华为云用户手册

前提条件 云侧 请确认 虚拟私有云VPC 已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，E CS 通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 VPC1：192.168.0.0/24 VPC2：192.168.1.0/24 ER 关联VPC1和VPC2的企业路由器。 ECS 3个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 VPN网关1 接入子网 用于VPN网关和VPC通信，请确保选择的接入子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关1默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 Tunnel接口地址 用于VPN网关1和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用于VPN网关1和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 VPN连接3：169.254.72.1/30 VPN连接4：169.254.73.1/30 VPN网关2 接入子网 用于VPN网关和VPC通信，请确保选择的接入子网存在4个及以上可分配的IP地址。 192.168.3.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关2默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：3.3.3.3 主EIP2：4.4.4.4 Tunnel接口地址 用于VPN网关2和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 VPN连接5：169.254.74.1/30 VPN连接6：169.254.75.1/30 用于VPN网关2和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 VPN连接7：169.254.76.1/30 VPN连接8：169.254.77.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关1 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 VPN连接5：169.254.74.2/30 VPN连接6：169.254.75.2/30 对端网关2 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 2.2.2.1 Tunnel接口地址 VPN连接3：169.254.72.2/30 VPN连接4：169.254.73.2/30 VPN连接7：169.254.76.2/30 VPN连接8：169.254.77.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 和用户数据中心1的VPN连接 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 和用户数据中心2的VPN连接 VPN连接3：169.254.72.1/30 VPN连接4：169.254.73.1/30 用户数据中心1 待互通子网 172.16.0.0/16 用户数据中心1对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 用户数据中心2 待互通子网 10.10.0.0/16 用户数据中心2对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 2.2.2.1 Tunnel接口地址 VPN连接3：169.254.72.2/30 VPN连接4：169.254.73.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 版本：v2 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 用户数据中心 待互通子网 172.16.0.0/16 对端网关 标识 选择FQDN类型，命名为“cgw-fqdn”。 策略模板 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128-GCM-16 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128-GCM-16 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 数据中心侧 用户数据中心1和2的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。 用户数据中心1的VPN设备对端网络中需要包含华为云VPC的本端子网和用户数据中心2的待互通子网；用户数据中心2的VPN设备对端网络中需要包含华为云VPC的本端子网和用户数据中心1的待互通子网。

配置步骤 创建云连接 登录管理控制台，在服务列表中选择“云连接”，在页面左侧页签中选择“云连接”，单击页面右上方“创建云连接”。 根据界面提示配置相关参数，单击“确定”。 图2 创建云连接 云连接的创建可在VPC的所在的任意一个区域发起，创建阶段填写云连接的名称、企业项目和描述等信息。如果客户在同一个Region中有两个VPC，可选择对等连接（时延相对小）或云连接互联VPC，如果VPC数量多于两个，请选择云连接进行互联。 云连接创建完成后，单击云连接名称。 选择“网络实例”页签，单击“加载网络实例”。 根据界面提示配置相关参数，单击“确定”。 图3 加载网络实例1 添加华南区域的VPC2，选择VPC名称和VPC CIDRs，VPC CIDRs可选择全部子网或部分子网，也可通过自定义网段进行添加VPC的子网。 同理，添加华东区域的VPC1及网络配置，添加完成信息配置如图4所示。 图4 加载网络实例2 云连接提供同账号或跨账号的连接，跨账号连接需要先获取授权。 自定义添加的子网系统不会做校验。 选择“域间带宽”页签，单击“配置域间带宽”，如果存在多个Region，需要按照链路使用情况将云连接建立时的总带宽进行划分，本示例将所有带宽用于两个Region互联，配置信息如图。 图5 配置域间带宽 验证路由信息，选择“路由信息”。 系统可展示区域互联的路由信息，路由中存在的子网即为通过云连接互通的子网，此时VPC1和VPC2的子网可以互相访问。 图6 验证路由信息 更新VPC CIDRs VPC1与VPC2之间建立的云连接，在配置网络实例时，VPC1除自身的子网外，连接VPN的子网也被视同为连接在VPC1下，VPC2的子网只包含自身子网。因此，需要对VPC1的网络实例进行修改。 单击云连接名称进入云连接实例。 在“网络实例”页签中，选择华东-上海二的实例。 单击页面右侧“修改VPC CIDRs”。 图7 修改VPC CIDRs 根据界面提示，在“高级配置”的“其他网段”中输入VPC1通过VPN连接的客户侧子网，单击“添加”。 图8 修改VPC CIDRs 验证配置更新信息，请单击页面“路由信息”进行查验。 图9 验证信息 更新VPN配置 VPC1和VPC2通过CC连接后，用户数据中心网络和VPC1之间的VPN子网也随即发生了变化，从VPN连接的角度看，VPC1的本地子网应该包含自身的子网和通过CC连接的VPC2的子网，同理，客户端VPN的远端子网也需要做相应的调整。 客户侧：本端子网不变，远端子网添加VPC2的子网，本示例为192.168.33.0/24。 VPC1侧：本端子网添加VPC2的子网，本示例为192.168.33.0/24，远端子网不变。 选择“ 虚拟专用网络 ＞ 经典版 ”，在“VPN连接”界面找到VPC1创建的VPN连接，在“更多”列单击“修改”。 在修改VPN连接页面将本端子网变更为“网段”，并输入VPC1的子网和VPC2的子网，两个网段之间使用英文逗号隔开，远端子网和其它信息保持不变。 图10 修改VPN连接 用户侧的VPN配置需要修改远端子网。 请将华为云端的VPC1子网、VPC2子网添加至VPN连接的远端子网配置中，其它配置保持不变。

