实例所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。具体操作，请参见查询安全组规则添加安全组规则。

　　在EIAM 云身份服务页面，找到在准备工作中创建的EIAM实例，然后在操作列单击访问控制台。

　　授权模式：默认为密码模式。身份提供方选默认为IDaaS账号，系统将会使用您在EIAM实例中手动创建的账户信息对员工身份进行认证。

　　授权范围：使用默认值手动授权。该方式下，您需要手动为指定账户授权，允许这些账户访问该应用。关于授权范围的更多说明，请参见授权范围。

　　以下仅列举本文强相关的配置，其余配置项保持默认值或为空。更多信息，请参见创建和管理VPN网关实例。

　　IPsec-VPN功能开启后，系统会在两个交换机实例下各创建一个弹性网卡ENI（Elastic Network Interfaces），作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。

　　创建VPN网关实例后，不支持修改VPN网关实例关联的交换机实例，您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。

　　您需要从VPN网关实例关联的VPC实例下指定两个分布在不同可用区的交换机实例，以实现IPsec-VPN连接可用区级别的容灾。

　　对于仅支持一个可用区的地域 ，不支持可用区级别的容灾，建议您在该可用区下指定两个不同的交换机实例以实现IPsec-VPN连接的高可用，支持选择和第一个相同的交换机实例。

　　如果VPC实例下没有第二个交换机实例，您可以新建交换机实例。具体操作，请参见创建和管理交换机。

　　刚创建好的VPN网关实例的状态是准备中，约1~5分钟会变成正常状态。正常状态就表明VPN网关实例已完成初始化，可以正常使用。

　　以下仅列举本文强相关的配置，其余配置项保持默认值或为空。更多信息，请参见创建和管理SSL服务端vpn进oa系统。

　　以CIDR地址块的形式输入客户端访问VPC实例时使用的网段。本文输入10.0.0.0/24。

　　在指定客户端网段时，建议您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16网段及其子网网段。如果您的客户端网段需要指定为公网网段，您需要将公网网段设置为VPC的用户网段，以确保VPC可以访问到该公网网段。关于用户网段的更多信息，请参见专有网络FAQ和专有网络FAQ。

　　创建SSL服务端后，系统后台会自动将客户端网段的路由添加在VPC实例的路由表中，请勿再手动将客户端网段的路由添加到VPC实例的路由表，否则会导致SSL-VPN连接流量传输异常。

　　在阿联酋（迪拜）地域创建SSL服务端时，推荐您绑定新加坡地域的IDaaS EIAM 2.0实例，以减少跨地域时延。

　　进入/etc/openvpn/conf/目录，执行以下命令，然后输入用户名和密码。客户端通过IDaaS认证后，将会和云上建立SSL-VPN连接。

　　本文将证书解压拷贝到C:\Program Files\OpenVPN\config目录，请您根据安装路径将证书解压拷贝至您真实的目录。

　　启动OpenVPN客户端，单击Connect，然后输入用户名和密码。客户端通过IDaaS认证后，将会和云上建立SSL-VPN连接。

　　不同版本的macOS系统OpenVPN默认的安装路径可能不同，请以您实际的安装路径为准。在执行本操作及后续操作时，请将相关路径替换为您实际的安装路径。

　　完成上述步骤后，客户端已经可以远程访问VPC实例下的资源。以下内容以Linux客户端为例介绍如何测试客户端和VPC实例间的连通性。

　　IDaaS侧仅支持用户名密码的认证方式，不支持使用OTP动态口令、短信认证等方式对客户端进行二次认证。