4.5.4　通过VPN连通混合架构

VPN是最常见的网络连通方式，通过隧道技术基于互联网进行通信，其组成部分包括网络连接的两端及VPN隧道。公有云中提供IPsec VPN服务，无须再次部署；本地环境或移动端中仍需自己部署安装IPsec VPN客户端，部署完成后在公有云IPsec VPN、本地环境或移动端IPsec VPN中互相配置对方的IP地址、协商密钥等信息。配置完成后两端将会进行握手连通，在互联网中形成虚拟的IPsec VPN隧道进行数据传输，VPN连通示意图如图4-21所示。

公有云IPsec VPN提供默认参数配置，已经进行了很大的简化，不再需要手动配置AH或ESP安全协议，也无须选择隧道模式或传输模式，这些已按照默认值集成到产品中，如果用户需要对这些参数进行自定义，可在云主机中自行安装IPsec VPN客户端并进行配置。公有云提供的IPsec VPN客户端在创建和建立隧道的过程中还需要配置以下信息，如表4-6所示。

公有云中普遍提供IPsec VPN，也有SSL VPN等不同方案。VPN只是端到端连接的方案，并没有描述实现方式、是否加密，两端的数据通过IPsec协议进行协商，通过加密传输来保证数据的安全性，防止数据在传输过程中被窃取和篡改。也有多种其他加密协议基于VPN的可靠性传输（如SSL VPN）对应用层程序进行加密。而GRE VPN方式只提供数据传输隧道，不会对数据进行加密，适合已有网络安全防护的内网端到端传输。

网络连通后，通过ping命令来测试网络是否连通并检测网络延迟。在网络一端（公有云或本地环境）的云主机中使用ping命令向网络另一端的IP发送请求，网络延迟大小可以通过ping的结果中的time值来判断，ping命令的测试结果如下：

提示