前提条件 前置资源 用户已购买了VPN连接，完成了用户端数据中心网络和云端VPC的VPN连接。 用户购买了多个Region的VPC，且每个VPC下的子网不冲突，云端多个VPC下的ECS服务正常。 连接拓扑 图1 VPN与云连接配合使用 用户数据中心本地子网：192.168.11.0/24，VPN网关IP：1.1.1.1 VPC1子网：192.168.22.0/24，VPN网关：2.2.2.2 VPC2子网：192.168.33.0/24 配置概述 表1 配置说明 用户数据中心 VPC1（华东节点） VPC2（华南节点） VPN连接子网配置 本端网关：1.1.1.1 本地子网：192.168.11.0/24 远端子网：192.168.22.0/24 192.168.33.0/24 远端网关：2.2.2.2 网关IP与VPC1互为镜像 VPN资源与VPC1相同 VPN连接子网配置 本端网关：2.2.2.2 本端子网：192.168.22.0/24 192.168.33.0/24 远端网关：1.1.1.1 远端子网：192.168.11.0/24 云连接网络实例配置 网络实例：192.168.22.0/24 192.168.11.0/24 云连接网络实例配置 网络实例：192.168.33.0/24 云连接网络实例可在任一Region配置，通过查看路由信息验证网络实例配置。 配置思路： 通过CC将华东VPC1和华南VPC2进行连接。 用户数据中心VPN连接的本地子网不变，远端子网变为192.168.22.0/24和192.168.33.0/24。 VPC1的VPN连接的本地子网变更为192.168.22.0/24和192.168.33.0/24，远端子网不变。 VPC1的CC更新VPC CIDRs的网段信息，将192.168.11.0/24添加至VPC子网中。 VPC2的网络信息无变化。 配置域间带宽。 验证云连接路由信息。

配置验证 本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS，IP地址分别为192.168.11.11、192.168.22.170和192.168.33.33的三台主机，初始情况下ECS1（192.168.11.11）可以和ECS2（192.168.22.170）互联互通（通过VPN访问），ECS3（192.168.33.33）无法和其它主机互通，在建立云连接CC后，ECS3可以和ECS2互通，但无法和ECS1互通。 经过更新VPC CIDRs和更新VPN配置的配置调整后，已实现ECS1、ECS2和ECS3之间互联互通，结果验证如下。 用户数据中心 ECS1访问VPN连接VPC1子网下的ECS2：结果OK。 ECS1访问VPC2子网下的ECS3：结果OK。 华为云云端VPC1 VPC1子网下的ECS2访问用户数据中心子网下的ECS1：结果OK。 VPC1子网下的ECS2访问VPC2子网下的ECS3：结果OK。 华为云云端VPC2 VPC2子网下的ECS3访问VPC1子网下的ECS2：结果OK。 VPC2子网下的ECS3访问用户数据中心子网下的ECS1：结果OK。

