一、网络基础设施的困境与云上架构的价值传统物理网络的隔离与调度痛点传统物理 IDC 机房里，运维人员需要手动划分子网、配置复杂的物理交换机 VLAN，才能实现支付核心环境与普通测试环境的严格隔离。一旦大促期间需要跨机房资源调配，底层网络架构的变更极其缓慢，还极易引发广播风暴等网络不稳定问题。这不是某个团队的问题，是物理网络的天花板。网线插在交换机上，VLAN 写在配置里，改一次就要全网联动。越大的集群，越不敢动。软件定义网络（SDN）的价值重塑云计算网络服务的出现，彻底重塑了网络边界。它允许我们在公共云基础设施上，通过软件逻辑划分出绝对隔离、完全自定义的专属虚拟网络。如果说计算服务（ECS/BMS）是系统的肌肉与骨骼，那么网络云服务（VPC/ELB/NAT）就是负责输送流量的神经网络。它们不仅是保证数据高效流转的通道，更是构建跨可用区（AZ）金融级容灾架构的最坚实底座。从「改配置要全网联动」到「点几下控制台就生效」，这个跨越，是云网络最大的价值。二、典型的网络云服务详解典型的网络云服务包括 VPC（虚拟私有云）、ELB（弹性负载均衡）、NAT 网关以及 VPN（虚拟专用网络）。本周重点梳理这四大核心组件。1. VPC（虚拟私有云）及其核心组件定义与底层逻辑VPC 是用户在云上申请的隔离的、私密的虚拟网络环境。从底层视角来看，它基于隧道网络技术在物理网络之上构建了逻辑隔离层。在一个 VPC 内，我们可以自由定义网段划分（子网）、路由策略（路由表），以及针对实例级别的访问控制（安全组）和子网级别的访问控制（网络 ACL）。简单说，VPC 就是在公共云的物理网络里，用软件「画」出一个只属于你的局域网。别人看不见，也摸不着。核心优势租户级绝对隔离与高可用。 VPC 之间逻辑上完全隔离，实现了租户间的网络多租户安全，天然防范外部网络攻击。同时，VPC 内提供的虚拟 IP（VIP）机制，能完美支持支付数据库主备节点（如基于 Keepalived 的高可用 Redis/MySQL 集群）的秒级漂移接管。极度灵活的网络连通性。 同区域内，可通过「对等连接（VPC Peering）」打通不同 VPC 的私网通信；线上线下混合云场景，也可通过「二层连接网关」实现 IP 不变的业务平滑上云。架构局限与痛点然而，原生的 VPC 对等连接在跨区域（Region）或面对极其庞大的微服务网状网络时，配置与管理会变得异常复杂，通常需要引入更高级的云连接网关（CC）或企业路由器（ER）进行集中化路由管理。常见应用场景云端专属网络隔离（如生产/测试环境严格物理隔离）、Web 应用网站托管、跨业务线的云上 VPC 互连。2. ELB（弹性负载均衡）定义与底层逻辑ELB 是应对高并发流量的「分发中枢」。它通过监听器（支持 TCP/UDP/HTTP/HTTPS）接收外部请求，并根据预设的流量分配策略，将访问流量均匀分发到后端的多个 ECS 服务器组上。想象一个银行大厅，客户排一条长队只开一个窗口，效率极低。ELB 就是那个引导员，把客户分流到所有空闲窗口。核心优势消除单点故障与跨 AZ 容灾。 对于支付网关这类对可用性要求极高的服务，ELB 支持跨可用区部署。结合健康检查机制，当某个节点或 AZ 发生故障时，ELB 能自动屏蔽异常 ECS，将流量无缝倒换至健康节点，从而避免支付链路中断。潮汐流量的弹性削峰。 配合 AS（弹性伸缩服务），ELB 会在流量洪峰时自动将新扩容的 ECS 纳管进后端服务器组，在流量低谷时自动剔除，是应对电商大促等脉冲式流量洪峰的核心抗压利器。架构局限与痛点在处理有状态请求时，如果「会话保持」策略配置不当，可能导致同一个用户的连续支付请求被打到不同的后端节点，从而引发会话状态不一致的问题。常见应用场景高访问量业务流量分发、潮汐业务弹性分发流量、实现业务跨可用区容灾部署。3. NAT 网关与 VPN，边界通信与地址转换定义与底层逻辑NAT 网关。 负责 VPC 内的计算实例与 Internet 之间的网络地址转换，分为 SNAT（源地址转换，用于共享上网）和 DNAT（目的地址转换，用于向公网提供服务）。VPN（虚拟专用网络）。 利用 Internet 建立一条基于 IPSec 协议加密的通信隧道，将企业本地数据中心与云上 VPC 连通。核心优势极致的安全与成本节约（NAT）。 利用 SNAT，支付核心集群的数百台 ECS 无需暴露在公网上（即无需为每台实例购买弹性公网 IP），就能共享同一个 EIP 访问外网（如调用微信/支付宝外部接口），在显著节省成本的同时，也隐藏了内部网络拓扑，提升了安全性。低成本的混合云架构（VPN）。 相比拉一根昂贵的物理专线，VPN 是实现「线下数据中心到云上」即开即用、无缝扩展的最高性价比方案，且基于 IKE/IPsec 协议族保证了交互数据的机密性与完整性。架构局限与痛点VPN 隧道底层依然依赖公共 Internet 链路。在公网拥堵时段可能会出现延迟抖动，对于要求极低延迟（如 10ms 以内）的专线同步场景（例如云边协同中的 CloudPond 与中心云实时同步），VPN 的稳定性无法保证。这时候，云专线（DC）才是正解。4. 补充组件，云连接、云专线与企业路由器初稿聚焦四大核心组件，但华为云网络服务还有几个关键拼图值得了解。云连接（CC）。 跨区域 VPC 互通的集中化管理方案。当业务部署在多个 Region，VPC Peering 的 N² 连接关系会爆炸，CC 用一个中心化的云连接实例统一管理跨 Region 路由，大幅降低运维复杂度。云专线（DC）。 物理层面的专线接入，带宽稳定、延迟极低，是金融核心系统、数据库同步等对网络质量有严苛要求的场景的首选。成本高，但可靠性也高。企业路由器（ER）。 华为云自研的集中式路由管理服务，支持跨 VPC、跨 Region、混合云的统一路由策略配置，是大规模组网的「交通指挥中心」。三、存储基础设施的困境与云上存储的价值传统存储的扩展与运维痛点传统企业数据中心里，存储是真正的「重资产」。买一台 SAN 存储阵列，几十万起步；扩容要提前采购硬盘、停机维护、重新划分 LUN。数据备份靠人工脚本，容灾靠「两地三中心」的物理复制，建设周期以月计，成本以百万计。更头疼的是，不同业务对存储的需求差异极大。数据库要低延迟高 IOPS，视频转码要大吞吐，日志归档要低成本大容量。一套存储打天下，要么性能不够，要么成本浪费。云存储的价值重塑云存储服务的出现，把存储从「买设备」变成了「选服务」。块存储、文件存储、对象存储三种形态，分别对应三种截然不同的访问模式和性能特征。按需选择，弹性扩展，用多少付多少。如果说网络云服务是云架构的神经网络，那存储云服务就是云架构的记忆中枢。数据在这里诞生、流转、沉淀、归档，贯穿业务的全生命周期。四、典型的存储云服务详解华为云存储服务的三大核心组件是 EVS（云硬盘）、OBS（对象存储服务）和 SFS（弹性文件服务）。它们分别对应块存储、对象存储和文件存储三种范式。1. EVS（云硬盘），块存储的绝对主力定义与底层逻辑EVS（Elastic Volume Service）为云服务器（ECS）和裸金属服务器（BMS）提供持久化的块存储服务。底层采用分布式存储架构，数据通过三副本或 EC 纠删码技术冗余保存，单盘数据可靠性高达 99.9999999%（9 个 9）。块存储的逻辑是，它存的是原始二进制数据，不能直接放文件，必须先格式化成文件系统才能用。就像买了一块新硬盘，得先分区格式化才能存东西。核心优势规格丰富，性能分级。 提供极速型 SSD、超高 IO、通用型 SSD V2、高 IO 等多种规格。极速型 SSD 单盘最高可达 256,000 IOPS 和 4,000 MiB/s 吞吐量，满足数据库等极致性能需求。通用型 SSD 则是性价比之选。弹性扩展。 单盘最大可扩容到 32 TiB，最小 1 GiB 步长，支持在线扩容不停机。安全可靠。 三副本保存 + AES-256 数据加密，应用无感知。还提供回收站功能，误删数据 7 天内可恢复。快照备份。 