, "bandwidth_name":"vpngw-bandwidth-10c3" }, "eip2":{ "id":"7b46b62f-demo-a8df-va86-6b8e44312416", "ip_version":4, "type":"5_bgp", "ip_address":"88.***.***.102", "charge_mode":"bandwidth", "bandwidth_id":"bde3557e-demo-a8df-va86-629a3754ae07", "bandwidth_size":300, "bandwidth_name":"vpngw-bandwidth-18bd" }, "policy_template":{ "ike_policy":{ "encryption_algorithm":"aes-128", "dh_group":"group20", "authentication_algorithm":"sha2-256", "lifetime_seconds":86400 }, "ipsec_policy":{ "authentication_algorithm":"sha2-256", "encryption_algorithm":"aes-128", "pfs":"group20", "lifetime_seconds":3600 } }, "created_at":"2022-11-28T02:22:27.24Z", "updated_at":"2022-11-28T02:22:27.24Z", "access_vpc_id":"4d03fe2d--demo-a8df-va86-6def96440f2b", "access_subnet_id":"fd75bf7b--demo-a8df-va86-e-db13f03e299a" }, "request_id":"28b795f8-d431-4f1e-93ab-1c401a82b799" }

操作流程 通过VPN实现客户端远程接入VPC的操作流程如图 操作流程所示。 图1 操作流程 表2 操作流程说明 序号 步骤 说明 1 步骤一：创建VPN网关 VPN网关需要绑定EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 步骤二：配置服务端 指定客户端需要访问的网段（本端网段）和客户端访问时使用的网段（客户端网段）。 选择服务端证书和客户端认证类型，用于建立VPN连接时的身份认证。 客户端认证类型支持“证书认证”和“口令认证（本地）”两种方式。 配置VPN连接的SSL参数（协议、端口、认证算法、加密算法等）。 3 步骤三：配置客户端 从管理控制台下载客户端配置，对配置文件进行修改后导入对应的VPN客户端软件。 4 步骤四：验证连通性 打开客户端设备的命令行窗口，执行ping命令，验证连通性。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在3个及以上可分配的IP地址。 192.168.2.0/24 最大连接数 10 EIP地址 EIP地址在购买EIP时由系统自动生成。 本示例假设EIP地址生成如下：11.xx.xx.11 服务端 本端网段 192.168.1.0/24 服务端证书 cert-server（使用 云证书管理服务 托管的服务端证书名称） SSL参数 协议：TCP 端口：443 加密算法：AES-128-GCM 认证算法：SHA256 是否压缩：否 客户端 客户端网段 172.16.0.0/16 客户端认证类型 默认选择“口令认证（本地）”。 用户组 名称：Testgroup_01 用户 名称：Test_01 密码：请根据实际配置 所属用户组：Testgroup_01 访问策略 名称：Policy_01 目的网段：192.168.1.0/24 用户组：Testgroup_01

操作流程 通过VPN实现数据中心和VPC互通的操作流程如图3所示。 图3 操作流程 表2 操作流程说明 序号 步骤 说明 1 步骤一：创建VPN网关 VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 步骤二：创建对端网关 添加数据中心的VPN设备为对端网关。 3 步骤三：创建第一条VPN连接 VPN网关的主EIP和对端网关组建第一条VPN连接。 4 步骤四：创建第二条VPN连接 VPN网关的主EIP2和对端网关组建第二条VPN连接。 第二条VPN连接的路由模式、预共享密钥、IKE/IPsec策略建议和第一条VPN连接配置保持一致。 5 步骤五：配置对端网关设备 对端网关配置的本端隧道接口地址/对端隧道接口地址需要和华为云VPN连接配置互为镜像配置。 对端网关配置的路由模式、预共享密钥、IKE/IPsec策略需要和华为云VPN连接配置保持一致。 6 步骤六：验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：11.xx.xx.11 主EIP2：11.xx.xx.12 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 数据中心 待互通子网 172.16.0.0/16 对端网关 网关IP地址 网关IP地址由运营商统一分配。本示例假设网关IP地址如下： 22.xx.xx.22 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30

