云平台VPN功能对比

目前云平台中提供的VPN功能按照用途大致可以分为三类：

1. 云平台VPC互联

在两个不同的VPC之间进行网络连接，两个VPC中的实例可以通过私网IP通信。互联的两个VPCCIDR地址块不能存在重叠或匹配，一对VPC之间通常只能建立一个连接服务。

常见的功能流程是：

创建本端网关：

通常需要设置一个名称，选择本端要建立连接的VPC，并设定对端VPC的相关信息，包括对端VPC所属的账户，区域，VPC名称，要连接的路由器ID等。

 

申请建立连接：

由连接的发起端（本端）申请建立连接。如果要连接的是同一账户下的VPC，连接建立后可以立刻生效。如果要连接的是其他账户下的VPC，则需要等待对方确认接受连接。

 

连接成功建立：

页面上的连接状态会发生改变，显示为已连接或active。要保证数据的正常通信，通常还需要在路由表，安全组，网络ACL中建立相应的放行规则。

双方都可以取消连接。

 

提供了此项功能的平台主要包括：

平台

服务名称

跨账户

跨区域

连接传递

AWS

对等连接

支持

不支持

不支持

阿里云

专有网络连接

支持

支持

不详

腾讯云

对等连接

支持

不支持

不支持

2、云平台私有网络和物理机房之间互联

这也是VPN最常见的使用类型，大部分的云平台都提供了此项功能。这一功能通常有两种实现方式，一种是通过软件来建立VPN通道，一种是通过物理专线来建立专门的连接。

2.1 软件方式虚拟隧道

软件方式的虚拟隧道有两种常见的类型：GRE和IPsec。通常由用户在云平台的页面上进行一系列的配置，连接建立后可立即生效。

虚拟隧道也可以用于在私有网络（非VPC）之间建立连接，实现内网的互联。

 

通常要配置的项目包括：

名称：设定一个名称，便于识别

本端网络：要进行连接的本端私有网络，本端私有网络需要与路由器关联

目标网络：要连接的对端私有网络CIDR

目标IP：要连接到的远端路由器的公网IP地址

加密密钥：通常是密钥，也可能有其他的加密方式

 

IPsec隧道可能还需要配置IKE策略和IPsec策略。

 

配置完成后，即可提交信息，创建连接。连接建立成功后需要对两端的路由规则，安全规则进行相应的配置，放行要进行通信的端口和地址。

 

提供此项功能的平台主要包括：

平台

服务名称

AWS

虚拟专用网关

腾讯云

VPN通道（IPsec隧道）

青云

隧道服务（GRE隧道，IPsec隧道）

UnitedStack

GRE隧道，IPsec隧道

天翼云

IPsec VPN

华为云

VPN（IPsec隧道）

AWS的使用流程与其他平台不同，流程示意如下：

2.2 物理专线

物理专线指的是从用户本地的数据中心到云平台建立的专用物理线路连接。

物理专线的优点是网络质量和网络安全高，网络带宽通常比软件虚拟隧道高，延时比软件虚拟隧道低。缺点是费用较高，施工时间较长。

用户申请建立物理专线的使用流程通常为：

申请专线：

用户在云平台页面申请专线时通常需要选择专线的接入点/接入区域，运营商，接入端口类型，接入带宽，并填写好专线的对端物理数据中心地址。

提交申请后，系统会有专人进行审核。审核通过并付费后，专线开始施工，需要等待一段时间。

专线施工完成后，从云平台到物理数据中心的物理网络就已经连通。

用户通常可以选择委托云平台联络运营商来进行专线的建设，或者自行联系运营商完成建设。

 

创建连接：

物理专线建设完毕后，用户需要在云平台页面创建连接，将物理专线与私有网络连通。

通常需要用户填写名称，选择建立好的物理专线和要连通的私有网络。

可能同时需要设置VLANID，BGP协议等信息。

 

创建接口：

该组件通常需要设置地址转发，路由规则等信息。VLAN ID，BGP协议等信息也有可能在此组件上进行设置。

 

提供此功能的云平台主要包括：

平台

服务名称

AWS

Direct Connect

腾讯云

专线接入

阿里云

物理专线

UCLOUD

跨域通道UDPN

3、云平台私有网络和物理主机之间互联

有些云平台为用户提供了从本地物理主机远程接入云平台中私有网络的方法，通常可以支持的协议有OpenVPN和PPTP两种。

OpenVPN：

使用流程示意如下：

创建服务：

创建服务时用户需要进行一些配置，通常包括如下信息。

端口：要开放的VPN端口

协议：可以选择TCP或UDP

验证方式：可以选择证书、用户名/密码或证书+用户名/密码

对端网络地址：指用户本地的网络地址段CIDR

带宽：可以对VPN服务的带宽进行限制

 

下载证书：

服务创建完成后，用户需要在云平台页面上将证书下载到本地，在本地的客户端中进行配置。有些云平台针对不同的操作系统提供不同的证书。

 

PPTP：

创建服务时用户需要进行一些配置，通常包括如下信息。

用户名/密码：用户在本地通过用户名/密码来开启PPTP服务

最大连接数：最多可以同时连接的客户端个数

对端网络地址：指用户本地的网络地址段CIDR

 

使用PPTP服务通过配置的用户名/密码，访问VPN的公网IP地址即可建立连接。

 

建立VPN服务后，还需要添加相应的安全规则（防火墙，安全组等），放行服务使用的端口。

 

提供此功能的云平台主要包括：

平台

服务名称

青云

VPN服务（OpenVPN & PPTP）

UnitedStack

VPN服务（OpenVPN & PPTP）

UCLOUD

虚拟网络VPN（OpenVPN）

云平台VPN功能汇总