支持手动和自动快照，可基于快照创建新云硬盘，是数据保护和回滚的利器。架构局限与痛点EVS 只能挂载到同一可用区（AZ）的 ECS 上，跨 AZ 不可用。这意味着如果 ECS 发生 AZ 级故障，云硬盘也会跟着不可访问。要实现跨 AZ 容灾，必须搭配存储容灾服务（SDRS）做数据同步复制。常见应用场景数据库数据盘（要求低延迟高 IOPS）、操作系统启动盘、高性能计算、企业核心业务数据存储。2. OBS（对象存储服务），海量数据的终极容器定义与底层逻辑OBS（Object Storage Service）是华为云提供的海量、安全、高可靠、低成本的对象存储服务。它以「桶（Bucket）」和「对象（Object）」为基本存储单位，采用扁平化结构，没有传统文件系统的目录层级。对象存储的底层逻辑和块存储完全不同。它存的是完整的对象（一个文件 + 元数据），通过 HTTP/HTTPS 协议的 RESTful API 访问，不需要挂载到服务器上。你可以把它理解为一个无限容量、永远在线的网盘。核心优势极致的可靠性。 采用多重冗余架构和纠删码技术，数据持久性高达 99.9999999999%（12 个 9），服务可用性达 99.995%。这个数字意味着，存 100 亿个对象，一年内丢失一个的概率都极低。EB 级容量，按需扩展。 不需要预估容量，存多少算多少，从几 GB 到 EB 级无缝扩展。智能分层，成本最优。 提供标准存储、低频访问存储、归档存储三种存储类别。热数据放标准层，温数据降级到低频层，冷数据归档，自动把存储成本压到最低。安全合规。 从账户到对象的细粒度权限控制，传输加密 + 存储加密双重防护，日志审计全链路可追溯。架构局限与痛点OBS 不支持文件系统的随机修改，只能整体覆盖或追加。对于需要频繁原地修改小范围数据的场景（如数据库日志文件），OBS 并不合适，应该用 EVS 或 SFS。常见应用场景大数据分析的数据湖底座、静态网站托管、在线视频点播、数据备份与归档、智能视频监控、基因测序。3. SFS（弹性文件服务），共享存储的优雅方案定义与底层逻辑SFS（Scalable File Service）提供按需扩展的高性能网络共享文件存储（NAS）。它支持标准的 NFS 协议，允许多个 ECS、容器（CCE）同时挂载并共享访问同一个文件系统。如果说 EVS 是「独享硬盘」，OBS 是「无限网盘」，那 SFS 就是「共享文件夹」。多个服务器能同时读写同一份文件，这在很多企业应用场景里是刚需。核心优势多实例共享访问。 同一 VPC 内的多台 ECS 可以同时挂载同一个 SFS 文件系统，天然支持分布式应用的共享数据需求。弹性扩展，按需付费。 容量随数据量自动扩展，不需要预先分配固定大小，用多少付多少。标准协议兼容。 支持 NFS（Linux）和 CIFS（Windows）协议，应用无需改造即可接入。架构局限与痛点SFS 的性能受网络带宽影响，对于极高 IOPS 的数据库场景，SFS 的延迟和吞吐不如 EVS。另外，SFS 只能在 VPC 内部访问，不支持跨 VPC 或公网直接访问。常见应用场景企业办公自动化（OA）、内容管理系统（CMS）、容器共享存储、高性能计算（HPC）的共享工作目录、媒体处理。4. 三大存储服务对比对比维度EVS（云硬盘）OBS（对象存储）SFS（弹性文件服务）存储类型块存储对象存储文件存储存储逻辑原始二进制数据，需格式化对象（文件+元数据），扁平化文件和文件夹的层次结构访问方式挂载到单台 ECS/BMSRESTful API / SDK / 控制台NFS/CIFS 网络挂载共享性通常一对一一对多（互联网级别）一对多（VPC 内共享）性能特征极高 IOPS、极低延迟大吞吐、EB 级容量高性能共享、带宽优先典型场景数据库、系统盘、核心业务数据湖、备份归档、视频OA、CMS、容器存储、HPC五、存储容灾与备份，数据安全的最后防线三大存储服务解决了「怎么存」的问题，但「怎么保」同样关键。华为云提供了两个重要的数据保护服务。1. SDRS（存储容灾服务）SDRS（Storage Disaster Recovery Service）基于 HyperMetro 复制技术，为 ECS 和 EVS 提供跨 AZ 的实时数据同步。生产站点的数据被同步复制到容灾可用区，RPO 达到秒级。当生产 AZ 发生故障时，SDRS 支持一键式容灾切换，将业务快速切换到容灾站点。还支持在线容灾演练，无需停机即可验证容灾切换的有效性。2. CBR（云备份恢复）CBR（Cloud Backup and Recovery）为云服务器和云硬盘提供周期性备份。与 SDRS 的实时同步不同，CBR 是定期快照备份，适合应对误删、数据损坏等逻辑错误。两地三中心架构（SDRS + CBR）这是华为云推荐的经典容灾方案。SDRS 负责同区域跨 AZ 的实时同步（同城灾备），CBR 负责跨 Region 的周期性备份（异地灾备）。生产中心、同城灾备中心、异地灾备中心共同组成两地三中心架构，是金融级容灾的标准配置。六、网络与存储的协同，云架构的完整拼图网络和存储从来不是孤立存在的。在真实的云架构中，它们紧密协同。EVS 必须与 ECS 同 AZ。 网络的可用区边界，直接决定了块存储的可用性边界。跨 AZ 容灾需要 SDRS 打通存储层，也需要 ELB 打通网络层，两者缺一不可。OBS 通过 VPC 端点加速访问。 大数据分析场景中，计算集群（ECS/CCE）在 VPC 内通过内网端点高速访问 OBS，避免公网带宽瓶颈，网络配置直接影响存储吞吐。SFS 的共享依赖 VPC 网络。 多台 ECS 挂载同一个 SFS，前提是它们在同一个 VPC 内。VPC 的子网划分和安全组策略，决定了哪些实例能访问共享存储。VPN/DC 连通混合云存储。 线下 IDC 的数据要备份到云上 OBS，或者线下应用要访问云上 SFS，都需要 VPN 或云专线打通网络通道。网络质量直接决定存储同步的 RPO。网络是通道，存储是落点。通道不稳，数据就到不了；落点不牢，数据就存不住。只有两者都可靠，云架构才能真正扛住生产级的压力。七、总结这次学习梳理了华为云网络云服务和存储云服务的核心组件。网络方面，VPC 是隔离的底座，ELB 是分发的中枢，NAT 网关是边界的翻译官，VPN 是混合云的加密隧道，云连接和企业路由器是大规模组网的指挥中心。它们共同构成了云上流量从接入、分发、隔离到跨域互通的完整链路。存储方面，EVS 是高性能的独享硬盘，OBS 是无限容量的数据容器，SFS 是优雅的共享文件夹。三者各有所长，按场景选择才是正道。SDRS 和 CBR 则为数据安全提供了跨 AZ 容灾和跨 Region 备份的双重保障。我觉得，理解云服务最有效的方式不是逐个背诵产品手册，而是回到真实场景里问自己，我的业务需要什么样的网络通道，需要什么样的存储落点，需要什么样的容灾保障。从需求出发，服务自然就选对了。

专家老师好，请教一下，vpn连接的两个地址，连接不上：10.226.50.201 x86-48-37.abc.hicampuscube.com10.226.49.205 x86-48-37.digitalplatform.campus.com是否过期了，还是ip地址更换了，9月份及之前都可以连接的，昨天试了一下，连不上了，帮忙看看，谢谢！以前开发环境一直使用这两个ip地址的。

