使用 IBM Cloud 产品互连 VPC
鉴于 VPC 是区域构造,因此会快速出现以下问题:
- 如何将 VPC 与本地网络互连?
- 如何将 VPC 互连?
与内部部署网络互连
IBM 提供了以下产品,可帮助您将 VPC 与内部部署网络互连。
-
IBM Cloud Direct Link
您可以通过 Direct Link Dedicated 和 Connect 产品将 VPC 与内部部署网络互连。 请记住,您可以将直接链接连接到本地或远程 IBM Cloud Transit Gateway,这样内部网络就可以访问连接到转接网关的所有网络。
-
IBM Cloud Direct Link Dedicated 提供 IBM Cloud VPC 网络与服务提供者管理的 WAN 或客户机管理的云主干之间的低延迟高吞吐量连接。 您可以优化来自 VPC 网络的出口流量并降低出口成本。 如果无法在 IBM Cloud 数据中心进行连接,或者在虚拟网络连接上不需要超过 5 Gbps 的带宽,那么可以使用 IBM Cloud Direct Link Connect 通过受支持的服务提供者连接到 IBM Cloud。
通过 IBM Cloud Direct Link 全局路由功能,您可以从单个 IBM Cloud Direct Link 连接连接到全球所有 IBM Cloud 区域。 您还可以利用 IBM Cloud Direct Link 服务提供者合作伙伴,为全球各地的工作负载建立更安全的混合连接,并随着容量需求的增加轻松供应多个连接。
示例 Direct Link 内部部署互连用例 -
IBM Cloud Direct Link Connect 通过受支持的服务提供者提供本地与 IBM Cloud VPC 网络之间的连接。 如果您的数据中心位于无法访问专用主机托管设施的物理位置,或者如果您的数据需要不支持 5 Gbps + 连接,那么服务提供者连接很有用。 连接服务提供商通常用于通过其网络促进多云连接 (来自多个供应商的公共云)。 Connect 服务提供者提供层 2 连接和/或层 3 连接。 与服务提供商合作,了解他们的产品和需求。
-
-
VPN for VPC 可以将虚拟私有云安全地连接到另一个专用网络。 您可以使用 VPN 在 VPC 和内部专用网络或另一个 VPC 之间建立 IPsec 站点到站点隧道。 请参阅 使用 VPN 网关连接到内部部署网络 以获取详细信息。
互连 VPC
IBM Cloud Transit Gateway 供应并定义 IBM Cloud 网络上的资源之间的连接,提供全球 IBM Cloud 数据中心之间的专用互连。IBM Cloud Transit Gateway 提供了用于连接的中央集线器,从而使供应和管理网络更容易。 通过 IBM Cloud Transit Gateway,您可以创建单个传输网关或多个传输网关以连接 IBM Cloud VPC。 您还可以将 IBM Cloud 经典基础架构连接到 Transit Gateway,以提供与经典基础架构资源的无缝通信。 您连接到 Transit Gateway 的任何新资源都将自动提供给与之连接的每个其他资源。 所有数据都保留在专用 IBM Cloud 主干中,并针对性能进行了优化。
| IP | 源 |
|---|---|
10.100.0.0/24 |
从 VPC A 子网 |
13.100.0.0/24 |
从 VPC A 子网 |
10.101.0.0/24 |
从 VPC B 到 Transit Gateway (本地) |
13.101.0.0/24 |
从 VPC B 到 Transit Gateway (本地) |
10.111.0.0/24 |
从 VPC Z 到 Transit Gateway (全局) |
13.111.0.0/24 |
从 VPC Z 到 Transit Gateway (全局) |
| IP | 源 |
|---|---|
10.101.0.0/24 |
从 VPC B 子网 |
13.101.0.0/24 |
从 VPC B 子网 |
10.100.0.0/24 |
从 VPC A 到 Transit Gateway (本地) |
13.100.0.0/24 |
从 VPC A 到 Transit Gateway (本地) |
| IP | 源 |
|---|---|
10.111.0.0/24 |
从 VPC Z 子网 |
13.111.0.0/24 |
从 VPC Z 子网 |
10.100.0.0/24 |
从 VPC A 到 Transit Gateway (全局) |
13.100.0.0/24 |
从 VPC A 到 Transit Gateway (全局) |
使用这些 IBM Cloud 选项的优点
这些互联互通产品的优势包括:
- 本地网络与 VPC 网络之间的流量不会遍历公共因特网。 流量遍历专用连接,或通过具有专用连接的服务提供者。
- 通过绕过公共因特网,您的流量将占用更少的中继段,因此您的流量可能会被丢弃或中断的故障点更少。
- 通过不间断的一致网络性能,将数据移入内部部署数据中心,或从内部部署数据中心移入 IBM Cloud,同时保护敏感的业务关键型数据。
- 通过专用网络在每个 IBM Cloud 数据中心内的服务器之间节省数据传输速率,从而避免带宽费用。
IANA 注册的 IP 分配的路由注意事项
IBM Cloud VPC 支持私下使用 分配的地址作为 VPC 子网。RFC-1918 以下用例需要其他路由配置,以在将浮动 IP 或公共网关连接到 VPC 中的资源时,指定要在 VPC 中使用的因特网分配数字权限 (IANA) 分配范围。
- 用例 1:VPC 通过 IBM Cloud Direct Link 连接到您的企业,并且需要与该企业上由 IANA 分配的网络进行通信。
- 用例 2:VPC 通过 IBM Cloud Transit Gateway 连接到另一个 VPC,并且需要与已连接的 VPC 中 IANA 分配的网络进行通信。
- 用例 3:VPC 通过使用 BCR 对等连接来将 IANA 分配的范围发布到经典网络,从而连接到经典基础架构网络。
在这些场景中,VPC 中的每个子网都必须连接一个路由表,其中的路由将 IANA 分配的范围指定为专用路由的目标,或者将这些公共可路由范围的所有流量转发到公共主干,而不是转发到预期的专用网络目标。 这适用于使用 RFC-1918 "和" IANA 分配的前缀 " 的 VPC 子网。 与所有定制路由添加一样,路由表必须包含每个需要连接的可用性区域 (AZ) 的路由。
