使用GA加速SSL-VPN

在远程办公或跨地域访问企业应用等场景中，通常使用SSL-VPN来安全访问云上VPC内的应用。但由于跨地域访问，常面临连接不稳定、延迟过高等问题，影响工作效率。您可以搭配使用GA，依托阿里云优质BGP带宽和全球传输网络，优化SSL-VPN连接，解决跨地域访问延迟和不稳定问题，提升远程办公效率和安全性。

功能简介

SSL-VPN是一种基于OpenVPN架构的网络连接技术，通过安装证书的方式对互联网客户端进行身份认证以及对传输数据进行加密，用于在互联网客户端与专有网络 VPC（Virtual Private Cloud）之间建立安全、可靠的网络连接。

GA是一款覆盖全球的网络加速服务，依托阿里巴巴优质BGP带宽和全球传输网络，实现全球网络就近接入和跨地域部署，减少延迟、抖动、丢包等网络问题对服务质量的影响，为您提供高可用和高性能的网络加速服务。

SSL-VPN与GA组合使用，可以在保障数据安全的同时，显著提升远程连接的质量和速度，提升终端用户体验。

关键特性

安全加密：SSL-VPN使用SSL协议加密数据，确保远程连接的安全性。
加速访问：通过GA实现全球多地域快速连接，降低延迟，提升访问速度。
稳定可靠：依托阿里云全球传输网络，提供稳定的连接质量。

适用场景

跨国企业远程办公：企业员工可通过SSL-VPN安全访问公司内网资源，同时借助GA提升连接速度，保证工作效率。
游戏和视频应用：为需要安全连接的终端用户提供高速的访问，加速终端用户登录和数据传输。
数据敏感行业：如金融、医疗等需保障数据安全的行业，通过SSL-VPN确保数据安全，同时借助GA提升访问体验。

场景示例

中国香港的员工通过阿里云VPN网关的SSL-VPN，远程加密访问位于美国硅谷的公司内部应用。因跨国公网不稳定，访问公司内部应用时经常出现延迟卡顿，影响远程办公效率。

