IBM Cloud Docs
FAQ für IBM Cloud Virtual Router Appliance

FAQ für IBM Cloud Virtual Router Appliance

Die folgenden Antworten auf häufig gestellte Fragen können Sie beim Arbeiten mit IBM Cloud® Virtual Router Appliance (VRA) unterstützen.

Was ist eine VRA?

IBM Cloud® Virtual Router Appliance (VRA) ermöglicht IBM Cloud®-Kunden das selektive Weiterleiten von privatem und öffentlichem Netzdatenverkehr über einen voll ausgestatteten Unternehmensrouter mit Firewall, Regulierung des Datenverkehrs, richtlinienbasiertem Routing, VPN und vielen weiteren Funktionen. Alle VRA-Funktionen werden vom Kunden verwaltet. Eine VRA-Instanz gibt einem IBM Cloud Kunden einen Grad an Steuerung, der in der Regel für lokale Netze reserviert ist.

Was ist eine Gateway-Appliance?

Eine Gateway-Appliance-Komponente ermöglicht Ihnen die Verwendung des Webportals oder der API zum Auswählen von Netzsegmenten (VLANs) für das Routing über eine VRA. Dabei kann die VLAN-Auswahl jederzeit geändert werden. Die Gateway-Appliance unterstützt außerdem die Hochverfügbarkeit (High Availability, HA) der VRA und das Konfigurieren einer zweiten VRA für die Funktionsübernahme, wenn die erste VRA ausfällt.

Die Begriffe "Vyatta" und "vRouter" tauchen immer wieder auf. Was haben diese Begriffe mit VRA zu tun?

Vyatta war eine quelloffene, PC-basierte Router-Software, die zu einer Closed-Source-Software wurde. Heute bezeichnen die Begriffe "Vyatta" und "Vyatta OS" kommerzielle Softwareanpassungen, die aus diesem geschlossenen Quellcodeprojekt abgeleitet wurden. IBM VRA umfasst Elemente von Vyatta OS sowie wesentliche Funktions- und Serviceerweiterungen, die nur in IBM Cloud zur Verfügung stehen.

"vRouter" bezeichnet eine kurzlebige Markenumstrukturierung durch den damaligen Eigentümer der Marke "Vyatta". In der Dokumentation ist diese Bezeichnung als Synonym für "Vyatta" zu verstehen.

Wird Vyatta 5400 weiterhin unterstützt?

IBM unterstützt den Vyatta 5400 ab dem 31. März 2019 nicht mehr.

Welche Verbesserungen bietet IBM Cloud® Virtual Router Appliance (Vyatta 5600) gegenüber Vyatta 5400?

Vyatta 5600 bietet die folgenden funktionalen Erweiterungen gegenüber Vyatta 5400:

  • Höherer Durchsatz mit bis zu 10 Gb/s pro CPU-Kern
  • Um den Faktor 3 höherer Durchsatz pro IPsec-VPN-Sitzung (Advanced Encryption Standard, AES)
  • Höhere Kapazität für Router, Datenfluss und gleichzeitig bestehende Verbindungen
  • Aktualisierte Unterstützung für Standards, einschließlich Layer 2 Tunneling Protocol Version 3 (L2TPv3), Internet Key Exchange Version 2 (IKEv2), Secure Hash Algorithm 2 (SHA-2) und 802.1Q-Tunnelung (Q-in-Q) mit Kapselung

Informationen zum Angebot AT&T vRouter 5600

AT&T (früher Brocade) hat das Ende des Lebenszyklus und das Ende der Unterstützung für das Angebot Brocade vRouter 5600 angekündigt. Obwohl Brocade vRouter 5600 die Basistechnologie für IBM Cloud® Virtual Router Appliance bereitstellt, gilt diese Ankündigung nicht für IBM Kunden. Für IBM Kunden wird die Verwendung dieses neuen Produktangebots weiterhin unterstützt.

Auf welchem Vertriebsweg wird die VRA bereitgestellt?

