IBM Cloud Docs
Utilización de puntos finales privados virtuales para VPC para la conexión privada con Hyper Protect Crypto Services

Utilización de puntos finales privados virtuales para VPC para la conexión privada con Hyper Protect Crypto Services

IBM Cloud® VPE (Virtual Private Endpoints) para VPC (Virtual Private Cloud) le permite conectarse a Hyper Protect Crypto Services desde su red VPC utilizando las direcciones IP de su elección, asignadas desde una subred en su VPC.

Los VPE son interfaces IP virtuales que están enlazadas a una pasarela de punto final creada para cada servicio o cada instancia de servicio individualmente, en función del modelo de operación del servicio. La pasarela de punto final es una función virtualizada que se escala horizontalmente, es redundante y tiene alta disponibilidad, y abarca todas las zonas de disponibilidad de la VPC. Las pasarelas de punto final permiten las comunicaciones de instancias de servidor virtual dentro de la VPC y el servicio IBM Cloud® en la red troncal privada. VPE para VPC le ofrece la experiencia de controlar todo el direccionamiento privado dentro de la nube. Para obtener más información, consulte Acerca de las pasarelas de punto final privadas virtuales.

Para conectarse a Hyper Protect Crypto Services mediante un punto final privado virtual, debe utilizar la API de Hyper Protect Crypto Services, la CLI o Terraform. Se debe acceder a la interfaz de usuario de Hyper Protect Crypto Services mediante la red pública desde la VPC.

Antes de empezar

Antes de apuntar a un punto final privado virtual para Hyper Protect Crypto Services, debe realizar las tareas siguientes:

Configuración de un VPE para Hyper Protect Crypto Services

Cuando crea una pasarela VPE utilizando la CLI o la API, debe especificar el Nombre de recurso de nube(CRN) de la región en la que desea conectarse a Hyper Protect Crypto Services. Revise la tabla siguiente para ver las regiones y los CRN disponibles para crear las pasarelas de VPE.

