文档中心

VPN网关用户指南

最近更新时间：

3 操作指南

3.1 权限管理

权限管理支持通过统一身份认证服务（Identity and Access Management，IAM）或组织管理进行配置。

IAM 权限管理仅在“组织管理”未开启状态下可用。“组织管理”功能开启后，资源标签和 IAM权限管理功能将不再可用。若需使用组织管理功能进行权限管理，详细描述请参见《控制台快速入门》的“组织管理”章节。

3.1.1 IAM 权限

IAM 权限简介

身份认证与访问管理服务（Identity and Access Management，IAM）提供用户身份认证、权限分配、访问控制等功能，通过创建多个 IAM 用户并授权不同资源权限策略，可实现不同 IAM 用户之间的

权限隔离。

IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。授权 IAM用户，需将其加入用户组，且该用户组已添加 IAM 权限策略。

IAM 权限策略是一组资源权限集，VPN 网关支持“系统策略”和“自定义策略”。

系统策略

系统策略统一由系统创建和维护，不支持自定义修改策略权限范围。VPN 网关支持的系统策略如下：

WX20230409-155641@2x.png

WX20230409-155709@2x.png

自定义权限策略

自定义策略是由系统开放资源授权项（Action），支持自主创建、更新和删除策略。目前支持“可视化配置”和“脚本配置”两种方式创建自定义权限策略：

• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。

• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

VPN 网关支持的资源授权项如下：

WX20230409-155746@2x.png WX20230409-155833@2x.png WX20230409-155920@2x.png

3.1.2 设置 IAM 权限

3.1.2.1 任务简介

IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。授权 IAM用户，可选择直接给用户添加 IAM 权限策略；也可选择需将其加入用户组，且该用户组已添加 IAM