在当代计算领域，虚拟化已是一项不可或缺的基石技术。然而，对于许多用户和管理员而言，是否应该开启这项功能，常常成为一个令人困惑的抉择。本文旨在深入浅出地解析虚拟化技术，并从多个维度客观分析其利弊，为您提供清晰的决策依据。  一、核心概念：打破“一台一机”的物理枷锁虚拟化技术的核心思想是“资源抽象与隔离”。我们可以通过一个生动的比喻来理解：将一台物理服务器想象成一座庞大的图书馆大楼，其CPU、内存、硬盘和网卡就是大楼的结构、空间、藏书和通信线路。在传统模式下，整座大楼通常只服务于一个特定的“机构”（一个操作系统），导致资源大量闲置。虚拟化技术则如同一位技艺高超的建筑师，它能在图书馆大楼内，巧妙地划分出多个完全独立、安全隔离的“专属阅览室”（即虚拟机）。每个阅览室都拥有自己独立的空调电力（计算资源）、藏书副本（存储空间）和进出通道（网络），互不干扰。管理所有这些阅览室的底层系统，被称为虚拟化层。简而言之，虚拟化实现了将单一的物理硬件资源，抽象成多个可独立运行、灵活调配的虚拟计算单元。二、开启虚拟化的显著优势：为何它成为主流？开启虚拟化功能，能带来立竿见影的收益，这主要体现在以下几个维度：1. 资源整合与成本效益提升利用率：将多台利用率低下的物理服务器工作负载整合到少数几台高性能主机上，使硬件资源（尤其是CPU和内存）得到充分利用。降低TCO：显著减少物理服务器的采购数量，从而直接节约了机房空间、电力消耗和冷却成本，总体拥有成本大幅下降。2. 业务敏捷性与运维效率快速部署：创建一个新的虚拟服务器，通常只需几分钟，远比采购、上架、配置物理硬件要迅速，极大地加速了业务上线和迭代速度。简化管理：管理员可以通过统一的控制台，集中监控和管理成百上千个虚拟工作负载，运维工作变得前所未有的高效。3. 高可用性与业务连续性服务不中断：借助虚拟化的高级功能，可以在物理主机进行维护或发生故障时，将其上的虚拟机在线迁移到其他健康的主机，实现用户无感知的业务连续性。简化备份与恢复：虚拟机本质上是一个文件集合，这使得整个系统的备份、克隆和恢复操作变得非常简单和快速。4. 环境隔离与安全增强每个虚拟机拥有独立的操作系统和应用程序环境。这意味着开发、测试和生产环境可以安全地隔离，一个应用的故障或安全漏洞不易波及其他系统。三、关闭虚拟化的考量：何时应回归物理架构？尽管优势突出，但虚拟化并非放之四海而皆准的解决方案。在以下特定场景中，关闭或避免使用虚拟化可能是更合理的选择：1. 对极致性能有苛刻要求的应用虚拟化层会引入轻微的性能开销（通常很小，但在极端场景下不可忽视）。对于需要直接、无损耗地访问硬件资源的应用，如高频交易系统、顶级科学计算或核心高性能数据库，绕过虚拟化层可以直接获得最强的性能。2. 需要直接访问专属硬件的场景某些专业应用（如特定的GPU计算、高性能存储卡或数据采集设备）需要直接驱动物理硬件。虚拟化虽然支持透传技术，但会增加配置复杂性，在某些情况下可能无法实现最佳兼容性或性能。3. 软件许可与合规性限制部分商业软件许可是基于物理CPU插槽或核心数量来计费的。在虚拟化环境中，许可证的计算方式可能变得复杂且昂贵，从合规性与成本角度考量，直接部署于物理机可能更具优势。4. 追求极简与极致稳定的嵌入式/边缘系统在一些嵌入式或工业边缘计算场景中，系统要求极度精简和稳定。每增加一层软件（虚拟化层），就意味着多一分复杂性和潜在的攻击面。此时，专机专用的物理架构更为可靠。四、决策指南：如何做出明智选择？综合以上分析，我们可以得出一个清晰的决策框架：您应该优先考虑开启虚拟化，如果您的需求是：服务器整合，以提高资源利用率和降低运营成本。快速构建和销毁开发、测试环境。运行大多数常规业务应用（如Web服务器、应用中间件、文件服务器等）。需要构建具备高可用和容灾能力的企业级IT架构。您可能需要考虑关闭或避免使用虚拟化，如果您的场景是：运行对性能延迟零容忍的核心关键应用。应用必须直接、独占地访问特定物理硬件。虚拟化导致的软件许可成本远超其带来的硬件节省。系统设计追求极致的精简、确定性和底层控制。总结而言，虚拟化是一项强大的资源增效技术，其开启与否，本质上是一场在“效率、灵活性与成本”和“极致性能、专属性与精简度”之间的权衡。对于绝大多数现代数据中心和业务场景而言，开启虚拟化带来的巨大效益是毋庸置疑的。然而，充分了解其不适用的边界，才能做出最符合自身技术需求和业务目标的理性决策。 

全虚拟化通过硬件辅助和二进制翻译技术，提供完整的硬件模拟，支持未修改的操作系统，兼容性出色但性能开销较大（5-30%）。半虚拟化需客户操作系统配合修改，采用超调用等协作机制，牺牲部分兼容性换取更高性能（损失3-10%），尤其擅长I/O密集型场景。两者在隔离性、部署复杂度上各有特点：全虚拟化适合多系统混合环境，半虚拟化更适合同类系统的大规模高性能部署。本文将从技术原理、性能表现、兼容性、安全性等多个维度进行深入对比分析，帮助读者全面理解这两种虚拟化方案的特性与适用场景。一、技术原理深度解析1.1 全虚拟化技术原理全虚拟化通过在硬件层面创建完整的虚拟化环境，使客户操作系统无需任何修改即可运行。其核心技术包括：二进制翻译技术：动态转换特权指令，避免直接执行敏感操作硬件辅助虚拟化：利用Intel VT-x或AMD-V等扩展指令集完整的硬件模拟：为客户机提供虚拟化的硬件设备接口1.2 半虚拟化技术原理半虚拟化要求客户操作系统进行特定修改，以意识到自己运行在虚拟化环境中：Hypercall机制：通过专门的API调用与虚拟化管理程序通信前端/后端架构：客户机使用简化的驱动程序与主机交互协作式虚拟化：客户机主动配合虚拟化环境的特殊要求二、性能对比分析2.1 计算性能表现全虚拟化：硬件辅助下性能损失约5-15%，二进制翻译模式下可能达到20-30%半虚拟化：性能损失通常控制在3-10%，在某些I/O密集型场景中表现更优2.2 内存访问效率全虚拟化：需要额外的地址转换层，内存访问开销较大半虚拟化：采用直接内存访问模式，减少了转换层数2.3 I/O操作性能全虚拟化：通过完全模拟设备，兼容性好但性能较低半虚拟化：使用优化的虚拟设备驱动程序，I/O性能提升显著三、兼容性对比3.1 操作系统支持- 全虚拟化：- 支持任何未修改的操作系统- 兼容闭源和遗留系统- 无需操作系统层面的特殊支持- 半虚拟化：- 需要操作系统提供特定支持- 主要支持开源操作系统- 对Windows等闭源系统支持有限3.2 应用程序兼容性- 全虚拟化：完全透明的运行环境，应用程序无需任何修改- 半虚拟化：大多数应用程序无需修改，但某些底层操作可能需要调整四、安全性对比分析4.1 隔离机制- 全虚拟化：提供完整的硬件级隔离，安全性更高- 半虚拟化：依赖修改后的操作系统协作，隔离强度相对较弱4.2 攻击面分析- 全虚拟化：较大的代码基数和复杂的模拟层可能增加攻击面- 半虚拟化：简化的接口和协作模式可能减少潜在漏洞五、部署和维护考量5.1 实施复杂度- 全虚拟化：- 部署简单，无需修改客户操作系统- 管理工具成熟，生态系统完善- 半虚拟化：- 需要定制化的操作系统版本- 维护和更新需要特殊考虑5.2 资源利用率- 全虚拟化：资源开销较大，需要预留更多资源给虚拟化层- 半虚拟化：资源利用更高效，特别在密集工作负载场景六、适用场景分析6.1 全虚拟化优势场景- 企业生产环境：需要运行多种操作系统的场景- 遗留系统迁移：保持硬件兼容性的需求- 开发和测试：快速部署和销毁测试环境6.2 半虚拟化优势场景- 高性能计算：对I/O性能要求极高的应用- 云计算平台：大规模部署同类操作系统的环境- 嵌入式系统：资源受限的专用设备虚拟化七、技术发展趋势7.1 融合发展趋势现代虚拟化技术正在走向融合：- 硬件辅助的全虚拟化性能不断提升- 半虚拟化的优点被逐步整合到全虚拟化方案中- 容器等轻量级虚拟化技术带来新的选择7.2 新兴技术影响- 硬件创新：新的处理器特性缩小两种方案的性能差距- 软件定义一切：软件定义的网络和存储改变虚拟化需求- 云原生技术：Kubernetes等平台重新定义虚拟化角色八、选择建议与最佳实践8.1 选择考量因素- 工作负载特性：计算密集型还是I/O密集型- 兼容性要求：需要支持的操作系统类型- 性能目标：可接受的性能损失范围- 管理复杂度：团队的技术能力和维护资源8.2 混合部署策略在实际环境中，可以采用混合策略：- 对性能要求高的应用使用半虚拟化- 对兼容性要求高的系统使用全虚拟化- 根据具体需求动态调整虚拟化方案全虚拟化和半虚拟化各有其独特的优势和适用场景。全虚拟化以其出色的兼容性和易用性见长，适合需要运行多种操作系统的复杂环境；而半虚拟化则在性能优化方面具有明显优势，特别适合大规模部署同类系统的高性能场景。随着硬件技术的不断进步和软件生态的持续发展，两种技术路径正在相互借鉴和融合。未来的虚拟化解决方案很可能会结合两者的优点，提供既保持兼容性又具备高性能的混合型虚拟化环境。对于技术决策者而言，关键是根据具体的应用需求、性能目标和资源约束，选择最适合的虚拟化方案或组合策略。

