[Aliyun-ACP] 使用VPC在阿里云上搭建混合云

实验概述

本实验在阿里云上搭建两个不同地域，如（杭州和北京）的 VPC 环境，杭州 VPC 模拟用户本地的生产环境，此VPC 中部署两台云服务器 ECS ：一台 ECS 绑定弹性公网IP，用作VPN ，连通北京的 VPC 环境；另一台云服务器 ECS 使用公共镜像 CentOS 6.5 ，模拟实际工作中，生产环境使用的服务器。同样，在北京部署一个 VPC环境，实验中通过IPSec site-to-site VPN 功能，连通两个 VPC 内部的生产服务器。

实验目标

完成此实验后，可以掌握的能力有：

1. 实现混合云的搭建

2. 通过 VPN 实现隔离的网络环境互通的实现

学前建议

1. 了解阿里云 ECS 和 VPC 的基本概念；

2. 了解路由表、网关等基本概念

 

注意：

最开始你创建VPC专用网络时必须是在： 华东2(上海) 和 华北1(青岛) 两个地域； 实验手册里面给出的例子是： 华东1(杭州) 和 华北2(北京)，如果你按照实验手册里使用的地域，你是无法找到VPN的共享镜像的 因为镜像是无法跨地域使用的，而资源创建的区域在华东2，所以你必须在华东2创建，这一点手册里面有指出。

 

2.2 创建专有网络VPC&交换机

1.    本实验中,将分别在杭州和北京各创建一台 VPC 和一台交换机,模拟实际工作中客户的本地机房和公有云环境。 

注意 : 此实验创建的两台 VPC 一般在 华东2（上海） 和 华北1（青岛） 。学员可以根据自己实验的资源情况,寻找两台 VPC 所在地域。本实验的下文均以  华东1（杭州） 和 华北2（北京） 为例。

2.    首先， 用户使用云中沙箱提供的账号，访问阿里云官网管理控制台。点击左侧导航栏处的 实验资源 ，下拉框中，再点击 前往控制台 ，进入阿里云 RAM 用户登录界面。

输入本次实验分配的 子用户名称 和 子用户密码 。点击 登录 。

3.    点击顶部导航栏处的 产品与服务 ，下拉菜单中，依次选择 云计算基础服务 ---> 弹性计算 ---> 专有网络VPC ，进入专有网络控制台。

4.    进⼊到 VPC 的管理控制台后，执行以下步骤点击，创建一个 华东1（杭州） 地域的 VPC 网络环境。

1） 点击左侧的 专有网络 ；

2） 在 VPC 管理页面的顶层栏中选择 华东1 地域 ；

3） 点击右上角的 创建专有网络 。 

 5.    在弹出的页面中，填写以下信息，完成后，点击 创建VPC。

·       专有网络名称： sl022-hz ;

·       网段： 192.168.0.0/16 

说明：目前 VPC 支持三个网段： 192.168.0.0/16 ，172.16.0.0/12 以及 10.0.0.0/8 ，并且当 VPC 创建后，对应的网段将不能够修改。所以在实际的使用过程中，建议使用比较大的地址范围来创建 VPC ，以免影响以后系统的扩容。本次实验使用的 网段 是 192.168.0.0/16 。

6.     弹出页面中，选择 管理交换机 。

    再在下面页面中点击 创建交换机。

7.    创建交换机页面中，输入以下信息，完成后，点击 确定 。

·       名称： 子网-hz 

·       可用区： 请选择列表中提供的的可用区为华东1可用区F

·       网段： 192.168.1.0/24 

说明：每个交换机对应⼀个网段，也称作 VPC 的子网。在配置交换机的时候，需要填写配置 名称 、可用区 和 网段 ，本实验中的交换机根据地域命名，比如杭州的 VPC 下的交换机命名为 子网-hz，实际工作环境 中，根据网段的具体用途来命名，比如：开发 、测试 等 。实际工作中，基于可用性的考虑，可以将子网部署在不同的可用区中；由于创建的 VPC 使用的网段 是 192.168.0.0/16 ，因此，创建的子网的网段为 192.168.1.0/24 。若创建的是其他网段的 VPC ，请根据 VPC 的网段去分配交换机的网段。

