所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.1 用户指南 (Region Type I) 10

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
申请虚拟私有云

申请虚拟私有云

具有访问Internet能力(可选)的VPC

如果您的应用部署的实例需要与外网隔离,或者部分需要访问外网,可以参考本章节完成对应的VPC的创建。

背景信息

此种配置创建出来的VPC包含两个子网:子网1与子网2(可选)。

  • 子网1与外界隔离,安全系数较高,子网中的实例无法直接与外部网络通信。
  • 子网2通过NAT网关及EIP,可以与Internet互通,该子网中的实例可以共享一个EIP,访问Internet。

需要访问外网的实例创建在子网2中,需要与外网隔离的实例创建在子网1中。创建成功后,如果您的网络需求有变更,可以修改已有的VPC资源,创建或删除子网、对等连接、VPN等。

网络结构如图8-9所示。
图8-9 网络结构
前提条件
  • 已完成VPC对应的外部网络划分,详细的操作请参见为dummy_external_network配置资源标签和为VDC租户分配外部网络。
  • 如果要创建与Internet互通的子网2,需要完成EIP对应的外部网络划分。详细的操作请参见创建外部网络、配置EIP外部网络等价路由及为VDC租户分配外部网络。
操作步骤
  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  1. 在导航栏左上角下拉框选择地域和Project。
  2. 在系统首页,选择“网络 > 虚拟私有云”。
  3. 在“总览”界面,单击“申请虚拟私有云”。

    弹出“选择产品”对话框。

  4. 选择某一款产品,单击“立即申请”。

    进入虚拟私有云申请向导页面。

  5. 选择“具有访问Internet能力(可选)的VPC”页签,单击“确认申请”。

    进入申请界面。

  6. 参考表8-4配置VPC的基本信息。

    表8-4 VPC基本信息

    参数

    说明

    取值样例

    当前区域

    页面自动显示当前区域,可在页面左上角切换区域。

    az1.dc1

    名称

    VPC的名称,只能由中文、英文字母、数字、下划线或中划线组成。

    VPC-001

    外部网络

    在下拉框中选择可用分区,并选择VPC对应的外部网络。若外部网络显示为空,请联系管理员参考“前提条件”中的指引划分外部网路。

    az0.dc0

    net-01

    申请时长

    申请VPC的使用时间。

    1个月

  7. 参考表8-5配置子网1。子网1与外界隔离,安全系数较高,子网中的实例无法直接与外部网络通信。

    表8-5 子网1参数

    参数

    说明

    取值样例

    子网1名称

    子网1的名称,只能由中文、英文字母、数字、下划线或中划线组成。

    Subnet-f03c

    子网1网段

    子网1的地址范围。

    192.168.0.0/24

    网关

    子网的网关。

    192.168.0.1

    DNS服务器地址1

    关联的DNS服务器IP地址。非必填参数。

    192.168.1.71

    DNS服务器地址2

    关联的DNS服务器IP地址。非必填参数。
    说明:

    DNS服务器地址为空说明该子网不关联DNS服务器。

    如果要使用DNS服务器地址,优先使用“DNS服务器地址1”。

    如果要使用两个以上的DNS服务器地址作为备用,单击下方“增加DNS服务器地址”。

    192.168.1.72

  8. 选择是否开启NAT开关。

    说明:

    如果界面提示“您尚未开通SNAT服务”,请联系管理员在DMK平台开启SNAT功能,具体操作方法请参见SNAT功能如何开通

    • 如果无需创建与Internet互通的子网,保持NAT开关为关闭状态,执行下一步。
    • 如果要创建与Internet互通的子网,开启NAT开关,创建子网2并完成相关配置。
      1. 名称:NAT网关的名称。长度为1~64位,只能由中文、英文字母、数字、下划线和中划线组成。
      2. 外部网络:选择弹性IP对应的外部网络,如果无可选网络,请联系管理员先完成外部网络划分。
      3. 弹性IP地址:如果没有可选的弹性IP,单击查看弹性IP,申请新的弹性IP。

        子网2中的实例通过NAT网关,共享一个EIP访问Internet。

      4. 其他子网2的参数请参考表8-5完成配置。
      5. 规格:表示NAT网关支持的连接数的规模,各规格的详情如表8-6
        表8-6 NAT网关规格表