Sie können einen VRA erhalten, indem Sie ein Netzwerk-Gateway bestellen. Sie können ein Rechenzentrum und einen geeigneten VRA-Server auswählen sowie angeben, ob Sie ein HA-Paar von VRAs bereitstellen möchten. Dabei werden die Server, die Betriebssysteme und die Gateway-Appliance-Komponente automatisch bereitgestellt. Nach Abschluss der Bereitstellung können Sie die Gateway-Appliance-Schnittstelle verwenden, um VLANs über die VRA zu steuern. Sie können Ihren VRA-Server mit den Kennwörtern, die im Abschnitt für Hardwaredetails der IBM Cloud-Konsole bereitgestellt werden, direkt über SSH (Secure Shell) konfigurieren.

Ist mein Kennwort sicher?

Ja. Allen VRAs werden automatisch generierte Kennwörter zugewiesen, die nur für den Kontoinhaber sichtbar sind. Kennwörter können schnell und einfach geändert werden, ebenso wie SSH-Public-Keys und IP-Zugriffsbeschränkungen für Administratoren.

Ist die VRA auch ohne Gateway-Appliance erhältlich?

Ja. In diesem Fall kann mit der VRA jedoch nur der Datenverkehr zwischen den öffentlichen und privaten VRA-Schnittstellen gesteuert werden. Für VLANs und HA ist die Gateway-Appliance-Komponente erforderlich.

Wird der gesamte Netzverkehr über die VRA geleitet?

Anzahl Die Gateway-Appliance bietet Ihnen die Möglichkeit, die privaten und öffentlichen Netzsegmente (VLANs) auszuwählen, die Sie über die VRA weiterleiten wollen. Dabei können Sie die VLAN-Auswahl jederzeit ändern und umgehen. Außerdem können Sie mit der VRA IP-basierte Regeln definieren, die auf Teilnetze oder IP-Bereiche angewendet werden. Solche Regeln funktionieren nur, wenn der Datenverkehr der VLANs, die diese Teilnetze enthalten, über die VRA geleitet wird.

Kann eine VRA oder eine dedizierte Firewall die Bereitstellung neuer Server verhindern?

Ja. Falls irgend möglich, sollten Sie Ihr Netz erst sperren, nachdem es mit den Servern bestückt wurde, die Sie verwenden möchten.

IBM dem Support ist es gemäß den Richtlinien untersagt, die Konfiguration von VRAs oder dedizierten Firewalls ohne ausdrückliche Zustimmung des Kunden zu untersuchen oder zu ändern, so dass der Support nicht wissen kann, dass eine VRA für eine blockierte oder fehlgeschlagene Serverbereitstellung verantwortlich ist.

Es ist Aufgabe des Kunden, vor dem Bestellen eines Servers sicherzustellen, dass die Konfiguration der VRA oder der Firewall automatisierte Serverbereitstellungen zulässt. Wenn Bereitstellungen durch eine vom Kunden verwaltete VRA oder Firewall blockiert werden, muss der Kunde dafür sorgen, dass diese Blockierung aufgehoben wird. Verzögerte Bereitstellungen durch solche Blockierungen werden nicht vom Service-Level-Agreement (SLA) abgedeckt und nicht rückvergütet. Bestellte Systeme können gegebenenfalls (nach Löschen der Kundendaten) in den Lagerbestand zurückgeführt werden, wenn der Kunde nicht zeitnah antwortet.

Ebenso ist damit zu rechnen, dass eine Bestellung fehlschlägt, wenn nach dem Einsenden einer Bestellung eine VRA oder Firewall umgangen wird. Möglicherweise werden in einem begrenzten Zeitfenster Wiederholungsversuche für die automatische Bereitstellung durchgeführt. Der gesamte Bereitstellungsprozess sollte möglichst ohne netzbedingte Unterbrechungen ablaufen.

Welche Firewallprodukte bietet IBM an?

Einen detaillierten Vergleich aller Firewallprodukte, die in IBM Cloud angeboten werden, finden Sie im Abschnitt zum Erkunden von Firewalls.

Kann eine VRA die unterstützenden Support-Maßnahmen wirkungslos machen?

