使用 VPC 的虚拟专用端点以专用方式连接到 Hyper Protect Crypto Services
IBM Cloud® Virtual Private Cloud (VPC) 的虚拟专用端点 (VPE) 使您能够使用您选择的 IP 地址 (从 VPC 内的子网分配) 从 VPC 网络连接到 Hyper Protect Crypto Services。
VPE 是与每个服务或服务实例上创建的端点网关绑定的虚拟 IP 接口 (取决于服务操作模型)。 端点网关是一种虚拟化功能,可水平扩展,冗余且高度可用,并且跨 VPC 的所有可用性区域。 端点网关支持从 VPC 和专用主干上的 IBM Cloud® 服务中的虚拟服务器实例进行通信。 VPE for VPC 提供了控制云中所有专用寻址的经验。 有关更多信息,请参阅 关于虚拟专用端点网关。
要使用虚拟专用端点连接到 Hyper Protect Crypto Services,必须使用 Hyper Protect Crypto Services API,CLI 或 Terraform。 需要从 VPC 通过公用网络访问 Hyper Protect Crypto Services UI。
准备工作
在将 Hyper Protect Crypto Services的虚拟专用端点作为目标之前,必须完成以下任务:
- 确保您已 供应虚拟私有云。
- 制定 虚拟专用端点套餐。
- 确保为虚拟专用端点设置了正确的访问控制。
- 了解具有虚拟专用端点的 限制。
- 了解如何 查看有关虚拟专用端点的详细信息。
为 Hyper Protect Crypto Services 设置 VPE
使用 CLI 或 API 创建 VPE 网关时,必须指定要在其中连接到 Hyper Protect Crypto Services的区域的 云资源名称(CRN)。 查看下表以了解可用区域和 CRN,从而创建 VPE 网关。
| Hyper Protect Crypto Services 功能部件 | 受支持的端点 | CRN |
|---|---|---|
| 密钥管理服务 | |
crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint:
|
|
crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-east:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-south:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:api.private.jp-tok.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:api.private.eu-es.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:api.private.jbr-sao.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:api.private.ca-tor.hs-crypto.appdomain.cloud | |
| 企业 PKCS #11 (EP11) | |
crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint:
|
|
crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-east:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-south:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:ep11.vpc.private.eu-gb.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:ep11.vpc.private.jp-tok.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:ep11.vpc.private.eu-es.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:ep11.vpc.private.jbr-sao.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:ep11.vpc.private.ca-tor.hs-crypto.appdomain.cloud | |
| 可信密钥条目 (Trusted Key Entry,TKE) | |
crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint:tke.private.au-syd.hs-crypto.cloud.ibm.com |
|
crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint:tke.private.eu-de.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:us-east:::endpoint:tke.private.us-east.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:us-south:::endpoint:tke.private.us-south.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:tke.vpc.private.eu-gb.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:tke.vpc.private.jp-tok.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:tke.vpc.private.eu-es.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:tke.vpc.private.jbr-sao.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:tke.vpc.private.ca-tor.hs-crypto.cloud.ibm.com | |
| 密钥管理互操作性协议 (KMIP) 适配器 | |
crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint:
|
|
crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-east:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-south:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:kmip.private.eu-gb.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:kmip.private.jp-tok.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:kmip.private.eu-es.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:kmip.private.jbr-sao.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:kmip.private.ca-tor.hs-crypto.appdomain.cloud |
配置端点网关
要配置虚拟专用端点网关,请执行以下步骤:
-
列出可用于所有 VPC 用户的可用服务,包括 IBM Cloud 基础架构服务 (缺省情况下)。
-
为要专用于 VPC 的 Hyper Protect Crypto Services 实例创建端点网关。
如果要使用 UI创建 VPE 网关,请执行以下步骤:
-
绑定保留 IP 地址 到端点网关。
-
查看与 Hyper Protect Crypto Services 实例关联的已创建 VPE 网关。 有关更多信息,请参阅 查看端点网关的详细信息。
,然后单击“网络”部分中的 VPC 基础结构> 虚拟专用端点网关,然后单击 创建。 此时将显示“新建 VPC 的虚拟专用端点网关”页面。现在,VPC 中的虚拟服务器实例可以通过它私下访问 Hyper Protect Crypto Services 实例。
将 VPE 用于 Hyper Protect Crypto Services
为 Hyper Protect Crypto Services 实例创建端点网关后,请执行以下步骤以使用专用端点。
将 VPE 与 CLI 配合使用
-
将 VPE 用于 TKE CLI 插件
-
使用以下命令将 TKE CLI 插件更新到最新版本:
ibmcloud plugin update tke -
要使用 TKE CLI 插件初始化服务实例,请将 TKE_PRIVATE_ADDR 环境变量设置为以 TKE 专用端点为目标:
export TKE_PRIVATE_ADDR=https://tke.private.<region>.hs-crypto.cloud.ibm.com
-
-
将 VPE 用于 Key Protect CLI 插件
-
使用以下命令将 Key Protect CLI 插件更新为最新版本:
ibmcloud plugin update key-protect -r "IBM Cloud" -
要使用 Key Protect CLI 插件执行密钥管理操作,请将 KP_PRIVATE_ADDR 环境变量设置为密钥管理服务专用端点:
export KP_PRIVATE_ADDR=https://<instance_ID>.api.private.<region>.hs-crypto.appdomain.cloud
-
将 VPE 与 API 配合使用
-
将 VPE 用于 密钥管理服务 API
要使用密钥管理服务 API 执行密钥管理操作,请使用 API 请求 URL 中的密钥管理服务专用端点来访问该服务。 例如
curl GET \ https://<instance_ID>.api.private.<region>.hs-crypto.appdomain.cloud/api/v2/keys \ -H 'authorization: Bearer <IAM_token>' \ -H 'bluemix-instance: <instance_ID>' \ -H 'accept: application/vnd.ibm.kms.key+json' -
将 VPE 用于 PKCS #11 API
要使用 PKCS #11 API 执行加密操作,请将
address字段设置为配置文件中的 EP11 专用端点。 有关更多信息,请参阅 设置 PKCS #11 配置文件。 -
将 VPE 用于 GREP11 API
要使用 GREP11 API 执行加密操作,请在代码中使用 EP11 专用端点指定服务器地址。 有关更多信息,请参阅 生成 GREP11 API 请求。
将 VPE 与 Terraform 配合使用
要将 VPE 与 Terraform 配合使用,请在资源块中将 service_endpoints 参数设置为 private-only。 有关更多信息,请参阅 为 Hyper Protect Crypto Services。
-
如果计划使用专用端点来初始化服务实例,请确保将
IBMCLOUD_HPCS_TKE_ENDPOINT环境变量设置为以 TKE 专用端点为目标。 例如:export IBMCLOUD_HPCS_TKE_ENDPOINT=https://tke.private.<region>.hs-crypto.cloud.ibm.com -
如果计划使用专用端点来管理密钥管理服务密钥,请确保将
IBMCLOUD_KP_API_ENDPOINT环境变量设置为密钥管理服务专用端点的目标。 例如:export IBMCLOUD_KP_API_ENDPOINT=https://<instance_ID>.api.private.<region>.hs-crypto.appdomain.cloud