        规格

        SNAT最大连接数

        SNAT每秒新建连接数

        小型

        10,000

        1,000

        中型

        50,000

        5,000

        大型

        200,000

        10,000

        超大型

        1,000,000

        30,000

  9. 确认各项参数配置无误后,单击“立即申请”。

具有访问Internet能力(可选)且与已有VPC互通的VPC

如果您的应用部署的实例需要与外网隔离,或者部分需要访问外网,同时需要与同一区域(Region)已有的VPC互通,可以参考本章节完成对应的VPC的创建。

背景信息

此种配置创建出来的VPC包含两个子网:子网1与子网2,且支持该VPC通过对等连接,与所在区域(Region)的另外一个VPC互通。子网1与对等连接为必选操作,子网2、NAT网关及弹性IP为可选操作。如果您的实例无需要访问Internet,忽略可选操作。创建成功后,如果您的网络需求有变更,可以修改已有的VPC资源,创建或删除子网、对等连接、VPN等。

  • 子网1、3与外界隔离,安全系数较高,子网中的实例无法直接与外部网络通信。
  • 子网2中的实例通过NAT网关,共享一个EIP访问Internet。
  • 创建的VPC的子网1与同一Region内已有的另外一个VPC,通过对等连接互通。

需要访问外网的实例创建在子网2中,需要与外网隔离的实例创建在子网1中。

网络结构如图8-10所示。
图8-10 网络结构
前提条件
  • 已完成VPC对应的外部网络划分,详细的操作请参见为dummy_external_network配置资源标签和为VDC租户分配外部网络。
  • 如果要创建与Internet互通的子网2,需要完成EIP对应的外部网络划分。详细的操作请参见创建外部网络、配置EIP外部网络等价路由及为VDC租户分配外部网络。
  • 对端VPC已创建,且与待创建的VPC位于同一Region、对应的外部网络在同一个网络分组中,如group1。
操作步骤
  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  1. 在导航栏左上角下拉框选择地域和Project。
  2. 在系统首页,选择“网络 > 虚拟私有云”。
  3. 在“总览”界面,单击“申请虚拟私有云”。

    弹出“选择产品”对话框。

  4. 选择某一款产品,单击“立即申请”。

    进入虚拟私有云申请向导页面。

  5. 选择“具有访问Internet能力(可选)且与已有VPC互通的VPC”页签,单击“确认申请”。

    进入申请界面。

  6. 参考表8-7配置VPC的基本信息。

    表8-7 VPC基本信息

    参数

    说明

    取值样例

    当前区域

    页面自动显示当前区域,可在页面左上角切换区域。

    az1.dc1

    名称

    VPC的名称,只能由中文、英文字母、数字、下划线或中划线组成。

    VPC-001

    外部网络

    在下拉框中选择可用分区,并选择VPC对应的外部网络。若外部网络显示为空,请联系管理员参考“前提条件”中的指引划分外部网路。

    az0.dc0

    net-01

    申请时长

    申请VPC的使用时间。

    1个月

  7. 参考表8-8配置子网1。子网1与外界隔离,安全系数较高,子网中的实例无法直接与外部网络通信。

    表8-8 子网1参数

    参数

    说明

    取值样例

    子网1名称

    子网1的名称,只能由中文、英文字母、数字、下划线或中划线组成。

    Subnet-f03c

    子网1网段

    子网1的地址范围。

    192.168.0.0/24

    网关

    子网的网关。

    192.168.0.1

    DNS服务器地址1

    关联的DNS服务器IP地址。非必填参数。

    192.168.1.71

    DNS服务器地址2

    关联的DNS服务器IP地址。非必填参数。
    说明:

    DNS服务器地址为空说明该子网不关联DNS服务器。

    如果要使用DNS服务器地址,优先使用“DNS服务器地址1”。

    如果要使用两个以上的DNS服务器地址作为备用,单击下方“增加DNS服务器地址”。

    192.168.1.72

  8. 选择是否开启NAT开关。

    说明:

    如果界面提示“您尚未开通SNAT服务”,请联系管理员在DMK平台开启SNAT功能,具体操作方法请参见SNAT功能如何开通

    • 如果无需创建与Internet互通的子网,保持NAT开关为关闭状态,执行下一步。
    • 如果要创建与Internet互通的子网,开启NAT开关,创建子网2并完成相关配置。
      1. 名称:NAT网关的名称。长度为1~64位,只能由中文、英文字母、数字、下划线和中划线组成。
      2. 外部网络:选择弹性IP对应的外部网络,如果无可选网络,请联系管理员先完成外部网络划分。
      3. 弹性IP地址:如果没有可选的弹性IP,单击查看弹性IP,申请新的弹性IP。

        子网2中的实例通过NAT网关,共享一个EIP访问Internet。

      4. 其他子网2的参数请参考表8-5完成配置。
      5. 规格:表示NAT网关支持的连接数的规模,各规格的详情如表8-9
        表8-9 NAT网关规格表

