本文向您介绍如何通过标签搜索企业版VPN对端网关。 场景描述 用户在使用VPN服务时，根据使用场景不同，可以将VPN资源按照特定规则进行分类，便于资源管理与费用计算。 VPN支持对接标签管理服务（Tag Management Service，简称TMS），通过给账号下VPN资源添加标签，可以对VPN资源进行自定义标记，实现资源的分类。已添加标签的VPN资源，用户可以在控制台对应位置，按照标签进行搜索。 前提条件 已为VPN资源添加标签。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 3. 单击右上角“标签搜索”，选择对应标签键值，然后单击“搜索”。 此查询功能仅支持选择下拉列表中已存在的键和值。 支持最多20个不同标签的组合搜索。

本文向您介绍通过企业版VPN实现数据中心和VPC互通的第一步：创建VPN网关。 前提条件 虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见《虚拟私有云用户指南》。 虚拟私有云VPC中ECS的安全组规则已经配置，并确保安全组规则允许数据中心的对端网关可以访问VPC资源。如何配置安全组规则，请参见《虚拟私有云用户指南》。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面，单击“创建VPN网关”。 4. 根据界面提示配置参数，然后单击“立即购买”并完成支付。 表VPN网关关键参数说明 参数 说明 参数取值 计费模式 支持“按需”计费模式。 按需 区域 选择靠近您所在地域的区域。 名称 输入VPN网关的名称。 vpngw001 网络类型 公网：VPN网关通过公网建立VPN连接。 私网：VPN网关通过私网建立VPN连接。 公网 协议类型 支持“IPv4”和“IPv6”两种类型。 IPv4 关联模式 支持“虚拟私有云”和“企业路由器”两种方式。 虚拟私有云 虚拟私有云 选择需要和数据中心互通的VPC。 vpc001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 配置VPC待和数据中心互通的子网。 支持“输入网段”和“选择子网”两种方式。 192.168.0.0/24 规格 选择“专业型1”。 专业型1 HA模式 选择“双活”。 双活 主EIP 选择EIP、带宽的计费模式、规格。 11.xx.xx.11 主EIP2 选择EIP、带宽的计费模式、规格。 11.xx.xx.12

为避免VPN网关实例到期对您的业务造成影响,请您及时为VPN网关实例续费。 在创建VPN网关时设置自动续订 在VPN网关的订购页面，最下方有一个“自动续订”的选项，该选项默认处于未勾选状态。如果需要使能“自动续订”功能，可以勾选“启用自动续订”。 开启该功能之后，资源会在到期时自动续订，如果购买时的订购周期以月为单位则自动按月续订，如果购买时的订购周期以年为单位则自动按年续订。 在VPN网关控制中心为VPN网关实例续费 1.登录[]( 2.单击控制中心左上角的，选择VPN网关实例所在地域。 3.在网络产品中选择“VPN连接”，进入VPN连接页面。 4.在VPN网关页面，找到目标VPN网关实例，单击“操作”列下的“续订”。 5.在续订页面，选择续订时长，单击确定。 6.在订单页面，单击“立即支付”，支付成功后，VPN网关实例续费完成。

表对端网关参数说明 参数 说明 取值参数 名称 对端网关的名称。 cgwfw 路由模式 选择“静态路由”。 静态路由 网关IP 对端网关和VPN网关通信的IP地址。 请确认数据中心的对端网关已经放通UDP端口4500。 1.1.1.1 4. 配置VPN连接： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 2. 在“VPN”连接界面，单击“创建VPN连接”。 3. 配置第一条VPN连接参数，然后单击“提交”。 表第一条VPN连接参数说明 参数 说明 取值参数 名称 VPN连接的名称。 vpn001 VPN网关 选择VPN网关。 vpngw001 网关IP 选择VPN网关已绑定的主EIP。 1.1.1.2 对端网关 选择对端网关。 cgwfw 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 用户数据中心中需要和VPC通信的子网。 对端子网与本端子网可以重叠，不能重合；对端子网不能被本网关关联的VPC内已有子网所包含。 部分网段是VPC预留网段，不能作为对端子网，例如：100.64.0.0/10，214.0.0.0/8。 172.16.0.0/16 接口分配方式 手动分配 本示例以“手动分配”为例。 自动分配 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 169.254.70.1 对端隧道接口地址 配置在对端网关上的tunnel接口地址，该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 169.254.70.2 检测机制 用于多链路场景下路由可靠性检测，通过ICMP报文检测实现；使能NQA，您的对端设备需要允许ICMP响应请求。 勾选“使能NQA” 预共享密钥、确认密钥 和对端网关的预共享密钥需要保持一致。 Test@123 策略配置 和对端网关的策略配置需要保持一致。 保持默认 4. 配置第二条VPN连接参数，然后单击“提交”。 说明 此处仅对和第一条VPN连接配置不同的参数，未提及参数建议和第一条VPN连接配置保持一致。

