IBM Cloud Docs
Service VRF (Virtual Routing and Forwarding) sur IBM Cloud

Service VRF (Virtual Routing and Forwarding) sur IBM Cloud

Par définition, VRF est une technologie incluse dans les routeurs de réseau IP. Il s'agit d'un service inhérent du réseau principal.

Options de connectivité pour IBM Cloud

Les ressources de cloud dispersées sont des ressources réparties sur plusieurs sites, ou sur plusieurs sous-réseaux ou réseaux locaux virtuels. Ces types de ressources nécessitent une fonction de routage pour communiquer entre elles, même dans un contexte de réseau privé. Ce document décrit une option de communication de location à "isolement multiple", souvent appelée VRF client. Elle est implémentée en tant que VPN MPLS de couche 3 (RFC 4364) sur le réseau principal IBM Cloud® global.

En général, la plateforme IBM Cloud offre deux options de routage sur le réseau privé IBM, assurant la connectivité entre les pods et les centres de données :

  1. Isolation multiple : Un réseau logique dédié par locataire, qui ne permet aucune interaction avec les réseaux logiques des autres locataires.

  2. Location partagée : Un réseau logique commun, partagé par tous les locataires qui utilisent ce modèle, avec une séparation assurée par des listes de contrôle d'accès (ACL) automatisées et activées par l'extension de VLAN. Cette option n'est pas décrite dans ce document.

Le terme "VRF client" est utilisé pour décrire la connectivité du réseau à isolation multiple.

Vue d'ensemble du service VRF : technologie à isolement multiple

VRF permet à plusieurs instances d'une table de routage d'exister dans un routeur et de fonctionner simultanément. Avec le service VRF, le réseau VRF de chaque locataire de cloud est segmenté au sein de sa table de routage. Cette segmentation permet des chevauchements d'adresses IP et ne crée aucune interaction ou interférence avec les VRF des autres locataires. IBM Cloud utilise la majeure partie du réseau " 10.0.0.0/8, qui peut se chevaucher avec de nombreux réseaux distants, par exemple les réseaux déployés dans les centres de données des clients.

En utilisant la VRF, les locataires IBM Cloud sont autorisés à utiliser des adresses IP distantes qui ne sont normalement pas autorisées à se chevaucher dans la table globale. Lors de l'accès au VPC seul, IBM réserve néanmoins les adresses lien-local suivantes définies par la RFC 1918 et les adresses de multidiffusion qui ne peuvent pas être routées à partir de ce service VRF.

  • 169.254.0.0/16
  • 224.0.0.0/4
  • 166.9.0.0/16 (utilisé par le service de noeud final privé)
  • Toutes les plages d'adresses IP affectées à vos réseaux locaux virtuels sur la plateforme IBM.

Les gammes suivantes sont désormais disponibles avec IBM Cloud Direct Link:

  • 10.0.0.0/14
  • 10.200.0.0/14
  • 10.198.0.0/15

IBM se lance dans le déploiement d'une nouvelle génération de cloud pour activer le cloud privé virtuel dans les zones de disponibilité. Cette nouvelle fonctionnalité du cloud privé virtuel active la fonction BYoIP (Bring-Your-Own-IP) dans les zones de disponibilité équipées d'un cloud privé virtuel, situées à Dallas, Washington DC, Londres, Francfort et Sydney.

Ainsi, chaque locataire du réseau principal qui utilise VRF ne peut avoir qu'une seule option VRF client par connexion Direct Link, ce qui assure la connectivité entre tous les serveurs du locataire, quel que soit leur emplacement. Toutefois, un locataire IBM Cloud peut avoir plusieurs comptes Direct Link qui alimentent un seul routeur d'interconnexion.

  • Les serveurs d'un locataire se trouvant dans un réseau local virtuel, un pod ou un centre de données, quelque part dans le monde, peuvent atteindre globalement tous les autres serveurs de ce locataire dans le monde entier.
  • Le service VRF client de chaque locataire est connecté au réseau commun de services partagés afin de permettre une accessibilité privée à ces serveurs pour utiliser le DNS, le stockage partagé, la surveillance, les correctifs, etc.
  • VRF client est un service de connectivité qui permet d'isoler les locataires. Tous les contrôles supplémentaires nécessaires dans une location doivent être fournis séparément, en utilisant une passerelle, des groupes de sécurité ou des contrôles basés sur l'hôte.

Remarques relatives au routage avec VPC

Lorsque vous acheminez des sous-réseaux sur site à partir du lien direct via un VPC, vous devez créer une route dans la table de routage du VPC. Pour plus d'informations, voir Création d'une route.

Avantages du passage à VRF

Le passage à VRF inclut les avantages principaux suivants :

  • Technologies de séparation à isolation multiple reconnu par l'industrie et largement accepté. De nombreux clients de cloud trouvent l'approche VPN de niveau 3 plus acceptable que les listes de contrôle d'accès pour leurs auditeurs et les responsables de la conformité.
  • {Les clients peuvent étendre ou migrer la portée de leur réseau de manière significative, grâce à l'ajout de nouveaux sites ou applications dans le réseau IBM
  • Les tables de routage spécifiques aux locataires réduisent l'ouverture pour le chevauchement des adresses IP, sans risque de chevauchement avec les sous-réseaux des autres locataires ou d'autres parties du réseau qui ne sont pas applicables.

Par rapport à l'ancien modèle ACL, il y a quelques compromis mineurs à prendre en compte :

  • La conversion au service VRF client nécessite une fenêtre de maintenance, ce qui provoque une brève interruption des flux de trafic sur le réseau principal.
  • L'accès à distance via les services VPN gérés (SSL, IPsec) est limité à seulement SSL VPN dans un centre de données. Cependant, l'ACL partagée sur le backbone permet un accès global depuis n'importe quel point d'entrée de l'un ou l'autre service.
  • La répartition VLAN est une fonctionnalité du modèle de location partagée et n'est pas disponible dans un VRF. La répartition VLAN est désactivée lors de la conversion vers le VRF client.
  • Le service géré VPN IPsec sur l'accès à distance de l'infrastructure classique IBM Cloud n'est pas disponible.

De nombreux clients IBM Cloud utilisent actuellement un modèle de location partagée sur le réseau IBM Cloud. Lors de la conversion, votre location partagée est convertie pour utiliser un VRF client, le plus souvent avec un nouvel abonnement Direct Link.

Pour obtenir des informations spécifiques sur la façon de lancer une conversion VRF pour votre compte, voir les instructions de conversion de votre offre IBM Cloud.