8.   交换机创建好后，初始状态是 待启动 ，几秒后，刷新页面，交换机的状态变为 可用 ，说明交换机已经创建成功并可用。点击左侧栏顶部的 后退 < 键，就可以返回到 VPC 专有网络管理控制台页面。

9.    此时，完成 华东1（杭州 ）地域的一台 VPC 环境和交换机的创建。开始创建地域为 华北2（北京） 的 VPC 环境和相应的交换机。在专有网络管理界面中，顶层部分的地域选择 华北2。之后的操作步骤与 华东1（杭州 ）的 VPC 搭建相同。点击右上角处 创建专有网络 。

    北京的 VPC 的 专有网络名称为 sl022-bj ，网段同样选择 192.168.0.0/16 ，完成后，点击 创建VPC。

     点击 管理交换机 ，进入交换机管理页面。

     点击 创建交换机 。

     北京 新建交换机的 名称 为子网-bj ，可用区 为 华北 2 可用区 A ，网段 为 192.168.2.0/24 ，完成后，点击 确定 。

     刷新一下，在 华北2（北京） 地域的专有网络管理控制台和交换机管理控制台，看到一个 可用 的 VPC 环境和此 VPC 环境中的一台 可用的交换机。点击 后退键 < , 进入专有网络管理控制台。

     

    至此，已成功在 华北2（北京） 和 华东1（杭州） 分别部署了一个 VPC 环境并创建一台交换机。 

 

2.3 专有网络中创建ECS实例

1.    在完成 VPC 专有网络和交换机的搭建后，开始分别在两个地域的⼦网中创建两台 ECS 实例：1 台作为FlexGW VPN 服务器，连通两个互相隔离的环境；另一台模拟实际工作中，生产环境的服务器 producer 。

注意：由于不同安全组的 ECS 实例无法实现互通，因此若要实现内部生产环境的 ECS 实例 可以通过VPN 服务对外通信，必须保证生产环境的 ECS 与部署 FlexGW VPN 服务的 ECS 在相同的安全组中。

2.    在 专有网络 管理控制台，选择 华东1[实验提供一般为华东2] 地域，点击高亮的 VPC ID 名称或者右侧的 管理 ，进⼊此台 VPC 的管理页面。 

3.    点击左侧栏中的 交换机 ，进入交换机管理页面。然后，点击交换机实例右侧操作栏下的 创建实例 ，在下拉列表中选择 创建ECS实例 ，开始搭建一台 华东1（杭州）VPC 下的 ECS 实例。

4.    在弹出的 ECS 实例购买页面中，按照以下方式配置 ECS ，其余配置默认不修改。

注意：默认选择 自定义配置 。

·       计费方式 选择 按量付费 

·       系统会根据交换机 子网-hz 的配置，自动选择 地域 、 可用区 、 网络 、专有网络 及 交换机 ，若没有自动配置，请根据 ⼦网-hz 的配置手动修改（网络 选择 专有网络 ）     

     注意：若在 ECS 购买页面地域栏中，没有提供已创建的 VPC 交换机所选的 地域 或可用区 ，请返回 VPC管理控制台页面，重新创建一个在 ECS 实例购买页会提供地域及可用区的交换机。例如：已创建VPC交换机在华东1 可用区F，但是 ECS 购买页面不提供 华东1 可用区F 下的ECS实例。请返回 VPC 管理控制台，首先，删除原有交换机；然后，重新创建一个交换机，并选择华东1 可用区B（确认购买页面提供该地域和可用区），网段为192.168.1.0/24 。 