        规格

        SNAT最大连接数

        SNAT每秒新建连接数

        小型

        10,000

        1,000

        中型

        50,000

        5,000

        大型

        200,000

        10,000

        超大型

        1,000,000

        30,000

  9. 参考表8-10配置对等连接。

    图8-11 对等连接
    表8-10 对等连接参数

    参数

    说明

    取值样例

    名称

    对等连接名称。长度为1~64位,只能由中文、英文字母、数字、下划线和中划线组成。

    vpc-peering001

    项目名称

    选择要与此VPC通信的VPC所在的Project。

    说明:

    此处可以选择的Project与此时创建的VPC属于同一个区域(Region)。

    project01

    对端VPC

    选择要建立对等连接的VPC。

    说明:

    此处可以选择的VPC与此时创建的VPC对应的外部网络在同一个网络分组中,如group1。

    vpc-02

    对端VPC网段

    选择对端VPC的网段,支持选择多个网段。选择的网段通过对等连接与步骤 7中创建的子网1互通。

    subnet01

    subnet02

  10. 确认各项参数配置无误后,单击“立即申请”。

具有访问Internet能力(可选)且带有VPN的VPC

如果您的应用部署的实例需要与外网隔离,或者部分需要访问外网,同时需要与其他区域(Region)已有的VPC互通,或与您的本地数据中心通信,可以参考本章节完成对应的VPC的创建。

背景信息

此种配置创建出来的VPC包含两个子网:子网1与子网2(可选),且支持该VPC通过VPN,与其他区域(Region)的VPC或本地数据中心通信。子网1与VPN为必选操作,子网2、NAT网关及弹性IP为可选操作。如果您的实例无需要访问Internet,忽略可选操作。创建成功后,如果您的网络需求有变更,可以修改已有的VPC资源,创建或删除子网、对等连接、VPN等。

  • 子网1、3与外界隔离,安全系数较高,子网中的实例无法直接与外部网络通信。
  • 子网2中的实例通过NAT网关,共享一个EIP访问Internet。
  • 创建的VPC的子网1通过VPN与其他区域(Region)的VPC或本地数据中心互通。

需要访问外网的实例创建在子网2中,需要与外网隔离的实例创建在子网1中。

网络结构如图8-12所示。
图8-12 网络结构
前提条件

已完成VPC、VPN对应的外部网络划分,如果要创建与Internet互通的子网2,还需要完成EIP对应的外部网络划分。详细的操作请参见创建外部网络。

操作步骤
  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  1. 在导航栏左上角下拉框选择地域和Project。
  2. 在系统首页,选择“网络 > 虚拟私有云”。
  3. 在“总览”界面,单击“申请虚拟私有云”。

    弹出“选择产品”对话框。

  4. 选择某一款产品,单击“立即申请”。

    进入虚拟私有云申请向导页面。

  5. 选择“具有访问Internet能力(可选)且带有VPN的VPC”页签,单击“确认申请”。

    进入申请界面。

  6. 参考表8-11配置VPC的基本信息。

    表8-11 VPC基本信息

    参数

    说明

    取值样例

    当前区域

    页面自动显示当前区域,可在页面左上角切换区域。

    az1.dc1

    名称

    VPC的名称,只能由中文、英文字母、数字、下划线或中划线组成。

    VPC-001

    外部网络

    在下拉框中选择可用分区,并选择VPC对应的外部网络。若外部网络显示为空,请联系管理员参考“前提条件”中的指引划分外部网路。

    az0.dc0

    net-01

    申请时长

    申请VPC的使用时间。

    1个月

  7. 参考表8-12配置子网1。子网1与外界隔离,安全系数较高,子网中的实例无法直接与外部网络通信。

    表8-12 子网1参数

    参数

    说明

    取值样例

    子网1名称

    子网1的名称,只能由中文、英文字母、数字、下划线或中划线组成。

    Subnet-f03c

    子网1网段

    子网1的地址范围。

    192.168.0.0/24

    网关

    子网的网关。

    192.168.0.1

    DNS服务器地址1

    关联的DNS服务器IP地址。非必填参数。

    192.168.1.71

    DNS服务器地址2

    关联的DNS服务器IP地址。非必填参数。
    说明:

    DNS服务器地址为空说明该子网不关联DNS服务器。

    如果要使用DNS服务器地址,优先使用“DNS服务器地址1”。

    如果要使用两个以上的DNS服务器地址作为备用,单击下方“增加DNS服务器地址”。

    192.168.1.72

  8. 选择是否开启NAT开关。

    说明:

    如果界面提示“您尚未开通SNAT服务”,请联系管理员在DMK平台开启SNAT功能,具体操作方法请参见SNAT功能如何开通

    • 如果无需创建与Internet互通的子网,保持NAT开关为关闭状态,执行下一步。
    • 如果要创建与Internet互通的子网,开启NAT开关,创建子网2并完成相关配置。
      1. 名称:NAT网关的名称。长度为1~64位,只能由中文、英文字母、数字、下划线和中划线组成。
      2. 外部网络:选择弹性IP对应的外部网络,如果无可选网络,请联系管理员先完成外部网络划分。
      3. 弹性IP地址:如果没有可选的弹性IP,单击查看弹性IP,申请新的弹性IP。