权限策略。

本小节主要介绍如何设置 IAM 权限，授权 IAM 用户使用 VPN 网关资源。

3.1.2.2 前提条件

给用户组授权之前，已了解用户需具备的 VPN 网关权限，并已掌握权限策略授权范围。

3.1.2.3 创建 IAM 用户

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3) 单击页面右上角的“创建用户”，进入创建用户页面。

WX20230409-161413@2x.png

(4) 配置 IAM 用户账号信息和访问方式。

账号信息：可根据需要输入用户名、显示名、手机号、邮箱和备注信息。

单击“添加用户”可继续创建 IAM 用户，一次最多可创建 10 个 IAM 用户，且同时创建的用户访问方式相同。

访问方式：可根据需要选择控制台访问或编程访问。

− 控制台访问：用户使用账号密码访问云平台。选择该项后，可根据需要设置控制台密码生成方式。

− 编程访问：启用 AccessKey ID 和 AccessKeySecret，支持通过 API 或其他开发工具访问。

(5) 单击“确定”，弹出 IAM 用户创建成功窗口。

WX20230409-161516@2x.png

(6) 单击“确定”，下载用户密码至本地保存，且可查看新创建的用户列表。

3.1.2.4 IAM 用户授权

1. 授权单个 IAM 用户使用 VPN 网关

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

WX20230409-161533@2x.png

(3) 单击 IAM 用户对应操作列的“添加权限”，弹出添加权限窗口。

WX20230409-161552@2x.png

(4) 在“授权范围”区域，选择权限范围。可选择“整个云账号”或“指定资源组”。

(5) 在“被授权主体类型”区域，确认被授权主体类型为 IAM 用户，并确认被授权主体为当前IAM 用户。

(6) 在权限策略区域，选择一个或多个 VPN 网关权限策略后，单击，将其移入已选择区域，表示要为该 IAM 用户添加的权限。

您也可以将已配置的权限策略移除。

权限策略区域列表中包含该账号下全量的系统策略和自定义策略。

(7) 单击“确定”，完成为单个 IAM 用户的授权操作。

2. 授权用户组使用 VPN 网关

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，

进入用户管理页面。

(3) 在左侧导航栏选择“用户组”，进入用户组页面。

WX20230409-161653@2x.png

(4) 创建用户组。

a. 单击页面右上角的“创建用户组”，弹出创建用户组窗口。

WX20230409-161719@2x.png

b. 可根据需要输入用户组名称和备注信息。

c. 单击“确定”，完成创建用户组操作。

(5) 添加组成员。

a. 单击用户组对应操作列的“添加组成员”，弹出添加组成员窗口。

WX20230409-161731@2x.png

b. 在用户区域，选择一个或多个 IAM 用户后，单击，将其移入已选择区域。

WX20230409-161831@2x.png

− 您也可以将已添加的用户从用户组移除。

− 用户区域列表包含该账号下已创建的全部 IAM 用户。

− 已被添加至其他用户组的用户置灰，不能被添加到新用户组。

c. 单击“确定”，完成添加用户组成员操作。

(6) 添加用户组权限。

a. 单击用户组对应操作列的“添加权限”，弹出添加权限窗口。

WX20230409-161858@2x.png

b. 在权限策略区域，选择一个或多个 VPN 网关权限策略后，单击，将其移入已选择区域，表示要为该 IAM 用户添加的权限。

− 您也可以将已配置的权限从用户组移除。

− 权限策略列框包含该账号下全量系统策略和自定义策略。

c. 单击“确定”，完成添加用户组权限操作。

3.1.2.5 IAM 用户登录并验证权限

(1) 使用 IAM 用户账号登录专属云控制台。

(2) 鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(3) 对 VPN 网关里的相关资源执行相应操作，确认权限策略是否生效。

3.1.3 创建 IAM 自定义权限策略

3.1.3.1 任务简介

IAM 权限策略是一组资源权限集，VPN 网关支持“系统策略”和“自定义策略”。

如果预置的 VPN 网关系统策略不满足使用要求，可通过创建自定义策略，添加授权项（Action），对 VPN 网关资源进行精细的权限管理。目前支持“可视化配置”和“脚本配置”两种方式创建自定义权限策略。

• 可视化配置：按可视化导航栏选择权限策略效力、云产品/服务、操作、资源、请求条件等内容，自动生成权限策略。

• 脚本配置：提供基本权限策略模板，可根据需要输入权限策略内容。

本小节主要介绍如何在管理控制台创建自定义策略。

3.1.3.2 可视化配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3) 在左侧导航栏选择“权限策略管理”，进入权限策略管理页面。

(4) 单击“创建自定义权限策略”，进入创建自定义权限策略页面。

WX20230409-162455@2x.png

(5) 配置权限策略的基本信息。

权限策略名称：根据需要输入权限策略的名称。

备注：可根据需要输入权限策略的备注信息。

(6) 配置方式：选择“可视化配置”。

(7) 配置权限策略内容。

a. 配置权限策略效力，可选择“允许”或“拒绝”。

− 允许：表示该策略为允许操作效力。

− 拒绝：表示该策略为拒绝操作效力。

b. 配置云服务，选择“虚拟专用网络 VPN”。

c. 配置云服务操作，根据需要选择操作权限。

d. 配置资源，目前仅支持选择“全部资源”。

e. （可选）配置请求条件：该产品目前不支持添加请求条件。

(8) 确认配置信息无误后，单击“确定”，完成可视化配置自定义策略操作。

3.1.3.3 脚本配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3) 在左侧导航栏选择“权限策略管理”，进入权限策略管理页面。

(4) 单击“创建自定义权限策略”，进入创建自定义权限策略页面。

WX20230409-162620@2x.png

(5) 配置权限策略的基本信息。

权限策略名称：根据需要输入权限策略的名称。

备注：可根据需要输入权限策略的备注信息。

(6) 配置方式：选择“脚本配置”。

(7) 在权限策略内容区域，可根据需要直接编辑脚本，也可基于已有策略进行修改。

(8) 确认配置信息无误后，单击“确定”，完成脚本配置自定义策略操作。

3.2 管理VPN网关

3.2.1 创建 VPN 网关

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击页面右上角的“开通 VPN 网关”，进入 VPN 网关开通页面。