场景描述 由于业务发展，企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接，实现云上和云下数据互通。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，推荐VPN网关使用双活模式，组网如图1所示。 双活模式下，如果连接1链路故障，流量自动切换至连接2进行传输，企业业务不受影响；连接1恢复正常后，VPN仍使用连接2进行数据交互。 图1 双活模式 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，推荐VPN网关使用主备模式，组网如图2所示。 主备模式下，连接1和连接2互为主备，主链路为连接1，备链路为连接2。默认情况下流量仅通过主链路进行传输，如果主链路故障，流量自动切换至备链路进行传输，企业业务不受影响；主链路恢复正常后，VPN回切至主链路进行数据交互。 图2 主备模式

简单的IPsec VPN内网对连拓扑说明 如图1所示，假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 图1 IPsec VPN 支持点到点VPN（Site-to-Site VPN），可实现VPC子网和用户数据中心局域网互访。在建立IPsec VPN前，请确认拟开通VPN的用户数据中心满足以下3个条件： 用户数据中心有支持标准IPsec协议的设备。 上述设备可以分配独立的公网IP（NAT IP也支持）。 VPC子网和用户数据中心子网不冲突，用户数据中心子网到上述设备可达。 满足以上条件后，配置IPsec VPN时，需要保证两端IKE策略以及IPsec策略配置一致，两端子网互为镜像。 配置完成后，需要通过私网数据流触发VPN协商。

VPN网关 权限 对应API接口 授权项（Action） 依赖的授权项 IAM 项目 (Project) 企业项目 (Enterprise Project) 创建VPN网关 POST /v5/{project_id}/vpn-gateways vpn:vpnGateways:create er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subnets:create vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:ports:create vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN网关 GET /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:get vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ √ 查询VPN网关列表 GET /v5/{project_id}/vpn-gateways vpn:vpnGateways:list vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ × 更新VPN网关 PUT /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:update er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 删除VPN网关 DELETE /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:delete er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN网关可用区 GET /v5/{project_id}/vpn-gateways/availability-zones vpn:vpnGatewayAvailabilityZone - √ √ 导入VPN网关证书 POST /v5/{project_id}/vpn-gateways/{vgw_id}/certificate vpn:vpnGateways:importCertificate - √ √ 查询VPN网关证书 GET /v5/{project_id}/vpn-gateways/{vgw_id}/certificate vpn:vpnGateways:getCertificate - √ √ 更新VPN网关证书 PUT /v5/{project_id}/vpn-gateways/{vgw_id}/certificate/{certificate_id} vpn:vpnGateways:updateCertificate - √ √ 父主题： 站点入云VPN授权项列表

用户管理 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建VPN用户 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users vpn:p2cVpnUser:create - √ x 查询VPN用户列表 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users vpn:p2cVpnUser:list - √ x 修改VPN用户 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id} vpn:p2cVpnUser:update - √ x 查询VPN用户 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id} vpn:p2cVpnUser:get - √ x 删除VPN用户 DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id} vpn:p2cVpnUser:delete - √ x 修改VPN用户密码 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id}/password vpn:p2cVpnUser:updatePassword - √ x 重置VPN用户密码 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id}/reset-password vpn:p2cVpnUser:resetPassword - √ x 创建VPN用户组 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups vpn:p2cVpnGateway:createUserGroup - √ x 查询VPN用户组列表 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups vpn:p2cVpnGateway:listUserGroup - √ x 修改VPN用户组 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id} vpn:p2cVpnGateway:updateUserGroup - √ x 查询VPN用户组 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id} vpn:p2cVpnGateway:getUserGroup - √ x 删除VPN用户组 DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id} vpn:p2cVpnGateway:deleteUserGroup - √ x 添加VPN用户到组 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id}/add-users vpn:p2cVpnGateway:addUsers - √ x 删除组内VPN用户 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id}/remove-users vpn:p2cVpnGateway:removeUsers - √ x 查询组内VPN用户 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id}/users vpn:p2cVpnGateway:listUsersInGroup - √ x 父主题： 终端入云VPN授权项列表