本文向您介绍如何通过VPN连接云下数据中心与云上VPC。 操作场景 默认情况下，在Virtual Private Cloud (VPC) 中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。申请VPN后，用户需要配置安全组并检查子网的连通性，以确保VPN功能可用。主要场景分为两类： 点对点VPN：本端为处于云服务平台上的一个VPC，对端为一个数据中心，通过VPN建立用户数据中心与VPC之间的通信隧道。 点对多点VPN：本端为处于云服务平台上的一个VPC，对端为多个数据中心，通过VPN建立不同用户数据中心与VPC之间的通信隧道。 配置VPN时需要注意以下几点： 本端子网与对端子网不能重复。 本端和对端的IKE策略、IPsec策略、PSK相同。 本端和对端子网，网关等参数对称。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 VPN对接成功后两端的云主机或者物理设备之间需要进行通信，VPN的状态才会刷新为正常。 前提条件 已创建VPN所需的虚拟私有云和子网。 操作步骤 1. 在管理控制台上，创建VPN网关、用户网关，选择合适的IKE策略和IPsec策略创建VPN连接。 2. 检查本端和对端子网的IP地址池。 3. 为弹性云主机配置安全组规则，允许通过VPN进出本地数据中心的报文。 4. 检查VPC安全组。 5. 检查远端LAN配置（即对端数据中心网络配置）。 假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 本端和对端子网IP池不能重合。例如，本端VPC有两个子网，分别为：192.168.1.0/24和192.168.2.0/24，那么对端子网的IP地址池不能包含本端VPC的这两个子网。 从本地数据中心ping云主机，验证安全组是否允许通过VPN进出本地数据中心的报文。 在远程LAN（对端数据中心网络）配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信，请检查远程LAN是否存在拒绝策略。

本节介绍了SSL加密相关配置的相关内容。 创建RDS for PostgreSQL实例时默认开启SSL，实例创建完成后，不支持关闭。使用SSL加密通信可确保客户端和服务器之间的所有通信都经过加密，防止数据被泄露和篡改，确保数据的完整性。 开启SSL加密对性能的影响 开启SSL加密连接数据库实例后，数据库的只读、读写性能大约有20%左右的影响。 具体的影响跟业务模型有关，如果是复杂SQL，大部分时间花在SQL处理上，使用SSL加密对性能影响不明显；但如果是非常简单的SQL，执行本身很快，使用SSL会加大影响。 服务端查看是否开启SSL加密 PostgreSQL实例服务端默认开启SSL，可登录数据库，使用sql命令查看： plaintext show ssl; 如果该参数的值为“on”，则表示服务端SSL连接已启用。 如果该参数的值为“off”，则表示服务端SSL连接未启用。 说明 服务端SSL默认开启，不支持关闭。 客户端查看是否开启SSL加密 客户端是否使用SSL加密，可通过以下方式查看： 使用psql连接数据库时，连接成功后出现如下信息： plaintext SSL connection (protocol: TLSv1.2, cipher: ECDHERSAAES256GCMSHA384, bits: 256, compression: off) − protocol表示SSL连接协议是TLSv1.2。 − cipher表示使用SSL连接的加密算法为ECDHERSAAES256GCMSHA384。 − bits表示密钥长度为256位。 可以通过查询“pgstatssl”视图来查看客户端连接是否使用SSL。如果客户端使用SSL连接，则该视图中会显示相应的连接信息。 plaintext SELECT FROM pgstatssl; 该查询将返回所有当前SSL连接的统计信息，包括连接的进程ID、客户端IP地址、SSL协议版本、SSL加密算法、客户端证书的有效性和到期时间等。如果客户端连接使用SSL，则可以在该视图中看到相关信息。

