IBM Cloud Docs
VRF (Virtual routing and forwarding) su IBM Cloud

VRF (Virtual routing and forwarding) su IBM Cloud

Per definizione, il VRF (virtual routing and forwarding) è una tecnologia inclusa nei router di rete IP. Viene fornito come un servizio di backbone intrinseco.

Opzioni di connettività per IBM Cloud

Le risorse cloud disperse sono risorse in più di un'ubicazione o in più di una sottorete o VLAN. Questi tipi di risorse richiedono una funzione di instradamento per comunicare tra loro, anche all'interno di un contesto di rete privata. Questo documento descrive un'opzione di comunicazione tenancy con "isolamento multiplo", spesso denominata come VRF cliente. È implementata come una VPN di livello 3 MPLS (RFC 4364) nel backbone IBM Cloud® globale.

In generale, la piattaforma IBM Cloud offre due opzioni per l'instradamento attraverso la rete privata IBM, fornendo connettività tra pod e data center:

  1. Isolamento multiplo: Una rete logica dedicata per ogni tenant, che non consente alcuna interazione con le reti logiche degli altri tenant.

  2. Tenancy condivisa: Una rete logica comune, condivisa da tutti gli affittuari che utilizzano questo modello, con una separazione assicurata da liste di controllo degli accessi (ACL) automatizzate e abilitate con lo spanning VLAN. Questa opzione non è descritta in questo documento.

Il termine "VRF cliente" viene utilizzato per descrivere la connettività di rete a isolamento multiplo.

Panoramica di VRF: tecnologia di isolamento multiplo

VRF consente a più istanze di una tabella di instradamento di esistere in un router e di funzionare simultaneamente. Con VRF, la rete VRF di ciascun tenant cloud è segmentata all'interno della sua tabella di instradamento. Questa segmentazione consente sovrapposizioni di indirizzi IP e non crea alcuna interazione o interferenza con altri VRF tenant. IBM Cloud utilizza la maggior parte del 10.0.0.0/8 rete, che potrebbe sovrapporsi a molte reti remote, ad esempio le reti distribuite presso i data center dei clienti.

Utilizzando il VRF, i tenant IBM Cloud possono utilizzare indirizzi IP remoti che normalmente non possono essere sovrapposti nella tabella globale. Quando si accede solo alla VPC, IBM riserva ancora i seguenti indirizzi RFC 1918, link-local e multicast, che non sono instradabili da questo servizio VRF:

  • 169.254.0.0/16
  • 224.0.0.0/4
  • 166.9.0.0/16(utilizzato dal servizio endpoint privato)
  • Qualsiasi intervallo IP assegnato alle tue VLAN sulla piattaforma IBM.

I seguenti intervalli sono ora disponibili con IBM Cloud Direct Link:

  • 10.0.0.0/14
  • 10.200.0.0/14
  • 10.198.0.0/15

IBM sta procedendo con una distribuzione cloud di prossima generazione per abilitare il VPC (Virtual Private Cloud) nelle nostre zone di disponibilità (AZ). Questa nuova funzionalità del VPC abilita BYoIP (Bring-Your-Own-IP) nelle AZ abilitate per VPC, che si trovano a Dallas, Washington DC, Londra, Francoforte, Tokyo e Sydney.

Ad esempio, ciascun tenant sul backbone che utilizza VRF può avere un solo VRF cliente per ogni Direct Link, che fornisce la connettività tra tutti i server del tenant, indipendentemente dall'ubicazione. Tuttavia, un tenant IBM Cloud potrebbe avere più di un account Direct Link che viene inserito in un singolo router di connessione trasversale.

  • I server di un tenant in qualsiasi VLAN, pod e data center in tutto il mondo possono raggiungere tutti gli altri server di quel tenant a livello globale.
  • Il VRF cliente di ogni tenant è connesso alla rete comune di servizi condivisi per fornire raggiungibilità privata a quei server per utilizzare DNS, archiviazione condivisa, monitoraggio, applicazione di patch e altro.
  • Il VRF cliente è un servizio di connettività che fornisce l'isolamento tra i tenant. Il provisioning di eventuali controlli aggiuntivi necessari all'interno di una tenancy deve essere eseguito separatamente utilizzando un gateway, gruppi di sicurezza o controlli basati su host.

Considerazioni di instradamento con VPC

Quando instradi sottoreti locali dal collegamento diretto tramite un VPC, devi creare una route nella tabella di routing VPC. Per ulteriori informazioni, vedere Creazione di un percorso.

Vantaggi del passaggio a un VRF

Il passaggio a VRF include i seguenti vantaggi principali:

  • Tecnologie di separazione a isolamento multiplo collaudate e ampiamente accettate dal settore. Molti clienti cloud trovano l'approccio VPN di livello 3 più appetibile degli ACL per i loro revisori e responsabili della conformità.
  • i clienti di IBM Cloud possono estendere o migrare la portata della loro rete in modo significativo, grazie all'aggiunta di nuovi siti o applicazioni nella rete IBM.
  • Le tabelle di instradamento specifiche del tenant restringono l'apertura per la sovrapposizione dell'indirizzo IP, senza il rischio di sovrapposizione con altre sottoreti dei tenant o altre parti della rete che non sono applicabili.

Rispetto al vecchio modello ACL, ci sono alcuni piccoli compromessi da considerare:

  • La conversione a un VRF cliente richiede una finestra di manutenzione, che causa una breve interruzione dei flussi del traffico di backbone.
  • L'accesso remoto tramite l'utilizzo dei servizi VPN gestiti (SSL, IPsec) è limitato al solo SSL VPN in un data center. Tuttavia, l'ACL condiviso sul backbone consente l'accesso globale da qualsiasi punto di ingresso da entrambi i servizi.
  • Lo spanning della VLAN è una funzionalità del modello di locazione condivisa e non è disponibile in un VRF. Lo spanning della VLAN viene disabilitato al momento della conversione al VRF del cliente.
  • L'accesso remoto al servizio gestito IPsec VPN sull'infrastruttura classica IBM Cloud non è disponibile.

Molti clienti IBM Cloud attualmente utilizzano un modello di tenancy condivisa sulla rete IBM Cloud. Durante la conversione, la locazione condivisa viene convertita per utilizzare un VRF cliente, di solito con un nuovo abbonamento Direct Link.

Per informazioni specifiche su come avviare una conversione in VRF per il tuo account, vedi le istruzioni di conversione relative alla tua offerta IBM Cloud.