IBM Cloud Docs
启用 VRF 和服务端点

启用 VRF 和服务端点

使用经典基础架构时,缺省情况下通过 IBM Cloud® 公用网络连接到帐户中的资源。 您可以启用虚拟路由和转发 (VRF) 以将帐户的 IP 路由及其所有资源移至单独的路由表中。 如果启用 VRF,那么可启用 IBM Cloud 服务端点以直接连接至资源,而不使用公用网络。

虚拟私有云 (VPC) 自动启用虚拟路由和转发 (VRF)。 要为 VPC 启用服务端点,请继续 启用服务端点

缺省情况下,在 2023 年 11 月 30 日之前建立的经典帐户包含在 IBM Cloud 常规路由表中。 先前,如果要将经典帐户转换为 VRF 样式的帐户,那么需要使用 IBM® 支持人员来打开支持案例。 从 2023 年 11 月 30 日开始,任何新的经典帐户或任何“空”的现有经典帐户 (例如,没有任何供应的 VLAN) 将在该帐户下次启动专用网络连接时自动转换为 VRF 样式的帐户。 更多信息,请参阅 关于VRF账户迁移的常见问题解答

准备工作

在开始之前,请确保您符合以下标准:

  • 您需要可计费帐户以启用虚拟路由和转发以及 IBM Cloud 服务端点。
  • 您必须有权访问帐户中的 IBM Cloud 基础结构。 转至 导航菜单 图标 "导航菜单" 图标 > 经典基础架构 以验证您是否具有访问权。

在控制台中启用 VRF

VRF 允许路由器中存在路由表的多个实例并且同时工作。 在启用 VRF 时,将针对帐户创建单独的路由表,并且在 IBM Cloud 网络上单独路由与帐户资源之间的连接。 VRF 在帐户级别启用,因此所有资源都受此联网更改的影响。 有关 VRF 技术及其对帐户网络路由的影响的更多信息,请参阅 IBM Cloud 上的虚拟路由和转发

启用 VRF 会永久改变账户的联网。 请确保了解对帐户和资源的影响。 启用 VRF 后,无法禁用。

要启用 VRF:

  1. 在控制台中,转至管理 > 帐户,然后单击帐户设置
  2. 转至 虚拟路由和转发,然后单击 开启

对于大多数帐户,此操作会立即将专用网络转换为 VRF。 对于选择的几个帐户,可能需要与 IBM Cloud 支持进行协调。 要创建支持案例,请完成以下步骤:

  1. 单击创建案例。 您必须具有现收现付帐户或预订帐户。

  2. 在案例描述中,输入经典基础架构帐号。

  3. 单击提交按钮。

    不要更改已填充的支持案例信息的其余部分。 这些信息是有针对性的,以确保尽快处理您的请求。

IBM Cloud 网络工程团队将联系案例所有者,为您安排将账户网络转换为 VRF 的时间。 转换过程中,由于包丢失,与帐户中资源的连接可能不稳定。 根据账户的复杂程度,转换大约需要 15-30 分钟。 如果帐户具有旧的 IBM Cloud® Direct Link 连接,那么可能需要更多时间。

将空帐户更改为 VRF 会在不中断的情况下修改未来资源的行为。 在迁移过程中,可能会在专用网络上的 现有 服务器之间发生短暂的间歇性连接丢失,这将在您方便的时间进行调度。

迁移不会对 VLAN 或子网的公用网络配置进行任何更改。 但是,如果您有任何 Web 或应用程序服务器提供基于专用网络连接的面向公共的服务,以访问数据库,应用程序或其他类型的服务器,请注意,面向公共的服务可能会中断。

VRF 与 IPSec VPN 服务不兼容,并将 SSL VPN 连接限制为该连接的数据中心内的资源。 或者,您可以购买 IBM Cloud® Direct Link 产品以管理服务器,或者运行您自己的 VPN 解决方案,可以使用不同类型的 VPN 进行配置。

启用服务端点

在帐户中启用 IBM Cloud 服务端点时,可以选择在创建资源时公开专用网络端点。 然后,可以直接通过 IBM Cloud 专用网络连接到此端点,而不是公用网络。 因为使用专用网络端点的资源没有可通过因特网路由的 IP 地址,因此与这些资源的连接更加安全。 有关更多信息,请参阅 使用服务端点安全访问服务

