在当今数字化办公和分布式部署日益普及的背景下，企业或个人用户越来越依赖云主机来托管应用、存储数据和服务，直接通过公网IP访问云主机存在安全隐患，尤其是在需要远程管理服务器、访问内网资源或实现跨地域办公时，配置一个安全可靠的虚拟私人网络（VPN）成为必不可少的步骤，本文将详细介绍如何在主流云主机上搭建并配置VPN服务，帮助你建立加密、稳定且可控的远程访问通道。

明确你的需求：你是要为单一用户远程登录Linux服务器，还是为整个团队提供内网穿透？常见的选择包括OpenVPN、WireGuard和IPsec，WireGuard因其轻量级、高性能和现代加密算法被越来越多用户采用，特别适合云环境部署；而OpenVPN则兼容性更广,适合复杂网络场景。

以Ubuntu 20.04 LTS为例，假设你已在阿里云、腾讯云或AWS等平台部署了一台云主机,第一步是确保系统已更新并安装必要工具：

sudo apt update && sudo apt upgrade -y

我们以WireGuard为例进行部署：

1. 安装WireGuard
   Ubuntu官方仓库中已包含WireGuard模块,执行：

   sudo apt install wireguard resolvconf

2. 生成密钥对
   每个客户端和服务器都需要一对公私钥：

   wg genkey | tee privatekey | wg pubkey > publickey

   将生成的privatekey保存在服务器端，publickey用于后续配置。

3. 创建配置文件
   编辑 /etc/wireguard/wg0.conf如下（示例）：

   [Interface]
   Address = 10.0.0.1/24
   ListenPort = 51820
   PrivateKey = <服务器私钥>
   [Peer]
   PublicKey = <客户端公钥>
   AllowedIPs = 10.0.0.2/32

4. 启用并启动服务

   sudo systemctl enable wg-quick@wg0
   sudo systemctl start wg-quick@wg0

5. 配置防火墙
   若使用UFW或iptables,请开放UDP端口51820：

   sudo ufw allow 51820/udp

6. 客户端配置
   在本地电脑（Windows/macOS/Linux）安装WireGuard客户端，导入配置文件即可连接，注意：你需要为每个设备生成独立密钥,并在服务器配置中添加对应Peer。

额外建议：

• 使用Cloudflare Tunnel或Nginx反向代理隐藏实际IP,提升安全性；
• 结合Fail2ban防止暴力破解；
• 定期轮换密钥,避免长期暴露风险；
• 若需多用户接入，可使用Tailscale或ZeroTier等托管型方案,简化管理。

在云主机上搭建VPN不仅提升了远程访问的安全性，也为跨区域协作提供了便利，无论是小型项目组还是大型企业，合理利用WireGuard或OpenVPN都能构建出高效、可控的私有网络，掌握这一技能,是你作为网络工程师迈向专业化的关键一步。