本文向您介绍如何排查企业版VPN流量丢包的问题。 故障现象 云下数据中心服务器对VPC上的ECS服务器执行Ping操作时，存在流量丢包。 VPC上的ECS服务器对云下数据中心服务器执行Ping操作时，存在流量丢包。 处理步骤 检查客户侧组网和带宽情况 确认客户网络的组网是否多出口，是否因为负载分担组网将流量分配到非VPN连接出口导致流量丢包，确保数据流恒定走特定出口访问云侧。 使用客户侧VPN网关地址Ping云侧VPN网关IP以及其他公网（例如：114.114.114.114），检查公网时延、丢包率。 如果公网网络质量存在问题，建议向所在网络提供运营商进行求助。 检查客户出口设备带宽是否超限。 检查云侧组网和带宽情况 检查VPN网关的带宽是否超限。 1. VPN网关主/备EIP带宽规格大小，可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称查看。 2. VPN网关实际带宽使用情况可以选择“虚拟专用网络 > 企业版VPN网关”，单击公网IP栏主/备EIP对应的，查看带宽是否达到上限。 如果超限，可以通过扩容VPN网关的带宽进行解决。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的组网和资源规划。 数据规划 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 VPN网关 HA模式 双活 VPN网关 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE/IPsec策略 IKE策略 版本：v2 认证算法：SHA2256 加密算法：AES128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IKE/IPsec策略 IPsec策略 认证算法：SHA2256 加密算法：AES128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

本页介绍了如何开启和关闭SSL。 SSL连接是指在MongoDB客户端和服务器之间使用SSL/TLS（安全套接层/传输层安全）协议进行加密和安全通信的一种连接方式。SSL是一种用于加密数据传输的协议，它可以确保在数据传输过程中，数据被安全地加密，防止第三方截获和窃听数据。 通过启用SSL连接，您可以在MongoDB服务器和客户端之间建立加密通道，确保以下安全性： 数据加密：在客户端和服务器之间传输的数据会经过加密处理，防止数据在传输过程中被截获或篡改。 身份验证：SSL连接允许客户端和服务器之间相互认证，确保连接的双方都是合法的，有效的MongoDB实例。 数据完整性：SSL连接还可以确保数据在传输过程中没有被篡改，保证数据的完整性。 开启SSL 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要开启SSL连接的实例，点击该实例的实例ID，进入实例详情。 4. 点击“数据安全”，点击“SSL设置”。 5. 选择开启SSL，即可开启SSL。 注意 开启SSL后实例会进入重启状态，请谨慎操作。 开启SSl后可以下载SSL证书，在连接实例时可以使用SSL证书连接实例，保证数据安全性。 关闭SSL 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要关闭SSL连接的实例，点击该实例的实例ID，进入实例详情。 4. 点击“数据安全”，点击“SSL设置”。 5. 选择关闭SSL，即可关闭SSL。 注意 关闭SSL后实例会进入重启状态，请谨慎操作。

表经典版VPN连接支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） connectionstatus VPN连接状态 展示VPN连接的通断状态。 0：未连接状态 1：连接状态 0，1 VPN连接 5分钟 维度 key Value vpnconnectionid 经典版VPN连接

本节介绍IPsec VPN VPC变更操作。 IPsec VPN加载VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面，点击“加载VPC”，选择需要加载的VPC以及对应业务子网； 5.确定后，客户侧防火墙若需要访问新增的VPC子网设备，则需要在防火墙的加密隧道添加对应的保护子网并重启隧道得以生效。 IPsec VPN删除VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除的VPC，点击“删除”； 5.确定后，客户侧防火墙若需要停止访问删除的VPC子网设备，则需要在防火墙的加密隧道删除对应保护子网并重启隧道得以生效。 IPsec VPN绑定跨域互联VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面，点击“绑定跨域互联”（创建跨域互联开通指引），选择需要绑定的跨域互联、互通的跨域VPC以及对应业务子网； 5.确定后，可在IPsec VPN实例详情页面VPC一栏查看； 6.绑定跨域互联VPC后，客户侧可在防火墙的加密隧道添加到跨域互联VPC业务子网的保护子网并重启隧道得以生效。

本文主要向您介绍VPN连接服务的计费模式、计费项等信息。 计费模式 VPN连接提供按需计费模式，以满足根据业务需求灵活调整资源使用场景下的用户需求。 按需计费是一种后付费模式，即先使用再付费，按照实际使用时长或流量大小计费。 计费项 企业版VPN：计费项由VPN网关费用、VPN连接费用、EIP带宽费用和ER费用（可选）组成。 经典版VPN：公测状态，计费项由网关关联的EIP带宽费用组成。 欠费 在使用VPN时，帐户的可用额度小于待结算的账单，即被判定为帐户欠费。欠费后，可能会影响VPN资源的正常运行，需要及时充值。 停止计费 当VPN资源不再使用时，可以将他们退订或删除，从而避免继续收费。

