开发者学堂课程【企业上云攻略-阿里云网络产品应用系列教程:VPN 网关概要】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/573/detail/7898
VPN 网关概要、
内容介绍
一、课程目标
二、线上线下连接的诉求
三、VPN 网关的功能
四、lPsec-VPN 功能概述
五、SSL-VPN 功能概述
六、VPN 网关的产品优势
七、VPN 网关产品优势—安全
八、VPN 网关产品优势—高可用
九、主备 VPN 的数据走向
十、VPN 网关的产品优势─低成本
十一、VPN 网关产品优势—配置简单
十二、VPN 网关的场景
一、课程目标
1、了解 VPN 网关的概念
2、掌握 IPsec-VPN 的配置
3、掌握 SSL-VPN 的配置
4、了解 VPN 网关计费原则
5、了解智能接入网关的概念
6、掌握 SAG-100WM 配置
7、掌握 SAG-1000 配置
8、掌握智能接入网关的故障排除
二、线上线下连接的诉求
某企业拥有大陆和美国多个分支和 IDC ,企业业务以云为中心,以阿里云作为整个的 it 架构的一个中心,线下 IDC 作为灾备中心,因为企业考虑到自己的链路,包括一些稳定性可靠性的不如线上,以线上作为承载企业主要业务,但是企业又担心数据的问题,所以在线下又放了一份作为备用 IDC ,做备份的,线上为业务中心,线下为灾备中心,在使用过程中提出了下面诉求:
1、各个分支机构访问云上业务。
2、企业各机构有受控打通互访、共享资源的需求。
北京上海美国都有相邻的 vpc,vpc 它们之间做网络隔离的,各个分支机构访问云上业务,北京有 IDC ,上海有IDC ,美国有 IDC ,它所面临的问题是如何访问线上的环境,也就是北京 IDC 如何访问北京的 vpc ,在上海如何访问上海的,美国如何访问美国,其实好多企业都会有这种工作,比如实现线上和线下数据的沟通,或者要实现线上作为生产中心,线下作为备用中心,它俩之间要做数据回顾,要保证它们数据一致性,那么这时如何打通线上和线下就是一个诉求。VPN 网关就能很好的实现这个功能。
三、VPN 网关的功能
VPN 网关是一款基于 Internet ,通过加密通道将企业数据中心、企业办公网络、或 Internet 终端和阿里云专有网络( VPC )安全可靠连接起来的服务。要注意第一个是基于 Internet ,可以随时随地接入,不需要更多的功能和支持,Internet 就意味着钱,成本比较低廉,数据的安全性可以放心,都是加密传输的,可以连接的客户端像企业的 IDC ,包括在 Internet 终端,就是出差的用户,拿着自己的电脑都可以接入到阿里云。
如下图,这是阿里云,下面就是 Internet 终端,像 IDC ,一共列了两个,一个是 ssl-VPN,一个 IPsec-VPN,ssl-VPN 主要是实现 Internet 终端接入的,IPsec-VPN 主要是实现 IDC 接入的。这就是关于 VPN 网关的功能。其实很简单,就是把企业的数据中心,把企业出差的用户接入到阿里云中,跟阿里云的数据实现互通,这就是它的核心功能。
四、lPsec-VPN 功能概述
这里提到的 ssl-VPN 和 IPsec-VPN 有什么区别呢?首先看一下 IPsec-VPN 。
1、VPN 网关
阿里云侧 VPN 网关实例,位于 VPC 内,这个其实是花钱购买的,也就是需要在阿里云控制台里面,购买一个 VPN 网关,这个是在 VPC 里面,买完之后就直接跟 VPC 绑定的。
2、用户网关
用户侧 VPN 网关设备的抽象,也就是哪个分支机构需要接入到阿里云当中,在分支机构里面需要有一台用户网关,用户网关一般都会用专业的网关设备来做,就是专业的路由器或防火墙可以起到 IPsec-VPN 的,就是可以在上面配置下 IPsec-VPN 的一些东西。
3、lPsec 连接
VPN 网关和用户网关建立的安全加密连接通道,这个安全加密连接通道称为 lPsec 连接。
这几个缺一不可,一个是 VPN 网关,用户网关,lPsec 连接,它主要是实现 IDC 上云,但是 IDC 需要用户网关设备,就是需要购买的,适合一些分支机构,像 IDC 这种,如果是出差的用户,不可能背着网关来回跑,所以就有了SSL-VPN 。
五、SSL-VPN 功能概述
1、VPN 网关
阿里云侧 VPN 网关实例,位于 VPC 内。购买都一样,只是在买的时候,注意是勾选上 IPsec 选项还是 SSL 选项。
2、SSL 服务端
阿里云侧 SSL 服务端,用于对 SSL 隧道接入管理。
3、SSL 客户端
客户侧接入设备的抽象,用于接入设备的认证管理,就是一个主机,比如笔记本就能直接接入。在服务端配完以后下载一个证书,把这个证书放在客户端,随时随地就可以在任何地方实现接入了,这就是 SSL-VPN 功能的概述。
六、VPN 网关的产品优势
VPN 网关的优势主要体现在:
1、安全
VPN 网关是使用加密的方式传输数据的,加密的方式就可以防止别人窃取数据。
2、高可用
高可用用的是 VPN 网关自身的高可用,也就是 VPN 网关它不会因为某一个故障而出现故障,它是互为储备的。