CentOS 7.9多种安装方式对比结论镜像来源->(1)官方镜像默认(2)官方镜像+华为源(3)官方镜像+文档推荐源(4)华为云上镜像+默认配置Yum配置文件/etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repoYum源地址cid:link_10 已无法访问https://repo.huaweicloud.comhttps://archives.fedoraproject.orghttps://repo.huaweicloud.comOpenvpn版本无法安装无法安装openvpn-2.4.12-2.el8openvpn-2.4.12-1.el7Ssl版本1.0.2k1.0.2k无法用命令升级1.1.1c默认1.0.2k 默认安装 1.1.1k结论FailFailPassFail官方镜信息Ssl默认版本官方镜像 文档源配置好软件源后，使用下载的openvpn包安装，命令使用curl -O下载，会自动下载依赖的openssl版本官方镜像+华为源华为云镜像ssl默认安装命令yum install -y epel-releaseyum install -y openssl11 openssl11-develssl默认版本ssl命令默认安装版本Openvpn命令默认安装安装后openvpn配套的ssl版本还是1.0.2k，无法建连接解决方案安装的版本Ssl默认安装版本Linux上下载可以使用 wget cid:link_1没有wget 可以使用 curl -O创建客户端虚拟机华为云ECS上拉起虚拟机，镜像使用CentOS 7.9 64bit配置软件源官方镜像备份的时候把老的文件全部挪走，不然老的镜像源不通，无法下载openvpnmkdir /etc/yum.repos.d/repo_bakmv /etc/yum.repos.d/*.repo /etc/yum.repos.d/repo_bak/备份配置文件cp -a /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backupvi /etc/yum.repos.d/epel.repoepel.repo中写入以下内容[epel]name=epelbaseurl=https://archives.fedoraproject.org/pub/archive/epel/7.9/x86_64/gpgcheck=0gpgkey=https://download.fedoraproject.org/pub/epel/RPM-GPG-KEY-EPEL-7安装OpenSSL1.1.1CentOS7.9系统自带的OpenSSL为1.0.2版本，为了支持Openvpn对应的加密套件，需要额外安装1.1.1版本。安装方法如下yum install -y epel-releaseyum install -y openssl11 openssl11-devel成功安装openssl 1.1.1k（此处openssl新版本的二进制文件和原有的1.0.2版本分开存放，不会影响现有依赖下载并安装openvpn客户端yum install openvpn 默认安装的版本无法建连（ssl的默认版本为1.0.2版本导致），需要更新sslvpn版本，方法如下下载指定的openvpn安装包cid:link_3将rpm包上传到Linux系统任意目录下，这里上传到/opt目录安装软件cd /opt/yum install ./openvpn-2.4.12-2.el8.x86_64.rpm可以看到，安装的openvpn客户端链接到OpenSSL 1.1.1k建立连接首先在华为云vpn服务网关列表->下载客户端配置进行客户端配置文件下载由于Centos7.9系统安装的openvpn2.4.12为旧版本，不支持data-ciphers disable-dco参数，因此需要在配置文件中注释掉对应参数验证连通性，ping想要访问的ECS私网地址Centos8多种安装方式对比结论镜像来源->官方镜像官方镜像+华为源官方镜像+清华源华为云上镜像+默认配置Yum配置文件/etc/yum.repos.d//etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repoYum源地址cid:link_10 已无法访问https://repo.huaweicloud.comcid:link_9https://repo.huaweicloud.comOpenvpn版本无法安装2.4.122.4.12openvpn-2.4.12-2.el8Ssl版本1.1.1c1.1.1c1.1.1c1.1.1k结论FailPassPassPass官方镜像官方镜像华为源官方镜像清华源华为云默认安装版本创建虚拟机华为云ECS上拉起虚拟机，镜像使用CentOS 8.2 64bit配置软件源官方镜像备份的时候把老的文件全部挪走，不然老的镜像源不通，无法下载openvpnmkdir /etc/yum.repos.d/repo_bakmv /etc/yum.repos.d/*.repo /etc/yum.repos.d/repo_bak/备份配置文件cp -a /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backupvim /etc/yum.repos.d/epel.repo华为云拉取的CentOS8版本ECS自带OpenSSL1.1.1。CentOS系统中，openvpn的安装包在epel源中，需要先配置epel源。vim /etc/yum.repos.d/epel.repoepel.repo中写入以下内容[epel]name=epelbaseurl=cid:link_9/epel/8/Everything/x86_64/gpgcheck=0gpgkey=https://mirrors.tuna.tsinghua.edu.cn/epel/RPM-GPG-KEY-EPEL-8下载并安装openvpn客户端执行命令“yum install openvpn”，默认安装的版本为openvpn 2.4.12，安装后可以正常建联（需要在配置文件中注释掉data-ciphers disable-dco）建立连接centos stream 9多种安装方式对比结论镜像来源->官方镜像官方镜像+华为源官方镜像+清华源华为云上进行+默认配置华为云上进行+清华源Yum配置文件/etc/yum.repos.d//etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repo/etc/yum.repos.d//etc/yum.repos.d/epel.repoYum源地址https://mirrors.centos.orghttps://repo.huaweicloud.comcid:link_9https://repo.huaweicloud.comcid:link_9Openvpn版本默认没有配置epel.repo无法安装报无软件包2.5.112.5.11默认没有配置epel.repo无法安装报无软件包2.5.11Ssl版本3.2.23.2.23.2.23.2.23.2.2结论FailPassPassFailPass官方镜像官方镜像清华源官方镜像华为源华为云默认SSL默认版本华为云镜像 清华源Openvpn-2.5.11-1.e19创建虚拟机华为云ECS上拉起虚拟机，镜像使用CentOS Stream 9 64bit 配置软件源配置epel源# 备份配置文件cp -a /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backupvim /etc/yum.repos.d/epel.repoepel.repo中写入以下内容[epel]name=epelbaseurl=cid:link_9/epel/9/Everything/x86_64/gpgcheck=0gpgkey=https://mirrors.tuna.tsinghua.edu.cn/epel/RPM-GPG-KEY-EPEL-9执行“yum install openvpn"下载的默认版本为openvpn 2.5.11。