Configuration de la connectivité VPN VPC
Ces informations VPN sont spécifiques aux clusters VPC. Pour obtenir des informations VPN concernant les clusters classiques, voir Configuration de la connectivité VPN.
Connectez de manière sécurisée les applications et les services d'un cluster VPC dans IBM Cloud® Kubernetes Service à des réseaux sur site, à d'autres VPC et à des ressources d'infrastructure classique IBM Cloud. Vous pouvez également connecter des applications externes au cluster à une application qui s'exécute au sein de votre cluster.
Le tableau ci-après compare les options de connexion dont vous disposez en fonction du type de destination auquel vous souhaitez connecter votre cluster VPC.
| Destination | Réseau privé virtuel IBM Cloud VPC | Transit Gateway | Direct Link | VPC à accès classique |
|---|---|---|---|---|
| Réseaux sur site | Oui | Oui | ||
| Autres VPC | Oui | Oui | ||
| Ressources d'infrastructure classique | Oui | Oui |
Communication avec des ressources dans des centres de données sur site
Pour connecter votre cluster à votre centre de données sur site, vous pouvez configurer le VPN IBM Cloud® Virtual Private Cloud ou bien IBM Cloud® Direct Link.
Des conflits de sous-réseau peuvent se produire avec la plage 172.30.0.0/16 fournie par défaut par IBM pour les pods et la plage 172.21.0.0/16 pour les services. Vous pouvez éviter les conflits de sous-réseau lorsque vous créez un cluster à partir du CLI en spécifiant un sous-réseau CIDR personnalisé pour les pods dans l'option --pod-subnet et un sous-réseau CIDR personnalisé pour les services dans l'option --service-subnet.
Si votre solution VPN conserve les adresses IP source des demandes, vous pouvez créer des routes statiques personnalisées pour vous assurer que vos noeuds worker peuvent acheminer des réponses depuis votre cluster vers votre réseau sur site.
Les plages de sous-réseaux 172.16.0.0/16, 172.18.0.0/16, 172.19.0.0/16 et 172.20.0.0/16 sont interdites car elles sont réservées pour la fonctionnalité de plan de contrôle IBM Cloud Kubernetes
Service.
Réseau privé virtuel IBM Cloud VPC
Grâce au service VPN IBM Cloud VPC , vous pouvez connecter l'ensemble d'un VPC à un centre de données sur site. Cette option vous permet de rester en environnement natif VPC dans votre configuration de connexion VPN. Pour commencer :
- Configurez une passerelle VPN sur site.
- Créez une passerelle VPN dans votre VPC, et créez la connexion entre la passerelle VPN VPC et votre passerelle VPN locale. Si vous disposez d'un cluster multizone, vous devez créer une passerelle VPC sur un sous-réseau dans chaque zone comportant des noeuds worker.
Direct Link
Avec Direct Link, vous pouvez créer une connexion directe et privée entre vos environnements de réseau distants et IBM Cloud Kubernetes Service sans routage sur Internet public. IBM Cloud Direct Link (2.0) est configuré pour l'intégration native avec le VPC. Tous les clusters que vous créez dans le VPC peuvent accéder à la connexion Direct Link.
Pour commencer, voir Commande de IBM Cloud Direct Link Dedicated. A l'étape 8, vous pouvez créer une connexion réseau au VPC qui doit être connecté à la passerelle Direct Link.
Communication avec des ressources dans d'autres VPC
Pour connecter l'ensemble d'un VPC à un autre VPC dans votre compte, vous pouvez utiliser le VPN IBM Cloud VPC ou bien IBM Cloud® Transit Gateway.
Réseau privé virtuel IBM Cloud VPC
Créez une passerelle VPC sur un sous-réseau dans chaque VPC et créez une connexion VPN entre les deux passerelles VPC. Par exemple, vous pouvez connecter les sous-réseaux d'un VPC dans une région aux sous-réseaux d'un VPC dans une autre région via une connexion VPN. Pour commencer, suivez les étapes décrites dans la rubrique Connexion de deux VPC en utilisant un VPN. Notez que si vous utilisez des listes de contrôle d'accès (ACL) pour vos sous-réseaux VPC, vous devez créer des règles entrantes ou sortantes pour permettre à vos noeuds worker de communiquer avec les sous-réseaux dans d'autres VPC.
IBM Cloud Transit Gateway
Utilisez IBM Cloud Transit Gateway pour gérer l'accès entre vos VPC. Les instances Transit Gateway peuvent être configurées pour passer d'un VPC à l'autre qui se trouvent dans la même région (le routage local) ou les VPC qui se trouvent dans différentes régions (routage global). Pour commencer, voir la documentation Transit Gateway.
Communication avec des ressources classiques IBM Cloud
Si vous devez connecter votre cluster à des ressources qui se trouvent dans votre infrastructure classique IBM Cloud, vous pouvez configurer un VPC avec un accès classique ou utiliser IBM Cloud Transit Gateway.
Création d'un VPC à accès classique
Si vous prévoyez de connecter un seul VPC à une infrastructure classique, vous pouvez configurer un VPC à accès classique. Chaque instance de serveur virtuel ou chaque serveur bare metal sans interface publique sur votre infrastructure classique dans votre compte peut envoyer et recevoir des paquets vers et depuis des instances du VPC.
Avant de connecter un VPC à un compte d'infrastructure classique, notez les limitations et exigences suivantes :
- Vous devez activer le VPC pour l'accès classique lorsque vous le créez. Vous ne pouvez pas convertir un VPC existant pour utiliser un accès classique.
- Vous pouvez configurer un accès à une infrastructure classique pour un seul VPC par région. Vous ne pouvez pas configurer plus d'un VPC avec un accès classique aux infrastructures dans une région.
- Une fonction de routeur virtuel (VRF) est requise dans votre compte IBM Cloud.
Pour commencer, voir Configuration de l'accès à l'infrastructure classique.
Utilisez IBM Cloud Transit Gateway
Si vous prévoyez de connecter plusieurs VPC à une infrastructure classique, vous pouvez utiliser IBM Cloud Transit Gateway pour gérer l'accès entre vos VPC situés dans plusieurs régions et des ressources qui se trouvent dans votre infrastructure classique IBM Cloud. Pour commencer, voir la documentation Transit Gateway.