使用服务端点以专用方式连接到 CIS
为帮助确保您在使用IBM Cloud® Internet Services 时增强对配置的控制和安全性,您可以使用专用路由连接IBM Cloud®服务端点。 专用路由无法通过互联网访问。 通过 IBM Cloud 专用服务端点功能,您可以保护您的配置免受来自公共网络的威胁,并逻辑上扩展您的专用网络。
使用 CIS 专用端点时,可以访问公共网络上的任何 DNS 记录或全局负载平衡器。
准备工作
首先,为您的基础设施账户启用 虚拟路由和转发(VRF)以及服务终端。 为您的账户启用VRF后,您可以通过仅可通过 IBM Cloud 专用网络访问的专用IP连接到 CIS。
如需了解有关私人连接的更多信息,请发送电子邮件至 IBM Cloud,查看 私人连接的服务端点。
为 CIS 设置服务端点
这些服务端点仅用于使用 API 或 CLI(控制平面)管理实例的配置。 使用 IBM Cloud私有服务端点功能不会影响数据平面,公共端点仍然可用。 有关控制平面和数据平面的信息,请参阅 了解 CIS 体系结构和工作负载隔离。
以专用端点为目标
在将 CIS的专用端点作为目标之前:
-
确保您的 IBM Cloud 基础设施帐户已启用 虚拟路由和转发(VRF)。
在启用 VRF 时,将针对帐户创建单独的路由表,并且在 IBM Cloud 网络上单独路由与帐户资源之间的连接。 如需了解有关VRF技术的更多信息,请访问 IBM Cloud,查看虚拟路由和转发。
启用VRF会永久改变您账户的网络设置。 请确保了解对帐户和资源的影响。 启用 VRF后,无法将其关闭。
-
确保您的 IBM Cloud 基础设施帐户已为 服务端点启用。
为您的账户启用VRF和服务终端后,所有现有和未来的 CIS 资源和实例都可以通过公共和私有终端访问。
使用 CLI
步骤 1. 在虚拟服务器上配置 IBM Cloud 专用网络
通过为 IBM Cloud 专用网络配置路由表,准备好虚拟服务器实例或测试服务器。
-
要将流量路由到 IBM Cloud 专用网络,请在您的虚拟服务器实例上运行以下命令:
route add -net 166.9.0.0/16 gw <gateway> dev <gateway_interface>将
<gateway>(例如10.x.x.x)和<gateway_interface>(例如eth10)替换为相应的值。 -
可选:通过显示新的路由表来验证路径是否已成功添加。
route -n
步骤 2. 将 CIS 专用端点作为目标
配置虚拟服务器实例以接受 IBM Cloud 专用网络流量后,可以将专用端点作为目标 CIS (通过使用 CIS API 或 CIS CLI 插件)。
-
登录到 IBM Cloud 控制台。
ibmcloud login如果登录失败,请运行
ibmcloud login --sso命令重试。 使用联合标识登录时需要--sso参数。 如果您使用此 选项,请访问CLI输出中列出的链接,生成一次性密码。 -
可选:确保您的帐户已启用VRF和服务终端。
ibmcloud account show以下 CLI 输出显示了启用 VRF 和服务端点的帐户的帐户详细信息。
Retrieving account John Doe's Account of john.doe@email.com... OK Account ID: d154dfbd0bc2edefthyufffc9b5ca318 Currently Targeted Account: true Linked Softlayer Account: 1008967 VRF Enabled: true Service Endpoint Enabled: true要了解如何设置帐户以连接到专用网络,请参阅 启用 VRF 和服务端点。
步骤 3. 在专用网络上创建 CIS 资源
使用 CIS CLI 插件 来测试专用网络连接。
-
登录 CIS 专用端点实例。
ibmcloud login -a private.cloud.ibm.com
使用 API
使用服务端点在 URL 中的FQDN api.private.cis.cloud.ibm.com 来访问服务,如下例所示。
curl https://api.private.cis.cloud.ibm.com/v1/:crn/zones -H 'content-type: application/json' -H 'accept: application/json' -H 'x-auth-user-token: Bearer xxxxxx'