必须先针对帐户启用 VRF,然后才能启用服务端点。 针对 VRF 自动启用虚拟私有云 (VPC)。

在控制台中启用服务端点

  1. 在控制台中,转至管理 > 帐户,然后单击帐户设置

  2. 在服务端点部分,单击

    如果无法单击“”,则可能未为您的账户启用 VRF。 通过检查虚拟路由和转发部分来验证它是否已启用。

  3. 查看对帐户的影响,然后单击开启

这一更改可能需要几分钟才能生效。

在 CLI 中启用服务端点

要通过 IBM Cloud CLI 启用服务端点,需要 V0.13 或更高版本。

  1. 检查是否已在帐户中启用服务端点。

    ibmcloud account show
    

    如果如以下示例中所示,Service Endpoint Enabledfalse,那么未启用服务端点。

    Retrieving account Mia Example's Account of m.example@example.com...
    OK
    
    Account ID:                   abc123d0bc2edefthyufffc9b5ca318
    Currently Targeted Account:   true
    Linked Softlayer Account:     0123456
    Service Endpoint Enabled:     false
    
  2. 通过运行以下命令来启用服务端点。

    ibmcloud account update --service-endpoint-enable true
    

    这一更改可能需要几分钟才能生效。 命令完成后,您可以再次运行 ibmcloud account show 命令以进行验证。

    如果未针对帐户启用 VRF,那么运行此命令将提示您创建案例以进行启用。 输入 y 以创建支持案例。 在帐户中启用 VRF 后,再次运行命令以启用帐户中的服务端点连接。

    Service Endpoint is not available in linked Softlayer Account 1008967.
    Enable VRF(Virtual Routing and Forwarding) first to proceed.
    Learn more about VRF here - https://cloud.ibm.com/docs/infrastructure/direct-link/vrf-on-ibm-cloud.html.
    
    Do you want to open a ticket to enable it?[y/N]> y
    Ticket 70729615 was opened successfully. Follow the link https://control.softlayer.com/support/tickets/70729876 to check the details and track the status of the ticket. You will be required to login to view this ticket.
    Account ID:    1008967
    Ticket:        Private Network Question
    

启用服务端点后,可以创建通过 IBM Cloud 专用网络连接的资源。 有关支持服务端点的服务的列表以及更多信息,请参阅 启用 VRF 和服务端点

使用服务端点

启用 VRF 和服务端点帐户设置后,可以从目录创建支持服务端点的资源。 下表列出了支持使用服务端点的服务。

要查找每个服务的端点,请参阅特定服务的 API 文档的“端点 URL”部分。

支持使用服务端点的服务
服务 文档
App Configuration 区域和端点
Secrets Manager 区域和端点
IBM Cloud Logs 服务应用程序接口端点
Container Registry Kubernetes Service 具有 仅专用服务端点 的集群通过使用 Container Registry 服务端点来拉取容器映像。
Continuous Delivery 区域和端点
Databases for Elasticsearch Databases for Elasticsearch 服务端点集成
Databases for etcd Databases for etcd 服务端点集成
Databases for MongoDB Databases for MongoDB 服务端点集成
Databases for PostgreSQL Databases for PostgreSQL 服务端点集成
Databases for Redis Databases for Redis 服务端点集成
IBM Db2 SaaS 连接选项
IBM Db2 Warehouse SaaS 连接到专用端点:IBM Cloud 服务端点
Event Notifications 区域和端点
Event Streams 使用企业套餐限制网络访问权
Hyper Protect Crypto Services Hyper Protect Crypto Services 服务端点集成
Hyper Protect DBaaS for MongoDB 保护与 Hyper Protect DBaaS for MongoDB
Hyper Protect DBaaS for PostgreSQL 保护与 Hyper Protect DBaaS for PostgreSQL
IBM Cloudant 适用于 2019 年 1 月 1 日后部署的所有专用硬件套餐
Key Protect 在 Key Protect 专用网络上连接到 IBM Cloud
KMIP for VMware on IBM Cloud KMIP for VMware on IBM Cloud 文档
Kubernetes Service Kubernetes Service 的公共和专用服务端点
Messages for RabbitMQ Messages for RabbitMQ 服务端点集成
IBM Cloud Monitoring IBM Cloud Monitoring 服务端点集成
Object Storage Object Storage 端点和存储位置
Schematics 使用专用端点
IBM Watson Annotator for Clinical Data 公用和专用网络端点 与 Annotator for Clinical Data
watsonx Assistant 保护助手 与 watsonx Assistant
IBM Watson Discovery 公用和专用网络端点 与 Discovery
IBM Watson Knowledge Studio 具有 Knowledge Studio 的 公用和专用网络端点
IBM Watson Language Translator 公用和专用网络端点 与 Language Translator
IBM Watson Natural Language Understanding 公用和专用网络端点 与 Natural Language Understanding
IBM Watson Machine Learning 公用和专用网络端点 与 Machine Learning
IBM Watson Speech to Text 公用和专用网络端点,带有 Speech to Text
IBM Watson Text to Speech 公用和专用网络端点,带有 Text to Speech