·       公网IP地址 选择 分配   （注意：默认是不分配；如果不分配公网IP，则后续无法通过公网去访问和配置VPN Server；）

·       安全组 选择 默认安全组1 ，然后 协议及端口全部勾选 

·       实例： 点击 选择其他实例规格，然后选择 vCPU 1核 、内存 1GB、共享计算型n1 作为实例的配置，最后点击 确定选择； 

注意：如果选择其他的配置，将无法成功创建ECS实例。

·       带宽 选择 按使用流量 ， 峰值 输入 1Mbps

·       镜像 选择 共享镜像 ，名称为 SL022-在阿⾥云上混合云的搭建  

·       安全设置 选择 设置密码 ，登录名 默认是 root ，设置新建的 ECS 的登陆密码为 Passw0rd （⽤户可⾃定义）， 实例名称 设置 为 flexgw-hz （⽤户可⾃定义），表示作为 FlexGW VPN 服务器的 ECS

5.    完成如上配置后，点击右侧的 ⽴即购买 。

6.    在弹出的⻚⾯中，核对信息⽆误后，点击 去开通 。

7.    若弹出页面 开通成功 ，则证明已成功购买一台部署 FlexGW 镜像的 ECS 实例。切换到交换机管理页面。

     刷新一下，可以看到在子网-hz 中有 1 台 ECS实例。再次点击 创建实例 ，下拉列表中选择 创建ECS实例 ，创建 ⼦网-hz 下的第二台 ECS 实例。

 

8.    子网-hz 下的第二台 ECS 实例配置信息如下（除红色部分不一致外，其余配置和第一台ECS配置是相同的）：

注意：默认选择 自定义配置 。

·       计费方式 选择 按量付费 

·       系统会根据交换机 子网-hz 的配置，自动选择 地域 、 可用区 、 网络 、专有网络 及 交换机 ，请根据 子网-hz 的配置手动修改（网络 选择 专有网络 ）     

     注意：若在 ECS 购买页面中，没有提供已创建的 VPC 交换机所选的 地域 或 可用区 ，请返回 VPC管理控制台页面，重新创建一个在 ECS 实例购买页会提供地域及可用区的交换机。例如：已创建VPC交换机在 华东1 可用区F，但是 ECS 购买页面不提供 华东1 可用区F 下的ECS实例。请返回 VPC 管理控制台，首先，删除原有交换机；然后，重新创建一个交换机，并选择华东1 可用区B（确认购买页面提供该地域和可用区），网段为192.168.2.0/24 。

·       网络 中，公网IP地址 选择 不分配 

·       安全组 选择 系统提供的安全组

·       实例 选择 ecs.n1.tiny（1 核 1GB，共享计算型 n1）

·       镜像 栏，选择 公共镜像 ，并选择 CentOS 和 6.8 64位 

·       安全设置 处，登录名默认为 root ，登录密码为 Passw0rd（可自定义），实例名称为 producer-hz ，表示生产环境中的 ECS 

 

       同样的，点击 立即购买。

     然后在 确认订单信息无误后，点击 去开通 。

9.    开通成功后，返回到交换机管理页面，刷新页面，可以看到 ECS实例数 变为 2 台。若没有，则是因为每新建一台 ECS 需要几分钟的时间。因此，请等待 3 分钟左右，再次刷新页面，可以看到 子网-hz 交换机下的ECS实例数变为 2 台。然后，点击高亮的实例数 2 。

10.    可以看到在 VPC sl022-hz 中，交换机 子网-hz 下的两台 ECS 实例。其中，实例 producer-hz 只有 内网（私有网络），flexgw-hz 除了拥有 私有网络 ，还有 公网 。

 

11.   在交换机管理页面，点击 后退键 < ,

     进入专有网络管理页面，选择 地域 华北2 [实验一般为华北1]，点击实例右侧的 管理 。

     页面中，点击左侧导航栏处 交换机 ，在点击 创建实例 ，下拉列表中，点击 创建ECS实例 。

12.     同样的方式在 华北2（北京）【实验中在华东2】VPC 的交换机 子网-bj 下，创建两台 按量付费 的 ECS 实例，新建一台实例名 为 felxgw-bj 的 ECS 实例，其镜像使用 共享镜像 ： SL022-在阿里云上混合云的搭建 ；另一台实例名为 producer-bj 的 ECS 实例，其镜像使用 公共镜像 中 CentOS 6.8 64位 。完成购买后，需要等待 3-5 分钟，可以看到新买的两台 ECS 实例。

