本文介绍如何使用VPN网关建立VPC到VPC的VPN连接,从而实现两个VPC内的资源互访。

VPC到VPC的连接架构图
本操作以同一个账号下的两个VPC为例。如果是跨账号VPC互通,操作步骤和同账号VPC互通一样。只是在创建用户网关前,需要获取对方账号的VPN网关的公网IP地址,然后使用获取的对方账号的公网IP地址创建用户网关。
VPC名称 VPC网段 VPC ID ECS名称
VPC1 172.16.0.0/12 vpc-xxxxz0 ECS1
VPC2 10.0.0.0/8 vpc-xxxxut ECS2
说明 VPN网关是基于Internet建立加密隧道进行通信,通信质量依赖Internet。如果对通信质量要求高,建议您使用云企业网。详细信息,请参见云企业网网络规划

开始之前

确保两个VPC的私网IP地址不重叠。

步骤一:创建VPN网关

完成以下操作,创建VPN网关。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择VPN > VPN网关
  3. VPN网关页面,单击创建VPN网关
  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买完成支付。
    • 实例名称:输入VPN网关的实例名称。
    • 地域和可用区:选择VPN网关的地域。
      说明 确保VPC的地域和VPN网关的地域相同。
    • 网关类型:选择要创建的VPN网关类型。本示例选择普通型
    • VPC: 选择要连接的VPC。
    • 指定交换机: 选择是否指定VPN网关所属的交换机。本示例选择

      如果您选择了,您还需要指定具体的虚拟交换机

    • 带宽规格:选择一个带宽规格。带宽规格是VPN网关所具备的公网带宽。
    • IPsec-VPN: 选择开启IPsec-VPN功能。
    • SSL-VPN: 选择是否开启SSL-VPN功能。SSL-VPN功能允许您从任何位置的单台计算机连接到专有网络。
    • SSL连接数: 选择您需要同时连接的客户端最大规格。
      说明 本选项只有在选择开启了SSL-VPN功能后才可配置。
    • 计费周期:选择购买时长。
  5. 重复上述步骤,为另外一个VPC创建一个VPN网关。
    刚创建好的VPN网关的状态是准备中,约两分钟左右会变成正常状态。正常状态就表明VPN网关完成了初始化,可以正常使用了。VPN 网关创建后,系统会自动分配两个公网IP。
    说明 VPN网关的创建一般需要1-5分钟。
    VPN网关
    本例中分配的公网IP地址为121.xxx.xx.143和118.xxx.xx.149,如下表所示。
    VPC VPN网关 IP地址

    名称:VPC1

    ID:vpc-xxxxz0

    网段:172.16.0.0/12

    		 vpn-xxxxxqwj 118.xxx.xx.149

    名称:VPC2

    ID:vpc-xxxxut

    网段:10.0.0.0/8

    		 vpn-xxxxxl5z 121.xxx.xx.143

步骤二:创建用户网关

完成以下操作,创建用户网关。

  1. 在左侧导航栏,选择VPN > 用户网关
  2. 选择用户网关的地域。
  3. 用户网关页面,单击创建用户网关
  4. 创建用户网关页面,根据以下信息配置用户网关,然后单击确定
    • 名称:输入用户网关的名称。
    • IP地址:输入VPC要连接的本地数据中心网关设备的公网IP。
    • 描述:输入用户网关的描述信息。
  5. 重复上述步骤,使用另外一个IP地址再创建一个用户网关。
    本操作后,VPC与VPN网关、用户网关之间的对应关系如下表所示。
    VPC VPN网关 IP地址 用户网关

    名称:VPC1

    ID:vpc-xxxxz0

    网段:172.16.0.0/12

    		 vpn-xxxxxqwj 121.xxx.xx.143 user_VPC1

    名称:VPC2

    ID:vpc-xxxxut

    网段:10.0.0.0/8

    		 vpn-xxxxxl5z 118.xxx.xx.149 user_VPC

步骤三:创建IPsec连接

创建好VPN网关和用户网关后,您需要分别创建两个IPsec连接建立VPN加密通道。

  1. 在左侧导航栏,选择VPN > IPsec连接
  2. 选择创建IPsec连接的地域。
  3. IPsec连接页面,单击创建IPsec连接
  4. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定
    • 名称:输入IPsec连接的名称。
    • VPN网关: 选择已创建的VPN网关。本例选择VPC1的VPN网关vpn-xxxxxqwj。
    • 用户网关:选择要连接的用户网关。本例选择VPC2的用户网关user_VPC2。
    • 路由模式:选择路由模式。本例选择感兴趣流模式

      选择感兴趣流模式后,您需要配置本端网段对端网段。配置完成后,系统自动在VPN网关策略路由表中添加策略路由。

    • 本端网段:输入已选VPN网关所属VPC的网段,本例输入VPC1的网段172.16.0.0/12。
    • 对端网段:输入对端VPC的网段,本例输入VPC2的网段10.0.0.0/8。
    • 立即生效:选择是否立即协商。
      • 是:配置完成后立即进行协商。
      • 否:当有流量进入时进行协商。
    • 预共享密钥:输入共享密钥,本例输入1234567。两个IPsec连接的共享密钥必须相同。
    • 健康检查:开启健康检查并输入目的IP、源IP、重试间隔和重试次数。

      其他选项使用默认配置。

  5. 重复上述步骤,为另外一个VPC创建IPsec连接。

步骤四:配置VPN网关路由

完成以下操作,配置IPsec-VPN网关路由。

  1. 在左侧导航栏,选择VPN > VPN网关
  2. 选择VPN网关的地域。
  3. VPN网关页面,在目标VPN网关的实例ID/名称列,单击实例ID。
  4. 目的路由表页签,单击添加路由条目
  5. 添加路由条目页面,根据以下信息配置目的路由,然后单击确定
    • 目标网段:输入VPC2的私网网段。
    • 下一跳类型:选择下一跳类型。本例选择IPsec连接
    • 下一跳:选择IPsec连接实例。
    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表。本例选择
    • 权重:选择权重值。本例选择100
  6. 重复上述步骤,为另一个VPN网关配置路由。

步骤五:测试私网通信

在专有网络VPC1内的ECS1实例上pingECS2实例的私网IP,测试两个VPC的私网通信。

测试私网通信