本节介绍使用.VPN接入云电脑的操作说明。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.查看对应行的接入地址； 4.打开AI云电脑应用，输入账号和密码，点击“企业专线”，进入企业专线页面； 5.在企业专线页面输入 6.点击“启用专线/VPN”，即可显示“专线/VPN地址可用，已为您启用专线VPN”； 7.点击“安全登录”； 8.选择相应AI云电脑，点击“进入”，即可完成AI云电脑登录。

本节介绍使用.VPN接入云电脑的操作说明。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.查看对应行的接入地址； 4.打开AI云电脑应用，输入账号和密码，点击“企业专线”，进入企业专线页面； 5.在企业专线页面输入 6.点击“启用专线/VPN”，即可显示“专线/VPN地址可用，已为您启用专线VPN”； 7.点击“安全登录”； 8.选择相应AI云电脑，点击“进入”，即可完成AI云电脑登录。

本文向您介绍企业版VPN中配额类问题。 虚拟专用网络的配额是什么？ 什么是配额 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少台弹性云主机、多少块云硬盘。 如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 资源类型 企业版VPN的资源类型包括VPN网关、VPN连接和对端网关，对应资源类型的总配额根据部署Region存在差异，请以实际部署环境为准。 怎样查看我的配额？ 1. 登录管理控制台，并选择区域。 2. 单击页面右上角的“我的配额”图标。 系统进入“服务配额”页面。 3. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 如果当前配额不能满足业务要求，请提交工单，申请扩大配额。 创建VPN网关和连接的缺省配额是多少？ 每个用户缺省可创建50个VPN网关和100个对端网关；每个VPN网关缺省可创建100个连接组。其中，VPN网关不同EIP对接到对端网关的同一个公网IP占用1个VPN连接组配额；VPN网关不同EIP对接到对端网关的不同公网IP或多个对端网关的公网IP占用2个VPN连接组配额。

类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 VPN网关 HA模式 主备 VPN网关 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 备EIP：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE/IPsec策略 IKE策略 版本：v2 认证算法：SHA2256 加密算法：AES128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IKE/IPsec策略 IPsec策略 认证算法：SHA2256 加密算法：AES128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

福建云专线业务资费由安装调测费和电路月租费组成。 1） 电路月租费指客户租用云专线所产生的月度使用费用，按照公式计算得到，电路月租费为： 销售品名称 速率（Mbps） 省政企授权价（元/月） MPLSVPN PON云虚电路10M 10 200 MPLSVPN PON云虚电路20M 20 300 MPLSVPN PON云虚电路30M 30 400 MPLSVPN PON云虚电路40M 40 500 MPLSVPN PON云虚电路50M 50 600 MPLSVPN PON云虚电路60M 60 700 MPLSVPN PON云虚电路70M 70 800 MPLSVPN PON云虚电路80M 80 900 MPLSVPN PON云虚电路90M 90 950 MPLSVPN PON云虚电路100M 100 1000 MPLSVPN LAN云虚电路10M 10 450 MPLSVPN LAN云虚电路20M 20 550 MPLSVPN LAN云虚电路30M 30 650 MPLSVPN LAN云虚电路40M 40 750 MPLSVPN LAN云虚电路50M 50 850 MPLSVPN LAN云虚电路60M 60 950 MPLSVPN LAN云虚电路70M 70 1050 MPLSVPN LAN云虚电路80M 80 1150 MPLSVPN LAN云虚电路90M 90 1250 MPLSVPN LAN云虚电路100M 100 1350 MPLSVPN LAN云虚电路200M 200 2700 MPLSVPN LAN云虚电路300M 300 4050 MPLSVPN LAN云虚电路400M 400 5400 MPLSVPN LAN云虚电路500M 500 6750 MPLSVPN LAN云虚电路600M 600 8100 MPLSVPN LAN云虚电路700M 700 9450 MPLSVPN LAN云虚电路800M 800 10800 MPLSVPN LAN云虚电路900M 900 12150 MPLSVPN LAN云虚电路1G 1000 13500 STN云专线10M 10M 600 STN云专线20M 20M 800 STN云专线30M 30M 1000 STN云专线40M 40M 1200 STN云专线50M 50M 1300 STN云专线60M 60M 1500 STN云专线70M 70M 1600 STN云专线80M 80M 1800 STN云专线90M 90M 1900 STN云专线100M 100M 2000 STN云专线200M 200M 3200 STN云专线300M 300M 4300 STN云专线400M 400M 5400 STN云专线500M 500M 6400 STN云专线600M 600M 7400 STN云专线700M 700M 8300 STN云专线800M 800M 9100 STN云专线900M 900M 9800 STN云专线1G 1G 10500 STN云专线2.5G 2.5G 21700

