IBM Cloud Docs
Configurando a conectividade VPN clássica

Configurando a conectividade VPN clássica

As informações desta VPN são específicas para clusters clássicos. Para obter informações de VPN para clusters VPC, consulte Configurando a conectividade VPN do VPC.

Com a conectividade VPN, é possível conectar apps de forma segura em um cluster Red Hat OpenShift no Red Hat® OpenShift® on IBM Cloud® para uma rede no local. Também é possível conectar a um app que é executado dentro de seu cluster os apps que são externos ao seu cluster.

Para conectar seus nós do trabalhador e apps a um data center no local, é possível configurar uma das opções a seguir.

  • IBM Cloud® Direct Link: O IBM Cloud Direct Link permite que você crie uma conexão direta, privada entre seus ambientes de rede remota e o Red Hat OpenShift on IBM Cloud sem roteamento por meio da Internet pública. As ofertas do IBM Cloud Direct Link são úteis quando se deve implementar cargas de trabalho híbridas, cargas de trabalho de provedor cruzado, transferências de dados grandes ou frequentes ou cargas de trabalho privadas. Para escolher uma oferta do IBM Cloud Direct Link e configurar uma conexão do IBM Cloud Direct Link, veja Introdução ao IBM Cloud IBM Cloud Direct Link na documentação do IBM Cloud Direct Link.

  • Virtual Router Appliance (VRA): é possível escolher configurar um VRA(Vyatta) para configurar um terminal IPSec VPN. Essa opção é útil quando você tem um cluster maior, deseja acessar diversos clusters por meio de uma única VPN ou precisa de uma VPN baseada em rota. Para configurar um VRA, veja Configurando a conectividade VPN com o VRA.

Se você planeja conectar seu cluster a redes no local, confira os recursos úteis a seguir.

  • Você pode ter conflitos de sub-rede com o intervalo padrão fornecido pela IBM 172.30.0.0/16 para pods e o intervalo 172.21.0.0/16 para serviços. Você pode evitar conflitos de sub-rede ao criar um cluster a partir da CLI, especificando um CIDR de sub-rede personalizado para pods na --pod-subnet opção e um CIDR de sub-rede personalizado para serviços na --service-subnet opção.

  • Se a sua solução VPN preserva os endereços IP de origem de solicitações, é possível criar rotas estáticas customizadas para garantir que seus nós do trabalhador possam rotear respostas do seu cluster de volta para a sua rede no local.

Os intervalos de sub-rede 172.16.0.0/16, 172.18.0.0/16, 172.19.0.0/16 e 172.20.0.0/16 são proibidos por serem reservados à funcionalidade do plano de controle do Red Hat OpenShift on IBM Cloud.

Usando um Virtual Router Appliance

O Virtual Router Appliance (VRA) fornece o sistema operacional Vyatta 5600 mais recente para servidores bare metal x86. É possível usar um VRA como um gateway de VPN para se conectar com segurança a uma rede no local.

Todo o tráfego de rede pública e privada que entra ou sai das VLANs do cluster é roteado por meio de um VRA. É possível usar o VRA como um terminal VPN para criar um túnel IPSec criptografado entre servidores na infraestrutura da IBM Cloud e nos recursos no local. Por exemplo, o diagrama a seguir mostra como um app em um nó do trabalhador no Red Hat OpenShift on IBM Cloud pode se comunicar com um servidor no local por meio de uma conexão VPN de VRA na VLAN privada:

Exponha um aplicativo em Red Hat OpenShift on IBM Cloud usando um balanceador de carga.
Exponha um aplicativo em Red Hat OpenShift on IBM Cloud usando um balanceador de carga

  1. Um app em seu cluster, myapp2, recebe uma solicitação de um serviço Ingress ou LoadBalancer e precisa conectar-se com segurança a dados na rede local.

  2. Como o myapp2 está em um nó do trabalhador que está somente em uma VLAN privada, o VRA age como uma conexão segura entre os nós do trabalhador e a rede no local. O VRA usa o endereço IP de destino para determinar quais pacotes de rede enviar para a rede no local.

  3. A solicitação é criptografada e enviada pelo túnel VPN para o data center no local.

  4. A solicitação recebida passa pelo firewall no local e é entregue ao terminal de túnel VPN (roteador) no qual ela é decriptografada.

  5. O terminal de túnel VPN (roteador) encaminha a solicitação para o servidor ou mainframe no local, dependendo do endereço IP de destino que foi especificado na etapa 2. Os dados necessários são enviados de volta pela conexão VPN para myapp2 através do mesmo processo.

Para configurar um Virtual Router Appliance,

  1. Pedir um VRA.

  2. Configure a VLAN privada no VRA.

  3. Para ativar uma conexão VPN usando o VRA, configure VRRP no VRA.

Se você tiver um dispositivo de roteador existente e, em seguida, incluir um cluster, as novas sub-redes móveis que são ordenadas para o cluster não serão configuradas no dispositivo do roteador. Para usar os serviços de rede, é necessário ativar o roteamento entre as sub-redes na mesma VLAN ativando a ampliação de VLAN ou VRF.