腾讯云与阿里云如何建立VPN连接
1 实验背景
1.1 实验目的
企业用户越来越多使用公有云来搭建自己的业务,同时部分用户也会同时使用多家公有云来支撑业务,那么多家公有云之间数据如何加密安全的传输是值得思考的一个问题。
通过本次实验,您将了解如何使用使用VPN技术,快速的在腾讯云与阿里云建立一个VPN通道,实现数据在互联网上安全加密的传输。
为什么要用VPN网关来搭建?传统搭建方式复杂,基于云产品VPN网关可以快速实现。
1.2 实验知识准备
相关概念
- 云服务器(Cloud Virtual Machine,CVM)为您提供安全可靠的弹性计算服务。 只需几分钟,您就可以在云端获取和启用 CVM,来实现您的计算需求。随着业务需求的变化,您可以实时扩展或缩减计算资源。 CVM 支持按实际使用的资源计费,可以为您节约计算成本。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
关于云服务器CVM的更多信息,可以参考 CVM 官方文档 https://cloud.tencent.com/product/cvm
- 私有网络(Virtual Private Cloud,VPC)是基于腾讯云构建的专属云上网络空间,为您在腾讯云上的资源提供网络服务,不同私有网络间完全逻辑隔离。作为您在云上的专属网络空间,您可以通过软件定义网络的方式管理您的私有网络 VPC,实现 IP 地址、子网、路由表、网络 ACL 、流日志等功能的配置管理。私有网络还支持多种方式连接 Internet,如弹性 IP 、NAT 网关等,并提供多种计费方式和带宽包帮您节约成本。同时,您也可以通过 VPN 连接或专线接入连通腾讯云与您本地的数据中心,灵活构建混合云。
关于私有网络VPC的更多信息,可以参考 VPC 官方文档https://cloud.tencent.com/product/vpc
- VPN 连接(VPN Connections)是一种基于网络隧道技术,实现本地数据中心与腾讯云上资源连通的传输服务,它能帮您在 Internet 上快速构建一条安全、可靠的加密通道。VPN 连接具有配置简单,云端配置实时生效、可靠性高等特点,其网关可用性达到 99.95%,保证稳定、持续的业务连接,帮您轻松实现异地容灾、混合云部署等复杂业务场景。腾讯云 VPN 连接在国家相关政策法规下提供服务,不提供访问 Internet 功能。
关于VPN的更多信息,可以参考 VPN 官方文档https://cloud.tencent.com/product/vpn
2 实验流程
2.1 网络拓扑
2.2 实验流程介绍
1 在腾讯云和阿里云账号内选择北京地域分别创建VPC网络
2 在腾讯云账号北京地域的VPC网络内创建1台CVM服务器,用于网络连通性测试
3 在腾讯云账号北京地域的VPC网络内创建1台VPN网关
4 在阿里云账号北京地域的VPC内创建2台ECS服务器,服务器A和B,服务器A用于网络测试,服务器B用于创建VPN网关。
5 在两个VPN网关上创建VPN通道
6 在腾讯云和阿里云VPC内创建路由,去往对端VPC网络的流量,通过VPN网关转发
3 实验操作
3.2 搭建环境时间
<time>40min ~ 60min</time>3.3 资源准备
阿里云 北京 VPC 1 ECS 2 (其中一台ECS安装VPN网关镜像)
腾讯云 北京 VPC 1 CVM1 VPNGW
3.4 阿里云创建VPC
点击【专有网络】 > 【创建专有网络】
地域:北京
名称:自定义网络名称,最好是有意义的便于你的记录。
IPV4网段:阿里云网段不要跟腾讯云网段有重复,重复的话会造成IP地址冲突,无法填写正确的路由,例如,阿里云选择192.168.0.0/16,腾讯云10.0.0.0/16。
创建完毕专有网络会提示创建交换机
交换机名称:自定义网络名称,最好是有意义的便于你的记录。
IPV4网段:这里选择192.168.0.0/24,表示这个交换机下面所用的IP地址为192.168.0.0 - 192.168.0.254
3.4.1阿里云创建ECS
点击怕【管理】
进入VPC管理页面,点击【ECS实例 后面的 0】ECS管理控制台
点击【创建实例】进入ECS服务器创建页面
付费模式选择【按量付费】,由于是测试环境我们可以使用按量付费节省我们的测试费用。
地域及可用区选择【随机分配】
服务器配置选择【2C8G】
购买数量选择【1】
镜像选择【公共镜像】【centos】【7.5 64位】
存储【系统盘】【高效云盘】【容量40G】
点击【下一步:网络和安全】
网络选择您上文创建的【VPC和交换机】
安全组勾选【22端口 3389端口】
点击【下一步系统配置】
登录凭证选择【自定义密码】,登录密码和确认密码输入符合规则的密码
点击【确认订单】
勾选【云服务器ECS服务条款】
点击【创建实例】
提示服务器创建成功
3.4.2阿里云使用ECS搭建VPN网关
创建服务器方式与上文一致,不再重复描述。
VPN服务器创建镜像选择【镜像市场】选择【FlexGW IPsecVPN 服务器企业版】镜像的版本可能会变