IPsec VPN删除跨域互联VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除的跨域互联VPC，点击“删除”; 5.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC新增子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要新增子网的VPC，点击“新增子网”； 5.在新增子网页面中选择需要新增的业务子网，点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，新增VPC的保护子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC删除子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除子网的VPC，点击“删除子网”； 5.在删除子网页面中选择需要删除的业务子网，点击“删除”后点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。

本节介绍IPSec VPN开通使用步骤。 IPSec VPN开通使用步骤： （1）创建IPSec VPN实例； （2）配置客户防火墙，与IPSec VPN实例对接； （3）设置IPSec VPN实例带宽； （4）设置桌面安全组与关闭Windows防火墙； （5）VPN接入云电脑。 注：可点击步骤链接，查看详细的操作说明。

SSL认证方式及客户端参数介绍 SSL认证有两种认证方式，如下表所示。从安全性考虑，建议使用双向认证方式。 认证方式 认证方式 含义 配置客户端环境变量 维护建议 双向认证（推荐） 客户端验证服务器证书的有效性，同时服务器端也要验证客户端证书的有效性，只有认证成功，连接才能建立。 设置如下环境变量： PGSSLCERT PGSSLKEY PGSSLROOTCERT PGSSLMODE 该方式应用于安全性要求较高的场景。使用此方式时，建议设置客户端的PGSSLMODE变量为verifyca。确保了网络数据的安全性。 单向认证 客户端只验证服务器证书的有效性，而服务器端不验证客户端证书的有效性。服务器加载证书信息并发送给客户端，客户端使用根证书来验证服务器端证书的有效性。 设置如下环境变量： PGSSLROOTCERT PGSSLMODE 为防止基于TCP链接的欺骗，建议使用SSL证书认证功能。除配置客户端根证书外，建议客户端使用PGSSLMODE变量为verifyca方式连接。 在客户端配置SSL认证相关的环境变量，详细信息请参见下表。 客户端环境变量的路径以“ /home/dbadmin /dwsssl/”为例，在实际操作中请使用实际路径进行替换。 客户端参数 环境变量 描述 取值范围 PGSSLCERT 指定客户端证书文件，包含客户端的公钥。客户端证书用以表明客户端身份的合法性，公钥将发送给对端用来对数据进行加密。 必须包含文件的绝对路径，如： export PGSSLCERT'/home/dbadmin/dwsssl/sslcert/client.crt ' 默认值 ：空 PGSSLKEY 指定客户端私钥文件，用以数字签名和对公钥加密的数据进行解密。 必须包含文件的绝对路径，如： export PGSSLKEY'/home/dbadmin/dwsssl/sslcert/client.key ' 默认值 ：空 PGSSLMODE 设置是否和服务器进行SSL连接协商，以及指定SSL连接的优先级。 取值及含义： disable：只尝试非SSL连接。 allow：首先尝试非SSL连接，如果连接失败，再尝试SSL连接。 prefer：首先尝试SSL连接，如果连接失败，将尝试非SSL连接。 require：只尝试SSL连接。如果存在CA文件，则按设置成verifyca的方式验证。 verifyca：只尝试SSL连接，并且验证服务器是否具有由可信任的证书机构签发的证书。 verifyfull：DWS不支持此模式。 默认值：prefer 说明 若集群外访问客户端时，部分节点出现报错：ssl SYSCALL error。则可执行export PGSSLMODE"allow"或export PGSSLMODE"prefer"。 PGSSLROOTCERT 指定为客户端颁发证书的根证书文件，根证书用于验证服务器证书的有效性。 必须包含文件的绝对路径，如： export PGSSLROOTCERT'/home/dbadmin/dwsssl/sslcert/certca.pem ' 默认值：空 PGSSLCRL 指定证书吊销列表文件，用于验证服务器证书是否在废弃证书列表中，如果在，则服务器证书将会被视为无效证书。 必须包含文件的绝对路径，如： export PGSSLCRL'/home/dbadmin/dwsssl/sslcert/sslcrlfile.crl ' 默认值：空 客户端和服务器端SSL连接参数组合情况 客户端最终是否使用SSL加密连接方式、是否验证服务器证书，取决于客户端参数sslmode与服务器端（即DWS 集群侧）参数ssl、requiressl。参数说明如下： ssl （服务器） ssl参数表示是否开启SSL功能。on表示开启，off表示关闭。 −默认为on，不支持在DWS 管理控制台上设置。 requiressl （服务器） requiressl参数是设置服务器端是否强制要求SSL连接，该参数只有当ssl为on时才有效。on表示服务器端强制要求SSL连接。off表示服务器端对是否通过SSL连接不作强制要求。 −默认为off。requiressl参数可通过DWS 管理控制台上集群的“安全设置”页面中的“服务器端是否强制使用SSL连接”进行设置。 sslmode （客户端） 可在SQL客户端工具中进行设置。 −在gsql命令行客户端中，为“PGSSLMODE”参数。 −在Data Studio客户端中，为“SSL模式”参数。 客户端参数sslmode与服务器端参数ssl、requiressl配置组合结果如下： 客户端与服务器端SSL参数组合结果 ssl（服务器） sslmode（客户端） requiressl（服务器） 结果 on disable on 由于服务器端要求使用SSL，但客户端针对该连接禁用了SSL，因此无法建立连接。 on disable off 连接未加密。 on allow on 连接经过加密。 on allow off 连接未加密。 on prefer on 连接经过加密。 on prefer off 连接经过加密。 on require on 连接经过加密。 on require off 连接经过加密。 on verifyca on 连接经过加密，且验证了服务器证书。 on verifyca off 连接经过加密，且验证了服务器证书。 off disable on 连接未加密。 off disable off 连接未加密。 off allow on 连接未加密。 off allow off 连接未加密。 off prefer on 连接未加密。 off prefer off 连接未加密。 off require on 由于客户端要求使用SSL，但服务器端禁用了SSL，因此无法建立连接。 off require off 由于客户端要求使用SSL，但服务器端禁用了SSL，因此无法建立连接。 off verifyca on 由于客户端要求使用SSL，但服务器端禁用了SSL，因此无法建立连接。 off verifyca off 由于客户端要求使用SSL，但服务器端禁用了SSL，因此无法建立连接。