建立连接Debian12多种安装方式对比结论镜像来源->官方默认镜像官方镜像华为源官方镜像清华源华为云上镜像+默认配置华为云上镜像+清华源Yum配置文件/etc/apt/sources.list/etc/apt/sources.list/etc/apt/sources.list/etc/apt/sources.list/etc/apt/sources.listYum源地址Cdrom 无法命令行安装https://repo.huaweicloud.comcid:link_9https://repo.huaweicloud.comcid:link_9Openvpn版本未知2.5.12.5.12.6.32.5.1Ssl版本3.0.91.1.1w1.1.1w3.0.131.1.1w结论FailPassPassPassPass官方镜像官方镜像华为源官方镜像清华源华为云镜像默认ssl版本Openvpn默认安装版本apt-get updateapt install -y openvpn华为云镜像 清华源Openvpn文档默认安装版本创建虚拟机配置软件源配置apt源cp -a /etc/apt/sources.list /etc/apt/sources.list.bakvi /etc/apt/sources.list修改sources.list为以下内容deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye contrib maindeb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye contrib main#软件更新源deb https://mirrors.tuna.tsinghua.edu.cn/debian-security/ bullseye-security main contribdeb-src https://mirrors.tuna.tsinghua.edu.cn/debian-security/ bullseye-security main contrib#安全更新源deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-updates main contribdeb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-updates main contrib下载并安装openvpn客户端之后使用“ apt-get updateapt install -y openvpn”可以自动下载openvpn_2.5.1-3_amd64.deb版本以及openssl 1.1.1等相关依赖。安装后的版本如下连接正常 建立连接Ubuntu 24.10多种安装方式对比结论华为云上无镜像镜像来源->官方镜像默认官方镜像+华为源官方镜像+清华源Yum配置文件/etc/apt/sources.list.d/etc/apt/sources.list.d/etc/apt/sources.list.dYum源地址http://archive.ubuntu.comhttps://repo.huaweicloud.comcid:link_9Openvpn版本2.6.122.6.122.6.12Ssl版本3.3.13.3.13.3.1结论PassPassPass默认ssl版本openvpn默认安装版本官方镜像官方源华为源清华源创建虚拟机配置软件源配置apt源cp -a /etc/apt/sources.list.d/ubuntu.sources /etc/apt/sources.list.d/ubuntu.sources.bakvim /etc/apt/sources.list.d/ubuntu.sources修改ubuntu.sources为以下内容Types: debURIs: cid:link_9/ubuntu/Suites: oracular oracular-updates oracular-backportsComponents: main restricted universe multiverseSigned-By: /usr/share/keyrings/ubuntu-archive-keyring.gpgTypes: debURIs: cid:link_9/ubuntu/Suites: oracular-securityComponents: main restricted universe multiverseSigned-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg使用“apt install -y openvpn”可以自动下载openvpn_2.6.12-1ubuntu1_amd64.deb版本以及相关依赖。安装后的版本如下可以正常建联 建立连接Redhat 9.5多种安装方式对比结论华为云上无镜像镜像来源官方镜像默认三方网站Yum配置文件由于需要花钱未验证到如何配置yum文件目前采用的是将RPM包现在到本地进行的验证，故不确定yum的实际生效情况Yum源地址需要订阅从第三方网站下载Openvpn版本未验证，未知2.5.11Ssl版本3.2.23.2.2结论NAPass默认sslRed Hat Enterprise Linux (RHEL) 9.5 的官方 YUM 源配置通常需要订阅服务，因为 RHEL 是一个商业发行版。如果你有有效的 Red Hat 订阅，可以通过 Red Hat Subscription Manager 来管理你的软件仓库。文档下载Openvpn软件下载安装华为和清华的开源镜像仓里均没有找到redhat对应的yum源，这里直接用rpm包安装openvpn。RHEL 9.5可以安装openvpn-2.5.11-1.el9.x86_64，需要额外安装依赖lib64pkcs11-helper1-1.30.0-1-omv2390.x86_64rpm来源wget cid:link_2wget cid:link_0安装完成可以正常建联 建立连接openSUSE 15.5多种安装方式对比结论镜像来源官方默认镜像官方镜像+华为源官方镜像+清华源Yum配置文件/etc/zypp/repos.d//etc/zypp/repos.d//etc/zypp/repos.d/Yum源地址http://download.opensuse.orghttps://repo.huaweicloud.comcid:link_9Openvpn版本2.5.62.5.62.5.6Ssl版本1.1.1l1.1.1l1.1.1l结论PassPassPass默认ssl官方镜像默认安装openvpn华为源清华源创建虚拟机软件源配置配置zypp源# 备份配置文件mkdir /etc/zypp/repos.d/repo_bakmv /etc/zypp/repos.d/*.repo /etc/zypp/repos.d/repo_bak/# 配置镜像源zypper ar -cfg 'https://mirrors.tuna.tsinghua.edu.cn/opensuse/distribution/leap/15.5/repo/oss/?ssl_verify=no' mirror-osszypper ar -cfg 'https://mirrors.tuna.tsinghua.edu.cn/opensuse/distribution/leap/15.5/repo/non-oss/?ssl_verify=no' mirror-non-osszypper ar -cfg 'https://mirrors.tuna.tsinghua.edu.cn/opensuse/update/leap/15.5/oss/?ssl_verify=no' mirror-updatezypper ar -cfg 'https://mirrors.tuna.tsinghua.edu.cn/opensuse/update/leap/15.5/non-oss/?ssl_verify=no' mirror-update-non-oss如果用内网华为源。