        子网2中的实例通过NAT网关,共享一个EIP访问Internet。

      4. 其他子网2的参数请参考表8-5完成配置。
      5. 规格:表示NAT网关支持的连接数的规模,各规格的详情如表8-13
        表8-13 NAT网关规格表

        规格

        SNAT最大连接数

        SNAT每秒新建连接数

        小型

        10,000

        1,000

        中型

        50,000

        5,000

        大型

        200,000

        10,000

        超大型

        1,000,000

        30,000

  9. 单击“下一步”。

    进入VPN配置界面。

  10. 参考表8-14完成VPN配置。

    图8-13 VPN
    表8-14 VPN参数

    参数

    说明

    取值样例

    VPN网关名称

    VPN网关的名称,长度为1~64位,只能由中文、英文字母、数字、下划线和中划线组成。

    vpn-gateway001

    外部网络

    选择VPN对应的外部网络。

    说明:

    若外部网络显示为空,请联系管理员参考“前提条件”中的指引划分外部网路。

    vpn_external_network

    分配方式

    • 自动分配:系统自动分配本地网关IP地址。
    • 手动分配:用户自行配置本地网关IP地址。

      仅在VPC下首次申请VPN时,显示该参数。

    手动分配

    本地网关地址

    步骤 8中创建的VPC子网1的数据流由此地址,经VPN传递至对端VPC或数据中心。

    仅在VPC下首次申请VPN时,显示该参数。

    192.168.30.2

    带宽名称

    长度为1~64位,只能由中文、英文字母、数字、下划线和中划线组成。

    bandwidth-ea49

    带宽大小

    VPN网关的带宽大小。

    说明:

    在VPN使用过程中,当网络流量超过VPN带宽时,有可能造成网络拥塞,导致VPN连接中断,请您提前做好带宽规划。

    5 Mbit/s

    VPN连接名称

    长度为1~64位,只能由中文、英文字母、数字、下划线和中划线组成。

    vpn-001

    远端网关地址

    您的数据中心或另外一个VPC的公网IP地址,步骤 8中创建的VPC子网1的数据流经VPN传递至本地址。

    192.168.88.88

    远端子网

    您的数据中心或另外一个VPC中需要与创建的VPC通信的子网地址。远端子网网段不能与子网1重叠,也不能与本端VPC已有的对等连接网段重叠。

    192.168.3.0/24,192.168.4.0/24

    预共享密钥

    取值范围为6~128位,不能包含空格以及< > & ? * ' ”。配置值需要与远端VPC或数据中心的VPN预共享密钥一致,否则无法通信。

    Test@123

    确认密钥

    再次输入预共享密钥。

    Test@123

    高级配置

    可选择默认配置或自定义配置。

    如果选择自定义配置,请参考表8-15表8-16填写参数。

    说明:

    IKE策略指定了IPSec 隧道在协商阶段的加密和认证算法,IPSec策略指定了IPSec在数据传输阶段所使用的协议、加密以及认证算法。本端VPC的VPN,这些参数的配置需要与远端VPC或您数据中心的VPN配置保持一致,否则会导致VPN无法建立连接。

    默认配置

    表8-15 IKE 策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:sha1、sha2-256、sha2-384、sha2-512、md5。

    sha1

    加密算法

    加密算法,支持的算法:aes-128、aes-192、aes-256、3des(此算法不安全,请慎用)。

    aes-128

    DH算法

    Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。

    group5

    版本

    IKE密钥交换协议版本,支持的版本:v1、v2。

    v1

    生命周期(秒)

    安全联盟(SA—Secuity Associations)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    86400

    表8-16 IPsec 策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:sha1、sha2-256、sha2-384、sha2-512、md5。

    sha1

    加密算法

    加密算法,支持的算法:aes-128、aes-192、aes-256、3des(此算法不安全,请慎用)。

    aes-128

    DH算法

    Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。

    group5

    传输协议

    IPSec传输和封装用户数据时使用的安全协议,目前支持的协议:ah、esp、ah-esp。

    esp

    生命周期(秒)

    安全联盟(SA—Secuity Associations)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    3600

  11. 确认各项参数配置无误后,单击“确认申请”。
  12. 您还需要再您的本地数据中心或另外一个Region中创建VPN,并配置相同的IKE策略及IPsec策略。
翻译
下载文档
更新时间:2019-08-15

文档编号:EDOC1100043090

浏览量:17604

下载量:563

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页