IBM Cloud 的連線功能選項

分散雲端資源是位於多個位置或多個子網路或 VLAN 的資源。 這些類型的資源需要路由功能才能在它們之間進行通信，即使在專用網路上下文中也是如此。 本文檔描述了「多重隔離」租賃通訊選項，通常稱為客戶 VRF。 它實作為跨越全球 IBM Cloud® 骨幹的 MPLS 第 3 層 VPN (RFC 4364)。

一般而言，IBM Cloud 平台提供兩個選項以便在我們的專用網路之間遞送，並提供 Pod 及資料中心之間的連線功能：

1. **多重隔離：**每個承租戶一個專用的邏輯網路，這不允許與其他承租戶的邏輯網路有任何互動。

2. **共用租用：**一個共用的邏輯網路，由使用此模型的所有承租戶所共用，且具有自動化存取控制清單 (ACL) 所提供的分隔，以及 VLAN 跨距的功能。 本文件不說明這個選項。

術語“客戶 VRF”用於描述_多個隔離_網路連接。

VRF 概觀：多重隔離技術

VRF 容許遞送表的多個實例存在於路由器中，並同步運作。 使用 VRF，每個雲端承租戶的 VRF 網路都會在其遞送表之內分段。 此分段容許 IP 位址重疊，且不會與其他租戶 VRF 建立任何互動或干擾。IBM Cloud 使用大部分 10.0.0.0/8 網路，這可能與許多遠端網路重疊，例如在客戶資料中心部署的網路。

使用 VRF，IBM Cloud 承租戶能夠使用遠端 IP 位址，而遠端 IP 位址一般並不容許在廣域表格中重疊。 IBM 仍然保留下列 RFC 1918、鏈結本地位址及多重播送位址，它們無法從此 VRF 服務遞送：

• 10.0.0.0/14
• 10.200.0.0/14
• 10.198.0.0/15
• 169.254.0.0/16
• 224.0.0.0/4
• 166.9.0.0/16 (由專用端點服務使用)
• IBM 平台上，指派給您 VLAN 的任何 IP 範圍

IBM 正藉由部署下一代的 Cloud 向前邁步，在我們的可用性區域 (AZ) 中啟用虛擬專用雲端 (VPC)。 這項新的 VPC 功能可在已啟用 VPC 的 AZ 中使用自帶 IP (BYoIP)，這些 AZ 位於達拉斯、華盛頓特區、倫頓、法蘭克福、東京和雪梨。

例如，骨幹網路上使用 VRF 的每個租用戶在每個Direct Link上只能擁有一個客戶 VRF，這可以在所有租用戶伺服器之間提供連接，無論其位置如何。 不過，IBM Cloud 承租戶可能有多個 Direct Link 帳戶，饋送資訊到單一交叉連接路由器。

• 承租戶的伺服器，無論是在任何 VLAN、任何 Pod、全球各地的任何資料中心，都可以呼叫到該承租戶的全球所有其他伺服器。
• 每個租戶的客戶 VRF 都連接到公共共享服務網絡，為這些伺服器提供私人可存取性，以使用 DNS、共享儲存、監控、修補等。
• 客戶 VRF 是一項連線功能服務，在承租戶之間提供隔離。 使用閘道、安全群組或以主機為基礎的控制措施，必須個別佈建在租用內需要的任何其他控制措施。

移到 VRF 的好處

移至 VRF 包括下列主要好處：

• 經過業界驗證並廣泛接受的_多種隔離分離技術_。 比起 ACL，許多雲端客戶發現第 3 層 VPN 方式對他們的審核員和法規遵循管理者而言更可接受。
• IBM Cloud 客戶可以大幅延伸或移轉他們網路的觸及範圍，因為在整個 IBM 網路中新增了新的網站或應用程式。
• 承租戶特定的遞送表縮小 IP 位址重疊的可能性，而不會有與其他承租戶子網路或其他不適用之網路部分重疊的風險。

與舊的 ACL 模型相較之下，需要考慮一些不重要的取捨：

• 轉換成客戶 VRF 需要維護時間，這會導致骨幹資料傳輸流有短暫的中斷。
• 使用受管理 VPN 服務（SSL、IPsec）的遠端存取，只能存取到資料中心的 SSL VPN；不過，骨幹上的共用 ACL 容許從任一服務的任何進入點進行廣域存取。
• VLAN Spanning 是共用承租戶模型的一項特性，在 VRF 中無法使用; 這將在轉換至客戶 VRF 時停用。
• IBM Cloud 標準基礎架構遠端存取上的 IPsec VPN 受管理服務無法使用。

許多 IBM Cloud 客戶目前在 IBM Cloud 網路上，以共用租用模型運作。 在轉換過程中，您的共享租賃將轉換為使用客戶 VRF，最常見的是新的Direct Link訂閱。

有關如何為您的帳戶啟動 VRF 轉換的具體信息，請參閱IBM Cloud產品的轉換說明（例如，IBM Cloud服務端點轉換說明）。