IBM Cloud 的连接选项

分散的云资源是位于多个位置或者位于多个子网或 VLAN 的资源。 这些类型的资源需要路由功能才能相互通信，即使在专用网络环境中也是如此。 本文件介绍一种“多重隔离”租户通信选项，通常称为客户 VRF。 它在全局 IBM Cloud® 主干中实施为 MPLS 第 3 层 VPN (RFC 4364)。

一般而言，IBM Cloud 平台提供了在我们的专用网络中进行路由的两个选项，从而在 pod 和数据中心之间提供连接：

1. **多重隔离：**每个租户一个专用逻辑网络，不允许与其他租户的逻辑网络进行交互。

2. **共享租赁：**一种公共逻辑网络，由使用此模型的所有租户共享，通过自动访问控制表 (ACL) 进行分隔，并支持 VLAN 生成。 本文档中未描述此选项。

客户 VRF "一词用于描述_多重隔离_网络连接。

VRF 概述：多重隔离技术

VRF 允许路由器中存在路由表的多个实例并且同时工作。 通过 VRF，每个租户的 VRF 网络会在其路由表内分段。 此分段允许 IP 地址重叠，并且不会与其他租户 VRF 产生任何交互或干扰。IBM Cloud 使用大部分 10.0.0.0/8 网络，这可能与许多远程网络 (例如，部署在客户数据中心的网络) 重叠。

通过 VRF，允许 IBM Cloud 租户使用通用表中通常不允许重叠的远程 IP 地址。 IBM 仍保留了以下 RFC 1918、本地链路地址以及多点广播地址，这些地址无法使用此 VRF 服务进行路由：

• 10.0.0.0/14
• 10.200.0.0/14
• 10.198.0.0/15
• 169.254.0.0/16
• 224.0.0.0/4
• 166.9.0.0/16 (由专用端点服务使用)
• IBM 平台上分配给您的 VLAN 的任何 IP 范围。

IBM 正在推进新一代云部署，以在可用性专区 (AZ) 中启用虚拟私有云 (VPC)。 这个新的 VPC 功能支持在启用了 VPC 的 AZ 中使用“自带 IP”(BYoIP)，这些 AZ 位于达拉斯、华盛顿特区、伦敦、法兰克福、东京和悉尼。

例如，骨干网上使用 VRF 的每个租户每个Direct Link 只能有一个客户 VRF，它提供所有租户服务器之间的连接，而不受位置限制。 但是，一个 IBM Cloud 租户可能有多个 Direct Link 帐户，这些帐户为单个交叉连接路由器提供数据。

• 租户位于全球范围内的任何 VLAN、任何 pod 及任何数据中心的服务器可访问该租户在全球的所有其他服务器。
• 每个租户的客户 VRF 都连接到共用共享服务网络，为这些服务器提供专用可达性，以便使用 DNS、共享存储、监控、打补丁等功能。
• 客户 VRF 是在租户之间提供隔离的连接服务。 租赁中所需的任何其他控件必须使用网关、安全组或基于主机的控件单独供应。

移动到 VRF 的优点

移动到 VRF 包括以下主要优点：

• 经过行业验证并被广泛接受的_多重隔离分离技术_。 许多云客户发现他们的审计员和合规管理人员更青睐 3 级 VPN 方法（相比 ACL）。
• 由于整个 IBM 网络中添加的新站点或应用程序，IBM Cloud 客户可大幅扩展或迁移其网络可达到的范围。
• 特定于租户的路由表会减少 IP 地址重叠的可能性，而不会产生与不适用的其他租户子网或网络其他部分重叠的风险。

相较于更旧的 ACL 模型，有一些次要的权衡因素需要考虑：

• 转换为客户 VRF 需要维护时间，这会使主干流量短时间中断。
• 使用受管 VPN 服务（SSL 和 IPsec）的远程访问仅限于进入数据中心的 SSL VPN；但是，主干上的共享 ACL 允许通过任一服务从任何入口点进行全局访问。
• VLAN 生成是共享租户模型的功能部件，在 VRF 中不可用; 在转换为客户 VRF 时将禁用此功能。
• IBM Cloud 经典基础架构远程访问上的 IPsec VPN 受管服务不可用。

许多 IBM Cloud 客户当前在 IBM Cloud 网络上的共享租户模型中操作。 在转换过程中，您的共享租户将被转换为使用客户 VRF，最常见的是使用新的Direct Link订阅。

有关如何为您的帐户启动 VRF 转换的具体信息，请参阅IBM Cloud产品的转换说明（例如，IBM Cloud服务端点转换说明）。