IBM Cloud Docs
Virtual Routing and Forwarding (VRF) on IBM Cloud

Virtual Routing and Forwarding (VRF) on IBM Cloud

Per Definition ist die virtuelle Routenwahl und Weiterleitung (Virtual Routing and Forwarding, VRF) eine Technologie, die in IP-Netzroutern (IP = Internet Protocol) enthalten ist. Sie wird als ein inhärenter Backbone-Service bereitgestellt.

Konnektivitätsoptionen für IBM Cloud

Verteilte Cloudressourcen sind Ressourcen, die auf mehrere Standorte oder auf mehrere Teilnetze bzw. VLANs verteilt sind. Für diese Typen von Ressourcen ist eine Weiterleitungsfunktion erforderlich, damit sie untereinander kommunizieren können; dies ist sogar innerhalb eines privaten Netzes nötig. In diesem Dokument wird eine Tenantkommunikationsoption für mehrfache Isolierung (Multiple Isolation) beschrieben, die auch oft als 'Kunden-VRF' bezeichnet wird. Sie wird als MPLS-Layer-3-VPN (RFC 4364) für den globalen IBM Cloud®-Backbone implementiert.

Im Allgemeinen bietet die Plattform IBM Cloud zwei Optionen für das Routing über das IBM, das die Konnektivität zwischen Pods und Rechenzentren ermöglicht:

  1. Mehrfache Isolierung: Ein dediziertes logisches Netzwerk pro Tenant, das keine Interaktion mit den logischen Netzwerken anderer Tenants zulässt.

  2. Gemeinsame Mieterschaft: Ein gemeinsames logisches Netz, das von allen Mietern, die dieses Modell nutzen, gemeinsam genutzt wird, wobei die Trennung durch automatische Zugangskontrolllisten (ACLs) erfolgt und mit VLAN-Spanning ermöglicht wird. Diese Option wird in diesem Dokument nicht beschrieben.

Der Begriff "Kunden-VRF" wird verwendet, um die Konnektivität von Mehrfachisolierungsnetzen zu beschreiben.

VRF-Übersicht: Technologie für mehrfache Isolierung

Mit VRF können mehrere Instanzen einer Routing-Tabelle in einem Router vorhanden sein und gleichzeitig ausgeführt werden. Mit VRF wird das VRF-Netz jedes Cloud-Tenants innerhalb der Routing-Tabelle segmentiert. Diese Segmentierung ermöglicht IP-Adressüberschneidungen und führt zu keinerlei Interaktion oder Interferenz mit anderen VRFs von Mandanten. {Der größte Teil des " 10.0.0.0/8-Netzes, das sich mit vielen entfernten Netzen überschneiden kann, z. B. mit Netzen in Kunden-Rechenzentren, wird von der IBM Cloud genutzt.

Mit VRF können IBM Cloud Remote-IP-Adressen verwenden, die sich normalerweise nicht in der globalen Tabelle überschneiden dürfen. Beim ausschließlichen Zugriff auf VPC werden von IBM trotzdem die folgenden Link-Local-Adressen und Multicastadressen des Typs RFC 1918 reserviert, für die von diesem VRF-Service kein Routing möglich ist:

  • 169.254.0.0/16
  • 224.0.0.0/4
  • 166.9.0.0/16 (vom privaten Endpunktservice verwendet)
  • Alle IP-Bereiche, die Ihren VLANs auf der IBM Plattform zugeordnet sind.

Die folgenden Bereiche sind jetzt mit IBM Cloud verfügbar Direct Link:

  • 10.0.0.0/14
  • 10.200.0.0/14
  • 10.198.0.0/15

IBM arbeitet an der Bereitstellung einer Cloud der nächsten Generation, um Virtual Private Cloud (VPC) in unseren Verfügbarkeitszonen (Availability Zones, AZs) zu ermöglichen. Diese neue VPC-Funktion ermöglicht BYoIP (Bring-Your-Own-IP) in den VPC-fähigen Verfügbarkeitszonen, die sich in Dallas, Washington DC, London, Frankfurt, Tokio und Sydney befinden.

