是否可以通过VPN实现跨境访问网站？

不可以。

VPN实现的是将云上的VPC子网和用户侧数据中心的IDC网络打通的场景，即站点与站点互通（site to site）。

是否可以将应用部署在云端，数据库放在本地IDC，然后通过VPN实现互联？

可以。

VPN连通的是两个子网，即云上VPC网络与用户数据中心网络。

VPN成功建立后，两个子网间可以运行任何类型的业务流量，此时应用服务器访问数据库业务在逻辑上和访问同一局域网的其它主机是相同的，因此该方案可行的。

这种场景是IPsec VPN的典型场景，请用户放心使用。

同时VPN连通以后，并不限定业务的发起方是云上还是用户侧数据中心，即用户可以从云上向用户侧数据中心发起业务，也可以反向。

连接云下的多台服务器需要购买几个连接？

VPN属于IPsec VPN，它是用于打通云上VPC和用户侧数据中心子网的VPN，所以购买VPN连接的个数与服务器的数量无关，而与这些服务器所在的数据中心数量有关。

一个VPN网关支持绑定两个EIP和用户侧网关进行通信：

• 如果用户侧数据中心只有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet：这种情况需要配置一个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和用户侧出口网关通信。

• 如果用户侧数据中心只有两个公网出口网关，所有服务器（或用户主机）通过两个网关连接至Internet：这种情况需要配置两个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和两个用户侧出口网关通信。

VPN支持将两个VPC互连吗？

• 如果两个VPC位于同一区域内，不支持VPN互连，推荐使用VPC对等连接互连。

• 如果两个VPC位于不同区域，支持VPN互连，具体操作如下：

  1. 为这两个VPC分别创建VPN网关，并为两个VPN网关创建VPN连接。

  2. 将两个VPN连接的对端网关设置为对方VPN网关的网关EIP。

  3. 将两个VPN连接的远端子网设置为对方VPC的网段。

使用VPN会对本地网络造成哪些影响，访问云端主机在路由上会有哪些变化？

配置VPN时，用户需要在用户侧数据中心的网关上增加以下VPN配置信息：

• IKE/IPsec策略配置。

• 配置VPN连接模式为路由模式或策略模式。

• 用户需要审视用户侧数据中心网关的路由配置，确保发往VPC的流量被路由到正确的出接口（即绑定IPsec策略的接口）。

通过VPN来实现云下IDC与云端VPC的互通，两端分别需要做哪些配置？

VPN对接的工作分为两个部分：云上创建VPN和用户侧数据中心配置VPN设备。

• 云上创建VPN

  • 购买VPN网关，配置计费模式、带宽大小和对接的VPC等信息。

  • 配置对端网关，配置路由模式等信息。

  • 配置VPN连接，配置两端网关IP，两端子网和协商策略等信息。

• 用户侧数据中心配置VPN设备

  • 配置用户侧数据中心公网IP，在支持IPsec VPN的设备上完成IPsec协商的一、二阶段配置。

  • 进行网络路由、NAT和安全策略配置。

在多出口的网络中，能否使用两个出口分别与同一VPC建立VPN连接做冗余配置？

可以。

同一个Region的两个VPC可以通过VPN连通吗？

不可以。

对于同Region的两个VPC，您可以通过对等连接（VPC peering）打通两个VPC。

可以通过哪些方式连通同一个Region的两个VPC？

可通过创建对等连接的方式打通同Region的两个VPC，对等连接可连通同Region的VPC。

云端创建了两个VPC，如何与云下的IDC网络互通？

配置步骤

1. 确认云上的两个VPC是否在同一Region。如果在同一Region可通过对等连接将两个VPC连接起来（对等连接免费）。

2. 用户侧数据中心IDC与其中一个VPC建立VPN连接。

   修改用户侧数据中心设备的远端子网为云上两个VPC子网，VPN对接的VPC1本端子网需要包含通过对等连接的子网，对等连接的子网路由包含用户侧数据中心IDC子网。

云端两个Region，每Region有两个子网，是否可以创建两个VPN连接，分别连通不同子网？

不可以。

两个Region间只需创建一个VPN连接即可，在VPN连接中将两个子网都加入到VPN中。

针对这种场景，如果用户试图去创建第二条VPN连接，由于两个连接的对端网关地址一样，因此管理控制台界面会提示冲突。

VPN和OBS可以直接通信吗？

可以。

• 用户站点通过VPN访问OBS服务，需要使用VPC终端节点服务。需要为内网DNS和OBS分别申请两个终端节点。

• 在用户侧配置云的内网DNS和路由

用户本地电脑如何连接云上VPN？

普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务（如L2TP）无法与云的VPN进行对接。

与云下对接需要对端有支持标准IPsec协议的设备。

公司网络已通过VPN连通了云，我如何在家访问云ECS？

VPN为IPsec VPN，是连接云上VPC和云下局域网的；家庭网络非公司局域网络的组成部分，无法直接和云上VPC实现互联。

居家办公主机需要访问云上VPC资源可以考虑直接访问服务对应的EIP，或通过SSL VPN（需公司支持SSL接入）先连接至公司局域网，然后通过公司局域网访问云上VPC资源。

购买VPN网关和连接后，发现云下没有支持IPsec的设备，如何临时建立VPN连接？

与云进行VPN连通时，需要云下有支持标准的IPsec设备和固定公网IP，二者缺一不可。

如果需要临时与云对接，可通过在主机上安装第三方软件完成与云的对接。

如何选择在云上的哪个区域创建VPN网关？

在云上创建VPN网关，您可用选择任一区域的VPC进行创建。

推荐您选择与IDC同城的区域创建VPN网关，这样可以更大程度降低因公网质量对VPN的影响。

同区域的多个VPC，可以通过VPN+DC的方式进行打通。