IBM Cloud 上的连接选项
IBM® Db2® Warehouse on Cloud 针对应用程序连接需求提供了多个安全连接选项。
连接到公共端点(缺省选项)
对于任何公共云服务,您可以使用供应服务时提供给您的公共主机名来连接应用程序。 通过强认证、大量 Db2 授权选项和访问控制、线上和静态加密以及开发和操作的 IBM 安全和合规性做法,可以保护对您数据的访问。 提供了可选的 IP 允许列表。 如果要启用 IP 允许列表,请创建 IBM 支持案例。
对于应用程序连接,请勿使用 IP 地址连接到 Db2 Warehouse on Cloud 实例,因为从主机名解析的 IP 地址可能会更改。
如何连接到公共端点:
您还可以通过以下方式来获取主机名和凭证:
- 登录到 IBM Cloud 并单击您的服务实例。
- 单击服务凭证。
- 单击新建凭证,然后单击添加。
- 凭证创建后,在
Actions列下,单击查看凭证。 - 在下面的 JSON 文档示例中,记下主机名、密码以及用户名字段中的内容。 使用这三个组件来连接到公共端点:
{
"apikey": "abcdefghijklmnopqrstuvwxyz0123456789",
"db": "BLUDB",
"host": "db2w-abcdefg.eu-de.db2w.cloud.ibm.com",
"hostname": "db2w-abcdefg.eu-de.db2w.cloud.ibm.com",
"https_url": "https://db2w-abcdefg.eu-de.db2w.cloud.ibm.com",
"iam_apikey_description": "Auto-generated for key crn:v1:bluemix:public:dashdb:eu-de:a/abc62e1447e5587cfcff971d4aa7d473:c1cac901-755b-489c-a742-f41295cb5dd8:resource-key:11f5e7e5-4759-439e-8291-7febc09382ce",
"iam_apikey_name": "Service credentials-1",
"iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"iam_serviceid_crn": "crn:v1:bluemix:public:iam-identity::a/abc62e1447e5587cfcff971d4aa7d473::serviceid:ServiceId-aecb72c2-b048-4800-a0d3-263d7bfe4e6a",
"parameters": {
"role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"serviceid_crn": "crn:v1:bluemix:public:iam-identity::a/abc62e1447e5587cfcff971d4aa7d473::serviceid:ServiceId-aecb72c2-b048-4800-a0d3-263d7bfe4e6a"
},
"password": "hereisthepassword123",
"port": 50001,
"ssldsn": "DATABASE=BLUDB;HOSTNAME=db2w.abcdefg.eu-de.db2w.cloud.ibm.com;PORT=50001;PROTOCOL=TCPIP;UID=bluadmin;PWD=hereisthepassword123;Security=SSL;",
"ssljdbcurl": "jdbc:db2://db2w-abcdefg.eu-de.db2w.cloud.ibm.com:50001/BLUDB:sslConnection=true;",
"uri": "db2://bluadmin:hereisthepassword123@db2w-abcdefg.eu-de.db2w.cloud.ibm.com:50001/BLUDB?ssl=true;",
"username": "bluadmin"
}
连接到专用端点:IBM Cloud Service Endpoint
Db2 Warehouse on Cloud 支持通过 IBM Cloud 服务端点 进行专用连接。IBM Cloud 服务端点通过 IBM Cloud 专用底板网络在不同 IBM Cloud 服务之间安全地路由网络流量。 使用 IBM Cloud 服务端点连接配置 Db2 Warehouse on Cloud 实例时,云数据仓库与 IBM Cloud 帐户上部署的应用程序之间的流量不会遍历任何公用网络。
对于应用程序连接,请勿使用 IP 地址连接到 Db2 Warehouse on Cloud 实例,因为从主机名解析的 IP 地址可能会更改。
如何配置 IBM Cloud 服务端点连接
完成以下步骤以对 Db2 Warehouse on Cloud 实例启用 IBM Cloud 服务端点连接:
-
启用 IBM Cloud 帐户以使用虚拟路由和转发 (VRF) 以及 IBM Cloud 服务端点。 要同时启用这两项,请参阅 启用 VRF 和服务端点。
-
配置 Db2 Warehouse on Cloud 实例以实现服务端点连接。
-
如果通过 IBM Cloud 目录供应 Db2 Warehouse on Cloud 实例: 创建案例 以请求配置 Db2 Warehouse on Cloud 实例,用于 IBM Cloud 服务端点连接。 完成此操作后,将在新的非因特网可路由 IP 地址上提供 Db2 Warehouse on Cloud 实例。 将向您发送有关如何使用此新配置的专用端点访问 Db2 Warehouse on Cloud 实例的信息。
-
如果通过 IBM Sales 购买了 Db2 Warehouse on Cloud 实例: 如果请求了专用端点连接,那么将为 Db2 Warehouse on Cloud 实例供应 IBM Cloud 服务端点连接。 无需进一步操作。
-
为 Db2 Warehouse on Cloud 实例配置 IBM Cloud 服务端点连接后,只能通过专用端点进行访问。 您将无法通过公共端点访问实例。
要了解有关 IBM Cloud 服务端点服务的更多信息,请参阅 使用服务端点安全访问服务。
连接到虚拟专用网 (VPN) 端点
如果您有应用程序部署在 IBM Cloud 之外的专用网络上,但该网络对公共互联网又没有访问权限,所以您想要通过虚拟专用网 (VPN) 连接将其连接到数据库,那么您可以在订购服务时或者通过打开 IBM 支持案例来发出请求。 IBM 网络工程师将会协助您的网络工程师在您的专用网络和 IBM Cloud 之间设置 VPN 通道。
如何连接到 VPN 端点
要在公共端点后建立到云数据仓库的 VPN 连接,请 创建 IBM Cloud 支持案例,其中包含以下详细信息:
-
支持类型:技术
-
类别:数据库
-
服务:选择您的 Db2 Warehouse on Cloud 实例
-
主题:VPN 连接请求
-
描述:提供以下所需信息
- 客户端 VPN 对等地址 (VPN 端点):
<IP Address> - 客户端加密域 (特定于所需内容- 10.0.0.0/8 不可行,因为在后端服务的 IBM Cloud 中也使用了 10 个寻址):
<Domain> - 客户端 VPN 硬件和版本:
<Hardware and Version number> - 客户端 VPN 联系人(技术联系人姓名和电子邮件地址):
<Name><Title><Email Address>
可选(仅在以下缺省值不适用时才变更):
IKE/ISAKMP 参数(阶段 I)
- 加密方法:IKEv1
- IKE 加密/加密算法:AES-256
- 认证算法:SHA1
- DH-Group:第 5 组
- 安全性关联生命周期(秒):1 天(86400 秒)
IPSec 参数(阶段 II)
- IPSec 加密/加密算法:AES-256
- 认证算法:SHA1
- DH-Group(如果使用 PF-Secrecy):第 5 组
- 安全性关联生命周期(秒):3600 秒
- 客户端 VPN 对等地址 (VPN 端点):
收到请求后,IBM Cloud 技术人员将打开相应的防火墙端口并允许列出提供的 IP 地址。 有关请求的通信和解决方案将通过 IBM Cloud 支持案例凭单进行。
