什么是 VRA？

IBM Cloud® Virtual Router Appliance （VRA）允许 IBM Cloud®通过功能齐全的企业路由器有选择地路由私人和公共网络流量，该路由器具有防火墙、流量整形、基于策略的路由、VPN和许多其他功能。 所有 VRA 功能均由客户管理。 VRA 为 IBM Cloud 客户提供了一定程度的控制，而这种控制通常只保留给内部网络。

什么是网关设备？

使用网关设备固定装置，您可以使用Web门户或API来选择网络段（VLAN），通过VRA进行路由。 您可以随时更改选择的 VLAN。 网关设备还支持VRA高可用性（HA），可配置第二个VRA，在第一个VRA出现故障时接管。

有时，我会看到对“Vyatta”和“vRouter”之类的术语的引用。 它们与 VRA 有什么关系？

Vyatta 是一款基于 PC 的开放源码路由器软件，后来变成了闭源软件。 如今，“Vyatta”和“Vyatta OS”指的是从该封闭源项目中衍生出的商业软件改编版本。 IBM 整合了 Vyatta OS 的元素，以及通过 IBM Cloud 独家提供的强大功能和服务。

“vRouter”是 Vyatta 当时所有者对其进行的暂时更名。 在文档中看到时，可以将其视为与 Vyatta 同义。

是否仍支持 Vyatta 5400？

IBM自 2019 年 3 月 31 日起不再支持 Vyatta 5400。

IBM Cloud® Virtual Router Appliance (Vyatta 5600) 相比 Vyatta 5400 进行了哪些改进？

相比 Vyatta 5400，Vyatta 5600 提供了以下增强功能：

• 吞吐量更快，每个CPU核心的吞吐量高达10 Gbps
• 每个 IPsec VPN 会话的吞吐量提高为 3 倍以上（高级加密标准）
• 增大了路由器、流和并发连接的容量
• 更新了标准支持，包括第 2 层隧道协议 V3 (L2TPv3)、因特网密钥交换 V2 (IKEv2)、安全散列算法 2 (SHA-2) 和 802.1Q 隧道 (Q-in-Q) 封装

AT&T vRouter 产品怎么样？

AT&T（原名为Brocade）宣布停止生产和支持其 vRouter 产品。 虽然 Brocade vRouter 5600 为 IBM Cloud® Virtual Router Appliance 提供底层技术功能，但此声明不适用于 IBM 客户。 IBM 客户将继续使用这一新产品获得支持。

VRA 如何交付？

您可以通过订购网络网关获得VRA。 您可以选择数据中心和合适的 VRA 服务器，还可以指定是否要部署一对 HA VRA。 服务器、操作系统和网关设备装置全部都会自动供应。 供应完成后，可以使用网关设备接口通过 VRA 来路由 VLAN。 您可以使用SSH（安全外壳）直接配置VRA服务器，密码在 IBM Cloud硬件详细信息部分提供。

我的密码是否安全？

需要。 所有 VRA 都分配有仅对帐户持有者可视的随机密码。 如同 SSH 公用密钥和管理 IP 访问限制那样，密码可轻松更改。

可以在没有网关设备的情况下获取 VRA 吗？

可以，但获取的 VRA 只能管理 VRA 的公用接口和专用接口之间的流量。 VLAN 和 HA 需要网关设备装置。

是否所有网络流量都通过 VRA 发送？

编号 网关设备允许您选择要通过VRA路由的专用和公共网络段（VLAN）。 您可以随时更改和跳过VLAN选择。 VRA还允许您定义适用于子网或IP范围的基于IP的规则。 仅当包含这些子网的 VLAN 通过 VRA 进行路由时，这些规则才起作用。

VRA 或专用防火墙是否会阻止新的服务器供应？

需要。 所以只要有可能，在将您计划使用的服务器填充进网络之前，您都不应当锁定网络。

根据政策规定，IBM不得在客户未明确参与的情况下检查或更改VRA或专用防火墙配置，因此，支持部门无法得知VRA是否导致服务器配置停滞或失败。

客户有责任确保将 VRA 或防火墙配置为在服务器订单下达之前允许自动服务器供应。 客户管理的 VRA 或防火墙所阻止的供应由客户负责解决。 此类供应延迟不受 SLA 或信用值的约束。 如果客户没有及时回复，订购的系统可以退回库存（在删除客户数据后）。

