Options de connectivité pour IBM Cloud

Les ressources de cloud dispersées sont des ressources réparties sur plusieurs sites, ou sur plusieurs sous-réseaux ou réseaux locaux virtuels. Ces types de ressources nécessitent une fonction de routage pour communiquer entre elles, même dans un contexte de réseau privé. Ce document décrit l'option de communication de la location à "isolement multiple", souvent appelée VRF client. Elle est implémentée en tant que VPN MPLS de couche 3 (RFC 4364) sur le réseau principal IBM Cloud® global.

En général, la plateforme IBM Cloud offre deux options de routage sur le réseau privé, fournissant une connectivité entre les pods et les centres de données :

1. Isolement multiple : un réseau logique dédié par locataire qui ne permet aucune interaction avec les réseaux logiques des autres locataires.

2. Location partagée : un réseau logique commun, partagé par tous les locataires qui utilisent ce modèle, avec une séparation fournie par des listes de contrôle d'accès automatisées, et activé avec le spanning VLAN. Cette option n'est pas décrite dans ce document.

Le terme "client VRF" est utilisé pour décrire la connectivité du réseau Isolement multiple.

Vue d'ensemble du service VRF : technologie à isolement multiple

VRF permet à plusieurs instances d'une table de routage d'exister dans un routeur et de fonctionner simultanément. Avec le service VRF, le réseau VRF de chaque locataire de cloud est segmenté au sein de sa table de routage. Cette segmentation permet des chevauchements d'adresses IP et ne crée pas d'interaction ou d'interférence avec d'autres VRFs de locataire. IBM Cloud utilise une grande majorité du réseau,10.0.0.0/8 qui peut se chevaucher avec de nombreux réseaux distants, par exemple les réseaux déployés dans les centres de données clients.

En utilisant VRF, les locataires IBM Cloud sont autorisés à utiliser des adresses IP distantes qui, normalement, ne se chevauchent pas dans la table globale. IBM réserve néanmoins les adresses lien-local suivantes définies par la RFC 1918 et les adresses de multidiffusion qui ne peuvent pas être routées à partir de ce service VRF.

• 10.0.0.0/14
• 10.200.0.0/14
• 10.198.0.0/15
• 169.254.0.0/16
• 224.0.0.0/4
• 166.9.0.0/16 (utilisé par le service de noeud final privé)
• Toutes les plages d'adresses IP affectées à vos réseaux locaux virtuels sur la plateforme IBM.

IBM se lance dans le déploiement d'une nouvelle génération de cloud pour activer le cloud privé virtuel dans les zones de disponibilité. Cette nouvelle fonctionnalité du cloud privé virtuel active la fonction BYoIP (Bring-Your-Own-IP) dans les zones de disponibilité équipées d'un cloud privé virtuel, situées à Dallas, Washington DC, Londres, Francfort et Sydney.

Ainsi, chaque locataire du réseau principal qui utilise VRF ne peut avoir qu'un seul VRF client par Direct Link, ce qui assure la connectivité entre tous les serveurs du locataire, quel que soit leur emplacement. Toutefois, un locataire IBM Cloud peut avoir plus d'un compte Direct Link qui alimente un seul routeur à connexion croisée.

• Les serveurs d'un locataire se trouvant dans un réseau local virtuel, un pod ou un centre de données, quelque part dans le monde, peuvent atteindre globalement tous les autres serveurs de ce locataire dans le monde entier.
• Le service VRF client de chaque locataire est connecté au réseau commun de services partagés afin de permettre une accessibilité privée à ces serveurs pour utiliser le DNS, le stockage partagé, la surveillance, les correctifs, etc.
• VRF client est un service de connectivité qui permet d'isoler les locataires. Tous les contrôles supplémentaires nécessaires dans une location doivent être fournis séparément, en utilisant une passerelle, des groupes de sécurité ou des contrôles basés sur l'hôte.

Avantages du passage à VRF

Le passage à VRF inclut les avantages principaux suivants :

• Technologies de séparation à isolation multiple reconnu par l'industrie et largement accepté. De nombreux clients de cloud trouvent l'approche VPN de niveau 3 plus acceptable que les listes de contrôle d'accès pour leurs auditeurs et les responsables de la conformité.
• Les clients IBM Cloud peuvent étendre ou migrer la portée de leur réseau de manière significative, grâce à l'ajout de nouveaux sites ou applications sur l'ensemble du réseau IBM.
• Les tables de routage spécifiques aux locataires réduisent l'ouverture pour le chevauchement des adresses IP, sans risque de chevauchement avec les sous-réseaux des autres locataires ou d'autres parties du réseau qui ne sont pas applicables.

Comparé au modèle précédent de liste de contrôle d'accès, il y a quelques compromis mineurs à prendre en compte :

• La conversion au service VRF client nécessite une fenêtre de maintenance, ce qui provoque une brève interruption des flux de trafic sur le réseau principal.
• L'accès à distance via des services VPN gérés (SSL, IPsec) est limité au seul VPN SSL vers un centre de données alors qu'une liste de contrôle d'accès partagée sur le réseau principal permet un accès global depuis tous les points d'entrée de l'un ou l'autre des services.
• Le spanning VLAN est une fonctionnalité du modèle de location partagée et n'est pas disponible dans un VRF ; cette option sera désactivée lors de la conversion au VRF client.
• Le service géré VPN IPsec sur l'accès à distance de l'infrastructure classique IBM Cloud n'est pas disponible.

De nombreux clients IBM Cloud utilisent actuellement un modèle de location partagée sur le réseau IBM Cloud. Pendant la conversion, votre location partagée est convertie pour utiliser un VRF client, le plus souvent avec un nouvel abonnement Direct Link.

Pour obtenir des informations spécifiques sur la manière d'initier une conversion VRF pour votre compte, reportez-vous aux instructions de conversion de votre offre IBM Cloud (par exemple, les instructions de conversion des terminaux de serviceIBM Cloud