资源和成本规划 该解决方案主要部署如下资源，每月花费如表1所示，具体请参见华为云官网价格详情，实际收费以账单为准： 表1 资源和成本规划 产品 配置示例 成本预估/月 虚拟专用网络 按需计费：VPN网关带宽费用20.075元/小时+VPN连接费用0.36元/小时，更多计费详情请参见价格详情。 区域：中国-香港 计费模式：按需计费 计费方式：按带宽计费 带宽大小：100 Mbit/s 14713.2元 云连接 按月计费：86000元/月，更多计费详情请参见价格详情。 计费模式：包年/包月 计费方式：按带宽计费 互通类型：跨大区互通 互通大区：中国大陆 - 亚太 带宽：100 Mbit/s 86000元 合计 — 100713.2元 父主题： 通过VPN和云连接构建跨境网络连接

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

操作场景 默认情况下，在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通，可以启用VPN功能。申请VPN后，用户需要配置安全组并检查子网的连通性，以确保VPN功能可用。主要场景分为两类： 点对点VPN：本端为处于云服务平台上的一个VPC，对端为一个数据中心，通过VPN建立用户数据中心与VPC之间的通信隧道。 点对多点VPN：本端为处于云服务平台上的一个VPC，对端为多个数据中心，通过VPN建立不同用户数据中心与VPC之间的通信隧道。 配置VPN时需要注意以下几点： 本端子网与对端子网不能重复。 本端和对端的IKE策略、IPsec策略、PSK相同。 本端和对端子网，网关等参数对称。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 VPN对接成功后两端的服务器或者虚拟机之间需要进行通信，VPN的状态才会刷新为正常。

操作步骤 在管理控制台上，选择合适的IKE策略和IPsec策略申请VPN。 检查本端和对端子网的IP地址池。 如图1所示，假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 图1 IPsec VPN 本端和对端子网IP池不能重合。例如，本端VPC有两个子网，分别为：192.168.1.0/24和192.168.2.0/24，那么对端子网的IP地址池不能包含本端VPC的这两个子网。 为弹性 云服务器配置 安全组规则，允许通过VPN进出用户数据中心的报文。 检查VPC安全组。 从用户数据中心ping云服务器，验证安全组是否允许通过VPN进出用户数据中心的报文。 检查远端LAN配置（即对端数据中心网络配置）。 在远程LAN（对端数据中心网络）配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信，请检查远程LAN是否存在拒绝策略。

前提条件 前置资源 用户在华为云上多个区域内购买了VPC，且某个区域中存在多个VPC。 每个区域都通过VPN和不同的用户数据中心连接。 云上VPC和用户的数据中心的子网不冲突，ECS服务正常。 连接拓扑 图1 VPN hub连接拓扑 配置思路： 通过云连接将VPC1、VPC2和VPC3进行连接，并配置云连接路由，实际网络配置需要购买带宽包。 分别创建IDC1-VPC1、IDC2-VPC2、IDC3-VPC3的VPN网络。 更新每一段VPN的本地子网和远端子网。 局点配置说明 表1 配置说明 节点 标识 VPN本端网关 VPN本地子网 VPN远端网关 VPN远端子网 CC网络实例 IDC1 VPN A 1.1.1.1 192.168.11.0/24 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 - VPC1 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 1.1.1.1 192.168.11.0/24 192.168.22.0/24 192.168.11.0/24 IDC2 VPN B 4.4.4.4 192.168.44.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 - VPC2 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 4.4.4.4 192.168.44.0/24 192.168.33.0/24 192.168.44.0/24 IDC3 VPN C 5.5.5.5 192.168.55.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 - VPC3 6.6.6.6 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 5.5.5.5 192.168.55.0/24 192.168.55.0/24 192.168.66.0/24 云连接网络实例可在任一局点配置，通过查看路由信息验证网络实例配置。 用户侧VPN网关IP与VPC互为镜像，VPN连接创建的资源信息与华为云一致。