镜像源配置如下zypper ar -fcg https://mirrors.tools.huawei.com/opensuse/distribution/leap/15.5/repo/oss?ssl_verify=no HuaWeiCloud:15.5:OSSzypper ar -fcg https://mirrors.tools.huawei.com/opensuse/distribution/leap/15.5/repo/non-oss?ssl_verify=no HuaWeiCloud:15.5:NON-OSSzypper ar -fcg https://mirrors.tools.huawei.com/opensuse/update/leap/15.5/oss?ssl_verify=no HuaWeiCloud:15.5:UPDATE-OSSzypper ar -fcg https://mirrors.tools.huawei.com/opensuse/update/leap/15.5/non-oss?ssl_verify=no HuaWeiCloud:15.5:UPDATE-NON-OS执行“zypper install openvpn”即可安装openvpn-2.5.6-150400.3.6.1.x86_64以及相关依赖安装完成可以正常建联建立连接问题和帮助问题1：Centos ping不通公网版本Centos8.2 的解决办法：网卡未启动 修改配置文件 onboot=yes下发命令 nmcli connection reloadVi /etc/sysconfig/network-scripts/ifcfg-ens3版本未Centos 7.9的解决办法：网卡未启动 修改配置文件 onboot=yes下发命令 nmcli connection reloadIfcfg-eth0问题2：.连接时报错“Unrecognized option or missing or extra parameter(s) in xxx.ovpn:108: data-ciphers (2.4.12)”原因及解决办法：openvpn 2.4.x不支持data-ciphers参数，会将其识别为无法匹配的字段后报错。将配置文件中“data-ciphers”所在行注释掉即可。问题3：连接时报错““Unrecognized option or missing or extra parameter(s) in xxx.ovpn:38:disable-dco(2.4.12)”问题解决办法：在客户端配置文件中注释掉disable-dco通过linux命令直接下载rpm包方法使用wget 或者 curl -O，或者本地下载上传到linuxwget cid:link_1curl -O cid:link_1各版本linux镜像下载地址参考Centeos：https://vault.centos.org/CentOS-7-x86_64-DVD-2009.iso下载地址 cid:link_7 CentOS-8.2.2004-x86_64-dvd1.iso下载地址：cid:link_8 CentOS-Stream-9-latest-x86_64-dvd1.iso下载地址：https://www.centos.org/download/ readhat ：rhel-9.5-x86_64-dvd.iso下载地址：https://developers.redhat.com/products/rhel/download#rhelforsap896下载方式可以参考知乎：https://zhuanlan.zhihu.com/p/528869953Debianhttps://mirrors.tools.huawei.com/os/imagedebian-12.0.0-amd64-DVD-1.iso下载地址：cid:link_5OpenSuseopenSUSE-Leap-15.5-DVD-x86_64-Media.iso下载地址：cid:link_4Ubuntuubuntu-24.10-live-server-amd64.iso下载地址：cid:link_6

客户端连接时错误信息：OpenVpn GUI的客户端连接时报错信息：Tue Aug 6 11:31:30 2024 VERIFY ERROR: depth=1, error=unable to get issuer certificate: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Encryption Everywhere DV TLS CA - G2, serial=xxxxxxxxTue Aug 6 11:31:30 2024 OpenSSL: error:0A000086:SSL routines::certificate verify failed:Tue Aug 6 11:31:30 2024 TLS_ERROR: BIO read tls_read_plaintext errorTue Aug 6 11:31:30 2024 TLS Error: TLS object -> incoming plaintext read errorTue Aug 6 11:31:30 2024 TLS Error: TLS hand...  OpenVPN Connect客户端连接时报错：peer certificate verification failure注: OpenVPN Connect客户端的报错信息很模糊，其他种类的证书问题也可能报该错误，需要结合客户的CA证书是否存在上级证书来判断。如果存在上级证书，则说明是该问题；反之则不是。 问题根因：服务端证书自带的证书链不完整，导致客户端无法认证配置文件中CA证书的有效性  解决方案：需要将完整的CA证书链填充到客户端配置文件中去。具体步骤如下 第一步：获取所使用的CA证书打开下载解压后的客户端的配置文件(client_config.ovpn)，以文本方式打开该文件。截取出其中的CA证书内容(证书内容就是配置内容中中间一段以-----BEGIN CERTIFICATE-----开头，以-----END CERTIFICATE-----的字符串)。将证书内容复制粘贴到新的文本文件中，并将该文件的格式后缀改为.crt第二步：导出所使用的CA证书的上级证书双击该证书，在证书路径中可以看到该证书的上级证书选择当前证书的上级证书，点击"查看证书"，会弹出上级证书的新窗口。在新窗口的"详细信息"页中，点击"复制到文件"点击“下一步”选择"Base64编码"，点击“下一步”输入文件名后，点击"下一步"，再点击“完成”*如果配置文件中的CA证书不只一个，需要将所有CA证书的上级证书都导出。 