虚拟专用端点 (VPE)

本指南指导您使用虚拟专用端点访问 IBM MQ on Cloud。

使用虚拟私有云 (VPC) 时，您可以通过配置虚拟私有端点网关，通过私有 IBM 网络访问 IBM MQ on Cloud 部署 API 和队列管理器。

使用专用端点需要服务器名称指示 (SNI) 头以包含队列管理器的主机名。因此，在此环境中不支持 IBM MQ的多证书功能。

如何访问部署 API

这些步骤将描述如何在 VPC 与 IBM MQ on Cloud 部署 API 之间创建专用连接。

这些指示信息要求您已创建 IBM MQ on Cloud 保留部署 服务实例，部署了队列管理器并配置了运行 MQ Client 的 VPC。

遵循这些步骤为以 mq2.cloud.ibm.com 结尾的 MQ VPE 端点创建虚拟专用端点网关
使用记录的 API 从 IBM MQ on Cloud 服务实例中的 用户凭证 获取使用 API 密钥的 IAM 访问令牌
从 IBM Cloud 资源列表视图或使用记录的 API 获取 MQ 服务实例的 GUID

调用 IBM MQ on Cloud 部署 API

# ACCESS_TOKEN - IAM access token for the MQ user credential
# REGION - Select to required region from running "ibmcloud regions"
# GUID - The GUID of the service instance

curl -X GET -H "Authorization: Bearer ${ACCESS_TOKEN}" "https://api.private.${REGION}.mq2.cloud.ibm.com/v1/${GUID}/options"

有关 IBM MQ on Cloud 部署 API 的更多详细信息，请参阅 API 文档

如何将 MQ 客户机连接到 IBM MQ on Cloud 队列管理器

这些指示信息要求您已创建 IBM MQ on Cloud 保留部署 服务实例，部署了队列管理器并配置了运行 MQ Client 的 VPC。

遵循这些步骤为以 mq2.appdomain.cloud 结尾的 MQ VPE 端点创建虚拟专用端点网关
配置 MQ 客户机的访问权，如此处所述

配置 MQ Client ini 文件

echo -e "SSL:\n  AllowTLSV13=TRUE\n  OutboundSNI=HOSTNAME" > ${HOME}/mqclient.ini
export MQCLNTCF=${HOME}/mqclient.ini

配置和测试 MQ 客户机，如此处所述
要管理队列管理器，请参阅可用选项此处

如何将本地队列管理器连接到 IBM MQ on Cloud 队列管理器

使用专用网络时，必须从本地队列管理器启动连接。无法在 IBM MQ on Cloud 队列管理器上使用发送方和集群发送方通道，因为它们将无法启动与本地的连接。

这些指示信息要求您已创建 IBM MQ on Cloud 保留部署 服务实例，部署了队列管理器并配置了运行 MQ Client 的 VPC。

使用 VPN 或 IBM Cloud Direct Link 配置内部部署到 IBM Cloud 的连接
互连 VPC
遵循这些步骤为以 mq2.appdomain.cloud 结尾的 MQ VPE 端点创建虚拟专用端点网关

使用 runmqsc，Web 控制台或 MQ REST API 在云队列管理器上配置以下内容

* Receiver Channel
DEFINE CHANNEL(CLIENT.TO.CLOUD) CHLTYPE(RCVR) TRPTYPE(TCP) SSLCIPH('ANY_TLS12_OR_HIGHER') SSLCAUTH(OPTIONAL)
SET CHLAUTH('CLIENT.TO.CLOUD') TYPE(QMGRMAP) QMNAME('CLIENT01') ACTION(ADD) USERSRC(CHANNEL)
REFRESH SECURITY(*) TYPE(CONNAUTH)

* Server Channel
DEFINE QLOCAL('TO.ONPREM') USAGE(XMITQ)
DEFINE CHANNEL(CLOUD.TO.CLIENT) CHLTYPE(SVR) TRPTYPE(TCP) XMITQ('TO.ONPREM') SSLCIPH('ANY_TLS12_OR_HIGHER') CERTLABL('qmgrcert') SSLCAUTH(OPTIONAL)
REFRESH SECURITY(*) TYPE(SSL)
SET CHLAUTH('CLOUD.TO.CLIENT') TYPE(QMGRMAP) QMNAME('CLIENT01') ACTION(ADD) USERSRC(CHANNEL)
REFRESH SECURITY(*) TYPE(CONNAUTH)

