我们前面介绍了公有云资源的使用说明(手把手教程:用公有云白嫖资源搭建10Mbps跨境专线),有读者询问有没有SSL的相关介绍,还有读者质疑这些东西到底有什么用?
目前看来,不少读者仍然苦恼于如何安全、低成本地实现跨地域网络互通与移动办公访问。
针对大家的提问,我也补充了云间高速的相关案例(解锁0封禁跨境组网!云间高速实战避坑指南),在打通两地的云主机资源之后,可以使用其他工具实现跨地区的访问(企业级跨境访问:从Squid到云间高速完全攻略)。
今天,我就用两个资源池的VPN网关来演示一下手把手教你通过VPN网关整合IPsec和SSL,一招解决两大难题!。
本案例在华东1资源池开通了VPN网关的IPsec功能和SSL功能,通过IPsec连接和香港2的VPN网关互通,实现华东1和香港2资源池间的VPC加密通信;然后,SSL客户端移动接入华东1资源池,进而可以访问到香港2资源池内的云主机资源。
SSL VPN客户端用户在连接到华东1资源池的VPN网关后,测试是否可以同时访问华东1的VPC资源、香港2的VPC资源。
1、华东1网关配置
首先,按照我们前面的指引(粉丝福利:白嫖天翼云免费的VPN网关及1000块钱),创建免费的VPN网关,启用IPsec和SSL功能,绑定到指定的VPC资源(主机所在子网10.2.0.0/24)。
然后,在VPN网关列表页面,点击“子网变更”,将香港2的子网网段作为子网添加到VPN网关。
接下来,创建SSL服务端,选择本端子网为10.2.0.0/24(华东1子网)、10.0.0.0/8(包含香港2子网)。并配置客户端地址池为10.172.192.0/24,本例中,服务端的连接信息为117.88.244.79:1194。
然后,在该SSL服务端下创建SSL客户端,完成SSL VPN部分的配置。
接下来,我们先创建IPsec VPN用户网关,绑定香港2的VPN网关的公网IP地址。
然后,就可以创建IPsec连接了。路由模式选择【目的路由】,协商生效选择【立即协商】,认证方式使用【密钥认证】,配置预共享密钥为ctyun_vpn2024。
IPsec连接创建完成后,在VPN网关详情页中添加目的路由,目的网段填入香港2的云主机所在子网10.0.0.0/24,下一跳选择刚才创建的IPsec连接,点击【确认】发布路由。
在网关详情页面的【目的路由】页签,确认目的路由条目发布成功。
2、香港2网关配置
同样的,我们领取一个免费的VPN网关,只需启用IPsec功能,绑定到指定的VPC资源(主机所在子网10.0.0.0/24)。
然后,创建IPsec VPN用户网关,绑定华东1的VPN网关的公网IP地址。
创建IPsec连接,路由模式选择【目的路由】,协商生效选择【立即协商】,认证方式使用【密钥认证】,配置预共享密钥为ctyun_vpn2024。
IPsec连接创建完成后,在VPN网关详情页中添加目的路由,目的网段填入华东1的云主机所在子网10.2.0.0/24,下一跳选择刚才创建的IPsec连接,点击【确认】发布路由。
跟境内端一样,我们也需要创建一条去往华东1的SSL客户端地址池的路由。添加之后,在网关详情页面的【目的路由】页签,确认目的路由条目发布成功。
3、业务测试
在华东1的SSL客户端页面,下载SSL客户端对应的证书,填入服务端的连接信息,发起连接请求。
连接成功后,查看系统路由表,自动添加了去往两个资源池子网的明细路由。
测试通过SSL客户端访问华东1和香港2的云内资源。
在华东1资源池的云主机上,测试到香港2云主机的联通性。
访问正常,两个地区的云资源成功打通,并且实现了IPsec和SSL的混合组网,组网内的所有资源均可实现互通。
如果你还有进一步的需求,可以参考前面配置代理的文章(10分钟搞定跨境访问!Squid代理搭建全指南)。
声明:来自铁军哥,仅代表创作者观点。链接:https://eyangzhen.com/2926.html
