IBM Cloud Docs
VRF (Virtual Routing and Forwarding) su IBM Cloud

VRF (Virtual Routing and Forwarding) su IBM Cloud

Per definizione, il VRF (virtual routing and forwarding) è una tecnologia inclusa nei router di rete IP. Viene fornito come un servizio di backbone intrinseco.

Opzioni di connettività per IBM Cloud

Le risorse cloud disperse sono risorse in più di un'ubicazione o in più di una sottorete o VLAN. Questi tipi di risorse richiedono una funzione di instradamento per comunicare tra loro, anche all'interno di un contesto di rete privata. Questo documento descrive un'opzione di comunicazione tenancy "isolamento multiplo", che è spesso denominata VRF cliente. È implementata come una VPN di livello 3 MPLS (RFC 4364) nel backbone IBM Cloud® globale.

In generale, la piattaforma IBM Cloud offre due opzioni per l'instradamento attraverso la nostra rete privata, fornendo connettività tra pod e data center:

  1. Isolamento multiplo: una rete logica dedicata per tenant, che non consente l'interazione con altre reti logiche dei tenant.

  2. Tenancy condivisa: una rete logica comune, condivisa da tutti i tenant che utilizzano questo modello, con separazione fornita da ACL (Access Control List) automatizzati e abilitata con lo spanning della VLAN. Questa opzione non è descritta in questo documento.

Il termine "VRF cliente" viene utilizzato per descrivere la connettività di rete a isolamento multiplo.

Panoramica di VRF: tecnologia di isolamento multiplo

VRF consente a più istanze di una tabella di instradamento di esistere in un router e di funzionare simultaneamente. Con VRF, la rete VRF di ciascun tenant cloud è segmentata all'interno della sua tabella di instradamento. Questa segmentazione consente sovrapposizioni di indirizzi IP e non crea alcuna interazione o interferenza con altri VRF tenant. IBM Cloud utilizza una grande maggioranza della rete 10.0.0.0/8, che potrebbe sovrapporsi a molte reti remote, ad esempio le reti distribuite nei data center dei clienti.

Utilizzando VRF, i tenant IBM Cloud sono autorizzati a utilizzare indirizzi IP remoti che normalmente non potrebbero sovrapporsi nella tabella globale. IBM riserva ancora i seguenti RFC 1918, indirizzi locali di collegamento e indirizzi multicast, che non sono instradabili da questo servizio VRF:

  • 10.0.0.0/14
  • 10.200.0.0/14
  • 10.198.0.0/15
  • 169.254.0.0/16
  • 224.0.0.0/4
  • 166.9.0.0/16 (utilizzato dal servizio endpoint privato)
  • Qualsiasi intervallo IP assegnato alle tue VLAN sulla piattaforma IBM.

IBM sta procedendo con una distribuzione cloud di prossima generazione per abilitare il VPC (Virtual Private Cloud) nelle nostre zone di disponibilità (AZ). Questa nuova funzionalità del VPC abilita BYoIP (Bring-Your-Own-IP) nelle AZ abilitate per VPC, che si trovano a Dallas, Washington DC, Londra, Francoforte, Tokyo e Sydney.

Ad esempio, ciascun tenant sul backbone che utilizza VRF può avere un solo VRF cliente per ogni Direct Link, che fornisce la connettività tra tutti i server del tenant, indipendentemente dall'ubicazione. Tuttavia, un tenant IBM Cloud potrebbe avere più di un account Direct Link che viene inserito in un singolo router di connessione trasversale.

  • I server di un tenant in qualsiasi VLAN, pod e data center in tutto il mondo possono raggiungere tutti gli altri server di quel tenant a livello globale.
  • Il VRF cliente di ogni tenant è connesso alla rete comune di servizi condivisi per fornire raggiungibilità privata a quei server per utilizzare DNS, archiviazione condivisa, monitoraggio, applicazione di patch e altro.
  • Il VRF cliente è un servizio di connettività che fornisce l'isolamento tra i tenant. Il provisioning di eventuali controlli aggiuntivi necessari all'interno di una tenancy deve essere eseguito separatamente utilizzando un gateway, gruppi di sicurezza o controlli basati su host.

Vantaggi del passaggio a un VRF

Il passaggio a VRF include i seguenti vantaggi principali:

  • Tecnologie di separazione a isolamento multiplo collaudate e ampiamente accettate dal settore. Molti clienti cloud trovano l'approccio VPN di livello 3 più appetibile degli ACL per i loro revisori e responsabili della conformità.
  • I clienti di IBM Cloud possono estendere o migrare in modo significativo la portata della propria rete, grazie all'aggiunta di nuovi siti o applicazioni in tutta la rete IBM.
  • Le tabelle di instradamento specifiche del tenant restringono l'apertura per la sovrapposizione dell'indirizzo IP, senza il rischio di sovrapposizione con altre sottoreti dei tenant o altre parti della rete che non sono applicabili.

Rispetto al vecchio modello ACL, ci sono alcuni compromessi minori da tenere in considerazione:

  • La conversione a un VRF cliente richiede una finestra di manutenzione, che causa una breve interruzione dei flussi del traffico di backbone.
  • L'accesso remoto utilizzando i servizi VPN gestiti (SSL, IPsec) è limitato alla sola VPN SSL in un data center; tuttavia, l'ACL condiviso sul backbone consente l'accesso globale da qualsiasi punto di ingresso da entrambi i servizi.
  • Lo spanning della VLAN è una funzione del modello di tenancy condivisa e non è disponibile in una VRF; ciò verrà disabilitato alla conversione al VRF cliente.
  • Il servizio gestito IPsec VPN sull'infrastruttura IBM Cloud classic non è disponibile.

Molti clienti IBM Cloud attualmente utilizzano un modello di tenancy condivisa sulla rete IBM Cloud. Durante la conversione, la tua tenancy condivisa viene convertita per utilizzare un VRF cliente, più comunemente con una nuova sottoscrizione Direct Link.

Per informazioni specifiche su come avviare una conversione VRF per il proprio account, fare riferimento alle istruzioni di conversione per la propria offerta IBM Cloud (ad esempio, istruzioni di conversione degli endpoint del servizioIBM Cloud).