* Remote Queue
DEFINE QREMOTE (ONPREM.REMOTE.QUEUE) RNAME (DEV.QUEUE.1) RQMNAME ('CLIENT01') XMITQ ('TO.ONPREM')

使用 runmqsc，Web 控制台或 MQ REST API 在内部部署队列管理器上配置以下内容

* Sender Channel
DEFINE QLOCAL('TO.CLOUD') USAGE(XMITQ)
DEFINE CHANNEL(CLIENT.TO.CLOUD) CHLTYPE(SDR) CONNAME('<cloudqm_hostname>(443)') TRPTYPE(TCP) XMITQ('TO.CLOUD') SSLCIPH('ANY_TLS12_OR_HIGHER')
SET CHLAUTH('CLIENT.TO.CLOUD') TYPE(QMGRMAP) QMNAME('CLOUDQM1') ACTION(ADD) USERSRC(CHANNEL)
REFRESH SECURITY(*) TYPE(CONNAUTH)
START CHANNEL('CLIENT.TO.CLOUD')

* Requester Channel
DEFINE CHANNEL(CLOUD.TO.CLIENT) CHLTYPE(RQSTR) CONNAME('<cloudqm_hostname>(443)') TRPTYPE(TCP) SSLCIPH('ANY_TLS12_OR_HIGHER') CERTLABL('qmgrcert')
REFRESH SECURITY(*) TYPE(SSL)
SET CHLAUTH('CLOUD.TO.CLIENT') TYPE(QMGRMAP) QMNAME('CLOUDQM1') ACTION(ADD) USERSRC(CHANNEL)
REFRESH SECURITY(*) TYPE(CONNAUTH)
START CHANNEL('CLOUD.TO.CLIENT')

* Local Queue
DEFINE QLOCAL(DEV.QUEUE.1)

* Remote Queue
DEFINE QREMOTE (CLOUD.REMOTE.QUEUE) RNAME (DEV.QUEUE.1) RQMNAME ('CLOUDQM1') XMITQ ('TO.CLOUD')

如何创建虚拟专用端点网关 (VPEG)

以下步骤描述了如何使用 UI 创建虚拟专用端点网关。有关使用 CLI 或 API 的更多详细信息，请参阅此文档

访问 IBM Cloud 控制台
在左侧导航菜单中，选择 VPC 基础架构> 虚拟专用端点网关
单击创建按钮
在位置下
1. 选择与 IBM MQ on Cloud 实例匹配的 地理位置 和区域
在 详细信息 下
1. 输入名称
2. 选择 资源组 或创建新的资源组
3. (可选) 添加标记
4. (可选) 添加访问权管理标记
5. 从下拉列表中选择虚拟私有云 (VPC)
在 安全组 下
1. 选择要用于控制入站和出站流量的安全组
2. 更新安全组规则以允许端口 443 上的 TCP 流量
  1. 单击安全组
  2. 单击规则选项卡
  3. 在 入站规则 下，单击创建按钮
  4. 选择协议 TCP
  5. 选择 端口范围 并指定最小值 443 和最大值 443
  6. 将 源类型 保留为任何
  7. 单击创建。
在 请求与服务的连接 下
1. 对于 云服务产品，请选择 MQ
2. 选择与 IBM MQ on Cloud 实例匹配的 云服务区域
3. 选择所需的 MQ VPE 端点
在 保留的 IP 下
1. 对于 VPC 端点，选择 为我选择一个
2. 输入 IP 的名称
3. 选择子网
单击 创建虚拟专用端点网关
为确保多专区支持，VPC 中的每个子网都需要一个 IP
1. 在虚拟专用端点网关列表中，单击刚刚创建的网关
2. 单击 附加资源 选项卡
3. 对于 保留 IP 下的每个子网
  1. 单击 保留或绑定 IP 按钮
  2. 对于 VPC 端点，选择 为我选择一个
  3. 命名 IP
  4. 从下拉列表中选择子网
  5. 单击 保留 IP 地址