IBM Cloud Docs
BYOIP-Adresse (BYOIP - Bring your own IP)

BYOIP-Adresse (BYOIP - Bring your own IP)

In diesem Lernprogramm wird die Verwendung der klassischen Infrastruktur beschrieben. Die meisten Workloads können mithilfe von IBM Cloud® Virtual Private Cloud-Ressourcen implementiert werden. Verwenden Sie IBM Cloud VPC, um eine eigene Private Cloud-ähnliche Datenverarbeitungsumgebung in einer gemeinsam genutzten öffentlichen Cloudinfrastruktur zu erstellen. Mithilfe einer VPC kann ein Unternehmen ein virtuelles Netz definieren und steuern, das logisch gegenüber allen anderen öffentlichen Cloud-Tenants isoliert ist, und so einen privaten, gesicherten Bereich in der öffentlichen Cloud erstellen. Insbesondere können Sie bringen Sie Ihr eigenes Subnetz mit IP-Adressbereich zu IBM Cloud VPC.

Für dieses Lernprogramm können Kosten anfallen. Mit dem Kostenschätzer können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung generieren.

Dieses Lernprogramm enthält eine kurze Übersicht über die BYOIP-Implementierungsmuster, die mit IBM Cloud verwendet werden können, und eine Entscheidungsstruktur zum Identifizieren des geeigneten Musters bei der Realisierung des geschützten Netzbereichs, wie im Lernprogramm Workloads durch ein sicheres privates Netz isolieren beschrieben. Für die Konfiguration ist möglicherweise zusätzlicher Input von Ihrem Networking-Team vor Ort, dem technischen IBM Cloud-Support oder IBM Services erforderlich.

Bring Your own IP (BYOIP) ist eine häufige Voraussetzung, wenn es erforderlich ist, bestehende Clientnetze mit der Infrastruktur zu verbinden, die unter IBM Cloud bereitgestellt wird. Die Absicht besteht in der Regel darin, die Änderungen an den Netzweiterleitungskonfigurationen und -operationen des Clients mit der Annahme eines einzigen IP-Adressraums auf der Basis des vorhandenen IP-Adressierungsschemas auf ein Minimum zu reduzieren.

Ziele

  • Lernen Sie BYOIP-Implementierungsmuster kennen.
  • Implementierungsmuster für IBM Cloud auswählen

IP-Adressierung in IBM Cloud

IBM Cloud verwendet eine Reihe von privaten Adressbereichen, insbesondere 10.0.0.0/8, die in einigen Fällen mit vorhandenen Clientnetzen in Konflikt stehen können. Falls ein solcher Konflikt existiert, gibt es eine Reihe von Mustern, die BYOIP unterstützen, um die Interoperabilität mit dem IBM Cloud-Netz zu gewährleisten.

  • Netzadressumsetzung (NAT, Network Address Translation)
  • Tunnelung mit GRE (Generic Routing Encapsulation)
  • GRE-Tunnelung mit IP-Alias
  • Virtuelles Overlay-Netz

Die Auswahl des Musters wird durch die Anwendungen bestimmt, die unter IBM Cloud gehostet werden sollen. Es gibt zwei Schlüsselaspekte: die Anwendungssensitivität bei der Musterimplementierung und das Ausmaß der Überlappung von Adressbereichen zwischen dem Clientnetz und IBM Cloud. Zusätzliche Überlegungen sollten auch dann angestellt werden, wenn eine dedizierte private Netzverbindung zu IBM Cloud verwendet werden soll. Die Dokumentation für IBM Cloud® Direct Link ist eine empfehlenswerte Lektüre für alle Nutzer, die BYOIP in Erwägung ziehen. Für IBM Cloud® Direct Link-Benutzer sollte statt den hier dargestellten Informationen die zugehörige Anleitung befolgt werden.

Übersicht über Implementierungsmuster

  1. NAT: NAT-Adressübersetzung auf dem lokalen Client-Router. Führen Sie vor Ort NAT durch, um das Client-Adressierungsschema in die IP-Adressen zu übersetzen, die von IBM Cloud den bereitgestellten IaaS zugewiesen werden.

  2. GRE-Tunneling: Das Adressierungsschema wird vereinheitlicht, indem der IP-Verkehr über einen GRE-Tunnel zwischen IBM Cloud und dem lokalen Netzwerk geleitet wird, in der Regel über VPN. Dies ist das Szenario, das im Lernprogramm zum VPN in ein sicheres privates Netz veranschaulicht wird.

    Je nachdem, in welchem Maß sich Adressräume überschneiden können, gibt es zwei Untermuster.

    • Keine Adressüberschneidung, wenn es bei den Adressbereichen keine Überschneidung und somit kein Risiko eines Konflikts zwischen Netzen gibt.
    • Teilweise Überschneidung von Adressen, wenn der Client und IP-Adressräume in IBM Cloud denselben Adressbereich verwenden und somit die Gefahr von Überschneidungen und Konflikten besteht. In diesem Fall werden Clientteilnetzadressen ausgewählt, die sich im privaten IBM Cloud-Netz nicht überschneiden.