选项包括:
- 如果 VPC 缺省 (出口) 路由表已连接到所有 VPC 子网,请使用
Delegate-VPC操作为 VPC 缺省表中的每个 IANA 前缀或每个区域的聚集创建路由。 这将延迟到 VPC 系统路由表以进行转发操作。 - 如果使用定制路由表,请使用
Delegate-VPC操作为每个定制路由表中的每个 IANA 前缀或每个专区创建一个路由。
使用 IANA 范围仅适用于具有 Delegate-VPC 操作的定制路由,而不适用于 Delegate。 Delegate-VPC 和 Delegate 的定制路由操作都将延迟到 VPC 系统路由表。 唯一的区别是,Delegate 在将流量转发到 IANA 目标时使用任何浮动 IP 或公共网关; Delegate-VPC 不使用,并假定 IANA 目标位于 VPC 中 (而不是因特网)。
用例 1:VPC 通过 IBM Cloud Direct Link 连接到企业
| IP | 源 |
|---|---|
10.100.0.0/24 |
从 VPC A 子网 |
13.100.0.0/24 |
从 VPC A 子网 |
10.101.0.0/24 |
从 VPC B 到 Transit Gateway (本地) |
13.101.0.0/24 |
从 VPC B 到 Transit Gateway (本地) |
10.0.0.0/8 |
通过 Direct Link 从企业 |
172.16.0.0/12 |
通过 Direct Link 从企业 |
13.0.0.0/8 |
通过 Direct Link 从企业 |
| IP | 源 |
|---|---|
10.101.0.0/24 |
从 VPC B 子网 |
13.101.0.0/24 |
从 VPC B 子网 |
10.100.0.0/24 |
从 VPC A 到 Transit Gateway (本地) |
13.100.0.0/24 |
从 VPC A 到 Transit Gateway (本地) |
10.0.0.0/8 |
通过 Direct Link 从企业 |
172.16.0.0/12 |
通过 Direct Link 从企业 |
13.0.0.0/8 |
通过 Direct Link 从企业 |
| 目标 | 操作 | 下一个跃点 | 区域 |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-south-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-3 |
| 目标 | 操作 | 下一个跃点 | 区域 |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-south-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-3 |
用例 2:VPC 到 VPC 与 IBM Cloud Transit Gateway 连接
| IP | 源 |
|---|---|
10.100.0.0/24 |
从 VPC A 子网 |
13.100.0.0/24 |
从 VPC A 子网 |
10.101.0.0/24 |
从 VPC B 到 Transit Gateway (本地) |
13.101.0.0/24 |
从 VPC B 到 Transit Gateway (本地) |
10.111.0.0/24 |
从 VPC Z 到 Transit Gateway (全局) |
13.111.0.0/24 |
从 VPC Z 到 Transit Gateway (全局) |
| IP | 源 |
|---|---|
10.101.0.0/24 |
从 VPC B 子网 |
13.101.0.0/24 |
从 VPC B 子网 |
10.100.0.0/24 |
从 VPC A 到 Transit Gateway (本地) |
13.100.0.0/24 |
从 VPC A 到 Transit Gateway (本地) |
| IP | 源 |
|---|---|
10.111.0.0/24 |
从 VPC Z 子网 |
13.111.0.0/24 |
从 VPC Z 子网 |
10.100.0.0/24 |
从 VPC A 到 Transit Gateway (全局) |
13.100.0.0/24 |
从 VPC A 到 Transit Gateway (全局) |
| 目标 | 操作 | 下一个跃点 | 区域 |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-south-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-3 |
| 目标 | 操作 | 下一个跃点 | 区域 |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-south-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-3 |
| 目标 | 操作 | 下一个跃点 | 区域 |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-east-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-east-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-east-3 |
用例 3:VPC-to-classic 和 BCR peering with IBM Cloud Transit Gateway
| IP | 源 |
|---|---|
10.100.0.0/24 |
从 VPC A 子网 |
13.100.0.0/24 |
从 VPC A 子网 |
13.111.0.0/24 |
从经典到 Transit Gateway |
| 目标 | 操作 | 下一个跃点 | 地区 |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-south-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-3 |