Beispiel: Jeder Tenant mit Zugang zum Backbone, der VRF verwendet, kann über nur eine Instanz von 'Kunden-VRF' pro Direct Link verfügen; dies ermöglicht Verbindungen zwischen allen Servern des Tenants unabhängig vom Standort. Ein IBM Cloud-Tenant kann jedoch über mehrere Direct Link-Konten verfügen, die über einen einzigen Router für Querverbindungen verwendet werden können.

  • Von den Servern eines Tenants in einem beliebigen VLAN, in einem beliebigen Pod und einem beliebigen weltweiten Rechenzentrum können alle anderen Server des Tenants auf der Welt erreicht werden.
  • Jede Instanz von 'Kunden-VRF' eines Tenants ist mit den gängigen gemeinsam genutzten Servicenetzen verbunden, um eine private Erreichbarkeit für diese Server bereitzustellen, damit DNS, gemeinsamer Speicher, Überwachungen, Programmkorrekturen usw. verwendet werden können.
  • Bei 'Kunden-VRF' handelt es sich um einen Verbindungsservice, von dem eine Isolierung zwischen den Tenants bereitgestellt wird. Alle weiteren Steuerungen, die für einen Tenant erforderlich sind, müssen separat mithilfe von Gateways, Sicherheitsgruppen oder hostbasierten Steuerungen bereitgestellt werden.

Überlegungen zum Routing mit VPC

Wenn Sie lokale Subnetze von der direkten Verbindung durch eine VPC leiten, müssen Sie eine Route in der VPC-Routing-Tabelle erstellen. Weitere Informationen finden Sie unter Route erstellen.

Vorteile des Wechsels zu VRF

Der Wechsel zu VRF hat die folgenden wichtigsten Vorteile:

  • In der Branche bewährte und allgemein anerkannte Trennungsverfahren für mehrfache Isolierung. Für die Auditoren und Compliance-Manager vieler Cloudkunden ist der Ansatz eines Level-3-VPNs überzeugender als Zugriffssteuerungslisten.
  • {Kunden können die Reichweite IBM Cloud Netzwerks durch das Hinzufügen neuer Standorte oder Anwendungen im gesamten IBM Netzwerk erheblich erweitern oder migrieren.
  • Tenantspezifische Routing-Tabellen reduzieren die Möglichkeit von IP-Adressüberschneidungen, ohne das Risiko einer Überschneidung mit Teilnetzen anderer Tenants oder anderen Teilen des Netzes, die nicht anwendbar sind.

Im Vergleich zum älteren ACL-Modell gibt es einige geringfügige Abstriche zu machen:

  • Für den Wechsel zu 'Kunden-VRF' ist ein Wartungsfenster erforderlich, was eine kurze Unterbrechung der Datenübertragung auf dem Backbone mit sich bringt.
  • Der Fernzugriff über die verwalteten VPN-Dienste (SSL, IPsec) ist beschränkt auf SSL VPN in ein Rechenzentrum. Die gemeinsame ACL über das Backbone ermöglicht jedoch einen globalen Zugriff von jedem Einstiegspunkt aus von beiden Diensten aus.
  • VLAN-Spanning ist eine Funktion des Shared-Tenancy-Modells und in einem VRF nicht verfügbar. VLAN-Spanning wird bei der Konvertierung zum Kunden-VRF deaktiviert.
  • Der verwaltete IPsec-VPN-Service ist für Fernzugriff in der klassischen IBM Cloud-Infrastruktur nicht verfügbar.

Viele IBM Cloud-Kunden arbeiten derzeit mit einem gemeinsam genutzten Tenant-Modell im IBM Cloud-Netz. Während der Konvertierung wird Ihre Tenantfunktionalität für gemeinsame Nutzung auf die Verwendung von _Kunden-VRF_umgestellt, üblicherweise mit einem neuen Direct Link-Abonnement.

Spezielle Informationen zur Einleitung einer VRF-Konvertierung für Ihr Konto finden Sie in den entsprechenden Anweisungen für Ihr IBM Cloud-Angebot.