今天的文章會講到雲地混合的實際應用,像筆者以往的客戶經驗中,遇過需要將地端的IDC機房與阿里雲做結合;又或者需要使用者,透過筆電等行動裝置連線進入雲端。這些情況下就可以使用VPN Gateway來達到需要的效果。
在開始操作以前,請先規劃好各個區域的網段避免重疊,接著我們會透過VPN Gateway將阿里雲以及IDC機房連接,同時設置一個SSL VPN提供使用者透過筆電等行動設備連接,接著開啟雙因子認證,讓使用者在連線時,不僅需要完成證書認證,也需要完成雙因子認證後才可訪問,提高了VPN連接的安全性與可管理性。
實務操作
1.創建VPN Gateway,依照用戶自身的需求以及VPC所在Region購買VPN Gateway的實例
2.創建Customer Gateway,以本文為例,將On-Permise的防火牆設備Public IP 添加為 Customer Gateway
3.設定IPSec Connection(按以下順序)
- IPSec Connection名稱
- 選擇對應的VPN Gateway
- 選擇對應的Customer Gateway
- 共用密鑰(可自定義輸入,不填寫即系統自動產生)
- IKE Tunnel資訊(Phase 1),需與機房設備一致
- IPSec協定資訊(Phase 2),需與機房設備一致
- 稍後兩端協商完成後,即會出現下圖(機房設備需注意Policy是否正確)
4.創建SSL Server(按以下順序)
- SSL Sever名稱
- 選擇綁定的VPN Gateway
- 連接端網段(VPC、On-Permise防火牆網段)
- 用戶端網段(使用者網段,需與其他網段錯開 )
- 開啟雙因子認證後選擇相對應的IDaaS實例
5.創建SSL Client,選擇對應的SSL Server後,創建SSL Client 並下載對應的證書,可供用戶使用
6.VPN Gateway發布路由,在以上設定完成後,需回到VPN Gateway實例內,將On-Permise內網的網段新增進路由中
7.登入IDaaS Console(按以下順序)
- 先在搜尋欄位找尋IDaaS
- 點選Organizations and Groups
- 創建帳戶
- 輸入帳戶資訊,例如:密碼、郵件、顯示的名稱等等,完成後就可以點選提交
- 創建好的帳戶
8.透過Open-VPN登入,輸入方才在IDaaS創建好的帳戶和密碼就可以連接VPC內網,登入ECS主機和On-Permise的主機
- 實際驗證,透過左圖,可看到從筆電上連接阿里雲的ECS以及機房的設備,都是沒有問題的;同時,也可看到右圖,從阿里雲的ECS也是可以順利連接到機房的設備。
結語
隨著時代的進步與趨勢,會有越來越多地端搬遷上雲,會需要將雲端與地端連接,在今天的實作中,我們將雲端與地端透過VPN Gateway連接起來,目前阿里雲的VPN支援IKEv1和IKEv2通訊協定,有一定的安全程度,如想要更安全的方式可以加入IDaaS,透過身分驗證方式讓連線更安全,像是這兩年疫情的關係,就有越來越多的WFH的需求,這時就非常適合採用今天分享的此種方式,希望各位讀者看完這篇文章有所收穫。
*本文由宏庭架構師所撰寫,同步刊登於iThome 鐵人賽專區
>更多阿里雲相關內容,再且密切追蹤阿里雲架構師專欄