IBM Cloud Docs
使用 Direct Link 从内部网络访问 VPE,或使用以下方式从另一个 VPC 访问 VPE Transit Gateway

使用 Direct Link 从内部网络访问 VPE,或使用以下方式从另一个 VPC 访问 VPE Transit Gateway

对于启用了虚拟专用端点 (VPE) 的服务,您可以通过 IBM Cloud Direct Link 或 IBM Cloud Transit Gateway 从另一个 VPC 通过专用网络访问 IBM Cloud 资源。 通过使用端点网关,VPC 和 IBM Cloud 服务之间的流量不会离开专用网络。

IBM Cloud Virtual Private Endpoint (VPE) for VPC 使您能够使用您选择的 IP 地址 (从 VPC 中的子网分配) 远程访问受支持的 IBM Cloud 服务。

您应该将 VPE 放置在不与工作负载关联的单独专用子网中。 如果要从另一子网访问 VPE,请确保配置网络 ACL 或安全组以允许跨子网访问。 例如,确保在 ACL 或安全组中打开正确的端口以允许访问。

仅支持 TCP 服务。

体系结构

以下拓扑说明通过 Direct Link 和 Transit Gateway远程直接访问 VPC 中的 VPE。 在中央位置创建 VPE,并使用定制解析器来解析 VPE。

拓扑演示了您可以从通过 Direct Link 或通过 Transit Gateway连接的远程客户机访问 VPE。 您必须在为域名服务器 (DNS) 解析创建 VPE 网关的 VPC 中供应定制解析器。 通过 Direct Link从远程客户机访问 VPE 时,必须为要通过 VPE 访问的专用端点配置 DNS 转发规则,以访问在其中创建 VPE 网关的 VPC 中供应的定制解析器。 通过 Transit Gateway从远程客户机访问 VPE 时,还必须在运行客户机的 VPC 中供应定制解析器,并将 DNS 转发规则配置为在创建 VPE 网关的 VPC 中供应的定制解析器。

直接访问 VPE
直接访问 VPE

过程

不能在 VPC 中使用相同的服务配置多个 VPE 网关。 例如,如果您具有全局搜索服务的 VPE,那么无法供应重复的全局搜索服务。

执行以下步骤:

  1. 为 IBM 提供要用于启用 Direct Link 到 VPE 访问的 IBM Cloud 帐户。

  2. 选择下列其中一个选项:

    • (建议) 在供应的 VPC 中为 VPC API 端点创建 VPE。 为此,请执行以下步骤:

      1. 创建定制解析器。 有关更多信息,请参阅 使用定制解析器

        • 对于 IBM 域,您还必须具有本地 DNS 解析器,该解析器指向 VPC 中用户的 DNS (Direct Link) 或定制解析器 (Transit Gateway)。 然后,可以直接连接到 VPE 并访问 IBM Cloud 服务。
        • 如果从另一个 VPC 访问 VPC,则只需要一个自定义解析器,该解析器会转发到拥有 VPE 的 VPC 中的自定义解析器。

      2. 创建 VPE。 有关更多信息,请参阅 创建端点网关

      3. 附加新的或现有的安全组 (或修改缺省安全组) 以允许入站流量到 VPE。

    • 在已供应 VPE 的 VPC 的帐户中启用此功能。 为此,您必须 创建一个自定义解析器,然后才能通过 IBM Cloud Direct Link 访问 VPE。

      对于 IBM 域,您必须具有指向 VPC 中用户的 DNS (Direct Link) 或定制解析器 (Transit Gateway) 的本地 DNS 解析器。 然后,可以直接连接到 VPE 并访问 IBM Cloud 服务。

      对于 VPE 端点的解析,必须将 DNS 请求转发到在 VPC 中供应的 DNS 服务中的定制解析器,以便它可以解析 VPE 地址。

  3. 验证您是否具有来自直接链接的访问权:

