VPN-Verbindungen
IBM Power Virtual Server in IBM
IBM Power Virtual Server Private Cloud in Standort des Clients
IBM® Power® Virtual Server bietet eine leistungsfähige VPN-Lösung (Virtual Private Network), die auf Sicherheit und nahtlose Konnektivität für Unternehmen mit unterschiedlichen Netzwerkanforderungen zugeschnitten ist. Das VPN für Power Virtual Server richtet einen privaten und verschlüsselten Kommunikationskanal zwischen der clientverwalteten Umgebung und den virtuellen Serverinstanzen ein, die in IBM Cloudbereitgestellt werden.
Weitere Informationen zum Erstellen einer VPN-Verbindung finden Sie unter Creating a Virtual Private Cloud VPN connection [Recommended] .
Die folgende veraltete Methode wird derzeit ebenfalls unterstützt: Power Virtual Server VPN-Verbindung erstellen Veraltet
Virtuelle private Cloud VPN-Verbindung erstellen
Durch die Verwendung des von Virtual Private Cloud (VPC) bereitgestellten VPN-Service (Virtual Private Network) können Sie ein dediziertes VPN für eine One-Cloud-Erfahrung verwenden und eine verbesserte Zuverlässigkeit und Hochverfügbarkeit erreichen.
Wenn Sie Power Virtual Server VPN as a Service (VPNaaS) verwenden, wird ein Upgrade auf IBM Cloud VPC VPN vor März 2024 empfohlen. Das Ende des Servicezeitraums für Power Virtual Server VPNaaS ist der 14 Juli 2025. IBM stellt keine Standardunterstützung für Power Virtual Server VPNaaS nach dem 18. Januar 2025 bereit. Wenn Sie Unterstützung beim Upgrade oder der Migration zu IBM Cloud VPC VPN benötigen, öffnen Sie ein Support-Ticket oder wenden Sie sich an Ihren Customer Support Manager (CSM).
Wenn Sie die VPC-VPN-Einrichtung abschließen, erhalten Sie die folgenden Vorteile:
- Private und kostengünstige Verbindungen zu den Diensten von IBM Cloud.
- Zugriff auf Ihre virtuellen Serverinstanzen über die private IP-Adresse. Sie können Secure Shell (SSH) und andere clientverwaltete Anwendungen, die auf Ihrem Host ausgeführt werden, für den Zugriff nutzen.
IBM Cloud bietet die folgenden beiden VPN-Optionen:
- VPN for VPC für Site-to-Site-Gateways zum sicheren Herstellen einer Verbindung von der vom Kunden verwalteten Umgebung zu Ressourcen in VPC, Power und klassischer Infrastruktur.
- Client- VPN for VPC für Client-zu-Site-Server, die es fernen Geräten ermöglichen, eine sichere Verbindung zum VPC-Netz herzustellen.
Weitere Informationen zu den VPN-Optionen, die Sie erhalten, finden Sie in der VPC-Dokumentation unter VPNs for VPC overview.
Führen Sie die folgenden Schritte aus, um eine VPC-VPN-Verbindung herzustellen:
- Erstellen Sie eine VPC-Ressource.
- Erstellen Sie ein Site-to-Site-VPN-Gateway in VPC.
- Hängen Sie die VPN-Verbindung mit einer der folgenden Methoden an den Power Virtual Server-Arbeitsbereich an:
- Verwenden Sie eine Transit Gateway in einem Power Edge Router (PER) Arbeitsbereich.
- Verwenden Sie eine Cloudverbindung in einem Nicht-PER-Arbeitsbereich.
Es wird empfohlen, eine direkte Cloudverbindung zwischen der VPC und dem Power Virtual Serverzu erstellen. Das Hinzufügen eines Transit Gateway ist möglich, es fallen jedoch zusätzliche Gebühren an. Die Cloudverbindungskonfiguration ist in einem PER-fähigen Arbeitsbereich nicht erforderlich.
Architekturdiagramm
VPC-VPN in einem PER-Arbeitsbereich konfigurieren
- Definieren Sie das vom Client verwaltete Teilnetz im Adresspräfix für die VPC.
- Definieren Sie eine Routing-Tabelle mit Transit Gateway und VPN-Gateway.
VPC-VPN in einem Arbeitsbereich ohne PER konfigurieren
- Definieren Sie das vom Client verwaltete Teilnetz im Adresspräfix für die VPC.
- Definieren Sie eine Routing-Tabelle mit Direct Link und VPN-Gateway.
- Hängen Sie Direct Link an das Teilnetz des Arbeitsbereichs an.
