IBM Cloud 的連線功能選項

分散雲端資源是位於多個位置或多個子網路或 VLAN 的資源。 這些類型的資源需要路由功能才能在它們之間進行通信，即使在專用網路上下文中也是如此。 本文檔描述了「多重隔離」租賃通訊選項，通常稱為客戶 VRF。 它實作為跨越全球 IBM Cloud® 骨幹的 MPLS 第 3 層 VPN (RFC 4364)。

一般來說，IBM Cloud平台提供兩種跨IBM專用網路路由的選項，提供跨 Pod 和資料中心的連接：

1. 多重隔離：每個租用戶都有一個專用的邏輯網絡，不允許與其他租用戶的邏輯網路互動。

2. 共享租賃：公共邏輯網絡，由使用此模型的所有租戶共享，由自動存取控制清單 (ACL) 提供分離，並透過 VLAN 產生啟用。 本文件不說明這個選項。

術語“客戶 VRF”用於描述多個隔離網路連接。

VRF 概觀：多重隔離技術

VRF 容許遞送表的多個實例存在於路由器中，並同步運作。 使用 VRF，每個雲端承租戶的 VRF 網路都會在其遞送表之內分段。 此分段允許 IP 位址重疊，並且不會與其他租戶 VRF 產生任何互動或乾擾。IBM Cloud使用大部分 10.0.0.0/8 網絡，可能與許多遠端網絡重疊，例如部署在客戶資料中心的網路。

使用 VRF，IBM Cloud租用戶可以使用通常不允許在全域表中重疊的遠端 IP 位址。 僅存取 VPC 時，IBM仍保留下列 RFC 1918、連結本機位址和多重播放位址，這些位址無法從此 VRF 服務路由：

• 169.254.0.0/16
• 224.0.0.0/4
• 166.9.0.0/16（由專用端點服務使用）
• IBM 平台上，指派給您 VLAN 的任何 IP 範圍

IBM Cloud Direct Link現在提供下列範圍:

• 10.0.0.0/14
• 10.200.0.0/14
• 10.198.0.0/15

IBM 正藉由部署下一代的 Cloud 向前邁步，在我們的可用性區域 (AZ) 中啟用虛擬專用雲端 (VPC)。 這項新的 VPC 功能可在已啟用 VPC 的 AZ 中使用自帶 IP (BYoIP)，這些 AZ 位於達拉斯、華盛頓特區、倫頓、法蘭克福、東京和雪梨。

例如，Direct Link上使用 VRF 的每個租戶只能擁有一個客戶 VRF，這可以在所有租戶伺服器之間提供連接，無論其位置如何。 但是，一個IBM Cloud租用戶可能有多個Direct Link帳戶饋入單一交叉連接路由器。

• 承租戶的伺服器，無論是在任何 VLAN、任何 Pod、全球各地的任何資料中心，都可以呼叫到該承租戶的全球所有其他伺服器。
• 每個租戶的客戶 VRF 都連接到公共共享服務網絡，為這些伺服器提供私人可存取性，以使用 DNS、共享儲存、監控、修補等。
• 客戶 VRF 是一項連線功能服務，在承租戶之間提供隔離。 使用閘道、安全群組或以主機為基礎的控制措施，必須個別佈建在租用內需要的任何其他控制措施。

使用 VPC 的路由考量

當您透過 VPC 從直接連結路由本機子網路時，您必須在 VPC 路由表中建立路由。 有關更多信息，請參閱 創建路由。

移到 VRF 的好處

移至 VRF 包括下列主要好處：

• 經過業界驗證並廣泛接受的_多種隔離分離技術_。 比起 ACL，許多雲端客戶發現第 3 層 VPN 方式對他們的審核員和法規遵循管理者而言更可接受。
• 由於在整個IBM網路中新增了新網站或應用程序，IBM Cloud客戶可以顯著擴展或遷移其網路的覆蓋範圍。
• 承租戶特定的遞送表縮小 IP 位址重疊的可能性，而不會有與其他承租戶子網路或其他不適用之網路部分重疊的風險。

與舊的 ACL 模型相比，有一些小的權衡需要考慮：

• 轉換成客戶 VRF 需要維護時間，這會導致骨幹資料傳輸流有短暫的中斷。
• 使用託管 VPN 服務（SSL、IPsec）的遠端存取僅限於SSL VPN進入數據中心。 然而，骨幹網路上的共用 ACL 允許從任一服務的任何入口點進行全域存取。
• VLAN 產生是共享租賃模型的功能，在 VRF 中不可用。 轉換為客戶 VRF 後，VLAN 產生將被停用。
• IBM Cloud 上的 IPsec VPN 受管理服務無法使用標準基礎架構遠端存取。

許多 IBM Cloud 客戶目前在 IBM Cloud 網路上，以共用租用模型運作。 在轉換過程中，您的共享租賃將轉換為使用_客戶 VRF_，最常見的是新的Direct Link訂閱。

有關如何為您的帳戶啟動 VRF 轉換的具體信息，請參閱您的IBM Cloud產品的轉換說明。

• Direct Link 轉換指示
• 已棄用：設置對經典基礎設施的訪問
• IBM Cloud 服務端點轉換指示