Característica Hyper Protect Crypto Services Puntos finales soportados CRN
Servicio de gestión de claves api.private.au-syd.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint: .api.private.au-syd.hs-crypto.appdomain.cloud
api.private.eu-de.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint: .api.private.eu-de.hs-crypto.appdomain.cloud
api.private.us-east.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:us-east:::endpoint: .api.private.us-east.hs-crypto.appdomain.cloud
api.private.us-south.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:us-south:::endpoint: .api.private.us-south.hs-crypto.appdomain.cloud
api.private.eu-gb.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint: .api.private.eu-gb.hs-crypto.appdomain.cloud
api.private.jp-tok.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:api.private.jp-tok.hs-crypto.appdomain.cloud
api.private.eu-es.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:api.private.eu-es.hs-crypto.appdomain.cloud
api.private.br-sao.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:api.private.jbr-sao.hs-crypto.appdomain.cloud
api.private.ca-tor.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:api.private.ca-tor.hs-crypto.appdomain.cloud
Enterprise PKCS #11 (EP11) .ep11.private.au-syd.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint: .ep11.private.au-syd.hs-crypto.appdomain.cloud
ep11.private.eu-de.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint: .ep11.private.eu-de.hs-crypto.appdomain.cloud
ep11.private.us-east.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:us-east:::endpoint: .ep11.private.us-east.hs-crypto.appdomain.cloud
ep11.private.us-south.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:us-south:::endpoint: .ep11.private.us-south.hs-crypto.appdomain.cloud
ep11.private.eu-gb.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:ep11.vpc.private.eu-gb.hs-crypto.appdomain.cloud
ep11.private.jp-tok.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:ep11.vpc.private.jp-tok.hs-crypto.appdomain.cloud
ep11.private.eu-es.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:ep11.vpc.private.eu-es.hs-crypto.appdomain.cloud
ep11.private.br-sao.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:ep11.vpc.private.jbr-sao.hs-crypto.appdomain.cloud
ep11.private.ca-tor.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:ep11.vpc.private.ca-tor.hs-crypto.appdomain.cloud
Trusted Key Entry (TKE) tke.private.au-syd.hs-crypto.cloud.ibm.com crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint:tke.private.au-syd.hs-crypto.cloud.ibm.com
tke.private.eu-de.hs-crypto.cloud.ibm.com crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint:tke.private.eu-de.hs-crypto.cloud.ibm.com
tke.private.us-east.hs-crypto.cloud.ibm.com crn:v1:bluemix:public:hs-crypto:us-east:::endpoint:tke.private.us-east.hs-crypto.cloud.ibm.com
tke.private.us-south.hs-crypto.cloud.ibm.com crn:v1:bluemix:public:hs-crypto:us-south:::endpoint:tke.private.us-south.hs-crypto.cloud.ibm.com
tke.private.eu-gb.hs-crypto.cloud.ibm.com crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:tke.vpc.private.eu-gb.hs-crypto.cloud.ibm.com
tke.private.jp-tok.hs-crypto.cloud.ibm.com crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:tke.vpc.private.jp-tok.hs-crypto.cloud.ibm.com
tke.private.eu-es.hs-crypto.cloud.ibm.com crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:tke.vpc.private.eu-es.hs-crypto.cloud.ibm.com
tke.private.br-sao.hs-crypto.cloud.ibm.com crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:tke.vpc.private.jbr-sao.hs-crypto.cloud.ibm.com
tke.private.ca-tor.hs-crypto.cloud.ibm.com crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:tke.vpc.private.ca-tor.hs-crypto.cloud.ibm.com
Adaptador KMIP (Key Management Interoperability Protocol) kmip.private.au-syd.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint: .kmip.private.au-syd.hs-crypto.appdomain.cloud
kmip.private.eu-de.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint: .kmip.private.eu-de.hs-crypto.appdomain.cloud
kmip.private.us-east.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:us-east:::endpoint: .kmip.private.us-east.hs-crypto.appdomain.cloud
kmip.private.us-south.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:us-south:::endpoint: .kmip.private.us-south.hs-crypto.appdomain.cloud
kmip.private.eu-gb.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:kmip.private.eu-gb.hs-crypto.appdomain.cloud
kmip.private.jp-tok.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:kmip.private.jp-tok.hs-crypto.appdomain.cloud
kmip.private.eu-es.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:kmip.private.eu-es.hs-crypto.appdomain.cloud
kmip.private.br-sao.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:kmip.private.jbr-sao.hs-crypto.appdomain.cloud
kmip.private.ca-tor.hs-crypto.appdomain.cloud crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:kmip.private.ca-tor.hs-crypto.appdomain.cloud
Tabla 1. Puntos finales de región disponibles y CRN para crear pasarelas de VPE

Configuración de una pasarela de punto final

Para configurar una pasarela de punto final privada virtual, siga estos pasos:

  1. Enumere los servicios disponibles, incluidos los servicios de infraestructura de IBM Cloud disponibles (de forma predeterminada) para todos los usuarios de VPC.

  2. Cree una pasarela de punto final para su instancia de Hyper Protect Crypto Services que desea que esté disponible de forma privada para la VPC.

    Si está creando una pasarela VPE utilizando la interfaz de usuario, realice los pasos siguientes:

    1. Seleccione el icono Menú Icono de menú y, a continuación, pulse Infraestructura de VPC > Pasarelas de punto final privadas virtuales en la sección Red y, a continuación, pulse Crear. Se visualiza la página Nueva pasarela de punto final privada virtual para VPC.

    2. En la sección Servicio de nube, habilite la instancia de Hyper Protect Crypto Services:

      • En Cloud Service offerings, seleccione Hyper Protect Crypto Services.
      • En Cloud service regions, verifique que la región correspondiente se haya rellenado previamente para la instancia de Hyper Protect Crypto Services.
      • Seleccione el punto final privado que va a utilizar para conectarse con la instancia de VPC. Si se está conectando a un punto final privado de EP11, asegúrese de seleccionar todos los puntos finales privados de EP11 para todas las zonas disponibles.

