警告

NOTICE: THIS DOCUMENTATION SITE HAS BEEN SUPERSEDED.

For the current documentation site goto: http://docs.cloudstack.apache.org

远程访问VPN

CloudStack account owners can create virtual private networks (VPN) to access their virtual machines. If the guest network is instantiated from a network offering that offers the Remote Access VPN service, the virtual router (based on the System VM) is used to provide the service. CloudStack provides a L2TP-over-IPsec-based remote access VPN service to guest virtual networks. Since each network gets its own virtual router, VPNs are not shared across the networks. VPN clients native to Windows, Mac OS X and iOS can be used to connect to the guest networks. The account owner can create and manage users for their VPN. CloudStack does not use its account database for this purpose but uses a separate table. The VPN user database is shared across all the VPNs created by the account owner. All VPN users get access to all VPNs created by the account owner.

注解

确保不是所有的网络流量走VPN。也就是说,用于配置VPN的route不是唯一用于该guest network,也不承担全部的网络流量。

  • 公路勇士/远程访问. .用户希望可以安全地从家里或者办公室连接到云里的一个 私有网络。特别是连接的客户端的IP地址是动态决定的,不能预先配置到VPN 服务器上。
  • Site to Site 站点到站点。在这个场景中,两个私有子网通过公共互联网上的一个安全VPN隧道互联。云用户的子网 (例如:办公室的网络)通过一个网关连接到云中的网络。用户的网关地址必须被预先配置到云的VPN服务器上。注意:通过 L2TP-over-IPsec 协议可以用来配置站点到站点的 VPN,虽然这不是该特性的最初目标。更多信息,参考”配置站点到站点的VPN连接”。

配置远程访问VPN

为云设置VPN:

  1. 使用管理员或者终端用户账号登录CloudStack UI。
  2. 在左侧导航栏,点击 全局设置
  3. 设置以下全局配置参数。
    • remote.access.vpn.client.ip.range – 分配给远程访问VPN客户端的IP地址范围。第一个IP被VPN服务器使用。
    • remote.access.vpn.psk.length – IPsec密钥长度。
    • remote.access.vpn.user.limit – 单个账户的最大VPN用户数量。

为特定的网络启用VPN:

  1. 使用用户或管理员身份登录到CloudStack用户界面。

  2. 在左边导航栏,点击网络。

  3. 选择你要操作的网络名称

  4. 点击查看IP地址。

  5. 点击一个显示的IP地址名称。

  6. 点击启用VPN按钮。|vpn-icon.png|

    IPsec密钥将显示在弹出的窗口中。

为VPC配置远程访问VPN

在VPC中启用远程访问VPN,任何VPC以外的VPN客户端都可以使用远程VPN连接访问VPC中的VM。VPN客户端可以在除了用户启用了远程访问VPN服务的VPC中的任何位置。

为VPC开启VPN:

  1. 使用用户或管理员身份登录到CloudStack用户界面。

  2. 在左边导航栏,点击网络。

  3. 在选择视图中,选择VPC。

    此帐号创建的所有VPC将显示在页面中。

  4. 点击VPC的配置按钮。

    对于每一个层,会显示以下选项。

    • 内部LB
    • 公共LB IP
    • 静态 NAT
    • 虚拟机
    • CIDR

    显示以下路由器信息:

    • 专用网关
    • 公共IP地址
    • 站点到站点 VPN
    • 网络 ACL列表

  5. 在路由器节点中,选择公共IP地址。

    系统显示IP地址页面。

  6. 点击源NAT IP地址。

  7. 点击启用VPN按钮。|vpn-icon.png|

    点击OK确认。IPsec密钥将显示在弹出的窗口中。

现在,需要添加VPN用户。

  1. 点击源NAT IP。
  2. 选择VPN选项卡。
  3. 为你要创建的用户添加用户名和对应的密码。
  4. 点击 添加
  5. 重复相同的步骤添加VPN用户。