为了解决这个问题，该公司考虑部署GA，使远程团队的访问请求就近接入阿里云并进行网络加速，为员工提供更加流畅和高效的工作体验。

前提条件

您已在VPC中创建ECS实例，并在ECS中部署了应用服务。
本文以Alibaba Cloud Linux 3操作系统为例，并使用Nginx配置后端HTTP 80服务。
ECS中测试服务的部署命令参考示例
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS." > index.html
```
您已完成客户端远程连接VPC。

操作步骤

步骤一：配置实例基础信息

本文以按量付费的标准型GA实例为例。

在全球加速控制台的标准型实例 > 实例列表列表页面，单击创建标准型按量付费实例。
在实例基础配置的配置向导页面，配置基础信息，单击下一步。

步骤二：配置加速区域

在配置加速区域配置向导页面，添加加速地域并为其分配带宽，然后单击下一步。

本文以中国香港地域为例，加速区域添加为中国（香港），公网质量类型均配置为BGP（多线），加速地域其他参数配置可保持默认值或根据实际情况修改。

GA加速区域.png

步骤三：配置监听

在配置监听配置向导页面，配置转发协议与端口，然后单击下一步。

本文场景中，协议配置为TCP，端口输入SSL服务端使用的端口1194，即您创建SSL服务端时指定的端口，其他参数可保持默认值或根据实际情况修改。监听配置详细信息，请参见添加和管理智能路由类型监听。

监听.png

步骤四：配置终端节点组与终端节点

在配置终端节点组配置向导页面，配置终端节点后端服务，然后单击下一步。
本文场景中，地域选择美国（硅谷），后端服务类型选择自定义IP，后端服务输入SSL服务端IP地址（即VPN网关的公网IP地址，用于客户端和VPN网关之间建立SSL-VPN连接，可在VPN网关实例的IP地址列获取网关地址），然后阅读并选中数据跨境合规承诺，其他参数可保持默认值或根据实际情况修改。终端节点组配置详细信息，请参见添加和管理智能路由类型监听的终端节点组。
在配置审核配置向导页面，确认全球加速的配置信息，然后单击提交。
创建任务完成后，在创建任务详情列表下方，单击进入实例详情，然后在实例详情页，可选择实例信息、监听、加速区域等页签查看实例配置信息。
例如，GA的加速IP可从加速区域页签下获取。

步骤五：配置客户端config.ovpn文件

说明

config.ovpn文件可用于配置OpenVPN客户端与指定SSL服务端之间建立连接的基本参数和证书等信息。其中，remote字段为客户端要连接的服务端IP地址信息。未使用GA时，remote字段为SSL服务端IP地址；使用GA后，该字段需修改为GA的加速IP，以确保客户端可接入阿里云加速网络实现加速。

本文以Windows客户端为例。具体操作以您客户端的操作系统为准，更多信息可参考配置客户端。

在桌面右下角，右键单击VPN图标，然后单击Edit config，配置config.ovpn文件，将remote字段值从SSL服务端IP地址修改为GA的加速IP并保存。
在桌面右下角，再次右键单击VPN图标，然后单击Reconnect，重新发起SSL-VPN连接。

步骤六：访问测试

重要

测试前，请确保ECS的安全组规则已放通GA的终端节点出公网IP。

验证配置是否生效

在加速地域（本文为中国香港地域）的电脑中，使用浏览器访问http://<ECS的私网IP>，可以正常访问后端服务。
在VPN控制台的SSL服务端页面，找到目标SSL服务端，单击SSL服务端ID，进入详情页查看已连接的客户端信息。
其中，实际地址列所显示IP为GA的终端节点出公网IP，则该SSL连接已经过GA加速。

测试加速效果

分别在使用GA前后，执行curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http//<ECS的私网IP>"，查看加速后数据包延迟情况。

测试配置GA前的网络延迟情况。
执行本步骤测试前，请确保客户端config.ovpn文件中remote字段值为SSL服务端IP地址，且SSL服务端的实际地址为客户端的公网IP地址。
测试配置GA后的网络延迟情况。
执行本步骤测试前，请确保客户端config.ovpn文件中remote字段值为GA的加速IP，且SSL服务端的实际地址为GA的终端节点出公网IP。

对比加速效果。

对比数据参数介绍：

time_connect：连接时间，从开始到建立TCP连接完成所用的时间，单位为秒。
time_starttransfer：开始传输时间。在客户端发出请求后，到后端服务器响应第一个字节所用的时间，单位为秒。
time_total：连接总时间。客户端发出请求后，到后端服务器响应会话所用的时间，单位为秒。

参数	加速前（单位：秒）	加速后（单位：秒）	加速数据参考（单位：秒）	加速数据参考（百分比）
time_connect	0.163520	0.149367	提升0.014153	速度提升8.66%
time_starttransfer	0.715961	0.299847	提升0.416114	速度提升58.12%
time_total	0.716210	0.300105	提升0.416105	速度提升58.10%

说明

本文示例与数据仅供参考。实际加速效果请以您的实际业务测试为准。

常见问题

如果源站所在的地域并不在全球加速的支持的地域中，还可以使用全球加速服务吗？

可以。

在配置终端节点组的地域时，请选择离您源站最近的地域。全球加速会将接收到的访问请求转发至终端节点组中的最佳终端节点。

标准型全球加速实例配置完成后，客户端无法访问后端服务，可能有哪些原因？

使用阿里云GA加速访问后端服务，在全球加速配置完成后，访问业务失败。您可以参见以下信息，排查访问失败的原因：

检查后端服务是否工作正常。
请直接访问您的后端服务，如果是后端服务访问异常，请直接排查源站服务。
如果您通过CNAME方式添加域名解析，检查客户端地域属于已添加的加速区域。
GA的CNAME域名具有地域属性（受加速区域配置影响），跨地域访问会有失败的可能。例如，加速区域仅有海外地域时，那么中国内地地域存在无法解析CNAME域名，无法访问加速域名的情况。建议您在加速区域中添加中国内地地域，或根据地址协议类型切换为A或AAAA记录。
检查后端服务器是否有安全策略。
查看是否放行了终端节点出公网IP（可在监听详情页签下查看终端节点出公网IP）。
检查业务域名对应的服务端口是否已添加到GA的监听中。
比如对于同时使用80和443端口的Web应用，一般需要将80和443均加入GA的监听中，否则使用未在监听中的端口访问全球加速时，会返回失败。
请确认源站是否部署在阿里云上，如果源站部署在非阿里云上，请排查配置中是否打开了保持客户端源IP功能。
保持客户端源IP功能需要源站支持解析Proxy-Protocol，否则会访问失败，更多信息，请参见保持客户端源IP。建议您关闭保持客户端源IP功能后进行访问，如何关闭保持客户端源IP功能，请参见如何关闭保持客户端源IP功能？。
检查流量是否超过了加速地域的带宽峰值。
- 您可以通过监控图表功能，查看连接数和带宽情况（也可能有DDoS等网络攻击）。查看实例监控，请参见查看实例监控。
- 您可以调整加速地域的带宽峰值以符合业务实际流量需求。修改加速地域带宽峰值，请参见修改加速区域。
检查GA是否开启了访问控制，以及客户端IP是否在访问控制白名单中。
关于访问控制配置，请参见访问控制。
检查域名DNS解析是否正确，是否解析到了GA的CNAME或加速IP。
可通过dig等相关命令检查。如何配置CNAME解析，请参见配置CNAME。