响应消息 响应参数 返回状态码为 200: successful operation。 表3 响应Body参数列表 名称 类型 描述 availability_zones Array of strings 可用区列表 request_id String 请求id 响应样例 { "availability_zones": [ "cn-south-1f", "cn-south-1e" ], "request_id": "c63d850876bcddbdfbd11776cce57914" }

URI GET /v5/{project_id}/p2c-vpn-gateways/availability-zones 表1 参数说明 名称 类型 是否必选 描述 project_id String 是 项目ID，可以通过获取项目ID获取项目ID 表2 请求Query参数列表 名称 类型 是否必选 描述 flavor String 否 功能说明：P2C VPN网关的规格类型 取值范围: Professional1：专业型1

配置验证 本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS，IP地址分别为192.168.11.11、192.168.22.170和192.168.33.33的三台主机，初始情况下ECS1（192.168.11.11）可以和ECS2（192.168.22.170）互联互通（通过VPN访问），ECS3（192.168.33.33）无法和其它主机互通，在建立云连接CC后，ECS3可以和ECS2互通，但无法和ECS1互通。 经过更新VPC CIDRs和更新VPN配置的配置调整后，已实现ECS1、ECS2和ECS3之间互联互通，结果验证如下。 用户数据中心 ECS1访问VPN连接VPC1子网下的ECS2：结果OK。 ECS1访问VPC2子网下的ECS3：结果OK。 华为云云端VPC1 VPC1子网下的ECS2访问用户数据中心子网下的ECS1：结果OK。 VPC1子网下的ECS2访问VPC2子网下的ECS3：结果OK。 华为云云端VPC2 VPC2子网下的ECS3访问VPC1子网下的ECS2：结果OK。 VPC2子网下的ECS3访问用户数据中心子网下的ECS1：结果OK。

配置步骤 创建云连接 登录管理控制台，在服务列表中选择“云连接”，在页面左侧页签中选择“云连接”，单击页面右上方“创建云连接”。 根据界面提示配置相关参数，单击“确定”。 图2 创建云连接 云连接的创建可在VPC的所在的任意一个区域发起，创建阶段填写云连接的名称、企业项目和描述等信息。如果客户在同一个Region中有两个VPC，可选择对等连接（时延相对小）或云连接互联VPC，如果VPC数量多于两个，请选择云连接进行互联。 云连接创建完成后，单击云连接名称。 选择“网络实例”页签，单击“加载网络实例”。 根据界面提示配置相关参数，单击“确定”。 图3 加载网络实例1 添加华南区域的VPC2，选择VPC名称和VPC CIDRs，VPC CIDRs可选择全部子网或部分子网，也可通过自定义网段进行添加VPC的子网。 同理，添加华东区域的VPC1及网络配置，添加完成信息配置如图4所示。 图4 加载网络实例2 云连接提供同账号或跨账号的连接，跨账号连接需要先获取授权。 自定义添加的子网系统不会做校验。 选择“域间带宽”页签，单击“配置域间带宽”，如果存在多个Region，需要按照链路使用情况将云连接建立时的总带宽进行划分，本示例将所有带宽用于两个Region互联，配置信息如图。 图5 配置域间带宽 验证路由信息，选择“路由信息”。 系统可展示区域互联的路由信息，路由中存在的子网即为通过云连接互通的子网，此时VPC1和VPC2的子网可以互相访问。 图6 验证路由信息 更新VPC CIDRs VPC1与VPC2之间建立的云连接，在配置网络实例时，VPC1除自身的子网外，连接VPN的子网也被视同为连接在VPC1下，VPC2的子网只包含自身子网。因此，需要对VPC1的网络实例进行修改。 单击云连接名称进入云连接实例。 在“网络实例”页签中，选择华东-上海二的实例。 单击页面右侧“修改VPC CIDRs”。 图7 修改VPC CIDRs 根据界面提示，在“高级配置”的“其他网段”中输入VPC1通过VPN连接的客户侧子网，单击“添加”。 图8 修改VPC CIDRs 验证配置更新信息，请单击页面“路由信息”进行查验。 图9 验证信息 更新VPN配置 VPC1和VPC2通过CC连接后，用户数据中心网络和VPC1之间的VPN子网也随即发生了变化，从VPN连接的角度看，VPC1的本地子网应该包含自身的子网和通过CC连接的VPC2的子网，同理，客户端VPN的远端子网也需要做相应的调整。 客户侧：本端子网不变，远端子网添加VPC2的子网，本示例为192.168.33.0/24。 VPC1侧：本端子网添加VPC2的子网，本示例为192.168.33.0/24，远端子网不变。 选择“ 虚拟专用网络 ＞ 经典版 ”，在“VPN连接”界面找到VPC1创建的VPN连接，在“更多”列单击“修改”。 在修改VPN连接页面将本端子网变更为“网段”，并输入VPC1的子网和VPC2的子网，两个网段之间使用英文逗号隔开，远端子网和其它信息保持不变。 图10 修改VPN连接 用户侧的VPN配置需要修改远端子网。 请将华为云端的VPC1子网、VPC2子网添加至VPN连接的远端子网配置中，其它配置保持不变。