Ja, aus den oben genannten Gründen. Die VRA ist eine "Blackbox", d. h. eine Funktionseinheit mit eingehendem und ausgehendem VLAN-Datenverkehr. IBM Support hat keine Kenntnis darüber, was im System des Kunden mit den Datenpaketen geschieht.

Der Support ist stets bemüht, die bestmögliche Unterstützung zu geben, jedoch hat mit einer VRA und dedizierten Firwall:

  1. der Schutz der Kundendaten Vorrang vor der Konnektivität
  2. das Standard-Support-Team nicht die technischen Möglichkeiten zum Analysieren fehlerhafter oder hoch komplexer VRA- oder Firewallkonfigurationen

In einem ersten Diagnoseschritt werden Sie möglicherweise von IBM Support angewiesen, Ihre VRA- oder Firewall-VLANs in den Umgehungsmodus zu versetzen. Wenn nach dieser Maßnahme ein Startvorgang, der zuvor fehlgeschlagen war, erfolgreich fortgesetzt werden kann, muss davon ausgegangen werden, dass das Problem in Ihrer VRA- oder Firewallkonfiguration begründet liegt.

Welche Auswirkung hat die VRA auf meine Netzleistung?

Beachten Sie, dass eine öffentliche Cloud, für die Ihr Netz nicht sichtbar ist, Netze mit anderen Kunden gemeinsam nutzt. Der optimale erreichbare VRA-Durchsatz hängt von der verfügbaren Netzkapazität zum jeweiligen Zeitpunkt ab und davon, welche Distanz die Daten zurücklegen müssen.

Abgesehen von diesen Variablen kann VRA 80 Gbit/s unveränderten Datenverkehr über mehrere Schnittstellen weiterleiten, wenn man die grobe Formel verwendet, dass für je 10 Gbit/s Durchsatz ein voller Prozessorkern (ohne Hyperthread) erforderlich ist. Die derzeitigen Server erreichen maximal 40 Gbit/s (2 x 10 Gbit/s öffentlich + 2 x 10 Gbit/s privat). Ein Server mit 8 oder mehr Kernen verfügt daher über ausreichend Rechenleistung, um mehrere gängige VRA-Funktionen bei nahezu optimaler Netzwerkleistung zu verarbeiten

Was kann ich tun, wenn ich mein VRA-Kennwort vergessen habe?

Wenn Sie auf das System zugreifen können, legen Sie ein neues Kennwort fest, indem Sie den folgenden Befehl ausführen:

set system login user [account] authentication plaintext-password [password]

Wenn Sie nicht auf das System zugreifen können, können Sie das Gerät neu starten und die Kennwortwiederherstellungsoption im GRUB-Menü verwenden, um das Root-Benutzer-Kennwort zurückzusetzen.

Was kann ich tun, wenn ich von der Firewall ausgesperrt bin?

Das Konstrukt reboot at [time] kann beim Testen potenziell gefährlicher Firewallregeln hilfreich sein.

Wenn die Regel funktioniert, verwenden Sie den Befehl reboot cancel, um den Neustart abzubrechen. Wenn die Regel Ihren Zugang sperrt, warten Sie einfach auf den geplanten Neustart.

Wenn Sie nicht auf das System zugreifen können, können Sie einen Neustart durchführen, um den Zugriff wiederherzustellen. Beim Warmstart liest das System die Konfigurationsdatei, die unverändert ist, da vorherige Einträge gelöscht wurden.

Wenn ein Zugriff über IPMI möglich ist, gehen Sie wie folgt vor, um den Zugriff wiederherzustellen:

  1. Inaktivieren Sie die Regel, die den Verstoß verursacht, indem Sie den folgenden Befehl ausführen:

    	set security firewall name [firewall name] rule [rule number] disable
	commit

  2. Entnehmen Sie den ganzen Regelsatz aus der erforderlichen Schnittstelle, indem Sie den folgenden Befehl ausführen:

    	delete interfaces dataplane [interface] firewall [type] [firewall name]
	commit

Durch falsche Verwendung dieser Befehle kann Ihre Schnittstellenkonfiguration vollständig gelöscht werden.

