百度智能云

百度智能云百度智能云
最佳实践 > AccessVPN搭建最佳实践
AccessVPN搭建最佳实践
  • 概览
  • 需求场景
  • 需求场景1:面向企业 IT 人员,提升云上资源的管理维护
  • 需求场景2:面向企业普通员工,提供混合云下的移动办公解决方案
  • 方案概述
  • 配置步骤
  • 环境准备
  • 服务端(Access VPN网关)配置示例
  • 客户端(Open VPN Client)配置示例
  • 测试验证
  • 相关产品

AccessVPN搭建最佳实践

更新时间:

概览

通过VPN拨号的方式,实现外网终端与云平台内部资源的安全连接,方便用户在任何地点远程安全接入智能云。

需求场景

需求场景1:面向企业 IT 人员,提升云上资源的管理维护

可以简化云上资源运维,消除云上和云下资源的运维差异。

需求场景2:面向企业普通员工,提供混合云下的移动办公解决方案

加速企业IT基础设施的数字化转型,实现真正的移动办公,让公司员工无论何时何地都可以如同在公司内网一样接入企业IT系统。

方案概述

如下图所示,用户可以使用BCC云服务器产品搭建Access VPN服务器作为客户端远程连接智能云上资源的VPN网关。云平台为用户提供了集成开源Open VPN Access Server的服务集成镜像,用户在创建BCC时可以使用该镜像快速搭建Access VPN服务。

服务搭建完成后,用户可在安装了VPN客户端的PC上接入VPN,实现在远程内网访问到云服务器资源(如下图中云服务器A和云服务器B)的需求场景。

infoflow 2021-12-27 16-31-21.png

配置步骤

环境准备

  • 客户端:可以连接到Internet的PC或者笔记本电脑
  • 服务端:一台绑定了公网IP的BCC,作为Access VPN 网关
  • 服务端配置建议:500个用户并发连接规模推荐采用bcc.g3.c4m16型号(Intel Xeon(Skylake) Gold 6148,4核 CPU,16GB内存)来承载,如果仅是几名运维人员登录,采用较低配置服务器(如bcc.g3.c1m4)即可

说明:EIP带宽可根据用户实际使用情况灵活调整。

服务端(Access VPN网关)配置示例

  1. 云平台为用户提供了集成了开源Open VPN Access Server的服务镜像帮助用户快速搭建VPN网关。用户在智能云Console中购买BCC,使用镜像选择"服务集成镜像 > Access VPN CentOS6.5 (64位) 版"。

图片 1.png

说明:用户也可以选择合适的公共镜像自行下载VPN Server安装包搭建VPN网关。

  1. 在购买页面同时选择“购买弹性公网IP”,并根据您的需要选择适合的计费方式和带宽峰值。

图片 1.png

  1. 完成服务器创建后,在实例列表界面复制第一步创建的Access VPN服务器的公网IP,如下图所示为180.76.159.65。

图片 1.png

  1. SSH登录Access VPN服务器,修改/root/client.ovpn文件中第四行的为服务器的公网IP。

以本例中的公网IP 187.76.159.65为例,可以使用命令sed -ri "s/remote\s+\s+1194/remote 187.76.159.65 1194/g" /root/client.ovpn。命令仅供参考,用其他方法修改也是可以的。

下图为修改后的client.ovpn文件:

图片 1.png

  1. 将client.ovpn文件从Access VPN服务器里取出,并复制到客户端所在机器。
  2. 如果需要下发路由和DNS配置,可以登录Access VPN服务器,在/etc/openvpn/server.conf 增加push配置项,然后 service openvpn restart 重启VPN服务。

客户端(Open VPN Client)配置示例

  1. Windows/Linux/Mac系统,登录Open VPN的官网,下载并安装对应操作系统的客户端。

  2. 将从服务端复制好的配置文件client.ovpn加载到配置中。

图片 1.png

  1. 启动Open VPN Client,选择加载好的配置文件进行连接,登录成功。

测试验证

在完成全部配置的A用户的PC或者笔记本电脑上,通过Ping测试连接云服务器BCC的内网IP(云服务器A的内网IP地址是192.168.64.5,云服务器B的内网IP地址是192.168.64.6)。若能Ping通,则说明VPN搭建成功。

至此,用户A通过Access VPN方式,成功连接到云平台内部的BCC资源。

相关产品

云服务器BCC弹性公网IP