🎈 作者:互联网-小啊宇
🎈 简介: CSDN 运维领域创作者、阿里云专家博主。目前从事 Kubernetes运维相关工作,擅长Linux系统运维、开源监控软件维护、Kubernetes容器技术、CI/CD持续集成、自动化运维、开源软件部署维护等领域。
🎈 博客首页:CSDN【互联网-小阿宇】 、阿里云【互联网-小阿宇】
🎈 欢迎小伙伴们点赞👍、收藏⭐、留言💬
CentOS7搭建OpenVpn实现异地访问同VPC和非同VPC网络下产品资源
开篇:
先说说整体的构建流程,选择一个有固定公网IP的ECS服务器来安装openvpn的服务端,然后用自己的电脑安装openvpn客户端,并配置对应的client文件即可实现连接到服务端,届时可以ping、ssh等方式访问服务端ECS的内网地址。
1、如果需要访问与服务端在同一VPC网络下的其他ECS、mysql、redis、mongodb等资源,需在服务端侧开启IPV4转发,并切开启iptables规则使数据库可以转发到阿里云的内网和外网,【如果数据库等产品是直接购买的阿里云产品还需要对服务端的内网段添加白名单】,这样就可以实现通过专用网络去访问资源;
2、如果需要访问与服务端在非同一VPC网络下的其他ECS、mysql、redis、mongodb等资源,简单明了的说就是公网访问,不能通过专用网络访问,这个时候就需要对服务端的公网IP开放对应的安全组和白名单。
一、环境搭建介绍
别名 | 操作系统 |
---|---|
openVpn服务端 | Centos7 |
openVpn客户端 | Windows/Mac |
同一VPC网络 | ECS、Mysql、Redis、MongoDB |
非同一VPC网络 | ECS、Mysql、Redis、MongoDB |
二、OpenVpn服务端搭建
关闭防火墙、沙盒
systemctl stop firewalld && systemctl disable firewalld
cat /etc/selinux/config
#修改
SELINUX=disabled
#保存重启
安装配置证书软件
[root@iZ2ze3xs6hpgn1nifgfeyiZ ~]# yum -y install easy-rsa
[root@iZ2ze3xs6hpgn1nifgfeyiZ ~]# mkdir /data/openvpn-ca && cd /data/openvpn-ca
[root@iZ2ze3xs6hpgn1nifgfeyiZ ~]# rpm -ql easy-rsa #查看已安装的RPM包中名为 easy-rsa 的文件列表
[root@iZ2ze3xs6hpgn1nifgfeyiZ ~]# cp -a /usr/share/easy-rsa/3.0.8/* .
[root@iZ2ze3xs6hpgn1nifgfeyiZ ~]# cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example ./vars
[root@iZ2ze3xs6hpgn1nifgfeyiZ ~]# > vars
[root@iZ2ze3xs6hpgn1nifgfeyiZ ~]# cat vars
if [ -z "$EASYRSA_CALLER" ]; then
echo "You appear to be sourcing an Easy-RSA
'vars' file." >&2
echo "This is no longer necessary and is
disallowed. See the section called" >&2
echo "'How to use this file' near the top
comments for more details." >&2
return 1
fi
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Beijing"
set_var EASYRSA_REQ_CITY "Shanghai"
set_var EASYRSA_REQ_ORG "koten"
set_var EASYRSA_REQ_EMAIL "888888@qq.comm"
set_var EASYRSA_NS_SUPPORT "yes"
创建证书
[root@iZ2ze3xs6hpgn1nifgfeyiZ ~]# ./easyrsa init-pki #1、初始化,在当前目录创建PKI目录,用于存储整数
[root@iZ2ze3xs6hpgn1nifgfeyiZ ~]# ./easyrsa build-ca #2、创建根证书,会提示设置密码,用于ca对之后生成的server和client证书签名时使用,其他提示内容直接回车即可
Enter New CA Key Passphrase: #注意密码不能太短,我这边设置的是123456789
Re-Enter New CA Key Passphrase:
[root@iZ2ze3xs6hpgn1nifgfeyiZ ~]# ./easyrsa gen-req server nopass #3、创建server端证书和私钥文件