如何通过VPN网关实现从用户IDC或者跨地域挂载文件系统

阿里云文件存储服务在使用时有一个限制：对于一个地域（比如华东1）内创建的文件系统（NFS或者SMB），只支持同一地域内的ECS挂载，用户在其他地域（比如华北1）内的ECS，或者用户自己IDC机房的服务器，是没法直接挂载的；只有通过建立不同VPC间或者IDC和VPC间的高速通道才能实现跨地域或者从IDC服务器挂载文件系统，而部署高速通道带来的高成本将是很多用户面临的一个非常现实的问题。
通过阿里云VPN网关服务，用户可以完成IDC到阿里云VPC的访问，以及不同地域的VPC之间的互通。对于阿里云文件存储的用户来说，通过VPN网关服务，现在用户可以部署如下图所示的网络拓扑，实现两种方式的文件系统挂载：

1. 从用户IDC内挂载文件系统；
2. 从ECS跨地域挂载文件系统；

从用户IDC内挂载文件系统的具体步骤：

1. 登录控制台，创建文件系统，并为文件系统添加VPC挂载点，具体步骤演示可以参考网页https://help.aliyun.com/document_detail/27526.html；
2. 登录控制台，创建VPN连接，连接VPC内VPN网关和用户IDC内的VPN网关；

• a) 创建 VPN 网关，具体操作步骤参考https://help.aliyun.com/document_detail/52812.html?spm=5176.137100.702922.4.kpb7d8#createVPN
• b) 创建用户网关，具体操作步骤参考https://help.aliyun.com/document_detail/52812.html?spm=5176.137100.702922.4.kpb7d8#userGW
• c) 创建VPN连接，具体操作步骤参考https://help.aliyun.com/document_detail/52812.html?spm=5176.137100.702922.4.kpb7d8#VPNconnection
• d) 在用户侧网关设备中加载配置，具体操作步骤参考https://help.aliyun.com/document_detail/52812.html?spm=5176.doc52811.6.543.tjjlVT#loadConfiguration
• e) 为VPC添加路由，具体操作步骤参考https://help.aliyun.com/document_detail/52812.html?spm=5176.doc52811.6.543.tjjlVT#configureRoute

完成这些配置之后，可以用ping命令验证IDC内服务器和VPC内ECS或者文件系统挂载点的连通性，在确认两端的IP互相可以ping通之后，在用户IDC内VPN网关侧的服务器就可以挂载VPC内的文件系统，挂载文件系统的具体步骤可以参考 https://help.aliyun.com/document_detail/27527.html?spm=5176.8294599.668118.10.ZyG0fg。
从ECS跨地域挂载文件系统的具体步骤：
方法一

1. 登录控制台，创建文件系统，并为文件系统添加在VPC1内的VPC挂载点，具体步骤演示可以参考网页https://help.aliyun.com/document_detail/27526.html；
2. 在另一个地域的VPC2内使用一台ECS服务器搭建用户VPN网关作为用户侧网关，注意该ECS需要有公网IP，才能有VPC1内的VPN网关建立连接；关于如何试用ECS服务器搭建VPN网关，可以参考互联网上的一些教程，比如https://www.vultr.com/docs/using-strongswan-for-ipsec-vpn-on-centos-7；
3. 登录控制台，创建VPN连接，连接VPC1内VPN网关和VPC2内的网关（前面第二步创建的网关）；具体操作步骤可以参考前述“从用户IDC内挂载文件系统的具体步骤”中的第二步；
4. 在VPC2内的其他ECS添加静态路由，目标网段是VPC1的网段，下一跳节点是VPC2内的网关（前面第二步创建的网关）；

完成这些配置之后，可以用ping命令验证VPC1和VPC2内ECS或者文件系统挂载点的连通性，在确认两端的IP互相可以ping通之后，在VPC2内的其他ECS就可以挂载VPC1内的文件系统，挂载文件系统的具体步骤可以参考 https://help.aliyun.com/document_detail/27527.html?spm=5176.8294599.668118.10.ZyG0fg。
方法一需要在VPC2内使用一台ECS服务器搭建VPN网关，适合于已经部署类似网关服务的用户，如果用户没有这样的环境，可以采用方法二。
方法二

1. 登录控制台，创建文件系统，并为文件系统添加在VPC1内的VPC挂载点，具体步骤演示可以参考网页https://help.aliyun.com/document_detail/27526.html；
2. 登录控制台，在VPC1内创建VPN网关，具体操作步骤参考https://help.aliyun.com/document_detail/52812.html?spm=5176.137100.702922.4.kpb7d8#createVPN；
3. 登录控制台，在另一个地域的VPC2内，也创建VPN网关，具体操作步骤参考https://help.aliyun.com/document_detail/52812.html?spm=5176.137100.702922.4.kpb7d8#createVPN；
4. 分别以第2步和第3步创建的VPN网关的IP，创建用户网关，具体操作步骤参考https://help.aliyun.com/document_detail/52812.html?spm=5176.137100.702922.4.kpb7d8#userGW
5. 创建VPN连接第2步和第3步创建的VPN网关，连接具体操作步骤参考https://help.aliyun.com/document_detail/52812.html?spm=5176.137100.702922.4.kpb7d8#VPNconnection
6. 分别为两个VPC添加路由，对于VPC1，目标网段是VPC2的内网IP，下一跳节点是VPC1内的网关，对于VPC2，目标网段是VPC1的内网IP，下一跳节点是VPC2内的网关；具体操作步骤参考https://help.aliyun.com/document_detail/52812.html?spm=5176.doc52811.6.543.tjjlVT#configureRoute；

完成这些配置之后，可以用ping命令验证VPC1和VPC2内ECS或者文件系统挂载点的连通性，在确认两端的IP互相可以ping通之后，在VPC2内的其他ECS就可以挂载VPC1内的文件系统，挂载文件系统的具体步骤可以参考 https://help.aliyun.com/document_detail/27527.html?spm=5176.8294599.668118.10.ZyG0fg。
需要指出的是：VPN解决了连通性的问题，并且也能提供安全的访问（通过IPsec实现加密通信），并且与使用高速通道相比，用户的成本会有明显下降，但是通过VPN访问文件系统时的IO性能将受限于从IDC到VPC或者VPC之间的公网带宽和时延。