8、在需要启动Vpn的界面增加Vpn启动的方法，并监听Vpn启动的状态 在合适的时机（建议在调用启动Vpn的方法之前），调用RegistGlobalNotification的方法，监听Vpn的一些状态，根据这些状态来同步界面的样式 VPN状态说明: UNINITED : VPN 未初始化 INITED : VPN 已初始化 READY : VPN 配置完成 CONNECTED : VPN 已上线 DISCONNECTED : VPN 已下线 / 方法名: RegistGlobalNotification 描述：这个方法用于Sdk VPN状态的回调,用于同步改变VPN界面的一些上下线的状态 VPN状态说明: UNINITED : VPN 未初始化 INITED : VPN 已初始化 READY : VPN 配置完成 CONNECTED : VPN 已上线 DISCONNECTED : VPN 已下线 使用前置条件：无 使用线程: 主线程 回调线程: 主线程 使用方法: AOneSdkClient.Companion.RegistGlobalNotification(new AOneSdkClient.Companion.SdkCallBack() { @Override public void onResponse(@NonNull Map map) { } }); 参数说明: 接口回调数据: 回调后的数据类型是map类型, 成功回调示例: {code"0x00000", data{"tunnelState":"INITED"}, message成功} 失败回调示例:{code"0x00999", data{}, message未知错误} 接口回调数据字段说明: code: 状态码, data: vpn状态,里面包含有tunnelState状态的字段,value的含义见上面的VPN状态说明, message: 消息 / private void sdkCallBack() { AOneSdkClient.Companion.RegistGlobalNotification(new AOneSdkClient.Companion.SdkCallBack() { @Override public void onResponse(@NonNull Map map) { Log.i(TAG, "[sdkCallBack] response: " + map); Log.i(TAG, "threadid:" + Thread.currentThread().getName()); String code map.get(Const.RESPONSE.CODE); String message map.get(Const.RESPONSE.MESSAGE); if (ResultCode.SUCCESS.getValue().equals(code)) { String data map.get(Const.RESPONSE.DATA); if (!TextUtils.isEmpty(data)) { Map dataMaps GsonUtils.Companion.GsonToMaps(data); if (dataMaps ! null) { ((TextView) findViewById(R.id.status)).setText(dataMaps.get(Const.DATA.TUNNELSTATE)); } } } else { Toast.makeText(MainActivity.this, message, Toast.LENGTHSHORT).show(); } } }); }