注意： flexgw-bj ECS 实例的其余购买信息，与 华东1（杭州）VPC 下的 flexgw-hz  ECS 实例保持一致； producer-bj ECS 实例的其余购买信息，与 华东1（杭州）VPC 下的 producer-hz ECS 实例保持一致。此处不再赘述，若需要， 请参考之前的相关步骤。下面是 flexgw-bj ECS 实例配置情况。  

13.    flexgw-bj ECS 实例配置情况。

     点击右下方的 立即购买 ，

    确认订单信息无误后，点击 去开通 。

     开通成功后，切换到交换机管理控制台，刷新一下，子网-bj中，有 1 台 ECS 实例。再次点击 创建实例 ，下拉列表中，选择 创建ECS实例 。

14.    下面是 producer-bj ECS 实例配置情况。

15.    开通成功后，再次切换到交换机管理页面，我可以看到 子网-bj 交换机下的ECS实例数变为 2 台。然后，点击高亮的实例数 2 。

16.    可以看到在 VPC sl022-bj 中，交换机 子网-bj 下的两台 ECS 实例。其中，实例 producer-bj 只有 内网（私有网络），flexgw-bj 除了拥有 私有网络 ，还有 公网 。

17.    点击左侧导航栏处的 安全组 ，选择 华东1 地域，点击 管理实例 。

 

页面中点击左侧的 安全组规则 ，然后点击 添加安全组规则 。

  

弹框中，输入如下信息后，点击 确定 。

·       规则方向： 入方向

·       授权策略：允许

·       协议类型：全部

·       授权类型：地址段访问

·       授权对象：0.0.0.0/0

列表中可以看到刚才添加的安全组规则

18.    同样地，执行以下步骤我们在 华北2 地域的安全组中添加一条规则。

1）点击左上角处的 <  ，重新进入安全组列表页面；

2）点击 华北2 地域，在目标安全组右侧点击 管理实例 ；

3）点击左侧 安全组规则 ，然后点击 添加安全组规则 ；

4）和之前相同，在弹框中输入以下信息，然后点击 确定 。

·       规则方向： 入方向

·       授权策略：允许

·       协议类型：全部

·       授权类型：地址段访问

·       授权对象：0.0.0.0/0

5）列表中也可以看到刚才添加的安全组规则

⾄此，本实验已完成 华东1（杭州）和 华北2（北京）地域的 VPC 环境的基础搭建。下一个小节将介绍配置 IPSEC site-to-site VPN ,实现两个隔离环境的端对端连通。

 

 

2.4 配置IPSEC site-to-site VPN

1.    默认情况下，阿里云的两个 VPC 环境是不互通的，也就是 华东1（杭州）地域的 VPC 中的 ECS 实例无法 ping 通 华北2（北京）地域的 ECS 实例私网地址。这是由于阿里云使用 VXLAN 技术，在虚拟网络层实现隔离。 

    此时，若用户要将两个不互通的环境连通，比如：两个 VPC，线上和线下环境，或者私有云和公有云环境。 则需在两个环境中分别添加一条指向对端的 IPSec VPN 隧道，通过此隧道，实现两个隔离环境的端对端连通。这样的技术，不仅可以保证两个环境对外的安全隔离，也可以实现两个环境中的数据交互。

2.    点击顶部导航栏出得 产品与服务 ，下拉菜单中，依次选择 云计算基础服务 ---> 弹性计算 --->  云服务器ECS。进入云服务器管理控制台，点击左侧导航栏处的 实例 。

