腾讯云 VPN 连接具备高可用性,当用户 IDC 通过主备 VPN 通道上云,且主通道发生故障时,业务将自动切换到备用通道上,保证了业务的持续性、从而提高业务可靠性。本文以 IDC 与单个腾讯云 VPC 实现主备容灾为例。
容灾方案
前提条件
配置流程
1. 创建 VPN 网关
2. 创建对端网关
3. 创建 VPN 通道(主备)
4. IDC 侧配置
5. 配置 VPN 网关路由
6. 配置通道健康检查
7. 配置 VPC 路由策略
8. 激活 VPN 通道
操作步骤
步骤一:创建 VPN 网关
说明
本文以3.0版本的 VPN 网关为例。
1. 登录 私有网络控制台。
2. 在左侧目录中选择 VPN 连接 > VPN 网关,进入管理页。
3. 在 VPN 网关管理页面,单击新建。
4. 在弹出的新建 VPN 网关对话框中,配置如下网关参数。
参数名称 | 参数说明 |
计费方式 | 支持按流量计费和包年包月。按流量计费适用于带宽波动较大的场景;包年包月适用于带宽较稳定的场景。 |
地域 | 展示 VPN 网关所在地域。 |
可用区 | 选择当前网关所在的可用区。 |
协议类型 | 支持 IPSec 和 SSL 两种协议类型。 |
网络类型 | 此处选择私有网络。 |
私有网络 | 仅当网络类型为私有网络时,此处需要选择 VPN 网关将要关联的具体私有网络。 |
带宽上限 | 请根据业务实际情况,合理设置 VPN 网关带宽上限。 |
网关名称 | 填写 VPN 网关名称,不超过60个字符。 |
标签 | 标签是对 VPN 网关资源的标识,目的是为了方便更快速的查询和管理 VPN 网关资源,非必选配置,您可按需定义。 |
5. 完成网关参数设置后,单击创建启动 VPN 网关的创建。
此时状态为创建中,等待约1~2分钟,创建成功的 VPN 网关状态为运行中,系统为 VPN 网关分配一个公网 IP。
步骤二:创建对端网关
在腾讯云侧创建对端网关 D。
1. 在左侧导航栏选择 VPN 连接 > 对端网关。
2. 在对端网关管理页面,选择地域,单击新建。
3. 填写对端网关名称,公网 IP 填写对端 IDC 侧的 VPN 网关设备的静态公网 IP ,根据需要设置标签。
名称:填写对端网关名称。
公网 IP:填写 IDC 侧 VPN 网关所在的 公网 IP 地址。
4. 单击确定。
在腾讯云侧创建对端网关 E。
重复对端网关 A 的创建步骤1 ~ 步骤4。
步骤三:创建 VPN 通道(主备)
VPN 网关和对端网关创建完成后,需要创建两条 VPN 网关与 IDC 侧相连的 VPN 通道,一条作为主通道,一条作为备用通道。
创建主用通道 B
1. 在左侧导航栏选择 VPN 连接 > VPN 通道。
2. 在 VPN 通道管理页面,选择地域,单击新建。
3. 在弹出的页面中填写 VPN 通道信息,具体参数配置请参考 新建 VPN 通道。通信模式选择“目的路由”。
4. 单击创建。
创建备用通道 C
重复主用通道 B 的创建步骤1 ~ 步骤4,通信模式选择“目的路由”。
步骤四:IDC 侧配置
完成前三步骤后,腾讯云上 VPN 网关和 VPN 通道的配置已经完成,需要继续在 IDC 侧的本地网关上配置另一侧的 VPN 通道信息,具体请参考 本地网关配置。IDC 侧的“本地网关”即为 IDC 侧的 IPsec VPN 设备,该设备的公网 IP 记录在 步骤二 的“对端网关”中。
注意
配置时,主备 VPN 通道对应的 IDC 侧 VPN 网关均需配置。
步骤五:配置 VPN 网关路由
截止至步骤四,已经将主备 VPN 通道配置成功,需要在 VPN 控制台配置 VPN 网关至 VPN 通道的路由。
1. 在左侧导航栏选择 VPN 连接 > VPN 网关,并在右侧 VPN 网关列表中找到步骤一创建的 VPN 网关 A,并单击其名称。
2. 在 VPN 网关 A 详情页签,单击路由表页签,并单击新增路由。
3. 在新建路由页面配置 VPN 网关 A 至 VPN 通道 B 和 VPN 通道 C 的路由策略。
配置项 | 说明 |
目的端 | 填写待访问的对端网络的网段,即 IDC 侧提供对外访问的网段。 |
下一跳类型 | 系统自动填充 VPN 通道。 |
下一跳 | 选择创建好的 VPN 通道。 |
权重 | VPN 通道 B 填写 0。 VPN 通道 C 填写100。 0 表示优先级高,100表示优先级低。 |
4. 单击确定。
步骤六:配置通道健康检查
VPN 网关路由配置完成后,为 VPN 通道健康检查(主备通道均需配置)。
说明
当健康检查触发主备通道切换,可能会出现短暂的业务中断,请勿担心,1~2秒后主备通道切换成功后业务恢复正常。
主用通道 B 健康检查配置
1. 在左侧导航栏选择 VPN 连接 > VPN 通道,并在右侧 VPN 通道列表中找到创建好的 VPN 通道,然后单击 VPN 通道名称。
2. 在通道基本信息页签单击编辑。
3. 打开健康检查开关,输入健康检查本端地址和健康检查对端地址,并单击保存。
说明:
本端地址:填写腾讯云侧向 IDC 发起健康检查的访问请求 IP 地址。该 IP 地址不能为 VPC 内 IP 地址。
对端地址:填写 IDC 侧用于响应腾讯云健康检查请求的 IP 地址。该 IP 地址请勿与腾讯云侧地址相同,以防 IP 冲突。
当腾讯云侧发起健康检查请求,访问请求通过通道到达 IDC 后,发现有健康检查响应 IP 地址,表示通道健康正常,如果没有表示异常。
备用通道 C 健康检查配置
重复主用通道健康检查配置步骤1 ~ 步骤3,其中健康检查连接不能与主用通道的健康检查连接相同。
步骤七:配置 VPC 路由策略
截止至步骤五,已经将主备 VPN 通道配置成功,需要配置 VPC 路由策略,将子网中的流量路由至 VPN 网关上,子网中的网段才能与 IDC 中的网段通信。
1. 登录 私有网络控制台。
2. 在左侧目录中单击子网,选择对应的地域和私有网络,单击子网所关联的路由表 ID,进入详情页。
3. 单击新增路由策略。
4. 在弹出框中,输入目的端网段,下一跳类型选择VPN 网关,下一跳选择刚创建的 VPN 网关,单击创建即可。
步骤八:激活 VPN 通道
使用 VPC 内的云服务器 ping 对端网段中的 IP,以激活 VPN 隧道,可以 ping 通表示 VPC 和 IDC 可以正常通信。
当 VPN 路由表中探测 VPN 主用通道 B 路由不可达时,系统自动将流量切换至 VPN 通道 C,确保业务的高可用性。