启用 VRF 和服务端点
使用经典基础架构时,缺省情况下通过 IBM Cloud® 公用网络连接到帐户中的资源。 您可以启用虚拟路由和转发 (VRF) 以将帐户的 IP 路由及其所有资源移至单独的路由表中。 如果启用 VRF,那么可启用 IBM Cloud 服务端点以直接连接至资源,而不使用公用网络。
虚拟私有云 (VPC) 自动启用虚拟路由和转发 (VRF)。 要为 VPC 启用服务端点,请继续 启用服务端点。
缺省情况下,在 2023 年 11 月 30 日之前建立的经典帐户包含在 IBM Cloud 常规路由表中。 先前,如果要将经典帐户转换为 VRF 样式的帐户,那么需要使用 IBM® 支持人员来打开支持案例。 从 2023 年 11 月 30 日开始,任何新的经典帐户或任何“空”的现有经典帐户 (例如,没有任何供应的 VLAN) 将在该帐户下次启动专用网络连接时自动转换为 VRF 样式的帐户。 更多信息,请参阅 关于VRF账户迁移的常见问题解答。
准备工作
在开始之前,请确保您符合以下标准:
- 您需要可计费帐户以启用虚拟路由和转发以及 IBM Cloud 服务端点。
- 您必须有权访问帐户中的 IBM Cloud 基础结构。 转至 导航菜单 图标
> 经典基础架构 以验证您是否具有访问权。
在控制台中启用 VRF
VRF 允许路由器中存在路由表的多个实例并且同时工作。 在启用 VRF 时,将针对帐户创建单独的路由表,并且在 IBM Cloud 网络上单独路由与帐户资源之间的连接。 VRF 在帐户级别启用,因此所有资源都受此联网更改的影响。 有关 VRF 技术及其对帐户网络路由的影响的更多信息,请参阅 IBM Cloud 上的虚拟路由和转发。
启用 VRF 会永久改变账户的联网。 请确保了解对帐户和资源的影响。 启用 VRF 后,无法禁用。
要启用 VRF:
- 在控制台中,转至管理 > 帐户,然后单击帐户设置。
- 转至 虚拟路由和转发,然后单击 开启。
对于大多数帐户,此操作会立即将专用网络转换为 VRF。 对于选择的几个帐户,可能需要与 IBM Cloud 支持进行协调。 要创建支持案例,请完成以下步骤:
-
单击创建案例。 您必须具有现收现付帐户或预订帐户。
-
在案例描述中,输入经典基础架构帐号。
-
单击提交按钮。
不要更改已填充的支持案例信息的其余部分。 这些信息是有针对性的,以确保尽快处理您的请求。
IBM Cloud 网络工程团队将联系案例所有者,为您安排将账户网络转换为 VRF 的时间。 转换过程中,由于包丢失,与帐户中资源的连接可能不稳定。 根据账户的复杂程度,转换大约需要 15-30 分钟。 如果帐户具有旧的 IBM Cloud® Direct Link 连接,那么可能需要更多时间。
将空帐户更改为 VRF 会在不中断的情况下修改未来资源的行为。 在迁移过程中,可能会在专用网络上的 现有 服务器之间发生短暂的间歇性连接丢失,这将在您方便的时间进行调度。
迁移不会对 VLAN 或子网的公用网络配置进行任何更改。 但是,如果您有任何 Web 或应用程序服务器提供基于专用网络连接的面向公共的服务,以访问数据库,应用程序或其他类型的服务器,请注意,面向公共的服务可能会中断。
VRF 与 IPSec VPN 服务不兼容,并将 SSL VPN 连接限制为该连接的数据中心内的资源。 或者,您可以购买 IBM Cloud® Direct Link 产品以管理服务器,或者运行您自己的 VPN 解决方案,可以使用不同类型的 VPN 进行配置。
启用服务端点
在帐户中启用 IBM Cloud 服务端点时,可以选择在创建资源时公开专用网络端点。 然后,可以直接通过 IBM Cloud 专用网络连接到此端点,而不是公用网络。 因为使用专用网络端点的资源没有可通过因特网路由的 IP 地址,因此与这些资源的连接更加安全。 有关更多信息,请参阅 使用服务端点安全访问服务。
必须先针对帐户启用 VRF,然后才能启用服务端点。 针对 VRF 自动启用虚拟私有云 (VPC)。
在控制台中启用服务端点
-
在控制台中,转至管理 > 帐户,然后单击帐户设置。
-
在服务端点部分,单击开。
如果无法单击“开”,则可能未为您的账户启用 VRF。 通过检查虚拟路由和转发部分来验证它是否已启用。
-
查看对帐户的影响,然后单击开启。
这一更改可能需要几分钟才能生效。
在 CLI 中启用服务端点
要通过 IBM Cloud CLI 启用服务端点,需要 V0.13 或更高版本。
-
检查是否已在帐户中启用服务端点。
ibmcloud account show
如果如以下示例中所示,
Service Endpoint Enabled
为false
,那么未启用服务端点。Retrieving account Mia Example's Account of m.example@example.com... OK Account ID: abc123d0bc2edefthyufffc9b5ca318 Currently Targeted Account: true Linked Softlayer Account: 0123456 Service Endpoint Enabled: false
-
通过运行以下命令来启用服务端点。
ibmcloud account update --service-endpoint-enable true
这一更改可能需要几分钟才能生效。 命令完成后,您可以再次运行
ibmcloud account show
命令以进行验证。如果未针对帐户启用 VRF,那么运行此命令将提示您创建案例以进行启用。 输入
y