3.    我们可以看到在地域 华东1（杭州）和 华北2（北京）下的云服务器 ECS 列表 。

4.    执行以下步骤，验证两个 VPC 环境在没有添加任何配置时，是否可以互相 ping 通。

说明：远程登录 Linux 系统 ECS 实例的详细步骤，请参考云中沙箱 帮助文档

1） 运用 ECS 的 公网IP ， 用户名 和 密码 远程登录华东1下的 ECS 服务器（ 公网IP 即如上图 华东1 地域中的ECS flexgw-hz 的 公网IP地址 ，用户名 和 密码 是在创建 ECS 时的 用户名 和 密码 ）远程登录到 华东1（杭州）地域的 ECS 服务器；

2） 运行命令 ping 192.168.2.79 （192.168.2.79 是 华北2（北京）【实验为华东2】的 VPC 环境中 ECS flexgw-bj 的内网IP 地址，请根据实验的实际 IP 地址修改）；

3） 可以看到结果为全部丢包，无法 ping 通；

4） 运用 ECS 的 公网IP ， 用户名 和 密码 远程登录 ECS 服务器（ 公网IP 即如上图 华北2 地域中的ECS flexgw-bj 的 公网IP地址 ，用户名 和 密码 是在创建 ECS 时的 用户名 和 密码 ）远程登录到 华北2（北京）地域的 ECS 服务器；

5） 运行命令 ping 192.168.1.186 （192.168.1.186 是 华东1（杭州）的 VPC 环境中 ECS flexgw-hz的内网IP地址，请根据实验的实际 IP 地址修改）；

6） 可以看到结果为全部丢包，无法 ping 通。

      

    结果证明：在默认情况下，两个阿里云的 VPC 环境中 ECS 实例，无法通过内网互相访问。接下来， 建立 IPSec site-to-site 隧道，实现部署 VPN 的两个 ECS 服务器可以通过内网 IP 互通。

5. 使用 FlexGW，开始进行 VPN 的配置。首先，登陆到 FlexGW 提供的服务页面。拷贝 flexgw-hz 的弹性公网 IP 地址。在浏览器中，新建一个页面，并在地址栏输入如下的地址：

 　　https://<弹性公网IP>     (注意：https不能够省略)

在进⼊页面中，点击高级 。展开提示内容，点击页面下端的 继续前往 。进入登陆页面后， 用户名 填写 root , 密码 填写之前创建 flexgw-hz 实例时填写的 登陆密码 ，此实验为 Passw0rd ,若之前自定义，则此处填写用户自定义的密码。

注意：此处必须使用 HTTPS 协议,否则，访问会报错。这样的做法是为了在 HTTP 协议上增加 SSL 协议，确保数据传输的安全。由于直接通过公网访问，所以提示 不是私密连接 ，可能会有安全问题。本实验中，可以忽略此提示，点击 直接访问<弹性公网IP地址> ，进⼊ FlexGW VPN 管理页面。在实际工作中，请添加 SSL 证书，从而确保访问的安全性。

6.    在 FlexGW 的界面，选择 IPSec VPN 。点击左侧的 隧道列表 的 创建隧道 ，开始为杭州地域的 VPC 创建 ⼀条隧道，通过此隧道，实现数据从杭州 VPC 到北京 VPC 的传输。

7.     首先，进⼊ 创建隧道 的页面，填写隧道的两端信息，建立一条从杭州指向北京的端对端隧道：

a.隧道ID：“tunnel_hz”，隧道的名称，作为隧道的标识符。命名规则：只能包含数字，小写字母下划线。

 

b. 本端ID：输入“flexgw-hz”的弹性公网IP地址，作为隧道本端的标识符，实际生产环境中，一般使用本端的 公网IP地址作为标识。命名规则：数字，小写字母，“.”，“－”，“_”。

 

c. 本端子网：“192.168.1.0/24”杭州VPC下交换机“子网-hz”的网段。

 

d. 对端ID：输入“flexgw-bj”的弹性公网IP地址，作为隧道对端的标识符，实际生产环境中，一般使用对端的 公网IP地址作为标识。命名规则：数字，小写字母，“.”，“－”，“_”。注意：参数值必须与对端的“本端ID”的参 数值保持一致。否则会因无法识别，而导致连接失败。

