在5月22日的网络动态直播中,由阿里云产品经理奈玟带来了“VPN网关SSL-VPN产品介绍”。本次主题分享主要从SSL-VPN和IPsec-VPN网关的功能和产品优势开始引入,对VPN网关的几个经典应用场景进行了讲解,对收费标准和使用流程进行了介绍,最后进行了现场实际操作演练。
数十款阿里云产品限时折扣中,赶快点击这里,领券开始云上实践吧!
直播视频请点击
PPT下载请点击
以下为精彩视频内容整理:
功能介绍
首先我们一起回顾一下VPN网关的产品历程,2017年5份VPN网关中国站开始公测支持IPsec-VPN功能,9月份开始商业化增加了监控功能,11月份国际站发布,12月份发布了VPN-HUB功能,2018年1月份发布SSL-VPN功能,5月份所有地域支持VPN并提供购买API,方便了开发者用户。
功能概述
VPN网关可以将云上的VPC私网和企业私网安全可靠的连接起来,不提供Internet访问能力。VPN网关典型的应用场景是混合云,企业同时拥有公有云和线下的IDC,都部署了前端服务和后端系统。IDC和公有云之间都需要保持系统同步,同时企业员工也要访问这些内部系统。后端系统是整个混合云服务的基础,而将这些点连接起来的内部网络是后端系统的基础。
SSL-VPN功能概述
SSL-VPN提供点到站点的私网服务,典型的应用场景是移动办公远程运维等。它只需要终端设备能访问Internet即可访问到云端的内部系统,不需要专门的硬件网络设备,让您可以在度假的时候远程访问部署在云端的VPC。SSL-VPN包含三个基本的产品组件,第一个是VPN网关,它是阿里云侧VPN网关实例,位于VPC内。第二个是SSL服务端,它可以对阿里云侧SSL服务端,用于对SSL隧道接入管理。第三个是SSL客户端,它是客户侧接入设备的抽象,用于接入设备的认证和证书的管理。
IPsec-VPN功能概述
为VPN提供站点到站点的私网服务,典型的应用场景是构建混合云、办公室接入云端内部系统等。它需要云上的VPN网关和云下的用户网关之间基于Internet建立加密隧道。同样的它也包含了三个基本的组件,有VPN网关,用户网关是线下VPN设备的一个抽象,IPsec连接是云上的VPN网关和云下的用户网关之间基于Internet建立的IPsec加密隧道。所以IPsec-VPN和SSL-VPN除了应用场景不同以外,用户的感知也是不一样的。SSL-VPN是用户直接拨号连接,IPsec-VPN一般是企业的网络管理员将IPsec协议建立好而最终用户是不感知IPsec隧道存在的,感知到的是两边已经打通好的私网。
VPN网关产品优势
VPN网关的优势有下面几点:
- 安全:安全是VPN网关的核心特点,VPN本身就是一个安全的解决方案,线下通过Internet直接就能访问VPC,VPN网关提供了数据加密防篡改抗攻击的能力。
- 可靠:云端的VPN网关是主备双实力双机热备部署的,主备之间实时同步,主节点故障以后会自动切换到备节点。
- 便捷:便捷是相对于专线接入的一个对比,因为VPN网关是基于Internet的,它具备快速搭建即插即用的优势。
- 划算:它比高速通道的成本要降低70%,另外在IPsec-VPN访问的站点到站点连接的场景下一个VPN网关只收一次费用,可以提供10个IPsec-VPN隧道。
应用场景
场景一 IDC安全上云
IDC安全上云也就是构建混合云网络,相对于专线VPN网关具有成本低开通周期短的优势。但是VPN网关的质量要低于专线,对于高质量要求的企业可以作为专线接入前的验证,或者专线接入的一个备份。
场景二 Internet终端安全接入
Internet终端安全接入适用于移动办公远程运维等,通过阿里云SSL-VPN功能可以在出差的途中或者在家里打开终端,拨号就可以进入阿里云办公。需要说明的是阿里云的SSL-VPN是全球首家不绑定任何操作系统的SSL-VPN产品,可以支持windows、linux、苹果、安卓等多种操作系统。
场景三 多站点互连VPN-HUB
大型企业一般在线下有多个办公点,同时也有各个地方出差远程运维终端接入,这些终端办公点不光需要访问阿里云VPC私网也需要线下互联。这个时候可以分别和云上SSL-VPN或者IPsec-VPN连接,线下的办公点和终端之间即可实现互访。
场景四 VPN+高速通道构建企业网络
大型企业通常在云上部署服务用于提升当地的访问质量,同时在线下也有多个办公点,这个时候需要线下不同地域的办公点与云上不同的VPC之间全连接组成一个网络。这个时候有几个解决方案,第一个方案和场景三一样,所有的办公点和云上的VPC之间通过VPN互联。但是由于云上的地域之间距离比较远,VPN网关是通过Internet建立的IPsec隧道,距离加大的情况下会受到Internet时延的影响;第二个解决方案是所有的办公点和不同的VPC之间通过高斯通道互联,在这种场景下网络质量非常好,但是花费会比较高;第三个解决方案就是本地办公点连到本地的VPC,用VPN网关连接,让不同的地域VPC之间通过高斯通道互联。就是在本地通过VPN解决最后一公里接入的问题,跨云上的大距离的传输通过高斯通道互联,在这种情况下既保证了网络的质量又保证了网络的速度,也节省了成本。