以创建支持案例。 在帐户中启用 VRF 后,再次运行命令以启用帐户中的服务端点连接。Service Endpoint is not available in linked Softlayer Account 1008967. Enable VRF(Virtual Routing and Forwarding) first to proceed. Learn more about VRF here - https://cloud.ibm.com/docs/infrastructure/direct-link/vrf-on-ibm-cloud.html. Do you want to open a ticket to enable it?[y/N]> y Ticket 70729615 was opened successfully. Follow the link https://control.softlayer.com/support/tickets/70729876 to check the details and track the status of the ticket. You will be required to login to view this ticket. Account ID: 1008967 Ticket: Private Network Question
启用服务端点后,可以创建通过 IBM Cloud 专用网络连接的资源。 有关支持服务端点的服务的列表以及更多信息,请参阅 启用 VRF 和服务端点。
使用服务端点
启用 VRF 和服务端点帐户设置后,可以从目录创建支持服务端点的资源。 下表列出了支持使用服务端点的服务。
要查找每个服务的端点,请参阅特定服务的 API 文档的“端点 URL”部分。
服务 | 文档 |
---|---|
App Configuration | 区域和端点 |
Secrets Manager | 区域和端点 |
IBM Cloud Logs | 服务应用程序接口端点 |
Container Registry | Kubernetes Service 具有 仅专用服务端点 的集群通过使用 Container Registry 服务端点来拉取容器映像。 |
Continuous Delivery | 区域和端点 |
Databases for Elasticsearch | Databases for Elasticsearch 服务端点集成 |
Databases for etcd | Databases for etcd 服务端点集成 |
Databases for MongoDB | Databases for MongoDB 服务端点集成 |
Databases for PostgreSQL | Databases for PostgreSQL 服务端点集成 |
Databases for Redis | Databases for Redis 服务端点集成 |
IBM Db2 SaaS | 连接选项 |
IBM Db2 Warehouse SaaS | 连接到专用端点:IBM Cloud 服务端点 |
Event Notifications | 区域和端点 |
Event Streams | 使用企业套餐限制网络访问权 |
Hyper Protect Crypto Services | Hyper Protect Crypto Services 服务端点集成 |
Hyper Protect DBaaS for MongoDB | 保护与 Hyper Protect DBaaS for MongoDB |
Hyper Protect DBaaS for PostgreSQL | 保护与 Hyper Protect DBaaS for PostgreSQL |
IBM Cloudant | 适用于 2019 年 1 月 1 日后部署的所有专用硬件套餐 |
Key Protect | 在 Key Protect 专用网络上连接到 IBM Cloud |
KMIP for VMware on IBM Cloud | KMIP for VMware on IBM Cloud 文档 |
Kubernetes Service | Kubernetes Service 的公共和专用服务端点 |
Messages for RabbitMQ | Messages for RabbitMQ 服务端点集成 |
IBM Cloud Monitoring | IBM Cloud Monitoring 服务端点集成 |
Object Storage | Object Storage 端点和存储位置 |
Schematics | 使用专用端点 |
IBM Watson Annotator for Clinical Data | 公用和专用网络端点 与 Annotator for Clinical Data |
watsonx Assistant | 保护助手 与 watsonx Assistant |
IBM Watson Discovery | 公用和专用网络端点 与 Discovery |
IBM Watson Knowledge Studio | 具有 Knowledge Studio 的 公用和专用网络端点 |
IBM Watson Language Translator | 公用和专用网络端点 与 Language Translator |
IBM Watson Natural Language Understanding | 公用和专用网络端点 与 Natural Language Understanding |
IBM Watson Machine Learning | 公用和专用网络端点 与 Machine Learning |
IBM Watson Speech to Text | 公用和专用网络端点,带有 Speech to Text |
IBM Watson Text to Speech | 公用和专用网络端点,带有 Text to Speech |