 

e. 对端IP：“flexgw-bj”的弹性公网IP地址。因为是端对端的隧道，因此需要指明隧道对端的VPN的公网IP地 址。

 

f. 对端⼦网：“192.168.2.0/24”，也就是杭州VPC下交换机“子网-bj”的网段。因为是端对端的隧道，所以要指 明隧道对端的VPC交换机所在的网段。

 

g. 预共享秘钥：“Qtest@vpc”，此处用户可自定义，用于隧道协议中，配对时使用的秘钥。因此，必须保证 两端⼀致。 

8.    此时，在 隧道列表 中，可以查看到一条从杭州通向北京的隧道。其状态为 Offline ，证明隧道是暂时不通。 

注意：此处不可以点击连接，否则，会页面会显示 Internal error 的错误页面。必须当两端都配置成功后，才可以连接隧道。

9.    登陆到北京ECS实例的 FlexGW 提供的服务页面，拷贝 flexgw-bj 的弹性公网 IP 地址。此时，通过浏览器访问北京的 flexgw 的配置页面，建立一条从北京指向杭州的隧道。只有两边都建立了端对端的隧道，隧道才可以连通。

       https://<弹性公网IP>       (注意：https不能够省略)

北京 VPN 的隧道填写如下信息：

a. 隧道ID：“tunnel_bj”，这是隧道的名称，作为隧道的标识符。命名规则：只能包含数字，小写字母和下划线。

b. 本端ID： “flexgw-bj”的弹性公网IP地址，作为隧道本端的标识符，实际生产环境中，⼀般使用本端的公网IP地址作为标识。命名规则：数字，小写字母，“.”，“－”，“_”。

c. 本端⼦网：“192.168.2.0/24”，也就是杭州VPC下交换机“子网-bj”的网段。

d. 对端ID：“flexgw-hz”的弹性公网IP地址，作为隧道对端的标识符，实际⽣产环境中，一般使用对端的公网IP地址作为标识。命名规则：数字，小写字母，“.”，“－”，“_”。注意：参数值必须与对端的“本端ID”的参数值

保持⼀致。否则会因无法识别，连接失败。

e. 对端IP：为“flexgw-hz”的弹性公网IP地址。因为是端对端的隧道，所以要指明隧道对端访问的公网IP。

f. 对端⼦网：“192.168.1.0/24”，也就是杭州VPC下交换机“⼦网-hz”的网段。

g. 预共享秘钥：“Qtest@vpc”，此处与杭州建立的隧道⼀致，否则会因为秘钥不⼀致，而导致隧道的连接信息错误，从而连接失败。

10.    此时，可以在 隧道列表 中，看到已成功添加了一条状态为 Offline 的隧道从北京指向杭州。(在确定杭州和北京下隧道均创建成功后，才可以连接；否则会报错。) 点击 连接 ，隧道的状态变为 Online ，此时北京的隧道连通，也就是北京的 VPC 可以连通到杭州，但是杭州无法连接到北京。

11.    同理，切换浏览器到 杭州FlexGatway 的管理页面，并点击 隧道列表 的隧道右侧的 连接 。此时，两条隧道的状态均变为 Online ，此时，杭州到北京的隧道连通。

12.    至此，在北京和杭州的两个 VPC 环境成功建立隧道。接下来，测试新建的隧道是否可用，也就是两个 VPC 环境中部署了 VPN 服务的 ECS 是否可以通过私网互相访问。

13.    远程登陆到 flexgw-hz 以及 flexgw-bj 。使用同样的方式，分别 ping 对端部署 flexgw 环境的 ECS 服务器私网 IP 地址。此时，可以 ping 通，证明两个隔离的 VPC 环境已经通过 VPN 服务器连通。

14.    此时，通过 VPN 已经打通两个 VPC 环境。然后，再分别远程登录到 producer-hz 和 producer-bj ，互相 ping 私网IP，此时全部丢包，说明 VPC 下在生产环境中的 ECS 服务器，仍旧无法通过私网访问到对端的生产环境的 ECS 服务器。接下来，通过配置自定义路由规则，实现两个 VPC 下生产环境中服务器的通信。