第三步：将上级证书复制到客户端配置文件中将第二步中导出的上级证书已文本的方式打开， 复制其中的内容(同样是一段以-----BEGIN CERTIFICATE-----开头，以-----END CERTIFICATE-----的字符串)，将它粘贴到OpenVpn客户端配置文件中的已有CA证书后面(注意不是替换！！！)，保存文件。粘贴完之后的示例：......-----BEGIN CERTIFICATE-----xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx......xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-----END CERTIFICATE----------BEGIN CERTIFICATE----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx......xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-----END CERTIFICATE----- ......  然后将修改后的客户端配置文件重新导入配置文件到OpenVpn软件中，重新连接即可。        

OpenVPN Connect是开源软件，官方的下载服务器位于国外，下载链接在国内可能无法打开。下面是国内可访问第三方下载链接，仅供参考：windows: https://vpn.shu.edu.cn/index/OpenVPNsysm/Windows_Linux.htm安卓：https://openvpn-connect.apk.watch/3.3.1

组网图如上，红色虚线代表流量路径。 配置步骤如下1、创建或使用两个已有的VPC，他们分别为VPC1和VPC22、创建P2C VPN网关和服务端按照正常创建P2C VPN网关和服务端流程创建即可。需要注意一下几点：2.1 创建网关时，P2C VPN网关的VPC选择VPC22.2 创建服务端，本端网段输入这些网段：1.0.0.0/8,2.0.0.0/7,4.0.0.0/6,8.0.0.0/5,16.0.0.0/4,32.0.0.0/3,64.0.0.0/3,96.0.0.0/4,112.0.0.0/5,120.0.0.0/6,124.0.0.0/7,126.0.0.0/8,128.0.0.0/2,192.0.0.0/32.3 如果客户端认证类型是口令认证，用户所属用户组的访问策略也要有和本端网段一样的目的网段（单个访问策略只能配10个目的网段，同一用户组可以配置多个访问策略）3、创建SNAT创建SNAT时，VPC选择VPC1添加SNAT规则，这里需要选“云专线/云连接”，网段填P2C VPN服务中配置的客户端网段。4、配置对等连接和路由创建对等连接时，本端VPC和对端VPC分别选择VPC1和VPC2在VPC1的路由表中添加目的地址是P2C VPN服务端的客户端网段，下一跳是对等连接的路由。在VPC2的路由表中添加目的地址是0.0.0.0/0，下一跳是对端连接的路由。5、验证客户端连上终端入云VPN后，查询本机IP地址就是SNAT绑定的eip的地址

OpenVPN Connect是开源软件，官方的下载服务器位于国外，下载链接在国内可能无法打开。下面是国内可访问第三方下载链接，仅供参考：安卓：https://openvpn-connect.apk.watch/3.3.1

随着企业信息化的发展，依赖互联网、云服务等协作办公的需求越来越多，组建一个高效适用的企业网络，对于提高企业办公效率，促进企业发展显得至关重要。企业组网的方式主要有： MPLS专线、VPN以及SD-WAN等，至于哪一种才是好的解决方案，网宿君认为没有绝对好的解决方案，选择适合自身企业的解决方案才是关键。下文就不同组网方式进行简要介绍，供参考以便选择。方式一 MPLS专线MPLS专线拓扑图（来源于网络）MPLS专线是运营商提供的一种基于MPLS技术的广域网服务专用线路，该线路为企业的专用通道，以用于企业或行业集团用户各分支机构互联，组建内部信息传送网络，已在企业组网的市场上驰骋二十几年。其突出的优点主要有：1. 可靠性：构建在运营商的网络上，具有足够且灵活的带宽和传输可靠性；2. 安全性：采用了路由隔离、地址隔离和隐藏MPLS内部网络信息等，可提供端到端的安全保证。但因价格高昂、部署周期长、运维复杂、难以规模化应用于云计算及SaaS等原因，在现代企业多样性的场景需求面前已捉襟见肘。对于安全性要求极高、预算充分的政府单位、大型企业，或者是企业的关键任务运行上，MPLS专线依然是良好的选择。方式二 VPN组网VPN组网拓扑图（来源于网络）VPN组网是通过公用网络建立的私有数据传输通道，将企业的总部、分支机构、上下游合作伙伴、移动办公人员等连接起来的一项技术。这种组网方式的显著优势是：1. 较低的成本投入：VPN利用的是公共网络而建立的虚拟专网，企业无需花费高额的硬件设备、线路租赁、维护等费用；2. 部署时间较快：VPN一般是由防火墙或者VPN网关等硬件设备来实现的，路由设备到位后，进行网络配置即可完成；3. 可实现远程访问：无论是在外地出差还是在家中办公的用户，通过互联网连接VPN，即可访问企业的内网资源，为远程办公、移动办公提供了技术基础。随着企业应用场景的变化，尤其是2020年疫情的原因，远程办公的场景爆发式增长，VPN业务体验不好、安全有隐患（网关暴露在公网，容易被黑客扫描到并发起攻击，一旦被黑客侵入，内网数据资源则都有被盗取的风险）等弊端也逐渐凸显出来，但针对于预算不足、安全性要求不高的小型企业，不失为一套适用的解决方案。方式三 SD-WANSD-WAN 即软件定义广域网，其网络架构还是基于公共网络或者专线，但增加了SD-WAN控制器，这也是SD-WAN的管理核心。通过集中控制器，将广阔地理范围的企业网络、数据中心、互联网应用及云服务等集中起来，进行统一管理。随着企业上云、远程办公、数字化管理等场景应用越来越多，MPLS专线和VPN的组网方式已无法满足此类场景的需求，甚至成了企业数字化转型的瓶颈。主要表现在：1. MPLS专线成本投入大：一方面专线单价高，对于大带宽需求的客户如共有云与IDC打通、多分支或项目部访问总部等，投入巨大；另一方面，专线的网络结构复杂，需要专业的IT运维人员负责，也得耗费较大的人力的成本；2. VPN访问体验差：尤其是采用开源的VPN软件，基于互联网平台部署而成的点对点专线网络，不可避免会受网络高峰期的影响，常常伴有网络波动、网络丢包等问题。软件稳定性也有潜在风险，容易导致VPN通道中断，影响正常办公；3. 部署周期长：MPLS专线因为运营商都是本地化行政办公，导致跨区域、跨境的工单审批时间长，审批完后再进行部署，往往需要两个月甚至更长时间。而VPN一般是由防火墙或者VPN网关等硬件设备来实现的，必须采购硬件设备，在大型企业中，硬件设备的采购往往是需要经历长时间的招投标流程。即使是中小企业无需招标，采购新设备到安装上架，也将耗费一周的时间；4. VPN和专线的运维复杂：出现问题时不仅需要专业的IT人员，而且MPLS专线对于企业无监控机制，很难找出问题点，VPN也仅能监控自身的设备性能，无法监控网络问题，这在不同程度上都增加了运维的难度。而SD-WAN具备灵活组网、快速部署、高性价比等诸多优势，现已成为了企业组网的首选解决方案！据Gartner报告称，到2023年，将会有90%的企业采用SD-WAN来实现企业组网。使用这样的组网形式，可以给企业带来：第一， 降本增效：SD-WAN的组网形式，在功能的实现上比专线更加丰富，而成本投入较专线相比可节省50%以上，尤其是SD-WAN可与公有云互通、进行移动端部署等，更适合企业上云、移动办公、SaaS应用等场景的应用；第二， 提升访问体验：SD-WAN可以根据网络情况，实现链路无感知切换，保证访问质量。还可根据管理员的配置策略，实现流量的负载均衡，保证关键应用（如视频会议、OA系统等）或关键用户的链路质量和访问速率；第三， 部署简单，快速接入：SD-WAN支持硬件、软件、客户端等多种部署方式，可实现“零接触部署”，最快15分钟即可完成，且分支机构无需专业IT人员也能完成组网部署；第四， 运维方便快捷：可视化的运维管控平台，管理员可对全网进行统一管理，能及时确认网络情况，快速定位网络问题，大大提升了运维效率。