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的方案概述。 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中，用户数据中心和VPC之间采用两条VPN连接保证网络可靠性。当其中一条VPN连接故障时，系统可以自动切换到另一条VPN连接，保证网络不中断。 图方案架构 方案优势 双连接：VPN网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 双活网关：VPN双活网关部署在不同的AZ区域，实现AZ级高可用保障。 约束与限制 VPN网关的本端子网与对端子网不能相同，即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。

本文向您介绍VPN连接服务的监控概览。 监控是保持VPN可靠性、可用性和性能的重要部分，通过监控，用户可以观察VPN资源。为使用户更好地掌握自己的VPN运行状态，天翼云提供了云监控服务（CES）。您可以使用该服务监控您的VPN，执行自动实时监控、告警和通知操作，帮助您更好地了解VPN的各项性能指标。

本文向您介绍通过企业版VPN实现云上云下网络互通（主备模式）的方案概述。 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中，用户数据中心和VPC之间采用两条VPN连接保证网络可靠性，连接1和连接2互为主备。当其中一条VPN连接故障时，系统可以自动切换到另一条VPN连接，保证网络不中断。 图方案架构 方案优势 双连接：VPN网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 主备网关：VPN主备网关部署在不同的AZ区域，实现AZ级高可用保障。 约束与限制 VPN网关的本端子网与对端子网不能相同，即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。

本文为您介绍IPsec VPN常见的应用场景。 IPsec VPN支持在企业本地数据中心或企业办公网络与天翼云VPC（Virtual Private Cloud）之间建立安全可靠的网络连接。 混合组网 您可以通过IPsec VPN隧道连接用户的数据中心和天翼云资源池的VPC网络，快速便捷地利用云上的弹性资源。 通过采用加密的IPsec VPN隧道将用户本地网络和云上VPC互联，利用VPC的弹性伸缩功能，扩展应用计算能力。 云上网络互联 通过IPsec VPN连接不同区域的VPC，使用户的数据和服务在不同地域能够互联互通。 您可以通过IPsec VPN连接天翼云不同区域资源池的VPC，也可以连接天翼云与其他云服务商的网络（前提是对方也具备同等IPsec VPN能力）。 多站点互联 通过IPsec VPN连接，可将多个站点的流量进行汇聚和转发。 您可以通过VPN网关建立多个IPsec连接通道，与企业的多个站点进行连接。 每个站点都可以访问云上VPC资源，实现多站点上云流量的汇聚。 每个站点可以通过VPN网关实现多个站点网络之间的互通。

本章节主要向您介绍企业版VPN与经典版VPN的区别。 表企业版VPN与经典版VPN的区别 类别 对比项 企业版VPN 经典版VPN 租户隔离 租户独享网关 支持 不支持 功能&特性 策略模式 支持 支持 功能&特性 路由模式 静态路由/BGP路由 不支持 功能&特性 VPNHub 支持 不支持 功能&特性 企业路由器 支持 不支持 功能&特性 网络类型 公网/私网 公网 容量&性能 子网数量 路由模式：50 策略模式：5 策略模式：5 容量&性能 更多信息，请参见企业版VPN产品规格。 可靠性 网关保护方式 主备/双活 可靠性 网关跨AZ部署 支持 不支持 可靠性 双线路双活 支持 不支持 可靠性 与专线互备 支持 不支持

本文向您介绍企业版VPN中VPN协商与对接类常见问题。 哪些设备可以与云进行VPN对接？ 云的VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接： 1. 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 2. 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 设备型号多为路由器、防火墙等，对接配置请参见VPN管理员指南。 说明 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务（如L2TP）无法与云的VPN进行对接。 与VPN服务做过对接测试厂商包括： 设备厂商：华为（防火墙/AR）、山石（防火墙），CheckPoint（防火墙）。 云服务厂商包括：阿里云，腾讯云，亚马逊（aws），微软（Microsoft Azure）。 软件厂商包括：strongSwan。 IPsec协议属于IETF标准协议，宣称支持该协议的厂商均可与云进行对接，用户不需要关注具体的设备型号。 目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的，但是需要专门购买软件License才能激活相关功能。 请用户侧数据中心管理员根据设备具体型号与厂商进行确认。

