IBM Cloud 的连接选项

分散的云资源是位于多个位置或者位于多个子网或 VLAN 的资源。 这些类型的资源需要路由功能来进行相互通信，即使是在私有网络环境中也是如此。 本文档描述了“多重隔离”租户通信选项，通常称为客户 VRF。 它在全局 IBM Cloud® 主干中实施为 MPLS 第 3 层 VPN (RFC 4364)。

总体而言，IBM Cloud平台提供了两种跨IBM专用网络路由的选项，从而提供跨 pod 和数据中心的连接：

1. 多重隔离：每个租户专用一个逻辑网络，不允许与其他租户的逻辑网络进行交互。

2. 共享租户：一个通用的逻辑网络，由使用此模型的所有租户共享，通过自动访问控制列表 (ACL) 提供分离，并启用 VLAN 生成。 本文档中未描述此选项。

术语“客户 VRF”用于描述多重隔离网络连接。

VRF 概述：多重隔离技术

VRF 允许路由器中存在路由表的多个实例并且同时工作。 通过 VRF，每个租户的 VRF 网络会在其路由表内分段。 这种分段允许 IP 地址重叠，而且不会与其他租户 VRF 产生任何交互或干扰。IBM Cloud 使用 10.0.0.0/8 网络的大部分，可能与许多远程网络重叠，例如部署在客户数据中心的网络。

使用 VRF，IBM Cloud个租户可以使用通常不允许在全局表中重叠的远程 IP 地址。 仅访问 VPC 时，IBM仍保留以下 RFC 1918、链路本地地址和多播地址，这些地址无法从此 VRF 服务路由：

• 169.254.0.0/16
• 224.0.0.0/4
• 166.9.0.0/16（由专用端点服务使用）
• IBM 平台上分配给您的 VLAN 的任何 IP 范围。

以下范围现在可用于 IBM Cloud Direct Link:

• 10.0.0.0/14
• 10.200.0.0/14
• 10.198.0.0/15

IBM 正在推进新一代云部署，以在可用性专区 (AZ) 中启用虚拟私有云 (VPC)。 这个新的 VPC 功能支持在启用了 VPC 的 AZ 中使用“自带 IP”(BYoIP)，这些 AZ 位于达拉斯、华盛顿特区、伦敦、法兰克福、东京和悉尼。

例如，主干网上使用 VRF 的每个租户每个Direct Link只能有一个客户 VRF，这为所有租户的服务器之间提供连接，无论其位于何处。 但是，一个IBM Cloud租户可能有多个Direct Link账户，这些账户都接入单个交叉连接路由器。

• 租户位于全球范围内的任何 VLAN、任何 pod 及任何数据中心的服务器可访问该租户在全球的所有其他服务器。
• 每个租户的客户 VRF 都连接到公共共享服务网络，为这些服务器提供私有可达性，以使用 DNS、共享存储、监控、修补等。
• 客户 VRF 是在租户之间提供隔离的连接服务。 租赁中所需的任何其他控件必须使用网关、安全组或基于主机的控件单独供应。

使用 VPC 路由注意事项

从直接链接通过 VPC 路由内部部署子网时，必须在 VPC 路由表中创建路由。 有关更多信息，请参阅 创建路线。

移动到 VRF 的优点

移动到 VRF 包括以下主要优点：

• 经过业界验证并被广泛接受的_多重隔离分离技术_。 许多云客户发现他们的审计员和合规管理人员更青睐 3 级 VPN 方法（相比 ACL）。
• 由于在整个IBM网络中增加了新的站点或应用程序，IBM Cloud客户可以显著扩展或迁移其网络的覆盖范围。
• 特定于租户的路由表会减少 IP 地址重叠的可能性，而不会产生与不适用的其他租户子网或网络其他部分重叠的风险。

与旧的 ACL 模型相比，需要考虑一些小的权衡：

• 转换为客户 VRF 需要维护时间，这会使主干流量短时间中断。
• 使用托管 VPN 服务（SSL、IPsec）进行远程访问仅限于 SSL VPN 进入数据中心。 不过，骨干网上的共享 ACL 允许从任一服务的任何入口点进行全球访问。
• VLAN 跨域是共享租用模式的一项功能，在 VRF 中不可用。 转换为客户 VRF 后，VLAN 跨域将被禁用。
• IBM Cloud 经典基础架构远程访问上的 IPsec VPN 受管服务不可用。

许多 IBM Cloud 客户当前在 IBM Cloud 网络上的共享租户模型中操作。 在转换期间，您的共享租赁将转换为使用_客户 VRF_，最常见的是使用新的Direct Link订阅。

有关如何为您的帐户启动 VRF 转换的具体信息，请参阅IBM Cloud产品的转换说明。

• Direct Link 转换指示信息
• 已弃用：设置对经典基础设施的访问
• IBM Cloud 服务端点转换指示信息