WX20230409-163005@2x.png

(3) 根据下表中的参数说明进行配置，完成后单击“立即申请”或“立即购买”或“立即开通”。

WX20230409-163030@2x.png

WX20230409-163045@2x.png

(4) 在确认配置页面，确认所有配置无误后，根据页面显示，可进行如下操作：

单击“立即申请”，待管理员通过审批后，即可开通 VPN 网关。 

单击“去支付”，选择支付方式，并单击“确认付款”后，即可开通 VPN 网关。 

单击“立即开通”，即可开通 VPN 网关。

3.2.2 修改带宽

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击 VPN 网关对应操作列的“修改带宽”，进入带宽升配页面。

(3) 根据需要，配置扩容后的带宽大小后，单击“下一步”。

WX20230409-163231@2x.png

(4) 在确认配置页面，确认所有配置无误后，根据页面显示，可进行如下操作：

单击“立即申请”，待管理员通过审批后，即可修改带宽。

单击“立即支付”，选择支付方式，并单击“确认付款”后，即可修改带宽。 

单击“立即开通”，即可修改带宽。

3.2.3 VPN 网关续费（包周期计费模式）

任务简介

VPN 网关实例到达计费周期后，需要续费后才可继续使用。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击 VPN 网关对应操作列的“续费”，进入产品续费页面。

(3) 确认产品实例信息和续费时长后，根据页面显示，可进行如下操作：

单击“立即申请”，待管理员通过审批后，即可完成产品续费。

单击“立即支付”，选择支付方式，并单击“确认付款”后，即可完成产品续费。

3.2.4 查看监控

任务简介

支持对 VPN 网关的流量进行监控，包括：入网带宽、出网带宽、入网流量、出网流量、出网带宽使用率。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

WX20230409-163421@2x.png

(2) 单击 VPN 网关对应操作列的“查看监控”，可查看 VPN 网关的监控数据。

3.2.5 退订 VPN 网关（包周期计费模式）

任务简介

当您不需要使用包周期计费模式的 VPN 网关时，可以选择退订 VPN 网关。

限制与指导

• 只有未与 VPN 连接绑定的 IPSEC VPN 网关才支持退订，退订时需先进行解绑。

• 只有未与 SSL 服务端绑定的 SSL VPN 网关才支持退订，退订时需先进行解绑。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击 VPN 网关对应操作列的“退订”，进入产品退订页面。

(3) 确认要退订实例、退订原因、退款金额等信息，并勾选“我已确认本次退订金额和相关费用”后，单击“退订”，根据页面显示，可进行如下操作：

根据计费模式的不同，存在如下情况：

− 若为按需计费模式的 VPN 网关实例，则在弹出的确认窗口中，单击“确定”按钮，即可完成退订。

− 若为包周期计费模式的 VPN 网关实例，则在弹出的确认窗口中，单击“确定”按钮，待管理员通过审批后，即可完成退订。

在弹出的确认窗口中，进行手机号或邮箱验证后，单击“确定”，即可完成退订。

3.2.6 释放 VPN 网关（按需计费模式）

任务简介

当您不需要使用按需计费模式的 VPN 网关时，可以选择释放 VPN 网关。

限制与指导

• 只有未与 VPN 连接绑定的 IPSEC VPN 网关才支持释放，释放时需先进行解绑。

• 只有未与 SSL 服务端绑定的 SSL VPN 网关才支持释放，释放时需先进行解绑。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击 VPN 网关对应操作列的“释放”，弹出确认窗口。

