IBM Cloud Docs
Erste Schritte mit IBM Cloud Virtual Private Networking

Erste Schritte mit IBM Cloud Virtual Private Networking

Die IPsec-Version von VPN ist veraltet. Ab dem 3. November 2024 können Sie keine neuen Instanzen von IPsec VPN erstellen. Bestehende IPsec-VPN-Instanzen werden bis zum 30. Juni 2025 unterstützt. Alle Instanzen, die zu diesem Zeitpunkt noch existieren, werden gelöscht.

Am 13. März 2024 wurden bestimmte SSL VPN-Endpunkte aus dem Service entfernt, um unsere Netzinfrastruktur zu optimieren und die Servicequalität zu verbessern. Wenn Sie derzeit eine der veralteten URLs verwenden, die unter Wichtige Ankündigung: SSL VPN-Endpunkte aufgelistet sind, wechseln Sie zu den bereitgestellten Alternativen, um Unterbrechungen in Ihrem Workflow zu vermeiden. Eine vollständige, aktualisierte Liste der verfügbaren SSL VPN-Endpunkte finden Sie unter Verfügbare VPN-Endpunkte.

Mit dem VPN-Zugriff (Virtual Private Networking) können Benutzer alle Server über Fernzugriff und sicher über das private IBM Cloud®-Netz verwalten. Eine VPN-Verbindung von Ihrem Standort zum privaten Netz ermöglicht Out-of-band-Management und Server-Rescue über einen verschlüsselten VPN-Tunnel. Die Initialisierung eines VPN-Tunnels ist zu jedem IBM Cloud-Rechenzentrum oder Bereitstellungspunkt (PoP) möglich, sofern eine geografische Redundanz vorhanden ist.

Mit VPN-Zugriff verfügen Sie über folgende Möglichkeiten:

  • Aufbau einer VPN-Verbindung zum privaten Netz über SSL oder IPsec.
  • Zugriff auf Ihren Server über seine primäre private IP-Adresse über SSH oder RDP.
  • Verbindung zur IPMI-IP-Adresse Ihres Servers zur Low-Level-Serververwaltung oder zu Rettungszwecken.

Für eine Reihe von Services ist der Zugriff über das private Netz erforderlich, und VPN ist eine Methode, durch die Zugriff auf das private Netz möglich ist. Die Verwendung eines VPNs ist sinnvoll, wenn Sie sich an einem privaten Netz anmelden, danach arbeiten und schließlich wieder abmelden müssen. Ein solcher Zugriff ist zum Beispiel oft für die Kommunikation mit der KVM des Servers erforderlich.

Jedem Benutzer eines Kontos kann VPN-Zugriff erteilt werden, der auf die Teilnetze begrenzt werden kann, auf die der Zugriff erforderlich ist. Der Kontobenutzer muss über einen aktivierten VPN-Zugriff verfügen und ein VPN-Kennwort angeben, bevor er sich bei VPN-Services anmelden kann.

SSL VPN ist ein kostenloser gemeinsam genutzter VPN-Service. Von einem Produktionseinsatz wird abgeraten.

Anwendungsszenarios

Tabelle 1: Empfohlene VPN-Optionen
Geplante Aktion: Empfohlene VPN-Option:
Greifen Sie auf Ihren Server unter Classic für eine kurze Dauer über seine private IP-Adresse (10.x.x.x) mit SSH oder RDP zu
Low-Level-Server-Management mit der KVM-Konsole Ihres klassischen Servers durchführen
Wenden Sie kritische Sicherheitsaktualisierungen auf Ihren Server an, wenn die öffentliche Schnittstelle heruntergefahren ist
Legen Sie eine kurzlebige, private Netzverbindung für eine Person für das gelegentliche Server- und Anwendungsmanagement her.		 SSL VPN
Management mehrerer Server für Entwicklungs- oder Testworkloads unter klassisch über einen verschlüsselten VPN-Tunnel
Regelmäßig große Dateien zwischen verschiedenen Servern übertragen
Etablieren Sie einen langlebigen Netzpfad für die Verwaltung von Servern und den vom Kunden implementierten Anwendungen, die sie hosten		 IPsec VPN
Richten Sie eine Site-to-Site-SSL- oder IPsec-VPN-Verbindung zwischen IBM Cloud und On-Premises für unbegrenzte SSL VPN-Benutzer und Produktionsworkloads ein.
Richten Sie eine Site-to-Site-SSL- oder IPsec-VPN-Verbindung zwischen zwei On-Premises-Unternehmensrechenzentren für unbegrenzte SSL VPN-Benutzer ein.		 VPN-Gateway-Appliances unter klassisch (z. B. Juniper vSRX oder AT& T vRouter)

