IBM Cloud Docs
自带 IP 地址

自带 IP 地址

本教程描述了 经典基础架构的使用。 可以使用 IBM Cloud® Virtual Private Cloud 资源来实现大多数工作负载。 使用 IBM Cloud VPC 在共享公共云基础结构上创建您自己的私有云类计算环境。 VPC 使企业能够定义和控制从逻辑上与所有其他公共云租户隔离的虚拟网络,从而在公共云上创建专用的安全场所。 具体来说,您可以 将自己的子网 IP 地址范围添加到 IBM Cloud VPC 中。

本教程可能会发生成本。 使用“成本估算器”根据您的预计使用量生成成本估算。

本教程简要介绍了可与IBM Cloud一起使用的 BYOIP 实现模式,并提供了一个决策树,用于在实现安全外壳时识别合适的模式,如《 使用安全专用网络隔离工作负载 》教程所述。 设置时,可能需要现场网络团队、IBM Cloud 技术支持或 IBM Services 进行其他输入。

自带 IP (BYOIP) 是常见需求,用于将现有客户机网络连接到 IBM Cloud 上供应的基础架构。 其目的通常是通过采用基于客户机现有 IP 寻址方案的单个 IP 地址空间,最大程度减少对客户机网络路由配置和操作的更改。

目标

  • 了解 BYOIP 实施模式。
  • 选择 IBM Cloud 的实施模式。

IBM Cloud IP 寻址

IBM Cloud 利用若干专用地址范围,通常是 10.0.0.0/8,在有些情况下,这些范围可能与现有客户机网络冲突。 在地址发生冲突时,有若干模式支持 BYOIP 允许与 IBM Cloud 网络进行互操作。

  • 网络地址转换
  • GRE(通用路由封装)隧道
  • 使用 IP 别名的 GRE 隧道
  • 虚拟覆盖网络

模式的选择由计划在 IBM Cloud 上托管的应用程序确定。 有两个关键方面,应用程序对模式实施的敏感度,以及客户机网络和 IBM Cloud 之间地址范围的重叠程度。 如果打算使用与 IBM Cloud 的专用私有网络连接,还将有更多注意事项适用。 IBM Cloud® Direct Link 的文档 建议所有考虑 BYOIP 的用户阅读。 对于 IBM Cloud® Direct Link 用户,应遵循关联的指南以遵从此处提供的信息。

实施模式概述

  1. NAT:内部客户路由器的 NAT 地址转换。 执行内部 NAT,将客户端寻址方案转换为IBM Cloud分配给已调配IaaS服务的 IP 地址。

  2. GRE 隧道:通常通过 VPN,在IBM Cloud和内部网络之间的 GRE 隧道上路由 IP 流量,从而统一寻址方案。 这是 VPN 到安全专用网络教程 中说明的场景。

    存在两个子模式,取决于地址空间重叠的可能性。

    • 无地址重叠:地址范围没有地址重叠,网络之间没有冲突风险。
    • 部分地址重叠:客户机和 IBM Cloud IP 地址空间使用相同的地址范围,有出现重叠和冲突的可能性。 在这种情况下,将选择 IBM Cloud 专用网络中不重叠的客户机子网地址。

  3. GRE 隧道 + IP 别名:在内部网络和分配给IBM Cloud 上服务器的别名 IP 地址之间通过 GRE 隧道路由 IP 流量,从而统一寻址方案。 这是 VPN 到安全专用网络教程 中说明的场景的特殊情况。 在 IBM Cloud 上供应的虚拟和裸机服务器上创建了兼容 IP 子网的其他接口和 IP 别名,由 VRA 上相应的路由配置提供支持。

  4. 虚拟覆盖网络IBM Cloud虚拟私有云(VPC) 支持 BYOIP,用于IBM Cloud 上的完全虚拟环境。 可以将其视为 使用安全专用网络隔离工作负载教程 中描述的安全专用网络机柜的替代方法。

还可以考虑 VMware NSX 之类的解决方案,该解决方案通过 IBM Cloud 网络在一个层中实施虚拟覆盖网络。 虚拟覆盖网络中的所有 BYOIP 地址均独立于 IBM Cloud 网络地址范围。 请参阅 VMware 和 IBM Cloud 入门

模式决策树

此处的决策树可用于确定相应的实施模式。

模式决策树
模式
*

以下注释提供进一步指导:

您的应用程序使用 NAT 有问题吗?

在以下两种不同的情况下,NAT 可能会产生问题。 在这些情况下,不应使用 NAT。

  • Microsoft AD 域通信之类的一些应用程序和 P2P 应用程序可能在使用 NAT 时遇到技术问题。
  • 未知服务器需要与IBM Cloud通信,或者IBM Cloud和内部服务器之间需要数百个双向连接。 在这种情况下,由于无法事先识别映射,所以无法在客户机路由器/NAT 表格上配置所有映射。

无地址重叠

内部网络是否使用10.0.0.0/8? 当内部部署网络和IBM Cloud专用网络之间不存在地址重叠时,可在内部部署网络和IBM Cloud之间使用 本教程 中介绍的 GRE 隧道,以避免 NAT 转换。 这需要与现场网络团队一起审查网络地址的使用情况。

部分地址重叠

如果内部网络正在使用10.0.0.0/8范围中的任何一个,IBM Cloud网络上是否有不重叠的子网? 与现场网络团队一起复查现有网络地址使用情况,并联系 IBM Cloud 技术销售人员以识别可用的非重叠网络。

IP 别名判别是否有问题?

如果不存在不会重叠的地址,那么可以在安全专用网络隔离区中部署的虚拟和裸机服务器上实施 IP 别名判别。 IP 别名判别在每个服务器的一个或多个网络接口上分配多个子网地址。

IP 别名判别是常用的技巧,尽管建议复查服务器和应用程序配置来确定这些配置在多宿主和 IP 别名配置下是否运行良好。

需要在 VRA 上进行额外的路由配置,为 BYOIP 子网创建动态路由(如 BGP)或静态路由。