前提条件 前置资源 用户已购买了VPN连接，完成了用户端数据中心网络和云端VPC的VPN连接。 用户购买了多个Region的VPC，且每个VPC下的子网不冲突，云端多个VPC下的ECS服务正常。 连接拓扑 图1 VPN与云连接配合使用 用户数据中心本地子网：192.168.11.0/24，VPN网关IP：1.1.1.1 VPC1子网：192.168.22.0/24，VPN网关：2.2.2.2 VPC2子网：192.168.33.0/24 配置概述 表1 配置说明 用户数据中心 VPC1（华东节点） VPC2（华南节点） VPN连接子网配置 本端网关：1.1.1.1 本地子网：192.168.11.0/24 远端子网：192.168.22.0/24 192.168.33.0/24 远端网关：2.2.2.2 网关IP与VPC1互为镜像 VPN资源与VPC1相同 VPN连接子网配置 本端网关：2.2.2.2 本端子网：192.168.22.0/24 192.168.33.0/24 远端网关：1.1.1.1 远端子网：192.168.11.0/24 云连接网络实例配置 网络实例：192.168.22.0/24 192.168.11.0/24 云连接网络实例配置 网络实例：192.168.33.0/24 云连接网络实例可在任一Region配置，通过查看路由信息验证网络实例配置。 配置思路： 通过CC将华东VPC1和华南VPC2进行连接。 用户数据中心VPN连接的本地子网不变，远端子网变为192.168.22.0/24和192.168.33.0/24。 VPC1的VPN连接的本地子网变更为192.168.22.0/24和192.168.33.0/24，远端子网不变。 VPC1的CC更新VPC CIDRs的网段信息，将192.168.11.0/24添加至VPC子网中。 VPC2的网络信息无变化。 配置域间带宽。 验证云连接路由信息。

计费说明 VPN的计费项由VPN网关、VPN连接组成。具体内容如表 虚拟专用网络计费项所示。 如您需要快速了解VPN服务的具体价格，请参见VPN价格详情。 表 终端入云VPN计费项标 * 的计费项为必选计费项。 表1 终端入云VPN计费项 计费项 计费项说明 适用的计费模式 计费公式 * VPN网关 不同规格的网关实例单价不同。 包年/包月 网关规格单价 * 购买时长 * VPN连接 默认支持10个免费的VPN连接，超出10个部分您需要额外购买。 包年/包月 连接单价 * 购买时长