配置步骤 创建云连接 登录管理控制台，选择VPC所在的区域，然后在服务列表中选择网络下的“云连接”，根据图2输入相关创建信息后，单击“确定”创建云连接。 图2 创建云连接 选择已创建的云连接，单击名称添加网络实例。 图3 加载网络实例 在新页签中选择“加载网络实例”，添加云连接所连接的VPC网络，VPC子网可直接进行选择，通过VPN连接的客户网络需要手动添加在自定义网段中，单击“确定”。 图4 加载网络实例 另一侧VPC2配置信息和VPC1的相同，请不要忘记添加VPN连接的客户网络，如果忘记添加可通过选择云连接中的VPC，单击右侧“更新VPC CIDRs”进行添加。 图5 更新VPC CIDRs 云连接配置完成后， 网络实例连接示意图如下所示。 图6 更新VPC CIDRs 通过查看路由信息验证路由配置 图7 验证路由配置 更新VPN网络配置 修改思路： 用户侧：本端子网不变，远端子网添加VPC2的子网。 VPC侧：本端子网添加VPC2的子网，远端子网不变。 选择华为云端的虚拟专线网络配置，在已创建的VPN连接中修改本端子网配置。 图8 创建对等连接 更改本端子网类型为网段，添加云连接所连接的VPC1的网络实例和本端VPC子网，远端网络信息不变 VPC1的VPN连接信息配置如下图所示。 图9 修改VPN连接 VPC2的VPN连接信息配置如下图所示。 图10 修改VPN连接

配置验证 本环境中在用户数据中心、VPC1、VPC2中分别存在三台ECS，IP地址分别为192.168.1.151、192.168.11.84和192.168.22.170的三台主机，初始情况下ECS1（192.168.1.151）可以和ECS2（192.168.11.84）互联互通（通过VPN访问），ECS3（192.168.22.170）无法和其它主机互通，在建立VPC-peering后，ECS3可以和ECS2互通，但无法和ECS1互通。 经过步骤2的配置调整后，可以实现ECS1、ECS2和ECS3之间互联互通，结果验证如下。 IDC1 ECS1访问VPN连接VPC1子网下的ECS2：结果OK。 ECS1访问VPC2子网下的ECS3：结果OK。 IDC2 ECS1访问VPN连接VPC1子网下的ECS2：结果OK。 ECS1访问VPC2子网下的ECS3：结果OK。 华为云端VPC1 VPC1子网下的ECS2访问用户数据中心子网下的ECS1：结果OK VPC1子网下的ECS2访问VPC2子网下的ECS3：结果OK 华为云端VPC2 VPC2子网下的ECS3访问VPC1子网下的ECS2：结果OK。 VPC2子网下的ECS3访问用户数据中心子网下的ECS1：结果OK。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在3个及以上可分配的IP地址。 192.168.2.0/24 已创建/剩余连接数 0/10 EIP地址 EIP地址在购买EIP时由系统自动生成。 本示例假设EIP地址生成如下：11.xx.xx.11 服务端 本端网段 192.168.0.0/24 服务端证书 cert-server（使用 云证书管理服务 托管的服务端证书名称） 客户端 SSL参数 协议：TCP 端口：443 加密算法：AES-128-GCM 认证算法：SHA256 是否压缩：否 客户端网段 172.16.0.0/16 客户端认证类型 选择“证书认证”，单击上传CA证书。 名称：ca-cert-client 内容： -----BEGIN CERTIFICATE----- od2VC7zXq7vmsVS5ZuyzeZA9CG+kzHsznZnmMjK+L9ddtRrLolRKIlE7VgWSVvn NCnGre6nQErWV688fsKJFIJ7xEBpt+S10zNuuk42OA36RsSauJWtLtebvhTav5df -----END CERTIFICATE-----

应用场景 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线构建满足企业通信的大规模混合云组网。 虚拟专用网络（Virtual Private Network，VPN）用于在线下IDC和华为云VPC之间建立一条安全加密的公网通信隧道。相比通过DC构建混合云，使用VPN更加快速，成本更低。 为了助力企业客户实现混合云组网的高可靠性，并且控制成本费用，我们推荐您在企业路由器中同时接入DC和VPN两条网络链路，构建主备双链路的混合云组网。当主链路故障后，可自动切换至备链路，降低了单链路故障导致的业务中断风险。 关于企业路由器更详细的介绍，请参见企业路由器产品介绍。

方案架构 为了提升混合云组网的可靠性，XX企业同时部署了DC和VPN两条网络链路，均可以连通云上VPC和线下IDC的网络。DC和VPN两条网络链路互为主备，主链路为DC，备链路为VPN，当DC链路故障时，可自动切换到VPN链路，降低网络中断对业务造成的影响。 将VPC1、VPC2以及DC接入企业路由器中，VPC1和VPC2网络互通，并且均可以通过DC和线下IDC通信。 将VPN接入企业路由器中，当主链路DC故障时，VPC1和VPC2可以通过备链路VPN和线下IDC通信。 图1 DC/VPN双链路主备混合云组网

