IBM Cloud Docs
Roteamento virtual e encaminhamento no IBM Cloud

Roteamento virtual e encaminhamento no IBM Cloud

Por definição, o virtual routing and forwarding (VRF) é uma tecnologia que está incluída em roteadores de rede de IP. Ele é entregue como um serviço backbone inerente.

Opções de conectividade para o IBM Cloud

Recursos de nuvem dispersos são recursos em mais de uma localização ou em mais de uma sub-rede ou VLAN. Esses tipos de recursos requerem uma função de roteamento para se comunicar entre si, mesmo dentro de um contexto de rede privada. Este documento descreve uma opção de comunicação de ocupação de "isolamento múltiplo", que muitas vezes é chamada de VRF de cliente. Ele é implementado como uma VPN MPLS de Camada 3 (RFC 4364) ao longo do backbone global do IBM Cloud®.

Em geral, a plataforma IBM Cloud oferece duas opções para roteamento em nossa rede privada, fornecendo conectividade entre os pods e os data centers:

  1. Múltiplo isolamento: uma rede lógica dedicada por locatário, que não permite interação com as redes lógicas de outros locatários.

  2. Ocupação compartilhada: uma rede lógica comum, que é compartilhada por todos os locatários que usam esse modelo, com separação fornecida pelas listas de controle de acesso (ACLs) automatizadas e ativadas com a ampliação de VLAN. Essa opção não é descrita neste documento.

O termo "cliente VRF" é usado para descrever a conectividade de rede de isolamento múltiplo.

Visão geral do VRF: tecnologia de isolamento múltiplo

O VRF permite que múltiplas instâncias de uma tabela de roteamento existam em um roteador e trabalhem simultaneamente. Com o VRF, a rede do VRF de cada locatário de nuvem é segmentada em sua tabela de roteamento. Essa segmentação permite sobreposições de endereço IP e não cria nenhuma interação ou interferência com outros VRFs locatários. O IBM Cloud usa uma grande maioria da rede 10.0.0.0/8, que pode se sobrepor a muitas redes remotas, por exemplo, redes implementadas em datacenters do cliente.

Ao usar o VRF, os locatários do IBM Cloud têm permissão para usar endereços IP remotos que normalmente não teriam permissão de sobreposição na tabela Global. A IBM ainda reserva o RFC 1918, os endereços locais de link e os endereços multicast a seguir, que não são roteáveis por meio desse serviço VRF:

  • 10.0.0.0/14
  • 10.200.0.0/14
  • 10.198.0.0/15
  • 169.254.0.0/16
  • 224.0.0.0/4
  • 166.9.0.0/16 (usado pelo serviço de terminal privado)
  • Quaisquer intervalos de IP designados às suas VLANs na plataforma IBM.

A IBM está avançando com uma implementação de nuvem de próxima geração para ativar o Virtual Private Cloud (VPC) em nossas zonas de disponibilidade (AZs). Esse novo recurso do VPC permite a Bring-Your-Own-IP (BYoIP) nas AZs ativadas para VPC, que estão localizadas em Dallas, Washington DC, Londres, Frankfurt, Tóquio e Sydney.

Por exemplo, cada locatário no backbone que usa VRF pode ter apenas um VRF de cliente por Direct Link, que fornece conectividade entre todos os servidores do locatário, independentemente da localização. No entanto, um locatário do IBM Cloud pode ter mais de uma conta do Direct Link que alimenta um único roteador de conexão cruzada.

  • Os servidores de um locatário em qualquer VLAN, em qualquer pod, em qualquer data center no mundo podem atingir todos os outros servidores do locatário globalmente.
  • O VRF do cliente de cada locatário está conectado à rede comum de serviços compartilhados para fornecer alcance privado para aqueles servidores usarem DNS, armazenamento compartilhado, monitoramento, correção e muito mais.
  • O VRF do cliente é um serviço de conectividade que fornece isolamento entre os locatários. Qualquer controle adicional que seja necessário dentro de uma ocupação deve ser provisionado separadamente usando um gateway, grupos de segurança ou controles baseados em host.

Benefícios da mudança para o VRF

A movimentação para o VRF inclui os benefícios primários a seguir:

  • Múltiplas tecnologias de separação de isolamento comprovadas pelo mercado e amplamente aceitas. Muitos clientes de nuvem acham a abordagem da VPN de Nível 3 mais palatável do que as ACLs para seus auditores e executivos de conformidade.
  • Os clientes do IBM Cloud podem ampliar ou migrar o alcance de sua rede significativamente devido à inclusão de novos sites ou aplicativos em toda a rede IBM.
  • As tabelas de roteamento específicas do locatário limitam a abertura para a sobreposição de endereço IP, sem o risco de sobreposição pelas sub-redes de outros locatários ou outras partes da rede que não são aplicáveis.

Em comparação com o modelo de ACL mais antigo, há algumas pequenas compensações a serem consideradas:

  • Converter-se para um VRF de cliente requer uma janela de manutenção, o que causa uma breve interrupção dos fluxos de tráfego de backbone.
  • O acesso remoto usando os serviços de VPN gerenciados (SSL, IPsec) é limitado a apenas a VPN SSL em um data center. No entanto, a ACL compartilhada sobre o backbone permite acesso global de qualquer ponto de entrada de qualquer serviço.
  • A ampliação de VLAN é um recurso do modelo de ocupação compartilhado e não está disponível em um VRF; isso será desativado mediante conversão para o VRF do cliente.
  • O serviço gerenciado VPN IPSec no acesso remoto da infraestrutura clássica da IBM Cloud não está disponível.

Atualmente, muitos clientes do IBM Cloud operam com um modelo de ocupação compartilhada na rede do IBM Cloud. Durante a conversão, sua ocupação compartilhada é convertida para usar um VRF de cliente, mais comumente com uma nova assinatura do Direct Link.

Para obter informações específicas sobre como iniciar uma conversão de VRF para sua conta, consulte as instruções de conversão para sua oferta IBM Cloud (por exemplo, IBM Cloud service endpoints conversion instructions).