今天的文章會講到雲地混合的實際應用，像筆者以往的客戶經驗中，遇過需要將地端的IDC機房與阿里雲做結合；又或者需要使用者，透過筆電等行動裝置連線進入雲端。這些情況下就可以使用VPN Gateway來達到需要的效果。

在開始操作以前，請先規劃好各個區域的網段避免重疊，接著我們會透過VPN Gateway將阿里雲以及IDC機房連接，同時設置一個SSL VPN提供使用者透過筆電等行動設備連接，接著開啟雙因子認證，讓使用者在連線時，不僅需要完成證書認證，也需要完成雙因子認證後才可訪問，提高了VPN連接的安全性與可管理性。

實務操作:

1. 創建VPN Gateway，依照用戶自身的需求以及VPC所在Region購買VPN Gateway的實例

   

   

2. 創建Customer Gateway，以本文為例，將On-Permise的防火牆設備Public IP 添加為 Customer Gateway

3. 設定IPSec Connection
   3.1 IPSec Connection名稱
   3.2 選擇對應的VPN Gateway
   3.3 選擇對應的Customer Gateway
   3.4 共用密鑰（可自定義輸入，不填寫即系統自動產生）
   3.5 IKE Tunnel資訊（Phase 1），需與機房設備一致
   3.6 IPSec協定資訊（Phase 2），需與機房設備一致
   3.7 稍後兩端協商完成後，即會出現下圖（機房設備需注意Policy是否正確）

4. 創建SSL Server
   4.1 SSL Sever名稱
   4.2 選擇綁定的VPN Gateway
   4.3 連接端網段(VPC、On-Permise防火牆網段)
   4.4 用戶端網段(使用者網段，需與其他網段錯開 )
   4.5 開啟雙因子認證後選擇相對應的IDaaS實例

5. 創建SSL Client，選擇對應的SSL Server後，創建SSL Client 並下載對應的證書，可供用戶使用

6. VPN Gateway發布路由，在以上設定完成後，需回到VPN Gateway實例內，將On-Permise內網的網段新增進路由中

7. 登入IDaaS Console
   7.1 先在搜尋欄位找尋IDaaS
   7.2 點選Organizations and Groups
   7.3 創建帳戶
   7.4 輸入帳戶資訊，例如:密碼、郵件、顯示的名稱等等，完成後就可以點選提交
   7.5 創建好的帳戶

8. 透過Open-VPN登入，輸入方才在IDaaS創建好的帳戶和密碼就可以連接VPC內網，登入ECS主機和On-Permise的主機

9. 實際驗證，透過左圖，可看到從筆電上連接阿里雲的ECS以及機房的設備，都是沒有問題的；同時
   ，也可看到右圖，從阿里雲的ECS也是可以順利連接到機房的設備。

結語

隨著時代的進步與趨勢，會有越來越多地端搬遷上雲，會需要將雲端與地端連接，在今天的實作中，我們將雲端與地端透過VPN Gateway連接起來，目前阿里雲的VPN支援IKEv1和IKEv2通訊協定，有一定的安全程度，如想要更安全的方式可以加入IDaaS，透過身分驗證方式讓連線更安全，像是這兩年疫情的關係，就有越來越多的WFH的需求，這時就非常適合採用今天分享的此種方式，希望各位讀者看完這篇文章有所收穫。

Reference:

IPSec-VPN建置 https://www.alibabacloud.com/help/en/vpn-gateway/latest/overview-of-ipsec-vpn
SSL-VPN建置 https://www.alibabacloud.com/help/en/vpn-gateway/latest/connect-a-client-to-a-vpc
IdaaS建立使用者帳戶 https://www.alibabacloud.com/help/en/idaas/latest/c179f8