SSL-VPN-Zugriff aktivieren

Zunächst müssen Sie für jedes Konto, das per VPN-Zugriff verfügbar sein soll, den VPN-Zugriff aktivieren. Führen Sie die folgenden Schritte aus, um den SSL-VPN-Zugriff zu aktivieren:

  1. Melden Sie sich bei der Konsole IBM Cloud an.

  2. Klicken Sie auf Verwalten > Zugriff (IAM) und wählen Sie Benutzer aus.

    Wenn Sie einen Benutzer hinzufügen möchten, klicken Sie auf Benutzer mit Status 'Nur VPN' hinzufügen oder Benutzer einladen. Weitere Informationen finden Sie unter Benutzer zu einem Konto einladen.

  3. Wählen Sie den Namen des Benutzers aus, dem Sie SSL-VPN-Zugriff zuweisen möchten.

  4. Wählen Sie auf der Seite 'Benutzer verwalten' die Registerkarte Klassische Infrastruktur aus und klicken Sie anschließend auf VPN-Teilnetze.

  5. Wählen Sie das Kontrollkästchen SSL-VPN-Zugriff aktivieren aus und klicken Sie auf Speichern.

VPN-Kennwort festlegen

Ihr nächster Schritt ist die Aktualisierung des VPN-Kennworts für die klassische Infrastruktur. Sie können Ihr eigenes VPN-Kennwort aktualisieren, oder falls ein Benutzer sein Kennwort vergisst, kann ein anderer Benutzer mit korrektem Zugriff das VPN-Kennwort dieses Benutzers aktualisieren.

Wenn Sie über die folgenden Zugriffsrechte verfügen, können Sie das VPN-Kennwort für andere Benutzer aktualisieren:

  • Ihnen ist über eine IAM-Richtlinie die Rolle des Editors oder höher für den Benutzerverwaltungsservice zugewiesen.
  • Sie gelten in der Hierarchie der klassischen Infrastruktur als 'Vorfahre' eines Benutzers und Ihnen ist für die klassische Infrastruktur die Berechtigung zum Verwalten von Benutzern zugewiesen.

So aktualisieren Sie das VPN-Kennwort:

  1. Klicken Sie in der IBM Cloud-Menüleiste auf Verwalten > Zugriff (IAM) und wählen Sie Benutzer aus.
  2. Wählen Sie einen Benutzer in der Liste aus.
  3. Rufen Sie in der Ansicht 'Benutzerdetails' den Abschnitt VPN-Kennwort auf.
  4. Klicken Sie auf das Symbol Bearbeiten, um ein neues VPN-Passwort einzugeben.
  5. Klicken Sie auf Anwenden, um Ihre Änderungen zu speichern.

Beim VPN anmelden

Jetzt, da der VPN-Zugriff konfiguriert ist, können Sie sich mit Ihrem Browser anmelden.

  1. Öffnen Sie Ihren Webbrowser und klicken Sie auf einen der verfügbaren VPN-Endpunkte.

    Unterstützte Betriebssystem/Browser-Kombinationen sind:

    • Vista/Win7/Win8/Win10/Win2003/Win2008: Chrome, 360SE, MSIE, Firefox
    • Linux: Chrome, Firefox
    • MacOS: Safari, Chrome

  2. Wenn Sie dazu aufgefordert werden, geben Sie die VPN-Anmeldeberechtigungsnachweise ein, die Sie im Abschnitt VPN-Kennwort festlegen konfiguriert haben.

    • Wenn Sie einen eigenständigen MotionPro-Client installiert haben, wird Ihr Client automatisch gestartet.
    • Wenn Sie keinen Client installiert haben, steht Ihnen die kompatible Version des MotionPro-Clients zum Download zur Verfügung.

  3. Mit dem MotionPro-Client können Sie - abhängig von Ihrem Betriebssystem - verschiedene Schritte ausführen, um eine Verbindung herzustellen. Weitere Informationen zum Herstellen einer Verbindung mit einem MotionPro-Client finden Sie unter Eigenständige Clients.