设置经典VPN连接

此VPN信息专用于经典集群。有关 VPC 集群的 VPN 信息，请参阅设置 VPC VPN 连接。

通过VPN连接，您可以安全地将运行在 Red Hat® OpenShift® on IBM Cloud® 上的 Red Hat OpenShift 集群中的应用程序连接到本地网络。您还可以将集群外部的应用程序连接到在集群内部运行的应用程序。

要将工作程序节点和应用程序连接到内部部署数据中心，可以配置下列其中一个选项。

IBM Cloud® Direct Link 允许您在远程网络环境与 IBM Cloud Direct LinkRed Hat OpenShift on IBM Cloud 之间建立直接、私有的连接，无需通过公共互联网进行路由。 IBM Cloud Direct Link 服务在您需要实现混合工作负载、跨供应商工作负载、大规模或高频数据传输，或私有工作负载时非常有用。要选择 IBM Cloud Direct Link 产品并设置 IBM Cloud Direct Link 连接，请参阅 IBM Cloud Direct Link 文档中的入门 IBM Cloud IBM Cloud Direct Link。
Virtual Router Appliance (VRA): 您可以选择设置 VRA(Vyatta) 以配置 IPSec VPN 端点。如果您具有更大的集群，希望通过单个 VPN 访问多个集群，或者需要基于路径的 VPN，那么此选项会非常有用。要配置 VRA，请参阅使用 VRA 设置 VPN 连接。

如果计划将集群连接到本地网络，请查看以下有用的功能。

您可能与 IBM提供的缺省 172.30.0.0/16 范围 (针对 pod) 和 172.21.0.0/16 范围 (针对服务) 存在子网冲突。通过命令行界面创建集群时，可在 pods --pod-subnet 选项中为 Pod 指定自定义子网 CIDR，并在 services 选项 --service-subnet 中为服务指定自定义子网 CIDR，从而避免子网冲突。
如果 VPN 解决方案保留请求的源 IP 地址，那么可以创建定制静态路由以确保工作程序节点可以将响应从集群路由回本地网络。

子网范围 172.16.0.0/16、172.18.0.0/16、172.19.0.0/16``172.20.0.0/16 和被禁止使用，因为它们被保留用于 Red Hat OpenShift on IBM Cloud 控制平面功能。

使用 Virtual Router Appliance

Virtual Router Appliance (VRA) 为 x86 裸机服务器提供最新的 Vyatta 5600 操作系统。可以使用 VRA 作为 VPN 网关来安全地连接到内部部署网络。

所有进出集群 VLAN 的公用和专用网络流量都将通过 VRA 进行路由。可以使用 VRA 作为 VPN 端点，以在 IBM Cloud 基础架构中的服务器和内部部署资源之间创建加密的 IPSec 隧道。例如，下图展示了 Red Hat OpenShift on IBM Cloud 中工作节点上的应用程序如何通过私有VLAN上的VRA VPN连接与本地服务器进行通信：

使用负载均衡器在 Red Hat OpenShift on IBM Cloud 中公开应用程序。 — 使用负载平衡器在 Red Hat OpenShift on IBM Cloud 中公开应用程序

集群中的应用程序 myapp2 接收来自 Ingress 或 LoadBalancer 服务的请求，并且需要安全地连接到内部部署网络中的数据。
因为 myapp2 位于仅在专用 VLAN 上的工作程序节点上，所以 VRA 充当工作程序节点与内部部署网络之间的安全连接。 VRA 使用目标 IP 地址来确定将哪些网络包发送到内部部署网络。
该请求已加密，并通过 VPN 隧道发送到内部部署数据中心。
入局请求通过内部部署防火墙传递，并传递到将在其中进行解密的 VPN 隧道端点（路由器）。
VPN 隧道端点 (路由器) 根据步骤 2 中指定的目标 IP 地址，将请求转发到本地服务器或大型机。通过同一进程通过 VPN 连接将必需的数据发送回 myapp2。

要设置 Virtual Router Appliance，

订购 VRA。
在 VRA 上配置专用 VLAN。
要使用 VRA 来启用 VPN 连接，请在 VRA 上配置 VRRP。

如果您有现有路由器设备，然后添加了集群，那么不会在该路由器设备上配置为集群订购的新可移植子网。要使用网络服务，必须通过启用VLAN跨域或VRF 来启用同一VLAN上子网之间的路由。