3、低成本
VPN 网关是基于 internet 连接的,而 internet 是目前使用最广泛的网络连接,包括家庭上网,手机上网用的都是接入 internet ,internet 只要接入进来就可以使用 VPN 网关,所以从这一点可以看出,企业或者出差的地方,只要能进入到互联网都能接入到阿里云中,这个成本比专线的连接便宜很多。
4、配置简单
所有的配置都是基于 web 的一个界面,用鼠标就可以完成所以的操作,比较的简单,包括 VPN 网关的购买和开通,管理一些服务端的创建等等,这些都是在图形化界面下,不需要做额外复杂的这些配置的。
七、VPN 网关产品优势—安全
使用 IKE 和 IPsec 协议对传输数据进行加密,保证数据安全可靠。
1、互联网安全协议( Internet Protocol Security,缩写为 IPsec ),是一个协议包,通过对 IP 协议的分组进行加密和认证来保护 IP 协议的网络传输协议族。它主要是对 VPN 传输过程做加密的,对传输过程的加密需要用到一对密钥,公钥和私钥,密钥的交换需要用到 IKE 这个协议。
2、因特网密钥交换协议(( Internet Key Exchange,缩写为IKE ),为 IPSec 提供了自动协商交换密钥、建立安全联盟的服务,能够简化 IPSec 的使用和管理,大大简化 IPSec 的配置和维护工作,因为 IPSec
加密是比较复杂的,用 IKE 就能很方便的在双方之间交换密钥。
这是两个协议,只要知道 IPsec 是在 VPN 中间做加密的,而IKE在密钥交互的时候做加密的。
八、VPN 网关产品优势—高可用
高可用:采用双机热备架构,VPN 网关是采用双机热备的,故障时秒级切换,保证会话不中断,业务无感知。如何实现呢?
1、创建 ECS
ECS 不是用户手动创建的,创建 VPN 网关时,VPN 网关自动创建两台 ECS ,主备节点互为 HA ,保证 VPN 服务可用。
2、提供 VPN
ECS 服务器内提供 VPN 加密服务,并通过 HAVIP 的公网 EIP ,发送到目标端。
九、主备 VPN 的数据走向
ECS 和客户 IDC 的访问流程:
这个是客户端,这个是客户 IDC ,这个客户端是在阿里云里面创建了一个 ECS ,客户的 IDC 就是企业内部可以 IDC 也可以是 SSL 客户端,当创建选择开通 VPN 网关,它会自动在阿里云里面创建两台 VPN 服务器,两台 VPN 互为主备,一台 VPN 主,一台 VPN 备,正常情况下数据流向是直接 ECS 客户端走 VPN 的主服务器到达客户端,这个是双向的,可以去也可以回,一旦 VPN 主服务器出现故障,那么数据的流向会选择备用线路,走 VPN 备服务器, EIP 地址到达客户 IDC ,在这里面可以保证两台 VPN 互为主备,一台 VPN 服务器出现故障,另外一台 VPN 服务器都是可以正常提供业务给客户端,故障秒切换,随时随地都是可用的。这是第二大优势高可用。
十、VPN 网关的产品优势─低成本
1、第三个优势是低成本,基于 Internet 建立加密通道,比建立专线更便宜,快速构建混合云。不需要做额外的配置和购买,尤其和另外一个专线比较起来,便宜很多,它可以非常方便快速的构建混合云。
2、物理专线通过一条租用运营商的专线将本地数据中心连接到阿里云接入点,建立专线连接。专线接入后,物理专线的私网连接不通过公网,因此与传统的公网连接相比,物理专线连接更加安全、可靠、速度更快、延迟更低。专线的租用价格是比较昂贵的。
3、混合云网络就是要把客户的 IDC 跟阿里云实现互通,这其实就是一个混合云的雏形,因为不需要去构建混合云,只需要把混合云的网络搭建好,当网络打通了就能实现客户访问阿里云里面的数据。混合云有专门的一些工具和套件,它们来管混合云相关的一些东西。
十一、VPN 网关产品优势—配置简单
开通即用,配置实时生效,快速完成部署。不需要额外配置直接在阿里云控制台开通 VPN 网关,在客户端配置 VPN 客户端即可完成组网。
所有的操作都是在图形化里面,通过鼠标左键就能几乎完成所有的操作,配置比较简单,不需要额外的配置。自带优势要记住,安全,高可用,低成本,配置简单。
十二、VPN 网关的场景
VPN 网关的常见场景:
A 本地站点上云,可以利用 IPsec-VPN 接入
B 终端上云,可以利用 ssl-VPN 接入
C 和专线等组合使用
1、本地站点上云
(1)本地 IDC 和 VPC 安全互连,构建混合云
a 开通周期短,即开即用。
b 基于 Internet ,成本低。
(2)应用场景
a 企业快速构建混合云。
b 快速构建多地域服务网络,异地容灾。
c 专线接入前验证。
2、终端上云
(1)lnternet 终端安全接入 VPC ,无论何时何地,只要有 Internet 即可一键安全接入 VPC ,是利用 ssl-VPN 的方式接入到阿里云,出差,办公或者小型机构。
(2)终端上云场景:
a 出差接入,小型分支机构
b 办公接入
c 多操作系统支持,手机,微软,苹果,ios,安装