  3. GRE-Tunneling + IP-Alias: Das Adressierungsschema wird vereinheitlicht, indem der IP-Verkehr über einen GRE-Tunnel zwischen dem lokalen Netzwerk und Alias-IP-Adressen, die Servern auf der IBM Cloud zugewiesen sind, geleitet wird. Dies ist ein Sonderfall des Szenarios, das im Lernprogramm VPN in ein sicheres privates Netz veranschaulicht wird. Eine zusätzliche Schnittstelle und ein IP-Aliasname für ein kompatibles IP-Teilnetz werden auf den virtuellen und Bare-Metal-Servern erstellt, die in IBM Cloud bereitgestellt und von einer entsprechenden Weiterleitungskonfiguration auf der Virtual Router Appliance (VRA) unterstützt werden.

  4. Virtuelles Overlay-Netzwerk: IBM Cloud Virtual Private Cloud(VPC) unterstützt BYOIP für vollständig virtuelle Umgebungen auf der IBM Cloud. Es könnte als Alternative zum sicheren privaten Netzgehäuse betrachtet werden, das im Lernprogramm zum Isolieren von Workloads mit einem sicheren privaten Netz beschrieben wird.

Alternativ können Sie eine Lösung wie VMware NSX verwenden, die ein virtuelles Overlay-Netz in einem Layer über dem IBM Cloud-Netz implementiert. Alle BYOIP-Adressen im virtuellen Overlay sind unabhängig von Adressbereichen des IBM Cloud-Netzes. Weitere Informationen enthält die Einführung zu VMware und IBM Cloud.

Entscheidungsstruktur für Implementierungsmuster

Die nachfolgende Entscheidungsstruktur kann zum Festlegen des geeigneten Implementierungsmusters verwendet werden.

Pattern decision tree
Pattern decision tree

Die folgenden Anmerkungen dienen als weitere Orientierungshilfe:

Ist NAT problematisch für Ihre Anwendungen?

Es gibt zwei bestimmte Fälle, bei denen NAT problematisch sein könnte. In diesen Fällen sollte NAT nicht verwendet werden.

  • Bei manchen Anwendungen wie die Microsoft AD-Domänenkommunikation und P2P-Anwendungen können technische Probleme mit NAT auftreten.
  • Wenn unbekannte Server mit dem IBM Cloud kommunizieren müssen oder Hunderte von bidirektionalen Verbindungen zwischen IBM Cloud und lokalen Servern erforderlich sind. In diesem Fall kann die Zuordnung auf dem Client-Router/in der NAT-Tabelle nicht in ihrer Gesamtheit konfiguriert werden, da es nicht möglich ist, die Zuordnung im Vorfeld zu ermitteln.

Keine Adressüberschneidung

Wird 10.0.0.0/8 im firmeninternen Netz verwendet? Wenn es keine Adressüberschneidungen zwischen dem lokalen und dem IBM Cloud privaten Netzwerk gibt, kann GRE-Tunneling, wie in diesem Tutorial beschrieben, zwischen dem lokalen und dem IBM Cloud verwendet werden, um die Notwendigkeit einer NAT-Übersetzung zu vermeiden. Dies erfordert eine Überprüfung der Verwendung von Netzwerkadressen mit dem Netzwerkteam vor Ort.

Partielle Adressüberschneidung

Wenn einer der Bereiche 10.0.0.0/8 im lokalen Netzwerk verwendet wird, sind dann nicht überlappende Subnetze im IBM Cloud verfügbar? Überprüfen Sie die Nutzung bestehender Netzadressen mit dem Networking-Team vor Ort und wenden Sie sich an die technische Vertriebsabteilung von IBM Cloud, um verfügbare, sich nicht überlappende Netze zu ermitteln.

Ist IP-Aliasing problematisch?

Wenn keine überschneidungssicheren Adressen vorhanden sind, kann das IP-Aliasing auf virtuellen und Bare-Metal-Servern implementiert werden, die in dem sicheren privaten Netzgehäuse bereitgestellt werden. Das IP-Aliasing ordnet mehrere Teilnetzadressen in einer oder mehreren Netzschnittstellen auf jedem Server zu.

Das IP-Aliasing ist ein gängiges Verfahren. Es wird jedoch empfohlen, die Server- und Anwendungskonfigurationen zu überprüfen, um festzustellen, ob sie gut in Konfigurationen mit mehreren Ausgangsservern und IP-Aliasnamenkonfigurationen funktionieren.

Eine zusätzliche Routing-Konfiguration auf dem VRA ist erforderlich, um dynamische Routen (z. B. BGP) oder statische Routen für die BYOIP-Subnetze zu erstellen.