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 主备 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 备EIP：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 公网IP1：1.1.1.1 公网IP2：2.2.2.1 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 版本：v2 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 前置资源 用户已购买了VPN连接，完成了用户端数据中心网络和云端VPC的VPN连接； 用户购买了多个VPC，且每个VPC下的子网不冲突，云端多个VPC下的ECS服务正常； 连接拓扑 图1 VPN与VPC peering配合使用 用户数据中心本地子网：172.16.1.0/24，VPN网关IP：1.1.1.1 VPC1子网：192.168.1.0/24，VPN网关IP：11.11.11.11 VPC2子网：192.168.2.0/24 配置概述 表1 局点配置说明 配置说明 用户数据中心 VPC1 VPC2 VPN连接子网配置 本端网关：1.1.1.1 本地子网：172.16.1.0/24 远端子网：192.168.1.0/24 192.168.2.0/24 远端网关：11.11.11.11 说明： 网关IP与VPC1互为镜像。 VPN资源与VPC1相同。 本端网关：11.11.11.11 本端子网：192.168.1.0/24； 192.168.2.0/24 远端网关：1.1.1.1 远端子网：172.16.1.0/24 - VPC对等连接路由配置 - VPC1目的地址：192.168.2.0/24 VPC2目的地址： 172.16.1.0/24；192.168.1.0/24 备注 本示例在创建VPC-peering时指定VPC1为本端，VPC2为远端。 云连接网络实例可在任一局点配置，通过查看路由信息验证网络实例配置。 配置思路 通过VPC-peering将VPC1和VPC2进行连接。 用户数据中心VPN连接的本地子网不变，远端子网变为192.168.1.0/24和192.168.2.0/24。 VPC1的VPN连接的本地子网变更为192.168.1.0/24和192.168.2.0/24，远端子网不变。 VPC1的VPC-peering本端路由仅包含目标网段为VPC2子网192.168.2.0/24的路由。 VPC2的VPC-peering远端路由包含目标网段为VPC1子网192.168.1.0/24和客户子网172.16.1.0/24。

配置步骤 创建VPC-peering 登录管理控制台，选择VPC所在的区域，然后在服务列表中选择“虚拟私有云VPC”，在页面左侧页签中选择“对等连接”，单击页面右上方“创建对等连接”，在弹出页面中选择本端的VPC和对端VPC信息，单击“确定”进行创建。 图2 创建对等连接 本端VPC和对端VPC是在创建VPC对等连接时选择的，请按照VPC子网网段确认是否匹配，VPC-peering创建后无法变更VPC信息，只能修改VPC-peering的名称和VPC对端连接本端路由和远端路由。 图3 修改VPC信息 VPC-peering创建完成后可查询对等连接的相关信息，同时VPC的对等连接会提示本端连接的VPC网络和对端连接的VPC网络，两端网络互通需要添加路由信息。 图4 VPC信息 本示例中选择VPN连接侧的VPC1为本端，VPC2为远端。 添加VPC-peering路由 普通的VPC-peering连接只需要添加两侧VPC的子网网络路由，本示例中本端VPC分别通过VPN连接了用户数据中心网络，因此再添加网络路由时需要将客户的网络也进行添加。在对等连接页面单击要编辑的VPC对等连接的名称，进入如下图添加路由页面。 图5 创建对等连接 添加本端路由：选择关联路由图示左侧“+”或单击下侧“本端路由”，单击“添加本端路由”。 在弹出页面填写目的地址网络信息，多条路由可逐条添加；对端路由添加方式与添加本端路由相同。 本端路由：即从本端出发，目标地址为VPC2侧子网的路由，即192.168.2.0/24 对端路由：即从对端出发，目标地址为VPC1侧子网的路由，即192.168.1.0/24和172.16.1.0/24 图6 添加本端路由 VPC1通过VPN连接的用户数据中心网络，对于VPC2来讲，是通过VPC-peering连接的，所以对端路由除去往本端子网的路由外，还需要包含去往用户数据中心子网的路由。 添加路由的下一跳地址由VPN对端连接自动生成，配置页面无需修改，添加多条路由选择“增加一条路由”进行逐条添加，页面中可以显示对端VPC的子网信息，但不包含对端VPC连接的网络，如添加对端路由时查看本端VPC子网不显示通过VPN连接的用户数据中心网络。 图7 添加本端路由 修改VPN配置 VPC1和VPC2通过VPC-peering连接后，用户数据中心网络和VPC1之间的VPN子网也随即发生了变化，从VPN连接的角度看，VPC1的本地子网应该包含自身的子网和通过VPC-peering连接的VPC2的子网，同理，客户端VPN的远端子网也需要做相应的调整。 客户侧：本端子网不变，远端子网添加VPC2的子网，本示例为192.168.2.0/24。 VPC1侧：本端子网添加VPC2的子网，本示例为192.168.2.0/24，远端子网不变。 选择“虚拟专用网络 ＞ 经典版 ”，在“VPN连接”界面找到VPC1创建的VPN连接，选择“修改”。 在修改VPN连接页面将本端子网变更为“网段”，并输入VPC1的子网和VPC2的子网，两个网段之间使用英文逗号隔开，远端子网和其它信息保持不变。 用户侧的VPN配置需要修改远端子网，请将华为云端的VPC1子网、VPC2子网添加至VPN连接的远端子网配置中。 图8 修改VPN连接

