Konnektivitätsoptionen für IBM Cloud

Verteilte Cloudressourcen sind Ressourcen, die auf mehrere Standorte oder auf mehrere Teilnetze bzw. VLANs verteilt sind. Für diese Typen von Ressourcen ist eine Weiterleitungsfunktion erforderlich, damit sie untereinander kommunizieren können; dies ist sogar innerhalb eines privaten Netzes nötig. In diesem Dokument wird eine Tenantkommunikationsoption für mehrfache Isolierung (Multiple Isolation) beschrieben, die auch oft als 'Kunden-VRF' bezeichnet wird. Sie wird als MPLS-Layer-3-VPN (RFC 4364) für den globalen IBM Cloud®-Backbone implementiert.

Im Allgemeinen bietet die IBM Cloud-Plattform zwei Optionen für die Routenwahl für das private Netz und stellt Konnektivität für Pods und Rechenzentren bereit:

1. Mehrfache Isolierung: Ein dediziertes logisches Netz pro Tenant, das keine Interaktion mit den logischen Netzen anderer Tenants zulässt.

2. Gemeinsam genutzter Tenant: Ein einheitliches logisches Netz, das von allen Tenants gemeinsam genutzt wird, die dieses Modell verwenden; für die Trennung werden hierbei automatisierte Zugriffssteuerungslisten (ACLs) verwendet und das VLAN-Spanning ist aktiviert. Diese Option wird in diesem Dokument nicht beschrieben.

Der Begriff "Kunden-VRF" wird verwendet, um Netzkonnektivität mit mehrfacher Isolierung zu beschreiben.

VRF-Übersicht: Technologie für mehrfache Isolierung

Mit VRF können mehrere Instanzen einer Routing-Tabelle in einem Router vorhanden sein und gleichzeitig ausgeführt werden. Mit VRF wird das VRF-Netz jedes Cloud-Tenants innerhalb der Routing-Tabelle segmentiert. Diese Segmentierung ermöglicht IP-Adressüberschneidungen und führt zu keiner Interaktion oder Interferenz mit anderen Tenant-VRFs. IBM Cloud verwendet eine großen Teil des 10.0.0.0/8-Netzes, das sich mit vielen fernen Netzen überschneiden kann, z. B. mit Netzen, die in Kundenrechenzentren bereitgestellt werden.

Bei Verwendung von VRF können IBM Cloud-Tenants ferne IP-Adressen verwenden, für die normalerweise keine Überschneidung in der globalen Tabelle zulässig wäre. Von IBM werden trotzdem die folgenden Link-Local-Adressen und Multicastadressen des Typs RFC 1918 reserviert, für die von diesem VRF-Service kein Routing möglich ist:

• 10.0.0.0/14
• 10.200.0.0/14
• 10.198.0.0/15
• 169.254.0.0/16
• 224.0.0.0/4
• 166.9.0.0/16 (vom privaten Endpunktservice verwendet)
• Alle IP-Bereiche, die Ihren VLANs auf der IBM Plattform zugeordnet sind.

IBM arbeitet an der Bereitstellung einer Cloud der nächsten Generation, um Virtual Private Cloud (VPC) in unseren Verfügbarkeitszonen (Availability Zones, AZs) zu ermöglichen. Diese neue VPC-Funktion ermöglicht BYoIP (Bring-Your-Own-IP) in den VPC-fähigen Verfügbarkeitszonen, die sich in Dallas, Washington DC, London, Frankfurt, Tokio und Sydney befinden.

Beispiel: Jeder Tenant mit Zugang zum Backbone, der VRF verwendet, kann über nur eine Instanz von 'Kunden-VRF' pro Direct Link verfügen; dies ermöglicht Verbindungen zwischen allen Servern des Tenants unabhängig vom Standort. Ein IBM Cloud-Tenant kann jedoch über mehrere Direct Link-Konten verfügen, die über einen einzigen Router für Querverbindungen verwendet werden können.

• Von den Servern eines Tenants in einem beliebigen VLAN, in einem beliebigen Pod und einem beliebigen weltweiten Rechenzentrum können alle anderen Server des Tenants auf der Welt erreicht werden.
• Jede Instanz von 'Kunden-VRF' eines Tenants ist mit den gängigen gemeinsam genutzten Servicenetzen verbunden, um eine private Erreichbarkeit für diese Server bereitzustellen, damit DNS, gemeinsamer Speicher, Überwachungen, Programmkorrekturen usw. verwendet werden können.
• Bei 'Kunden-VRF' handelt es sich um einen Verbindungsservice, von dem eine Isolierung zwischen den Tenants bereitgestellt wird. Alle weiteren Steuerungen, die für einen Tenant erforderlich sind, müssen separat mithilfe von Gateways, Sicherheitsgruppen oder hostbasierten Steuerungen bereitgestellt werden.

Vorteile des Wechsels zu VRF

Der Wechsel zu VRF hat die folgenden wichtigsten Vorteile:

• In der Branche bewährte und allgemein anerkannte Trennungsverfahren für mehrfache Isolierung. Für die Auditoren und Compliance-Manager vieler Cloudkunden ist der Ansatz eines Level-3-VPNs überzeugender als Zugriffssteuerungslisten.
• IBM Cloud-Kunden können die Reichweite ihres Netzes erheblich erweitern oder verlagern, da im gesamten IBM Netz zusätzliche neue Standorte oder Anwendungen bereitgestellt werden.
• Tenantspezifische Routing-Tabellen reduzieren die Möglichkeit von IP-Adressüberschneidungen, ohne das Risiko einer Überschneidung mit Teilnetzen anderer Tenants oder anderen Teilen des Netzes, die nicht anwendbar sind.

Verglichen mit dem älteren ACL-Modell müssen Sie sich auf ein paar kleinere Kompromisse einlassen:

• Für den Wechsel zu 'Kunden-VRF' ist ein Wartungsfenster erforderlich, was eine kurze Unterbrechung der Datenübertragung auf dem Backbone mit sich bringt.
• Der Fernzugriff über die verwalteten VPN-Services (SSL, IPsec) ist nur auf SSL-VPN in einem Rechenzentrum beschränkt; die gemeinsam genutzte ACL über den Backbone ermöglicht jedoch den globalen Zugriff von jedem beliebigen Eingangspunkt und von jedem Service aus.
• VLAN-Spanning ist ein Feature des gemeinsam genutzten Tenant-Modells und ist bei VRF nicht verfügbar. Dies wird bei der Konvertierung auf Kunden-VRF inaktiviert.
• Der verwaltete IPsec-VPN-Service beim Fernzugriff bei der klassischen IBM Cloud-Infrastruktur ist nicht verfügbar.

Viele IBM Cloud-Kunden arbeiten derzeit mit einem gemeinsam genutzten Tenant-Modell im IBM Cloud-Netz. Während der Konvertierung wird der Wechsel Ihres gemeinsam genutzten Tenants zur Verwendung des Service 'Kunden-VRF' vollzogen; dies ist meistens mit einem neuen Direct Link-Abonnement verbunden.

Spezifische Informationen darüber, wie Sie eine VRF-Konvertierung für Ihr Konto initiieren, finden Sie in den Konvertierungsanweisungen für Ihr IBM Cloud (z. B. IBM Cloud service endpoints conversion instructions).