同样，如果在下单后绕过了VRA或防火墙，订单仍然可能失败。 在尝试自动重试期间，可能会出现一个短暂的窗口。 因此，最好是使整个供应过程持续执行，而没有网络干扰。

IBM 提供哪些防火墙产品？

要详细比较 IBM Cloud 中提供的所有防火墙产品，请参阅 探索防火墙。

VRA 是否会影响客户支持工作？

是的，原因如前。 VRA是一个黑匣子：VLAN进去，VLAN出来，IBM不知道客户在处理数据包时做了什么。

IBM支持总是尽其所能，但要使用 VRA 和专用防火墙：

1. 客户隐私高于连接性。
2. 我们的标准支持人员不具备分析不完善或高度复杂的 VRA 或防火墙配置的能力。

作为第一步诊断，IBM可能要求您将VRA或防火墙VLAN置于旁路模式。 如果在这种状态下，失败的规定开始通过，那么问题很可能出在 VRA 或防火墙配置上。

VRA对我的网络性能有什么影响？

请记住，尽管其他客户看不到您，但公共云会与这些客户共享网络。 的确，最佳情况下的VRA吞吐量取决于特定时间点的可用网络容量以及数据传输距离。

除了这些变量，VRA还可以通过多个接口转发80 Gbps的未修改流量，其粗略的计算公式为：每10 Gbps的吞吐量需要占用一个完整的处理器核心（不包括超线程）。 当前服务器的最大速度为 40 Gbps（2 x 10 Gbps 公共服务器 + 2 x 10 Gb 专用服务器）。 因此，拥有 8 个或更多内核的服务器有足够的计算空间，可以在接近最佳网络性能的情况下处理多个常见的 VRA 功能

如果丢失了 VRA 密码该怎么办？

如果您能够访问系统，请通过运行以下命令设置新密码：

set system login user [account] authentication plaintext-password [password]

如果您无法访问系统，可以重启设备，然后使用GRUB菜单上的密码恢复选项重置root用户密码。

如果我被锁在防火墙外面，该怎么办？

在测试可能存在危险的防火墙规则时，reboot at [time] 构造会非常有用。

如果规则有效，请使用命令 reboot cancel 取消重启。 如果规则阻止您访问，只需等待预定的重启即可。

如果无法访问系统，则可以重新启动以恢复访问。 重启后，系统读取配置文件，该文件不会被之前被丢弃的条目所更改。

如果可以通过 IPMI 进行访问，请按照以下步骤恢复访问：

1. 通过运行以下命令，禁用违规规则：

   	set security firewall name [firewall name] rule [rule number] disable
   	commit
   

2. 通过运行以下命令，解除整个指定规则集与必要接口的关联：

   	delete interfaces dataplane [interface] firewall [type] [firewall name]
   	commit
   

错误使用这些命令可能会导致您的界面配置被清除。

为什么要在高可用性 (HA) 对中运行两个 Vyatta 设备？

大多数云客户都希望获得高可用性服务。 这样，您的工作负载至少托管在两台独立的（硬件）机器上，或者更好的是，托管在两个独立的可用区（如数据中心）中，这样，如果一台机器发生故障，另一台机器仍能继续提供服务。 如果一台机器发生故障，会自动切换到另一台机器，从而确保服务持续运行。 这就是所谓的HA服务——几乎随时可用。

该如何启用对 VRA 的 root 用户登录？

要启用通过 SSH 进行的 root 用户访问，请运行以下命令：

set service ssh allow-root

允许使用 SSH 的 root 访问被认为是不安全的。

访问根shell的另一种方法是，以其他用户身份登录，并通过 su - 在本地提升为root用户，或者允许超级用户执行sudo命令。 例如，要以超级用户身份配置 Vyatta，请运行以下命令：

set system login vyatta level superuser

如何更新固件？

保持固件更新非常重要，以确保您的网络网关设备具有最佳的兼容性和稳定性。 您 有责任 持续维护和操作您的设备 IBM Cloud 技术支持不会为您执行更新。

如果固件版本已过期，您可以通过从设备列表中选择设备，然后从操作菜单中点击更新固件来更新固件。 您也可以在操作系统重装过程中初始化固件更新。 启动更新后，系统将自动更新BIOS固件和您选择的任何其他固件选项。

网关设备开启时，无法初始化固件更新。 在初始化固件更新之前，请确保设备已关闭电源。

如果您需要更新多个节点，最好一次只更新一个节点。 当第二次固件更新发生故障转移时，更新单个节点可以最大限度地减少中断。

固件更新最多可能需要4个小时才能完成。 如果更新时间超过4小时，请检查是否有未结的支持案例。 如果支持案例尚未开启，您可以联系支持人员或开启案例以获得帮助。

我可以单独更新BIOS而不更新其他固件吗？

是的，只更新BIOS是可行的，不会出现问题。 当有此选项可用时，您IBM Cloud设备页面上看到它，以及诸如网卡等其他更新选项。 为了获得最佳的设备兼容性，最佳做法是同时执行推荐的BIOS和网卡更新，以便两者都使用最新版本。