场景五 经典网络支持
VPN网关或者其他的网络服务都是基于VPC的,无法对经典网络来服务,但是我们可以用经典网络ClassicLink功能把一个经典网络ECS和有VPN网关服务的VPC建立连接,通过ClassicLink路由来和云下的办公点建立连接。
产品定价
定价逻辑
VPN网关的定价比较复杂,它一共包含四个部分的费用,按需选择选择不同的功能对应不同的费用,下面对这四项费用进行介绍:
- 带宽费:带宽费是基础费用,因为VPN网关是通过Internet建立连接的云端的公网带宽是需要收费的,带宽费用是不管任何功能的一项基础费用。
- IPsec-VPN实例费:IPsec-VPN实例费只在开启IPsec-VPN功能才会收取,它的价格取决于选择的VPN网关带宽规格,
- SSL-VPN实例费:SSL-VPN实例费也是开启SSL-VPN功能才会收取,它的费用也取决于选择的VPN网关带宽规格。
- SSL规格费:SSL规格费是在开启SSL-VPN功能以后才会收取费用,费用取决于根据选择的并发连接数规格。
VPN网关收费标准
VPN网关有三个收费标准,下面进行介绍:
带宽费:按带宽规格按月收取的,在中国站是5Mbps: 125,10Mbps: 525,20Mbps: 1325,50Mbps: 3725,100Mbps: 7725。
实例费:SSL-VPN和IPsec-VPN的收费是一样的,是按带宽规格收费的10Mbps :250,100Mbps:1080。
SSL规格费:这个只和SSL并发有关系。
VPN网关的使用方法
IPsec-VPN使用流程
IPsec-VPN的使用需要四步,第一步是线上购买,购买以后大概三分钟会生效。生效后需要创建一个VPN网关,在创建用户网关的时候需要填写用户网关的公网IP;第三步创建IPsec连接需要选择购买云上的VPN网关和云下的用户网关,并指定连接的本端网段和对端网段,可选调整IPsec协议数据;第四步在VPC配置路由和安全组;第五步是在线下用户网关和云上的VPN网关配置对接并配置路由策略等,配完后IPsec协议即可建立连接,一共大概需要10分钟时间。
SSL-VPN使用流程
首先购买VPN网关,如果是买了VPN网关并且企用了IPsec功能,只需要在原来的VPN网关上变配启用SSL-VPN即可;第二步创建SSL服务端,需要填本端网段和对端网段;第三步创建SSL客户端,客户端创建完成以后会生成一个证书,多个终端可以共享一个证书,也可以为每一个终端建立一个证书;第四步是VPC的配置,这个时候对于SSL-VPN路由会自动下发但是需要配置安全组;最后一步将创建的证书下载下来,下到Internet终端建立连接拨号即可,整个过程大概只需要两分钟即可完成。
实战演示
现在给大家演示一下这台MAC通过SSL-VPN和云上VPC建立私网互联,访问一台ECS的私网地址。比如给大家看一下我现在云上有一台ECS的私网地址是10.20.40.93/24,然后这台电脑来访问这个ECS,这台ECS是属于华东区杭州的一个VPC。
- 首先在这个VPC里面建立一个VPN网关,开启了SSL和IPsec功能;
- 第二步建立SSL服务端,选一个名字便于识别。再选择刚刚购买的VPN网关,在本端网段是指云上需要访问的地址,本端网段可以添加多个。客户端网段指的是我这台MAC需要以什么私网地址来云上建立互联,我们这个场景里给它规划的是192.168.40.0/24,服务端配置完成以后会及时生效;
- 第三步创建SSL客户端,选择刚刚建立的SSL服务端,建立完成以后可以下载这个证书。选择到VPN所在的目录将当前证书拷贝到这个目录,然后解压,解压完成以后当前的配置启动SSL-VPN客户端,建立拨号。
本文由云栖志愿者小组陈欢整理,百见编辑。
VPN网关SSL-VPN产品购买请点击链接:
https://common-buy.aliyun.com/?spm=5176.137100.702916.btn22.25481418vgyK0m&commodityCode=vpn_pre#/buy
相关产品链接
云企业网产品介绍:https://yq.aliyun.com/articles/598078
云托付,值得您托付:https://yq.aliyun.com/articles/598092
EIP香港国际化线路发布及优惠介绍:https://yq.aliyun.com/articles/598088
SLB七层访问日志功能:https://yq.aliyun.com/articles/597330
负载均衡SLB新功能介绍:https://yq.aliyun.com/articles/598094