AccessVPN搭建最佳实践

概览

通过VPN拨号的方式，实现外网终端与云平台内部资源的安全连接，方便用户在任何地点远程安全接入智能云。

需求场景

需求场景1：面向企业 IT 人员，提升云上资源的管理维护

可以简化云上资源运维，消除云上和云下资源的运维差异。

需求场景2：面向企业普通员工，提供混合云下的移动办公解决方案

加速企业IT基础设施的数字化转型，实现真正的移动办公，让公司员工无论何时何地都可以如同在公司内网一样接入企业IT系统。

方案概述

如下图所示，用户可以使用BCC云服务器产品搭建Access VPN服务器作为客户端远程连接智能云上资源的VPN网关。云平台为用户提供了集成开源Open VPN Access Server的服务集成镜像，用户在创建BCC时可以使用该镜像快速搭建Access VPN服务。

服务搭建完成后，用户可在安装了VPN客户端的PC上接入VPN，实现在远程内网访问到云服务器资源（如下图中云服务器A和云服务器B）的需求场景。

配置步骤

环境准备

• 客户端：可以连接到Internet的PC或者笔记本电脑
• 服务端：一台绑定了公网IP的BCC，作为Access VPN 网关
• 服务端配置建议：500个用户并发连接规模推荐采用bcc.g3.c4m16型号（Intel Xeon(Skylake) Gold 6148，4核 CPU，16GB内存）来承载，如果仅是几名运维人员登录，采用较低配置服务器（如bcc.g3.c1m4）即可

说明：EIP带宽可根据用户实际使用情况灵活调整。

服务端（Access VPN网关）配置示例

1. 云平台为用户提供了集成了开源Open VPN Access Server的服务镜像帮助用户快速搭建VPN网关。用户在智能云Console中购买BCC，使用镜像选择"服务集成镜像 > Access VPN CentOS6.5 (64位) 版"。

说明：用户也可以选择合适的公共镜像自行下载VPN Server安装包搭建VPN网关。

2. 在购买页面同时选择“购买弹性公网IP”，并根据您的需要选择适合的计费方式和带宽峰值。

3. 完成服务器创建后，在实例列表界面复制第一步创建的Access VPN服务器的公网IP，如下图所示为180.76.159.65。

4. SSH登录Access VPN服务器，修改/root/client.ovpn文件中第四行的为服务器的公网IP。

以本例中的公网IP 187.76.159.65为例，可以使用命令sed -ri "s/remote\s+\s+1194/remote 187.76.159.65 1194/g" /root/client.ovpn。命令仅供参考，用其他方法修改也是可以的。

下图为修改后的client.ovpn文件：

5. 将client.ovpn文件从Access VPN服务器里取出，并复制到客户端所在机器。
6. 如果需要下发路由和DNS配置，可以登录Access VPN服务器，在/etc/openvpn/server.conf 增加push配置项，然后 service openvpn restart 重启VPN服务。

客户端（Open VPN Client）配置示例

1. Windows/Linux/Mac系统，登录Open VPN的官网，下载并安装对应操作系统的客户端。

2. 将从服务端复制好的配置文件client.ovpn加载到配置中。

3. 启动Open VPN Client，选择加载好的配置文件进行连接，登录成功。

测试验证

在完成全部配置的A用户的PC或者笔记本电脑上，通过Ping测试连接云服务器BCC的内网IP（云服务器A的内网IP地址是192.168.64.5，云服务器B的内网IP地址是192.168.64.6）。若能Ping通，则说明VPN搭建成功。

至此，用户A通过Access VPN方式，成功连接到云平台内部的BCC资源。

相关产品

云服务器BCC、弹性公网IP