检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
方案概述 应用场景 终端入云VPN支持证书认证,服务端使用客户端CA证书验证客户端身份。 方案架构 支持多个客户端使用CA颁发的证书,登录连接VPN网关访问到云上VPC的场景。 图1 方案架构 方案优势 用户通过客户端证书认证方式连接到VPN网关,用户数据传输更安全。 约束与限制 最多支持添加10个客户端CA证书。
VPN连接创建完成后,添加健康检查可以配置VPN网关向对端网关发送监测报文,统计链路往返时延和丢包率,用于检测连接的质量。云监控服务提供对VPN连接链路往返时延和丢包率的监控指标,详情请参见支持的监控指标。 操作步骤 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 在页面左上角单击图标,选择“网络
访问策略 权限 对应API接口 授权项(Action) 依赖的授权项 IAM项目(Project) 企业项目(Enterprise Project) 创建VPN访问策略 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn
访问策略 创建VPN访问策略 查询VPN访问策略 查询VPN访问策略列表 修改VPN访问策略 删除VPN访问策略 父主题: 终端入云VPN API
VPN连接 创建VPN连接 查询VPN连接 查询VPN连接列表 更新VPN连接 删除VPN连接 父主题: 站点入云VPN API
VPN连接监控 创建VPN连接监控 查询VPN连接监控 查询VPN连接监控列表 删除VPN连接监控 父主题: 站点入云VPN API
VPN是否启动了DPD检测机制? 是的。 VPN服务默认开启了DPD探测机制,用于探测用户侧数据中心IKE进程的存活状态。 3次探测失败后即认为用户侧数据中心IKE异常,此时云会删除本端隧道,以保持双方的隧道同步。 DPD协议本身并不要求对端也同步进行配置(但是要求对端可以应答DPD探测),为了保
一端存在隧道,而另一端已不存在),建议用户同时启动用户侧网关的DPD探测机制,用于探测云侧VPN服务的IKE状态。 DPD探测失败后会删除隧道,不会导致业务不稳定。 DPD可以及时发现对方IKE进程异常,并通过重置隧道的方法来保持双方隧道同步。在删除隧道后,当有用户流量时,可以重新触发协商并建立隧道。
一端存在隧道,而另一端已不存在),建议用户同时启动用户侧网关的DPD探测机制,用于探测云侧VPN服务的IKE状态。 DPD探测失败后会删除隧道,不会导致业务不稳定。 DPD可以及时发现对方IKE进程异常,并通过重置隧道的方法来保持双方隧道同步。在删除隧道后,当有用户流量时,可以重新触发协商并建立隧道。
访问策略 权限 对应API接口 授权项(Action) 依赖的授权项 IAM项目(Project) 企业项目(Enterprise Project) 创建VPN访问策略 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn
一端存在隧道,而另一端已不存在),建议用户同时启动用户侧网关的DPD探测机制,用于探测云侧VPN服务的IKE状态。 DPD探测失败后会删除隧道,不会导致业务不稳定。 DPD可以及时发现对方IKE进程异常,并通过重置隧道的方法来保持双方隧道同步。在删除隧道后,当有用户流量时,可以重新触发协商并建立隧道。
VPN配额 查询配额 父主题: 服务公共接口
对该模板进行关联使用。 规则参数设置完成后,单击“立即创建”。 虚拟专用网络告警规则设置完成后,当符合规则的告警产生时,系统会自动进行通知。 更多关于虚拟专用网络监控规则的信息,请参见《云监控用户指南》。 父主题: 监控
VPN提供双AZ容灾能力,即用户创建VPN网关时,支持在当前region下的两个AZ创建VPN网关,并从每个AZ创建一条到对端网关的VPN连接。 该特性仅企业版VPN支持,经典版VPN不支持。 图1 正常场景 当其中一个AZ下的VPN网关或VPN连接发生故障,系统会自动将流量切换到另一个VPN连接上,保证用户业务正常运行。
如果创建用户时未选择所属用户组,可以在对应用户的操作列单击“修改”选择用户组。 然后单击确定。 从“用户组”页签添加用户。 选择“用户管理 > 用户组”,单击“创建用户组”,填写名称和描述,单击确定。 在已创建的用户组所在行,单击操作列的“添加用户”。 在“添加用户”的弹窗里勾选可选用户并单击按钮,然后单击确定。
ca-cert-server 内容 以文本方式打开签名证书PEM格式的文件(后缀名为“.pem”),将证书内容复制到此处。 说明: 推荐使用强密码算法的证书,如RSA3072/4096。 RSA2048加密算法的证书存在风险,请慎用。 -----BEGIN CERTIFICATE-----
在左侧导航栏,选择“虚拟专用网络 > 企业版-VPN网关”。 单击“终端入云VPN网关”进入“终端入云VPN网关”页面,单击目标VPN网关操作列的“配置服务端”。 在“服务端”界面,选择客户端认证类型“口令认证(本地)”,单击确定。 选择“访问策略”,单击“创建策略”,填写名称、用户组、目的网段和描述,单击确定。