IBM Cloud Docs
使用虚拟专用端点(VPE)

使用虚拟专用端点(VPE)

通过瞄准专用服务端点,在IBM Cloud的虚拟专用端点(VPE)上创建和管理Key Protect资源。

从2024年1月11日起,可以使用 Key Protect 控制平面UI访问VPE,允许用户使用私有终端为实例创建和管理密钥。 同样,使用 CLI 或 SDK 或相关方法创建的密钥现在也可以通过用户界面查看和更新。

要开始使用,请启用 虚拟路由和转发(VRF)以及服务端点 和服务端点。 为账户启用 VRF 后,您可以 连接到 Key Protect。连接,该 IP 只能通过 IBM Cloud 专用 网络访问。 要了解有关专用连接的更多信息,请执行 IBM Cloud,请参阅 专用连接的服务端点

准备工作

在将 VPE 作为 Key Protect:

  1. 确保您的 IBM Cloud 基础设施帐户已启用。 已启用 虚拟路由和转发(VRF)

    在启用 VRF 时,将针对帐户创建单独的路由表,并且在 IBM Cloud 网络上单独路由与帐户资源之间的连接。 要了解有关 VRF 技术,请参见 虚拟路由和转发 IBM Cloud

    启用 VRF 会永久更改帐户的联网。 请确保了解对帐户和资源的影响。 启用 VRF 后,无法禁用。

  2. 确保您的IBM Cloud基础设施账户已启用。 已为 VPE

    为账户启用 VRF 和 VPE 后,所有现有和未来的 和未来的Key Protect资源和 实例都可从公共端点和 VPE 获取。

灾后恢复和业务连续性行动 期间,可能需要手动更新 VPE 设置,特别是Internet Protocol(IP) 地址。

步骤 1. 配置IBM Cloud虚拟服务器上的 VPE

配置路由表,为 VSI 或测试机做好准备 IBM CloudVPE.

  1. 要将流量路由到 IBM Cloud VPE、在 VSI 上运行以下命令:

    route add -net 166.9.0.0/16 gw <gateway> dev <gateway_interface>

    替换 <gateway> (例如,10.x.x.x) 和 <gateway_interface> (例如,具有相应值的 eth10)。

  2. 可选:通过显示新的路由表来验证路径是否已成功添加。

    route -n

步骤 2. 以Key Protect为目标VPE

配置 VSI 以通过 VPE 接受IBM Cloud流量后,您就可以将 VPE 作为目标流量,用于 Key Protect (通过使用 Key Protect API 或 Key Protect CLI 插件。

  1. 在终端窗口中,登录到 IBM Cloud。

    ibmcloud login

    如果登录失败,请运行 ibmcloud login --sso 命令重试。 该 --sso 参数在使用联合 ID 登录时是必需的。 如果使用此选项,请转至 CLI 输出中列出的链接以生成一次性密码。

  2. 可选:确保帐户已启用 VRF 和服务端点。

    ibmcloud account show

    以下 CLI 输出显示了启用 VRF 和服务端点的帐户的帐户详细信息。

    Retrieving account John Doe's Account of john.doe@email.com...
OK

Account ID:                   d154dfbd0bc2edefthyufffc9b5ca318
Currently Targeted Account:   true
Linked Softlayer Account:     1008967
VRF Enabled:                  true
Service Endpoint Enabled:     true

    查看 启用 VRF 和服务端点 了解如何设置连接到 VPE 的帐户。

  3. 将环境变量设置为目标 Key ProtectVPE。

    export KP_PRIVATE_ADDR=https://private.<region>.kms.cloud.ibm.com

    <region> 替换为表示 Key Protect 所在地理区域的区域缩写 实例驻留。 有关端点的完整列表,请参阅 区域和端点

步骤 3. 在 VPE 上创建Key Protect资源

使用 Key Protect CLI 插件

  1. 创建 根密钥 以 VPE 为目标。

    ibmcloud kp key create <key_name> -i <instance_ID>

    <key_name> 替换为人类可读的别名,以方便识别您的密钥。您的密钥。 将 <instance_ID> 替换为 IBM Cloud 标识您的实例标识 Key Protect 实例。

  2. 可选:列出密钥列表,验证密钥是否创建成功 中可用的 Key Protect 实例。 

    ibmcloud kp keys -i <instance_ID>

    <instance_ID> 替换为标识 Key Protect 的 IBM Cloud 实例标识 实例。

后续步骤

现在,您已设置为与 Key Protect 进行交互 通过 VPE。