配置验证 本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS，IP地址分别为172.16.1.1、192.168.1.1和192.168.2.1的三台主机，初始情况下ECS1（172.16.1.1）可以和ECS2（192.168.1.1）互联互通（通过VPN访问），ECS3（192.168.2.1）无法和其它主机互通，在建立VPC-peering后，ECS3可以和ECS2互通，但无法和ECS1互通。 经过步骤3的配置调整后，可以实现ECS1、ECS2和ECS3之间互联互通，结果验证如下。 用户数据中心 ECS1访问VPN连接VPC1子网下的ECS2：结果OK。 ECS1访问VPC2子网下的ECS3：结果OK 华为云端VPC1 VPC1子网下的ECS2访问用户数据中心子网下的ECS1：结果OK。 VPC1子网下的ECS2访问VPC2子网下的ECS3：结果OK。 华为云端VPC2 VPC2子网下的ECS3访问VPC1子网下的ECS2：结果OK。 VPC2子网下的ECS3访问用户数据中心子网下的ECS1：结果OK。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 主备 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：3.3.3.3 备EIP：4.4.4.4 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 2.2.2.2 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

基础概念 账号 用户注册时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并进行日常管理工作。 用户 由账号在 IAM 中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域 指云资源所在的物理位置，同一区域内可用区间内网互通，不同区域间内网不互通。通过在不同地区创建云资源，可以将应用程序设计的更接近特定客户的要求，或满足不同地区的法律或其他要求。 可用区 一个可用区是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 图1 项目隔离模型 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。 父主题： 使用前必读

响应参数 状态码： 200 表1 响应Body参数 参数 参数类型 描述 versions Array of ApiVersion objects API版本详细信息列表。 表2 ApiVersion 参数 参数类型 描述 id String API版本号，如v3。 status String 版本状态。 取值“CURRENT”，表示该版本为主推版本。取值“SUPPORTED”，表示为老版本，但是现在还继续支持。 取值“DEPRECATED”，表示为废弃版本，存在后续删除的可能。 updated String 版本发布时间。 格式为“yyyy-mm-ddThh:mm:ssZ”。 其中，T指某个时间的开始；Z指UTC时间。 version String API的微版本，如果不支持微版本，则为空。

响应示例 {"tune_result": {"message_id": "6507f5070cf2476b18473d9b","status_code": "0000","error_message": "Success","formatted_sql": "SELECT *\nFROM test_tb","original_sql": "select * from test_tb","tuning_advice": ["最外层Select未指定Where条件，可能返回比预期更多的行。"],"explain": [{"id": 1,"select_type": "SIMPLE","type": "ALL","rows": 100512,"filtered": 100}],"tb_pos_infos": [{"origin_name": "test_tb","name": "test_tb","start": 14,"end": 21}],"feedback_infos": {}}}

URI GET /v3/{project_id}/connections/{connection_id}/tuning/{message_id}/show-tuning-result 表1 路径参数 参数 是否必选 参数类型 描述 message_id 是 String 诊断信息ID。 project_id 是 String 项目ID。 获取方法请参见获取项目ID。 connection_id 是 String 连接ID。