Empfiehlt es sich, zwei Vyatta-Geräte als Hochverfügbarkeitspaar auszuführen?

Die meisten Cloud-Kunden verlangen nach Services mit hoher Verfügbarkeit (High Availability, HA). Dabei wird die Workload auf mindestens zwei separaten (Hardware-)Maschinen oder sogar in zwei separaten Verfügbarkeitszonen (Rechenzentren) ausgeführt, sodass bei einem Maschinenausfall die jeweils andere Maschine den Service fortsetzen kann. Fällt eine Maschine aus, erfolgt eine Funktionsübernahme (Failover) durch die andere Maschine, sodass der Service weiterhin ausgeführt werden kann. Derartige Services werden als HA-Services oder Hochverfügbarkeitsservices bezeichnet: Sie sind nahezu immer verfügbar.

Wie kann ich Rootanmeldungen bei der VRA aktivieren?

Führen Sie den folgenden Befehl aus, um den Rootzugriff über SSH zu aktivieren:

set service ssh allow-root

Das Ermöglichen von Rootzugriff über SSH gilt als unsicher.

Eine Alternative für den Zugriff auf eine Root-Shell besteht entweder darin, sich als ein anderer Benutzer anzumelden und mithilfe von su - lokal zum Root zu erweitern, oder darin, sudo-Befehle für 'superuser' zuzulassen. Gehen Sie z. B. wie folgt vor, um Vyatta als Superuser zu konfigurieren:

set system login vyatta level superuser

Wie kann ich die Firmware aktualisieren?

Es ist wichtig, die Firmware immer auf dem neuesten Stand zu halten, um sicherzustellen, dass Ihre Netzwerk-Gateway-Appliance eine optimale Gerätekompatibilität und Stabilität aufweist. Sie tragen die Rolle und Verantwortung für die laufende Wartung und den Betrieb Ihrer Geräte. Der technische Support IBM Cloud führt keine Updates in Ihrem Namen durch.

Wenn eine Firmware-Version veraltet ist, können Sie die Firmware aktualisieren, indem Sie das Gerät aus der Geräteliste auswählen und im Aktionsmenü auf "Firmware aktualisieren" klicken. Sie können ein Firmware-Update auch während des OS-Reload-Prozesses initialisieren. Nachdem Sie die Aktualisierung gestartet haben, wird eine Transaktion ausgeführt, um die BIOS-Firmware und alle anderen von Ihnen ausgewählten Firmware-Optionen automatisch zu aktualisieren.

Sie können ein Firmware-Update nicht initialisieren, wenn ein Gateway-Gerät eingeschaltet ist. Vergewissern Sie sich, dass das Gerät ausgeschaltet ist, bevor Sie ein Firmware-Update initialisieren.

Wenn Sie mehrere Knoten aktualisieren müssen, empfiehlt es sich, jeweils nur einen Knoten zu bearbeiten. Durch die Aktualisierung eines einzelnen Knotens werden Unterbrechungen minimiert, wenn beim zweiten Firmware-Update ein Failover stattfindet.

Firmware-Updates können bis zu 4 Stunden dauern. Wenn die Aktualisierung länger als 4 Stunden dauert, überprüfen Sie, ob ein Support-Fall vorliegt. Wenn kein Support-Fall vorliegt, können Sie sich an den Support wenden oder einen Fall eröffnen, um Hilfe zu erhalten.

Kann ich das BIOS getrennt von anderen Firmware-Updates aktualisieren?

Ja, es ist möglich, nur das BIOS ohne Probleme zu aktualisieren. Wenn diese Option verfügbar ist, wird sie auf der Geräteseite in IBM Cloud zusammen mit anderen Aktualisierungsoptionen wie der Netzwerkkarte angezeigt. Für eine optimale Gerätekompatibilität empfiehlt es sich, die empfohlenen Updates für BIOS und Netzwerkkarte gleichzeitig durchzuführen, damit beide die neueste Version verwenden.