网络选择上文创建的【VPC和交换机】
公网IP勾选【分配公网IPv4地址】 VPN服务器需要有公网IP,这样才可以在互联网上实现数据通信。
其它操作与上文一致不再重复。
3.4.3 阿里云VPN网关服务器安全组添加安全策略
在ECS控制台点击【管理】
选择【本实例安全组】>【安全组列表】>【配置规则】进入安全组配置规则限制
选择【添加安全组规则】
规则方向【入方向】规则匹配的是互联网入方向的流量,也就是互联网用户访问内部服务器。
授权策略【允许】允许互联网用户访问内部服务器。
授权对象【0.0.0.0/0】允许所有互联网上的IP访问,这里可以根据实际情况限制,由于测试环境我们选择全部,实际业务场景我们可以只允许某个固定的源IP访问,这样可以提高安全性。
3.5 腾讯云创建VPC
点击【新建】
私有网络信息
地域:北京
名称:自定义网络名称,最好是有意义的便于你的记录。
IPV4CIDR:腾讯云网段不要与阿里云网段有重复,重复的话会造成IP地址冲突,无法填写正确的路由,例如,阿里云选择192.168.0.0/16,腾讯云10.0.0.0/16。
初始子网信息
子网名称:自定义网络名称,最好是有意义的便于你的记录。
IPV4 CIDR:这里选择10.0.0.0/24,表示这个子网下面所用的IP地址为10.0.0.0 - 10.0.0.254
点击怕【创建】完成【VPC和子网】创建
3.5.1 腾讯云创建CVM
点击【下图红框内+】
计费模式选择【按量计费】,由于是测试环境我们可以使用按量付费节省我们的测试费用。
地域选择【北京】可用区选择【北京五区】
网络选择上文创建的【VPC和子网】
服务器配置选择【2C4G】
数量选择【1】
镜像选择【公共镜像】【centos】【7.6 64位】
系统盘【高性能云盘】【容量50G】**
点击【下一步设置主机】
这里无需给服务器分配公网带宽,下文我们将配置服务器使用VPN网关访问阿里云服务器。
安全组选择【已有安全组】策略选择【放通全部端口】,因测试环境可以方通全部,如果生产环境基于实际情况选择。
点击【下一步:确认配置信息】
点击【设置密码】 【 密码和确认密码】填写符合规则的密码
点击【下一步:确认配置信息】
点击【开通】
服务器创建成功如下图
3.5.2腾讯云创建VPN网关
【私有网络】 > 【VPN连接】 > 【VPN网关】 > 【新建】
网关名称:自定义一个有意义的名称,便于记忆
所属地域:北京
所属网络:选择上文您创建的VPC和子网
带宽上限:5M
计费方式:按流量计费,测试选择按量方式,这样测试完毕后释放节省资源
VPN网关创建成功
3.5.3 腾讯云创建对端网关
点击【对端网关】>【新建】
名称:自定义一个有意义的名称,便于记忆
公网IP:输入阿里云VPN网关服务器IP地址,通过阿里云ECS服务器控制台查询公网IP
对端网关创建成功
3.5.4 腾讯云创建VPN通道
点击【VPN通道】>【新建】
私有网络:选择已创建的VPC
VPN网关:选择已创建的VPN网关
对端网关:选择已创建的对端网关
预共享秘钥:123456 (这里需要与对端VPN网关秘钥设置一致)
点击【下一步】
本端网段:允许VPC本地的网段可以访问对端的网络
对端网段:允许VPC访问对端的哪些网络
点击【下一步】
不改任何配置,点击【下一步】
不改任何配置,点击【完成】
VPN通道创建成功
3.6 登录阿里云VPN服务器创建VPN通道
登录阿里云VPN服务器控制台:使用HTTP协议访问阿里云VPN服务器公网IP,使用 ECS 的系统账号密码即可登入系统,即所有可通过 SSH 登陆主机的用户 都可以登入该系统
点击【创建隧道】
自动连接:自动
协商模式:主动模式
本端ID:服务器公网IP
本端子网:允许VPC本地的哪些网段可以访问对端的网络
对端子网:允许VPC访问对端的哪些网络
3.6.1 查看阿里云VPN通道状态
状态【Online】表示隧道建立成功且与腾讯云VPN通道可以进行通信。
3.6.2 查看腾讯云VPN通道状态
点击【VPN通道】查看腾讯云VPN隧道状态
3.7 腾讯云VPC添加路由访问阿里云使用VPN通道
点击【私有网络】>上文创建的VPC
点击【路由表】
点击【新增路由策略】
目的端:192.168.0.0/16
下一跳类型:VPN网关
下一跳:上文创建的VPN网关
备注:从腾讯云到达阿里云路由
3.8 阿里云VPC添加路由访问腾讯云使用VPN通道
专有网络 > 选择上文您创建VPC > 管理
点击【路由表】
点击【管理】
点击【添加路由条目】
名称:从阿里云到达腾讯云路由
目标网段:10.0.0.0/16
下一跳类型:ECS实例
ECS实例:选择您安装VPN软件的ECS服务器
路由策略添加成功
3.9 登录阿里云服务器通过VPN访问腾讯云服务器
登录ecs服务器:在ECS控制台点击【远程连接】,使用VNC登录ECS服务器,输入用户名密码,
验证VPN通道是否允许正常:从阿里云ECS服务器 Ping 腾讯云服务器内网IP地址,如下图所示可以通信。同时也可以从阿里云服务器SSH连接到腾讯云服务器。
致此VPN实验已全部完成。
学员评价