当前一个VPC仅支持创建1个VPN网关。
可以。一个VPN网关最多可建立10个IPsec连接。
不需要。使用VPN连接时,在VPN网关创建完成后,系统会自动为该VPN网关分配一个公网IP作为该VPN网关的出口IP,因此您无需额外购买公网IP资源。
不保留。该出口IP是创建VPN网关时系统自动分配的一个公网IP地址,生命周期跟随VPN网关。您删除VPN网关后,VPN网关关联的资源,相关配置信息将全部被释放。
VPN网关部署在VPC上,用于连接VPC内的所有资源。
当您使用VPN连接功能,建立本地数据中心与云上VPC的连接时,需注意本地数据中心的网段与VPN网关所在的VPC网段不可冲突、重叠或一致。
VPN网关路由条目与其他路由条目,仅根据目的地址掩码区分优先级,掩码越大,优先级越高。
当路由表中存在下一跳类型相同的自定义路由条目,目标网段重叠时,流量将按照掩码最大的路由条目转发。
可以。一个VPN网关最多支持创建20条路由条目。
不可以。在使用火山引擎“VPN连接”连通火山引擎VPC与本地IDC/其他VPC之间网络的场景下,配置火山引擎VPN网关路由时,把火山引擎VPN网关路由网段与本地IDC/其他VPC的私网网段Overlap,会在火山引擎VPN网关侧形成路由回环,导致在火山引擎VPN网关侧发布的路由直接回到火山引擎VPN网关,进而导致VPN连接两端网络不通。
例如:火山引擎VPN网关网段为10.0.1.0/24
,本地IDC/其他VPC私网网段为10.0.2.0/24
、10.0.3.0/24
,不可直接在火山引擎VPN网关路由中配置一个包含10.0.1.0/24
、10.0.2.0/24
、10.0.3.0/24
的大网段,如10.0.0.0/8
。
您应在VPN网关侧配置下一跳为“IPsec连接”且IPsec连接的对端网段为10.0.2.0/24
、10.0.3.0/24
的路由条目。
在使用VPN连接时,当实际传输的业务数据流量远超于VPN网关的带宽规格,造成业务数据报文的序列号顺序与正常顺序差别较大,这种情况会被抗重放检测认为报文重放而主动丢弃部分数据报文,导致实测流量小于VPN网关的带宽规格。
不会。因VPN网关到期关停导致断开IPsec连接,在VPN网关续费后,请参考如下操作重连IPsec连接。
方法一
从对端(本地IDC、其他VPC)主动发起IKE SA和IPsec SA,然后执行Ping
命令访问云上VPC或者有数据通过时,IPsec隧道被触发重新建立连接。
方法二
Ping
命令访问云上VPC或者有数据通过时,IPsec隧道被触发重新建立连接。不同版本VPN网关支持的功能不同,各版本支持的新功能请参见最新动态。
说明
未升级的旧版本不支持后续版本所支持的功能,如需使用新功能,请升级VPN网关至最新版本,具体操作请参见升级VPN网关。
问题原因
在VPN网关上添加的路由条目,仅会下发至VPN网关所属VPC的系统路由表,不会下发至VPN网关所属VPC的自定义路由表,因此VPN网关所属VPC中如果存在自定义路由表,关联了该自定义路由表的子网的流量无法转发至VPN网关。
解决方案
如果关联了自定义路由表的子网的流量需要转发至VPN网关,您可在自定义路由表中手动添加一条目的地址为对端网段(本地IDC、其他VPC)、下一跳为“VPN网关”的路由条目,把子网流量转发至VPN网关,具体操作请参考添加路由条目。
VPN网关创建成功后,系统会自动分配一个公网IP地址作为VPN网关的出口IP,您可在火山引擎VPN网关控制台查看出口IP信息。
获取方法
可能是因为VPN网关带宽规格的限速对象是封装后的加密报文的流量,而实际配置的带宽监控告警指标采集的是VPN网关出、入方向IPsec流量的加和,是封装前原始报文的流量,导致当实际出、入VPN网关的流量超出VPN网关的带宽上限时,没有触发云监控的监控告警。
为避免此问题,建议您在云监控平台配置告警策略监控VPN网关指标时,触发条件请选择含报文封装开销的监控指标,如:VPN网关出网带宽使用率、VPN网关入网带宽使用率等。