  3. Enlace una dirección IP reservada con la pasarela de punto final.

  4. Vea las pasarelas de VPE creadas asociadas a la instancia de Hyper Protect Crypto Services. Para obtener más información, consulte Visualización de detalles de una pasarela de punto final.

Ahora, sus instancias de servidor virtual de VPC pueden acceder a su instancia de Hyper Protect Crypto Services de forma privada a través del mismo.

Utilización del VPE para Hyper Protect Crypto Services

Después de crear una pasarela de punto final para la instancia de Hyper Protect Crypto Services, siga estos pasos para utilizar puntos finales privados.

Utilización del VPE con la CLI

  • Utilización del VPE para Plug-in de la CLI de TKE

    1. Actualice el plug-in de la CLI de TKE a la última versión con el mandato siguiente:

      ibmcloud plugin update tke

    2. Para inicializar instancias de servicio con el plug-in de la CLI de TKE, establezca la variable de entorno TKE_PRIVATE_ADDR para que apunte al punto final privado de TKE:

      export TKE_PRIVATE_ADDR=https://tke.private.<region>.hs-crypto.cloud.ibm.com

  • Utilización del VPE para el Plug-in de la CLI de Key Protect

    1. Actualice el plug-in de la CLI de Key Protect a la última versión con el mandato siguiente:

      ibmcloud plugin update key-protect -r "IBM Cloud"

    2. Para realizar operaciones de gestión de claves con el plug-in de la CLI de Key Protect, establezca la variable de entorno KP_PRIVATE_ADDR para que apunte al punto final privado del servicio de gestión de claves:

      export KP_PRIVATE_ADDR=https://<instance_ID>.api.private.<region>.hs-crypto.appdomain.cloud

Utilización del VPE con la API

  • Utilización del VPE para la API de servicio de gestión de claves

    Para realizar operaciones de gestión de claves con la API de servicio de gestión de claves, utilice los puntos finales privados del servicio de gestión de claves en el URL de solicitud de API para acceder al servicio. Por ejemplo:

    curl GET \
  https://<instance_ID>.api.private.<region>.hs-crypto.appdomain.cloud/api/v2/keys   \
  -H 'authorization: Bearer <IAM_token>'   \
  -H 'bluemix-instance: <instance_ID>'   \
  -H 'accept: application/vnd.ibm.kms.key+json'

  • Utilización del VPE para la API PKCS #11

    Para realizar operaciones criptográficas con la API PKCS #11, establezca el campo address en el punto final privado EP11 en el archivo de configuración. Para obtener más información, consulte Configurar el archivo de configuración de PKCS #11.

  • Utilización del VPE para la API de GREP11

    Para realizar operaciones criptográficas con la API de GREP11, especifique la dirección del servidor con el punto final privado EP11 en el código. Para obtener más información, consulte Generación de una solicitud de API de GREP11.

Utilización del VPE con Terraform

Para utilizar VPE con Terraform, establezca el parámetro service_endpoints en private-only en el bloque de recursos. Para obtener más información, consulte Configuración de Terraform para Hyper Protect Crypto Services.

  • Si tiene previsto utilizar puntos finales privados para inicializar la instancia de servicio, asegúrese de establecer la variable de entorno IBMCLOUD_HPCS_TKE_ENDPOINT para que apunte al punto final privado de TKE. Por ejemplo:

    export IBMCLOUD_HPCS_TKE_ENDPOINT=https://tke.private.<region>.hs-crypto.cloud.ibm.com

  • Si tiene previsto utilizar puntos finales privados para gestionar las claves de servicio de gestión de claves, asegúrese de establecer la variable de entorno IBMCLOUD_KP_API_ENDPOINT para que apunte al punto final privado del servicio de gestión de claves. Por ejemplo:

    export IBMCLOUD_KP_API_ENDPOINT=https://<instance_ID>.api.private.<region>.hs-crypto.appdomain.cloud