VPN连接是指通过特定的加密方式，在Internet网络中建立的临时、安全、可靠的通信隧道。通过VPN连接，可实现云上私有网络（Virtual Private Cloud，VPC）与本地数据中心、云上VPC与VPC之间的连接通信以及互联网客户端与VPC之间的安全访问，助力您的业务轻松上云。您也可以通过VPN连接连通私有网络，进而访问云上数据库的内网域名（如内网RDS，内网DNS等）。 ## 功能类型 VPN连接根据连接能力的不同，可分为具备IPsec连接能力的**IPsec VPN**，具备SSL连接能力的**SSL VPN**两种网络连接方式。不同网络连接方式的VPN连接，其组成部分和适用场景均有差异。 ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_601b12e11af27a664e3b8010a7400339.png =623x) ## IPsec VPN IPsec VPN连接分为VPN网关、用户网关和IPsec连接三部分，通过配置相关加密协议，在VPN网关与用户网关之间建立IPsec VPN隧道，实现云上VPC与本地数据中心、其他云上VPC之间的安全连接。 IPsec连接可绑定VPN网关、中转路由器（Transit Router，TR）两种资源类型，绑定不同的资源网络连通的方式也不同。更多中转路由器的介绍，请参见[什么是中转路由器](https://www.volcengine.com/docs/6979/155966)。 * **绑定VPN网关** IPsec连接绑定VPN网关，可实现本地数据中心与云上VPC之间的网络互通。 ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_86090a37c75869a5936d020ea5c4a82a.png =915x) * **绑定中转路由器** IPsec连接绑定中转路由器，可灵活配置路由策略，实现本地数据中心与不同VPC之间的网络互通与隔离。 ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_442b707eb190048d8f6006fa312d60b3.png =919x) ### 组成部分 * **VPN网关** VPN网关基于VPC创建，是VPC的出口网关设备。通过VPN网关可建立VPC与本地数据中心、其他VPC之间的安全通信。一个VPN网关可以与单个用户网关建立连接，也可以与多个用户网关建立连接，即VPN网关与用户网关是一对一或一对多的关系。IPsec VPN可在具备IPsec连接能力或同时具备IPsec连接能力和SSL连接能力的VPN网关上使用。 * **中转路由器** 中转路由器可连通云上VPC和IPsec连接，通过定义灵活的互通、隔离路由策略，实现各种复杂组网场景下云上资源之间，以及云上私有网络与云下数据中心之间的私网互通与隔离。 * **用户网关** 用户网关是本地数据中心或对端私有网络侧网关信息集合的抽象，与VPN网关一起建立通信隧道。 * **IPsec连接** IPsec连接是基于Internet，在VPN网关与用户网关之间建立起IPsec VPN通信隧道，基于IKE和IPsec协议对传输数据进行加密，确保数据通过隧道进行安全传输。 ## SSL VPN SSL VPN是区别于IPsec VPN的一种VPN连接类型，SSL VPN基于OpenVPN架构的网络连接技术，可实现云上VPC与SSL客户端之间的网络互通。使用SSL VPN操作方法简单，仅需要在SSL客户端中加载证书并发起连接，即可实现SSL客户端与云上VPC的互通。 ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_4ac219db84c1df4d7b43c813b4fe8195.png =898x) ### 组成部分 * **VPN网关** VPN网关基于VPC创建，在SSL VPN连接中VPN网关是VPC建立SSL VPN连接的出口网关。SSL VPN可在具备SSL连接能力或同时具备SSL连接能力和IPsec连接能力的VPN网关上使用。 * **SSL服务端** SSL服务端在SSL VPN中是用于提供SSL服务的服务模块，实现数据包的封装与解封装。 * **SSL客户端** 可根据SSL服务端的配置生成客户端证书，然后在SSL客户端下载安装VPN软件、加载客户端证书，并发起SSL VPN连接。 ## 对比专线 |对比项 |专线连接 |IPsec VPN | |---|---|---| |网络延时 |使用运营商搭建的专属物理专线接入云上VPC，不受Internet网络抖动影响，保证网络低时延和丢包率的超高通信质量。 |网络传输基于Internet，受网络抖动影响，时延、丢包率等无法保证。 | |通信安全 |购买物理专线后，您可独享物理专线，无需担心数据泄露风险，安全性高。 |基于Internet的加密通信，可以满足一般用户的网络传输安全性需求。 | |适用行业 |金融、政务等对网络传输质量、网络传输安全性要求非常高的行业。 |其他对网络质量、网络安全要求较高的行业。 | |适用场景 |本地数据中心与云上VPC之间的网络互通。 |本地数据中心与云上VPC之间的网络互通。|\ | | |VPC与VPC之间的网络互通。 | |实现原理 |专线连接需配合云企业网一起使用，将云上VPC和专线网关加载到同一个云企业网实例中，即可实现云上VPC与云下数据中心进行互通。 |在云上VPC和云下数据中心之间，建立一条基于公网的IPsec加密通信隧道，实现本地数据中心与云上VPC之间的网络互通。 | |工期时长 |运营商搭建物理专线需要一定的工期，耗时较长，一般在几周到一个月不等。 |即开即用，无需等待。 | |相关费用 |需要单独向运营商购买物理专线，成本相对较高。 |无需额外购买其他资源，仅需开通VPN连接服务，相比于专线连接可大大节省成本费用。 | |传输带宽 |单链路最大支持的带宽，满足大数据量的业务需求。 |网络带宽受限于公网IP的带宽。 | ## 访问方式 * **控制台访问** 您可以登录[VPN网关控制台](https://console.volcengine.com/vpn/vpnGateway)，通过Web页面直接管理。 * **API访问** 您可以通过HTTP或HTTPS两种方式进行请求通信，用于在线调用API或进行二次开发，具体请参见[API参考](https://www.volcengine.com/docs/6455/108315)。 * **SDK访问** 您可以通过SDK调用更方便地使用API进行资源的创建和管理，具体请参见[SDK概述](https://www.volcengine.com/docs/6455/114439)。