    现在,您应该能够通过 Direct Link从内部部署网络访问 VPC API 端点。 您可以通过 IBM Cloud Direct Link 使用此 VPC API 端点在 VPC 中调配其他资源,如用于其他 IBM Cloud 服务的 VPE。

    例如,如果要为(IAM)创建 VPE,可以使用私有 VPC API 端点从内部部署网络调用以下 REST API,为 IAM 配置 VPE:

    curl -X POST "$vpc_api_endpoint/v1/endpoint_gateways?version=$version&generation=2" -H "Authorization: $iam_token" -d '{
"name": "my-iam-endpoint-gateway",
"target": {
"crn" : "crn:v1:bluemix:public:iam-svcs:global:::endpoint:private.iam.cloud.ibm.com",
"resource_type":"provider_cloud_service"
},
"vpc": { "id": "r006-5293202a-ace4-40a1-85bf-4a0afe2831cd"},
"ips":[
{"id":"0717-a28a0592-16fb-4681-af0f-e9876519ce04"}
]

从 CLI 访问 VPC API 专用端点

要使用 CLI 访问 VPC API 专用端点,请执行以下步骤:

  1. 将核心 IBM Cloud CLI (1.3.0 或更高版本) 和 VPC 基础架构服务插件 (0.8.0 或更高版本) 更新为最新版本:

    ibmcloud update
ibmcloud plugin update vpc-infrastructure

    如果未安装 VPC 基础架构服务插件,请输入以下命令:

    ibmcloud plugin install vpc-infrastructure

  2. 要切换到 API 专用端点方式,请输入以下命令:

    ibmcloud login -a private.cloud.ibm.com

    目前,API 专用端点方式仅支持 us-southus-east 区域。

  3. 要确认您正在访问专用端点,可以从 API 打印 JSON 数据:

    ibmcloud is zones --output json

    输出结果如下:

    [
    {
        "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south/zones/us-south-1",
        "name": "us-south-1",
        "region": {
            "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south",
            "name": "us-south"
        },
        "status": "available"
    },
    {
        "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south/zones/us-south-2",
        "name": "us-south-2",
        "region": {
            "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south",
            "name": "us-south"
        },
        "status": "available"
    },
    {
        "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south/zones/us-south-3",
        "name": "us-south-3",
        "region": {
            "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south",
            "name": "us-south"
        },
        "status": "available"
    }

使用 API 访问 VPC API 专用端点

要使用 API 访问 VPC API 私有端点,请按照以下步骤操作:

  1. 为要访问的区域设置环境变量。 例如,对于 us-south,请输入:

    set vpc_api_endpoint=https://us-south.private.iaas.cloud.ibm.com

  2. 启动环境变量时,请输入以下命令:

    curl -s GET "$vpc_api_endpoint/v1/regions/us-south/zones?generation=2&&version=2021-01-01" -H "Authorization:$iam_token" |jq .

    输出结果如下:

    {
  "zones": [
    {
      "name": "us-south-1",
      "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south/zones/us-south-1",
      "region": {
        "name": "us-south",
        "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south"
      },
      "status": "available"
    },
    {
      "name": "us-south-2",
      "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south/zones/us-south-2",
      "region": {
        "name": "us-south",
        "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south"
      },
      "status": "available"
    },
    {
      "name": "us-south-3",
      "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south/zones/us-south-3",
      "region": {
        "name": "us-south",
        "href": "https://us-south.private.iaas.cloud.ibm.com/v1/regions/us-south"
      },
      "status": "available"
    }
  ]
}

使用 Terraform 访问 VPC API 专用端点

要使用 Terraform 访问 VPC API 专用端点,请执行下列其中一项操作:

  • 为要访问的区域设置环境变量。 例如,对于 us-south,请输入:

    export IBMCLOUD_IS_NG_API_ENDPOINT=https://us-south.private.iaas.cloud.ibm.com/v1

  • 声明提供程序块。 例如:

    provider "ibm" {
region     = "us-south"
visibility = "private"
}