需求场景
您可以通过VPN拨号的方式,实现外网终端与百度智能云内部资源的安全连接,方便用户在任何地点远程安全接入智能云。
需求场景1: 面向企业 IT 人员(提升云上资源的管理维护)
可以简化云上资源运维,消除云上和云下资源的运维差异。
需求场景2:面向企业普通员工(提供混合云下的移动办公解决方案)
加速企业IT 基础设施的数字化转型,实现真正的移动办公,让公司员工无论何时何地都可以如同在公司内网一样接入企业 IT 系统。
方案概述
如下图所示,用户可以使用BCC云服务器产品搭建Access VPN服务器作为客户端远程连接智能云上资源的VPN网关。百度智能云为用户提供了集成开源Open VPN Access Server的服务集成镜像,用户在创建BCC时可以使用该镜像快速搭建Access VPN服务。
服务搭建完成后,用户可在安装了VPN客户端的PC上接入VPN,实现在远程内网访问到云服务器资源(如下图中云服务器A和云服务器B)的需求场景。
配置步骤
配置准备
- 客户端:可以连接到Internet的PC或者笔记本电脑
- 服务端:一台绑定了公网IP的BCC,作为Access VPN 网关
- 服务端配置建议:500个用户并发连接规模推荐采用bcc.g3.c4m16型号(Intel Xeon(Skylake) Gold 6148,4核 CPU,16GB内存)来承载,如果仅是几名运维人员登录,采用较低配置服务器(如bcc.g3.c1m4)即可。
- 注:EIP带宽可根据用户实际使用情况灵活调整。
服务端(Access VPN网关)创建及配置步骤及示例
1.百度智能云为用户提供了集成了开源Open VPN Access Server的服务镜像帮助用户快速搭建VPN网关。用户在智能云console中购买BCC,使用镜像选择"服务集成镜像 > Access VPN CentOS6.5 (64位) 版"
注:用户也可以选择合适的公共镜像自行下载VPN server安装包搭建VPN网关。
2.在购买页面同时选择“购买弹性公网IP”,并根据您的需要选择适合的计费方式和带宽峰值。
3.完成服务器创建后,在实例列表界面复制第一步创建的AccessVPN服务器的公网IP,如下图所示为180.76.159.65
-
ssh登录AccessVPN服务器,修改/root/client.ovpn文件中第四行的为服务器的公网IP。
以本例中的公网IP 187.76.159.65为例,可以使用命令sed -ri "s/remote\s+\s+1194/remote 187.76.159.65 1194/g" /root/client.ovpn。命令仅供参考,用其他方法修改也是可以的。
下图为修改后的client.ovpn文件:
5.将client.ovpn文件从AccessVPN服务器里取出,并复制到客户端所在机器。
6.如果需要下发路由和DNS配置,可以登录AccessVPN服务器,在/etc/openvpn/server.conf 增加push配置项,然后 service openvpn restart 重启vpn服务。
客户端(Open VPN Client)配置示例
1.Windows/Linux/Mac系统,登录Open VPN的官网,下载并安装对应操作系统的客户端。
2.将从服务端复制好的配置文件client.ovpn加载到配置中。
3.启动Open VPN Client,选择加载好的配置文件进行连接,登录成功。
测试验证
在完成全部配置的A用户的PC或者笔记本电脑上,通过ping测试连接云服务器BCC的内网IP(云服务器A的内网IP地址是192.168.64.5,云服务器B的内网IP地址是192.168.64.6)。若能ping通,则说明VPN搭建成功。
至此,用户A通过Access VPN方式,成功连接到其百度智能云内部的BCC资源。
