正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
不可用的现象。 建议您使用出口的防火墙设备配置VPN与云端进行对接。建立VPN时可以选择多个网段,结合云上安全组或用户侧数据中心安全策略,限定属于开发人员主机才能访问云端ECS。 父主题: 组网与使用场景
实践 介绍在多种操作场景下的VPN使用流程,以及客户网关配置示例。 最佳实践 通过VPN实现云上云下网络互通(双活模式) 通过VPN实现云上云下网络互通(主备模式) 通过VPN实现云上云下网络互通(非固定IP接入) 通过企业路由器构建DC/VPN双链路主备混合云组网 通过VPN实现双Internet线路上云
创建业务VPC和子网,本示例中创建1个VPC和子网。 在业务VPC子网内,创建ECS,本示例中创建1个ECS。 步骤二:在企业路由器中添加并配置VGW连接 创建物理连接,物理连接是线下IDC侧和华为云的专属通道,需要运营商进行施工,搭建物理专线链路连接线下和云上。 创建虚拟网关:创建1个关联企业路由器的虚拟网
以控制台实际上线区域为准。 场景描述 由于业务发展,企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接,实现云上和云下数据互通。 如果用户数据中心仅有一个对端网关,且对端网关只能配置一个IP地址,推荐VPN网关使用双活模式,组网如图1所示。 双活模式下
ECS主机多网卡是否需要添加去往线下网络的路由? 如果客户使用主网卡与线下网络建立了VPN,不需要添加路由。 如果客户使用非主网卡与线下网络建立了VPN,需要添加去往线下网段的路由指向非主网卡的网关。 父主题: 路由设置
可通过EIP直接访问该ECS。 如果ECS主机只允许VPN内的主机访问,可在完成VPN对接后将ECS的EIP解绑。当ECS需要绑定EIP时,可通过ACL来限定哪些流量可以通过EIP访问该ECS。 用户是否要保留EIP,与业务类型相关。如用户ECS可以通过VPN获取用户侧数据中心的
为什么我开通VPN后,云端ECS会有公网IP的访问信息? 可能原因:在VPN对接之前,ECS已经绑定了EIP。该场景下,用户除了通过VPN,也可通过公网地址直接访问该ECS。 如果ECS主机只允许VPN内的主机访问,可在完成VPN对接后将ECS的EIP解绑。 父主题: 公网地址
租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API 网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白
以控制台实际上线区域为准。 场景描述 由于业务发展,企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接,实现云上和云下数据互通。 如果用户数据中心仅有一个对端网关,且对端网关只能配置一个IP地址,推荐VPN网关使用双活模式,组网如图1所示。 双活模式下
查看VPC网络配置信息。如下图所示。 图26 VPC网络配置信息 VPC内的虚拟机 Ping 云端VPC虚拟机 图27 VPC内的虚拟机 Ping 云端VPC虚拟机 云端VPC虚拟机 Ping VPC内的虚拟机 图28 云端VPC虚拟机 Ping VPC内的虚拟机 场景二验证成功。 父主题: 适用于经典版VPN
ECS主机多网卡是否需要添加去往线下网络的路由? 如果客户使用主网卡与线下网络建立了VPN,不需要添加路由。 如果客户使用非主网卡与线下网络建立了VPN,需要添加去往线下网段的路由指向非主网卡的网关。 父主题: 路由设置
数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE
数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE
数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE
数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE
两个Region创建的VPN连接状态正常,为什么不能ping通对端ECS? 安全组默认放行了出方向的所有端口,入方向需要按照实际需要添加放行规则,确认接收ping报文的ECS安全组放行了入方向的ICMP。 父主题: 连接故障或无法PING通
VPN支持对端网关域名对接吗? 我创建的VPN连接有几个隧道? 如何在已创建的VPN连接中,限定特定的主机访问云上子网? VPN是否启动了DPD检测机制? 如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离? 修改VPN连接的配置会造成连接重建吗? 华为云对接AWS后,为何不可以从AWS向华为云发起协商?
VPN支持远端网关域名对接吗? 我创建的VPN连接有几个隧道? 如何在已创建的VPN连接中,限定特定的主机访问云上子网? VPN是否启动了DPD检测机制? 如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离? 修改VPN连接的配置会造成连接重建吗? 华为云的VPN对接AWS后,为何不可以从AWS向华为云的VPN发起协商?
两个Region创建的VPN连接状态正常,为什么不能ping通对端ECS? 安全组默认放行了出方向的所有端口,入方向需要按照实际需要添加放行规则,确认接收ping报文的ECS安全组放行了入方向的ICMP。 父主题: 连接故障或无法PING通
书认证”和“口令认证(本地)”两种方式。 选择“客户端认证类型 > 证书认证”。 单击“上传CA证书”,以文本格式打开CA证书PEM格式的文件(后缀名为“.pem”),将证书内容复制到“上传CA证书”的“内容”文本框内。最多支持添加10个客户端CA证书。 推荐使用强密码算法的证书