通过VPN网关实现本地数据中心访问阿里云NAS

一般情况下，NAS文件系统需要在同账号、同地域、同VPC下的计算节点中挂载访问。如果您想在本地数据中心或个人客户端中挂载NAS，则必须连通NAS所在地域VPC的网络。您可以通过配置VPN网关，连通与NAS VPC之间的网络。本文介绍如何通过VPN网关的设置，实现本地数据中心访问阿里云文件存储NAS。

背景信息

对于一个地域（例如华东1杭州）内创建的文件系统（NFS或者SMB），只支持挂载到同一地域内的ECS上。您在其他地域（例如华北1青岛）内的ECS或者本地数据中心的服务器，无法直接挂载。只有通过建立不同VPC间或者本地数据中心和VPC间的高速通道才能实现跨地域或者在本地数据中心挂载文件系统，而部署高速通道存在高成本问题。

通过阿里云VPN网关服务，您可以完成本地数据中心到阿里云VPC的访问，以及不同地域VPC之间的互通。您可以通过VPN网关服务，实现以下两种方式的文件系统挂载。

挂载文件系统至本地数据中心
跨地域挂载文件系统至ECS
- 如果您在VPC内已使用一台ECS服务器搭建VPN网关，则还需在另一VPC内创建一个VPN网关进行连接。具体操作，请参见已部署一台VPN网关时跨地域挂载文件系统。
- 如果您没有这样的环境，请分别在不同的VPC中创建VPN网关进行连接。具体操作，请参见未部署VPN网关时跨地域挂载文件系统。

网络拓扑如下所示。

拓扑图

使用VPN网关的优劣势如下所示。

优势
- VPN解决了连通性的问题。
- VPN提供安全的访问（通过IPsec实现加密通信）。
- 使用VPN与使用高速通道相比，客户的使用成本会有明显下降。
劣势
通过VPN访问文件系统时的I/O性能将受限于从IDC到VPC或者VPC之间的公网带宽和时延。

挂载文件系统至本地数据中心

创建文件系统和挂载点。
1. 登录NAS控制台。
2. 创建文件系统。具体操作，请参见通过控制台创建通用型NAS文件系统。
3. 添加VPC类型的挂载点。具体操作，请参见添加挂载点。
建立VPC到本地数据中心的连接。具体操作，请参见建立VPC到本地数据中心的连接。
验证本地数据中心内的服务器和VPC内ECS或者文件系统挂载点的连通性。
登录阿里云VPC内一台无公网IP地址的ECS，并通过ping命令ping本地数据中心内一台服务器的私网IP地址，验证通信是否正常。
确认ping通后，在本地数据中心的服务器上挂载VPC内的文件系统。具体操作，请参见挂载文件系统。

跨地域挂载文件系统至ECS

已部署一台VPN网关时跨地域挂载文件系统

此处以处于不同地域的VPC1和VPC2为例进行说明。

创建文件系统和挂载点。
1. 登录NAS控制台。
2. 创建文件系统。具体操作，请参见通过控制台创建通用型NAS文件系统。
3. 添加VPC类型的挂载点。具体操作，请参见添加挂载点。
  此处添加的是VPC1内的挂载点。
在VPC2内，使用一台ECS搭建VPN网关作为用户网关。
说明
- 该ECS需要有公网IP地址，才能与VPC1内的VPN网关建立连接。
- 关于如何使用ECS服务器搭建VPN网关的教程，请参见Install a strongSwan IPSec VPN Server on CentOS 7。
建立VPC1和VPC2内的VPN网关的连接。
1. 登录专有网络控制台。
2. 创建VPN连接，连接VPC1和VPC2内的VPN网关（即步骤2中创建的用户网关）。具体操作，请参见创建IPsec连接。
在VPC2内的其他ECS上添加静态路由。具体操作，请参见配置VPN网关路由。
其中，目标网段为VPC1的内网IP地址，下一跳为VPC2内的用户网关。
验证VPC1和VPC2内的ECS或者文件系统挂载点的连通性。
登录阿里云VPC1内一台ECS，并通过ping命令ping VPC2内一台ECS的IP地址，验证通信是否正常。
确认ping通后，在VPC2内的其他ECS上挂载VPC1内的文件系统。具体操作，请参见挂载文件系统。

未部署VPN网关时跨地域挂载文件系统