 

2.5 配置路由规则

1.    在 VPC 环境中，通过配置路由规则，从而实现 VPC 环境下 ECS 实例的请求发送规则。为了实现杭州（北京）VPC 下生产环境中的 ECS 实例，与北京（杭州）VPC 下生产环境中的 ECS 之间的互通，需要添加自定义的路由规则：指定 VPC 环境下的 ECS 实例的目标网段为对端子网网段，然后将 VPC 环境下所有 ECS 实例的下一跳均指向此 VPC 环境中打通隧道的 VPN 的 ECS 服务器上。

2.    浏览器切换到杭州的 专有网络 页面，点击高亮的 VPC ID 名 或右侧的 管理 ，进入 sl022-hz 的 VPC 管理页面。

    在左侧栏中，点击 路由器 。查看当前 VPC 环境中，已有两条系统默认 VPC 使用的路由规则。为了实现不同 VPC 内部 ECS 可以互相访问。因此，新建一条自定义的路由规则。点击右上角的 添加路由 。

    配置路由规则的方法：首先，指定杭州 VPC 内部所有 ECS 实例的目标网段为 sl022-bj 子网网段，然后将所有杭州 VPC 内部 ECS 实例的下一跳均指向 flexgw-hz ECS实例。这样的路由规则，可以通过 flexgw-hz 的VPN 服务将请求发送到对端 VPC 环境。 

   在弹出的对话框中，输入 目标网段 为 192.168.2.0/24（此为北京地域 sl022-bj VPC的子网网段），指明路由器要指向的目标网段。 下一跳类型 使用默认选项： ECS实例 。因为本实验主要介绍如何通过 VPN 服务连通两个互相隔离的 VPC 环境。因此，下一跳ECS实例 选择部署 flexgw VPN 服务的 ECS 服务器，也就是将所有 VPC 内部的 ECS 实例的下一跳均指向 flexgw-hz ECS实例。完成路由规则配置后，点击 确定 。

3.    提示 添加路由成功 ，点击 确定 。可以从路由管理页面，查看到一条 创建中 的 自定义 的路由规则，刷新页面，此条路由规则，变成 可用。此时，将内部 producer-hz ECS 实例的请求发送到部署 flexgw-hz 的 ECS 实例上。通过 flexgw-hz 向 sl022-bj 的 VPC 环境发送消息。

4.    同理，在北京 sl022-bj VPC 下，添加一条路由规则，目标网段为 192.168.1.0/24 ，也就是杭州 sl022- hz VPC 下的交换机网段。下一跳指向 ECS 实例 flexgw-bj 。将北京 VPC 内部 ECS 实例的请求通过 flexgw-bj 向 sl022-hz 的 VPC 环境发送消息。

5.    至此，实现两个 VPC 内部的 ECS 可以互相通信。接下来，验证北京和杭州的 VPC 下生产环境中的 ECS 实例是否可以互通。首先，通过北京和杭州的公网IP，分别远程登录到 flexgw-hz 和 flexgw-bj 的 ECS 服务器上。然后，通过这两台服务器，再分别远程登陆到 VPC 内部的 ECS 服务器： producer-hz 和 producer-bj 。 在杭州的 producer-hz 的 ECS 中， ping xxxxx（xxxxx 为北京 producer-bj ECS 私网IP）。杭州 VPC内部的 ECS 可以连接到北京VPC内部的ECS。同理， ping xxxxx（xxxxx 为杭州 producer-hz ECS私网IP）。北京 VPC 内部的 ECS 可以连接到杭州 VPC 内部的 ECS 。

    至此，已成功搭建混合云平台，并实现两个 VPC 环境下的 ECS 实例互通。若有兴趣，可以尝试在本地运行命令 ping 杭州和北京 VPC 中 ECS 的私网 IP 地址，可以发现连接全部丢包，无法连接。也就是说明，两个VPC 环境是对外隔离的，无法通过内网访问 VPC 环境，但是通过 VPN 服务可以实现内部的 ECS 互相通信。