(3) 单击“确定”，即可完成释放。

3.3 管理远端网关

3.3.1 创建远端网关

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“远端网关”，进入远端网关页面。

(3) 单击页面右上角的“创建远端网关”，弹出远端网关窗口。

WX20230409-163718@2x.png

(4) 根据下表中的参数说明进行配置。

WX20230409-163731@2x.png

(5) 单击“确定”，完成创建远端网关操作。

3.3.2 删除远端网关

限制与指导

只有未与 VPN 连接关联的远端网关才支持删除。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“远端网关”，进入远端网关页面。

(3) 单击远端网关对应操作列的“删除”，弹出确认窗口。

(4) 单击“确定”按钮，完成删除远端网关操作。

3.4 管理VPN连接

3.4.1 创建 VPN 连接

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“VPN 连接”，进入 VPN 连接页面。

(3) 单击页面右上角的“创建 VPN 连接”，进入创建 VPN 连接页面。

WX20230409-164322@2x.png

(4) 根据下表中的参数说明进行配置。

WX20230409-164355@2x.png

WX20230409-164409@2x.png

(5) 单击“确定”，完成创建 VPN 连接操作。

3.4.2 查看策略详情

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“VPN 连接”，进入 VPN 连接页面。

(3) 单击 VPN 连接对应操作列的“策略详情”，进入策略详情页面，可查看 IKE 策略和 IPsec策略的详细信息。

3.4.3 删除 VPN 连接

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“VPN 连接”，进入 VPN 连接页面。

(3) 单击 VPN 连接对应操作列的“删除”，弹出确认窗口。

(4) 单击“确定”按钮，完成删除 VPN 连接操作。

3.5 管理SSL服务端

3.5.1 创建 SSL 服务端

任务简介

SSL VPN 网关创建完成后，需要创建 SSL 服务端，为用户侧提供 SSL 服务。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“SSL 服务端”，进入 SSL 服务端列表页面。

(3) 单击页面右上角的“创建 SSL 服务端”，弹出创建 SSL 服务窗口。

WX20230409-164656@2x.png

(4) 根据下表中的参数说明进行配置。

WX20230409-164751@2x.png

WX20230409-164805@2x.png

(5) 单击“确定”，完成创建 SSL 服务端操作。

3.5.2 查看详情

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“SSL 服务端”，进入 SSL 服务端列表页面。

(3) 单击 SSL 服务端对应操作列的“详情”，可查看 SSL 服务端的基本信息和服务端配置信息。

3.5.3 删除 SSL 服务端

任务简介

当 SSL 服务端不再使用时，您可以执行删除操作。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“SSL 服务端”，进入 SSL 服务端列表页面。

(3) 单击 SSL 服务端对应操作列的“删除”，弹出确认窗口。

(4) 单击“确定”按钮，完成删除 SSL 服务端操作。

3.6 管理SSL客户端

3.6.1 创建 SSL 客户端

任务简介

创建 SSL 服务端后，您还需根据 SSL 服务端创建 SSL 客户端证书。该证书可用于服务端和客户端进行双向认证。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“SSL 客户端”，进入 SSL 客户端列表页面。

(3) 单击页面右上角的“创建 SSL 客户端”，弹出创建 SSL 客户端窗口。

WX20230409-165145@2x.png

(4) 根据下表中的参数说明进行配置。

WX20230409-165232@2x.png

(5) 单击“确定”，完成创建 SSL 客户端操作。

3.6.2 配置下载

任务简介

SSL 客户端连接 SSL VPN，需要加载 SSL 客户端证书。您可以在 SSL 客户端页面下载 SSL 配置文件。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“SSL 客户端”，进入 SSL 客户端列表页面。

(3) 单击 SSL 客户端对应操作列的“配置下载”，可将 SSL 客户端配置文件保存至本地。

3.6.3 删除 SSL 客户端

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > VPN”，进入 VPN 网关页面。

(2) 单击左侧导航栏中的“SSL 客户端”，进入 SSL 客户端列表页面。

(3) 单击 SSL 客户端对应操作列的“删除”，弹出确认窗口。

(4) 单击“确定”按钮，完成删除 SSL 客户端操作。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服