本页介绍如何配置SSL CA证书用于访问关系数据库MySQL版的实例。 操作场景 为了提高关系数据库MySQL版的链路安全性，您可以启用SSL（Secure Sockets Layer）加密，并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密，能提升通信数据的安全性和完整性，同时会增加网络连接响应时间。 约束限制 实例的SSL状态需要为“开启”状态。 已下载SSL CA证书。 操作步骤 开启SSL加密后，应用或者客户端连接MySQL时需要配置SSL CA证书。本文以MySQL Workbench、Navicat配置方法为例，介绍SSL CA证书安装方法。其它应用或者客户端请参见对应产品的使用说明。 MySQL Workbench配置方法: 1. 打开MySQL Workbench。 2. 选择Database > Manage Connections。 3. 启用Use SSL，并导入SSL CA证书。 说明 如果关闭SSL后又需要重新开启，SSL CA证书将会重新生成，用户需要下载最新的证书连接数据库，旧证书将失效无法进行数据库连接。 为防止开启SSL后无需证书也可以连接数据库，请设置用户登录方式限制，指令可参考：alter user 'root'@'%' require ssl。 Navicat配置方法: 1. 打开Navicat。 2. 选择目标数据库并单击鼠标右键，选择编辑连接。 3. 选择SSL页签，选择.pem格式CA证书的路径。 4. 单击确定。 5. 通过双击目标数据库来测试能否正常连接。 通过SSL连接数据库示例代码，Python示例： 1. 需要首先安装依赖pymysql shell pip install pymysql 2. 编写代码 python import pymysql import traceback try: conn pymysql.connect( host'192.168..', user'', passwd'', db'', sslTrue, sslca'/path/cafilename') cursor conn.cursor() cursor.execute('select version()') data cursor.fetchone() print('Database version:', data[0]) cursor.close() except pymysql.Error as exc: print(traceback.formatexc())

VPN连接产品API说明 类型 描述 :: VPN网关功能 包含了VPN网关查询、修改、订购、变配、续订、退订等API 用户网关功能 包含了用户网关创建、查询、修改、删除等API VPN连接功能 包含了VPN连接创建、查询、修改、删除、策略查询等API

结果验证 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 此时可以看到两条VPN连接状态均变为“正常”。

如何理解IPsec VPN连接中的远端网关和远端子网？ 远端网关和远端子网是个相对的概念。在建立IPsec VPN连接时，从天翼云的角度出发，天翼云中的VPC网络就是本地子网，创建的VPN网关就是本地网关；与之对接的用户侧网络就是远端子网， 用户侧的网关就是远端网关。远端网关IP就是用户侧网关的公网IP，远端子网指需要和天翼云VPC子网互联的用户侧子网。 IPsec VPN连接远端子网是否可以包含本端子网？ 不可以。在建立IPsec VPN连接时，做好两端的网段地址规划是至关重要的。在IPsec VPN中，通常是通过路由的方式来实现子网之间的通信。如果网段地址存在重叠，将会导致网络通信的混乱和安全问题的产生。因此，当您在建立IPsec VPN连接时，您需要确保连接的远端子网和本端子网不能互相包含，请在创建IPsec VPN前做好两端的网段地址规划，避免地址重叠。

本文介绍Redis的SSL设置 分布式缓存 Redis 6.0及以上版本支持SSL加密传输，提升数据传输过程的安全性。 注意 开启或关闭SSL开关将会重启实例导致业务短暂不可用，并且需要应用修改SSL的连接方式，请慎重操作! 前提条件 已成功开通分布式缓存服务Redis实例，且实例处于运行中状态。 Redis内核版本为6.0或以上。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情页面。 4. 左侧菜单点击实例配置>SSL加密，进入SSL加密界面。 5. 在SSL加密界面可选择勾选SSL证书信息，选择开通SSL或关闭SSL。 更新证书：可更新证书的有效期。 下载证书：可将证书下载到本地。 SSL连接说明：说明如何连接开通SSL后的Redis。