企业版总共支持的监控指标一共11项，但是默认只有5项，其他的需要手动添加或配置1、默认监控项企业版默认只有5个监控指标：VPN连接状态、发送/接收速率、发送包/接收包速率2、健康检查指标项 - 链路点击VPN连接名称，进入连接详情页面，在此处可以配置健康检查，开启了健康检查之后，会增加3个监控项：链路往返平均时延、链路往返最大时延、链路丢包率探测方式：本端网关ip去ping对端网关ip，因此需要对端网关不禁ping3、使能NQA的监控项（限静态路由模式）- 隧道静态路由模式下，使能了NQA之后，会增加3个监控项：隧道丢包率、隧道往返平均时延、隧道往返最大时延注意：需要配置好本对端隧道接口地址，且保证对端隧道接口地址能ping通，才会有数据打通

由于经典版vpn的带宽规格较小，不支持动态IP、对接ER等特性，需要将业务切到企业版vpn使用，验证割接方案如下：一、准备环境1）  创建华为云VPN网关如果有公网攻击，建议找安全服务申请保障EIP，申请成功后，在创建VPN网关时选择已有EIP。2）  创建对端网关3）  创建华为云VPN连接注意：对端子网填写测试子网（与经典版vpn实际对端子网不同即可，防止路由冲突）4）  验证（连接成功）二、割接动作1）修改经典VPN网关对端子网为无用子网(如：88.88.88.0/24)2）修改专业版VPN远端子网为业务真实子网，即修改之前经典版的对端子网3）验证是否正常，测试ping和scp传输文件，如果出现异常，可以回退割接动作的步骤。

由于企业版VPN在实现上有做NAT-T，因此在与其他设备对接时，建议对端设备打开NAT-T。例如，由于深信服ikev2的版本不支持NAT-T，因此在与深信服设备对接时，建议使用ikev1 的野蛮模式，打开NAT-T常见设备NAT-T开关1、阿里云2、腾讯云界面上没有配置选项，默认支持3、AWS  亚马逊云AWS配置中无NAT相关参数，默认支持。官方文档描述如下： https://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/create-tgw-vpn-attachment.html ​ https://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/cgw-options.html4、Azure 微软云AWS配置中无NAT相关参数，默认支持。5、山石防火墙支持配置

1StrongSwan安装将strongswan-5.7.1.rpm上传到服务器，并执行命令：rpm –ivh strongswan-5.7.1 –-force –-nodeps安装成功后执行命令strongswan version看strongswan版本：2华为VPN双活网关策略模式对接StrongSwan组网2.1华为侧VPC及网关创建（单连接）⑴在华为云创建两个VPC，分别设置vpc网段，如下图：(2)在vpc中创建ecs一台，并绑定弹性eip1.1.1.1，带宽根据测试需求自定，本次申请300Mb带宽，(3)在另一个vpc中创建vpn网关，选择策略模式，绑定主eip2.2.2.2,备eip随意。(4)创建一个对端网关，路由模式为静态路由，公网ip选择1.1.1.12.2华为侧VPN连接创建创建vpn连接，本端网关选择步骤(3)中创建的网关，对端网关选择步骤(4)中的网关，分别填写本端子网192.168.0.0/16和对端子网172.16.0.0/16。策略协议如下所示：2.3StrongSwan IPsecVPN配置2.3.1编辑strongswan配置文件，指令为：vi /etc/strongswan/ipsec.conf在配置文件尾部增加配置：参数说明leftid本端标识rightid对端标识left本机IP（私网地址）right对端IP（华为侧EIP）leftsubnet本端子网rightsubnet对端子网auto连接方式。可选“add”,“route”,“start”.“route”表示由连接触发，“add”表示手动，“start”表示自启。left|rightauth指定left,right认证方式，可选“pubkey”“psk”“eap”“xauth”ikeIKE算法，分3个部分组成，用“-”连接，第一部分加密算法3des,aes128,aes192,aes256,第二部分认证算法：md5,sha1,sha256,第三部分DH算法：modp1024,modp1536espesp算法，分3个部分组成，用“-”连接，第一部分加密算法：3des,aes128,ase192,aes256,第二部分认证算法：md5,sha1,sha256,第三部分DH算法：modp1024,modp1536keyexchangeIKE模式，可选“ikev1”“ikev2”ikelifetimeIPSec SA协商间隔lifetimeISAKMP SA协商间隔2.3.2修改ipsec.secrets文件，在文件尾部增加共享密钥：vi /etc/strongswan/ipsec.secrets格式为：本端IP+空格+对端IP+空格+：+空格+PSK+空格+“密钥”若格式不对，启动strongswan后会报错：no shared key between ***found.2.3.3设置允许IP转发。vi /etc/sysctl.conf在文件尾增加以下内容：net.ipv4.ip_forward = 1保存后执行命令/sbin/sysctl –p使配置生效2.4连接状态检查(1)执行命令启动strongswan：service strongswan startstrongswan start执行命令查看IPsec隧道是否成功创建：service strongswan statusstrongswan statusall如图所示：security association(1 up,0 connecting)表示有一个ipsec隧道成功打通，华为云界面连接状态也变为正常。2.5连通性测试流量测试：在华为云网关对应vpc上创建另一个ecs,私有地址为192.168.0.76此时，在strongswan侧直接ping该私有地址（测试地址略有变化）：注：如果strongswan所在ECS需要转发流量给其他ECS，如通过VPN ping同网段其他IP，需要关闭ECS源目的检查开关

一、连接模式：当前VPN连接有4种连接模式：策略模式、静态路由模式、BGP路由模式和策略模板模式策略模板模式仅在VPN网关是非固定IP网关，且选择的对端网关为FQDN类型时可见二、区别和使用场景：1、静态路由模式：使用全0网段与线下设备协商，根椐路由配置（本端子网与对端子网）确定哪些数据进入IPsec VPN隧道。一般推荐使用该模式配置VPN。2、策略模式：根椐策略规则（用户侧到VPC之间通信的数据流信息）确定哪些数据进入IPsec VPN隧道，支持以源网段和目的网段定义策略规则。注意：VPN最多只能配置5个源网段，且源网段和目的网段数量的乘积不能超过100，如果需要联通的子网较多，建议合并子网或者使用路由模式。3、BGP路由模式：根据BGP动态路由确定哪些数据进入IPsec VPN隧道，适用于互通子网数量多或变化频繁、与专线互备等组网场景。因为需要搭建BGP，需要在创建网关时提前规划asn，同时在线下设备配置好隧道接口地址。4、策略模板模式：用于线下公网IP非固定的场景，对端网关类型为FQDN，如需修改策略模板模式的加密策略，可在网关界面修改。