开发者社区> 问答> 正文

国际站海外地域为混合云利用FlexGW 搭建Site To Site VPN最佳实践


迁移 镜像到国际站上的海外地域


由于海外没有镜像市场,无法向国内那样使用镜像市场的FlexGW 镜像搭建VPN 。 我们可以迁移国内镜像市场的FlexGW 镜像到客户的国际站账号下的海外地域去。
步骤如下:
在国内站上购买FlexGW 镜像,镜像里面使用的OS 是Centos 6.5 64bit ,基于镜像创建ECS 实例

在国际站上海外region 购买一个OS 也是Centos 6.5 64bit 的ECS 实例

在线迁移国内站的FlexGW 镜像到海外region 的ECS 实例上。
在海外region 的 ECS 上执行之下命令。
./migrate.sh migrate.sh xxxxxxx (xxxxx 是国内站的FlexGW ECS 实例),在线迁移的时间大概3 到4 个小时
备注:由于在US 地域利用FlexGW VPN 已经实施过了混合云搭建,在US 地域国际站和国内站内部测试账号已经有了FlexGW 镜像实例,如果客户还是US 地域好搭建VPN 的话,可以直接从这些实例在线迁移。速度更快1 个小时内就可以在线迁移完成。当前驻云也提供了英文软件安装的独立版本,也可以尝试直接在客户的ECS 里面安装。

收集客户 防火墙和专业设备的配置信息


收集以下信息:
WANIP: XX.XX.XX.XX (External IP) 公网的 IP [font=&]
LAN: 172.16.2.0/24 (Internal Network),私有网段信息 [font=&]
IKEV1/IKEV2                   IKE 版本 [font=&]
IKE Algorithms: 3DES_MD5  IKE 通道连接的加密算法和验证算法
lifetime:28800           [size=font-size: 10.5pt,10.5pt] isakmp sa[size=font-size: 10.5pt,10.5pt] 重协商的超时时间     
DHGroup-2 (Main mode)   IKE DH

IPSEC Algorithms: 3DES_MD5   ESP 加密算法和验证算法
lifetime:28500          IPSEC SA [size=font-size: 10.5pt,10.5pt] 的超时时间
Preshared key:  XXXXXX   预共享秘钥 [font=&]
PFS:disable    


配置 端VPN

1.[font='Times New Roman'] 启动迁移后的客户在海外地域的ECS VPN 实例,访问 HTTPS://实例IP ,配置VPN ,填写AIiCLoud 和对端客户的本地的VPN 配置信息


2[font='Times New Roman']   在VPN 配置页面启动VPN Service ,如果重新修改了配置,点击配置下发重载






3.[font='Times New Roman'] 在AliCloud 客户的VPC 添加路由,到客户网段的路由的下一调设置为AliCloud 迁移完成的VPN Server ECS


测试验证 通道


在用户VPC 的内新建ECS 实例,登陆实例上ping 测试客户的本地内网的IP 。请求客户也测试到AliCloud 的访问。

建议和日常维护


1.[size=; font-size: 7pt,7pt][font='Times New Roman']     建议在FlexGW 上配置VPN 服务启动自动连接:


2.[size=; font-size: 7pt,7pt][font='Times New Roman']     建议VPN Strongswan 随OS 自启动,避免用户重启ECS ,VPN 长期断开

[size=font-size: 10pt,10pt] rc.local[size=font-size: 10pt,10pt] 配置 /usr/sbin/strongswan [size=font-size:10.0pt,10.0pt] [font=&]start

3.[size=; font-size: 7pt,7pt][font='Times New Roman']     日常的维护:
[root@iZ253ohcllrZ ~]# /usr/sbin/strongswanstatus   检查 IP 隧道状态
Security Associations (1 up, 0 connecting):
        CMA1[114]: ESTABLISHED 56minutes ago,  

[root@iZ253ohcllrZ ~]# /usr/sbin/strongswanrestart   重启
Stopping strongSwan IPsec...
Starting strongSwan 5.2.0 IPsec [starter]...
[root@iZ253ohcllrZ ~]# /usr/sbin/strongswanstatus   检查 IP 隧道状态
Security Associations (1 up, 0 connecting):
        CMA1[1]: ESTABLISHED 3seconds ago,
Strongswan 配置文件位置:/etc/strongswan/ipsec.conf 。如果客户需要我们的信息配置,也可以拷贝这个文件给客户,方便客户跟踪对端问题

展开
收起
德鲁克 2016-03-03 09:42:51 12524 0
2 条回答
写回答
取消 提交回答
  • 是有一部分内容没显示出来吧,还是丢失的一些图。
    2017-12-21 22:29:31
    赞同 展开评论 打赏
  • 码农|Coder| Pythonista
    学习了
    建议编辑下格式
    2016-03-03 10:14:51
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
为云下IDC赋能-组建多可用区多地域的混合云(专线)最佳实践 立即下载
云上数据中心网络产品升级发布 立即下载
跨国企业上云登陆区(Landing Zone)白皮书 立即下载