- Sie können ein Transit Gateway zusammen mit Direct Linkanhängen, es fallen jedoch zusätzliche Gebühren an.
Vorgehensweise
-
Erstellen Sie eine VPC-Ressource. Führen Sie die Schritte aus, die im Abschnitt VPC-Ressourcen über die IBM Cloud-Konsole erstellen dokumentiert sind.
-
Erstellen Sie ein Site-to-Site-VPN-Gateway in VPC. Führen Sie die im Abschnitt Informationen zu Site-to-Site-VPN-Gateways beschriebenen Schritte aus.
Verwenden Sie zum Erstellen einer VPN-Verbindung ein richtlinienbasiertes VPN.
-
Hängen Sie die VPN-Verbindung an den Power Virtual Server-Arbeitsbereich an. Verwenden Sie eine der folgenden Prozeduren, die Ihren Anforderungen entsprechen:
- Informationen zu einem für PER aktivierten Arbeitsbereich finden Sie unter Transit Gateway an einen PER-Arbeitsbereich anhängen.
- Informationen zu einem nicht für PER aktivierten Arbeitsbereich finden Sie unter IBM Cloud-Verbindungen erstellen.
Hinweise zur Konfiguration von VPC-VPN in einem Arbeitsbereich ohne PER
Um VPC VPN in einem Nicht-PER-Arbeitsbereich zu konfigurieren, müssen Sie die folgenden Punkte beachten:
- Verwenden Sie ein richtlinienbasiertes VPN in allen Konfigurationen der VPN-Verbindung.
- Fügen Sie die in Power Virtual Server erstellten Subnetze zur lokalen CIDR-Liste von IBM Cloud VPC und zur Peer-CIDR-Liste von VPC in Ihrer Client-verwalteten Umgebung hinzu.
- Aktivieren Sie das VPN-Gateway und die Verkehrsquelle für Direct Link und Transit Gateway im Fenster Verkehr bearbeiten, das sich in der Routing-Tabelle von IBM Cloud VPC befindet.
Wählen Sie Direct Link, das mit Transit Gateway aktiviert ist, oder deaktivieren Sie die Konfiguration für verschiedene Power Virtual Server Arbeitsbereiche, die sich in derselben Region befinden.
Wechseln von VPNaaS zum VPC VPN-Dienst
Um den VPC VPN-Dienst zu nutzen, müssen Sie von VPNaaS zum VPC VPN-Dienst wechseln. Das folgende Beispiel veranschaulicht die Schritte zum Einrichten der VPC-VPN-Verbindung und \Validieren des Wechsels von VPNaaS zum VPC-VPN-Dienst:
-
Erstellen Sie eine VPC-Verbindung im selben Rechenzentrum wie Power Virtual Server unter Verwendung desselben Kontos. Führen Sie die folgenden Konfigurationen durch:
- Die Standard-Routing-Tabelle muss durch Auswahl der Werte
VPN server
undVPN gateway
für die Option Akzeptiert Routen von konfiguriert werden. Diese Konfiguration ermöglicht den Verkehr zwischen den virtuellen Servern, die Mitglieder des VPC-Subnetzes sind, und den Geräten auf der entfernten Seite der VPN-Verbindung. - Erstellen Sie eine zweite Routing-Tabelle zur Auswahl von VPN-Server, VPN-Gateway und Transit Gateway. Wählen Sie unter Transit Gateway die Option Anzeigen an. Weitere Informationen finden Sie unter Erste Schritte mit Virtual Private Cloud(VPC).
- Die Standard-Routing-Tabelle muss durch Auswahl der Werte
-
Stellen Sie eine VPN-Verbindung zwischen dem VPC und der Gegenseite des bestehenden VPNaaS her. Beachten Sie die folgenden Hinweise:
- Verwenden Sie ein richtlinienbasiertes VPN in allen Konfigurationen der VPN-Verbindung.
- Die Subnetze für das Remote-VPN, die VPC und den Arbeitsbereich müssen unterschiedlich sein. Subnetze können nicht gemeinsam genutzt werden oder sich überschneiden.
- Fügen Sie die CIDRs des Arbeitsbereichs zur Liste der lokalen CIDRs der VPN-Verbindung hinzu.
- Fügen Sie die Arbeitsbereich-CIDRs zur Liste der Peer-CIDRs auf der VPNaaS hinzu.
Weitere Informationen zu den VPN-Optionen finden Sie unter Über Site-to-Site-VPN-Gateways.
-
Erstellen Sie eine Transit Gateway, indem Sie die folgenden Schritte ausführen:
- VPC zu Transit Gateway hinzufügen.
- Erstellen Sie unter der Registerkarte Routen eine Routing-Tabelle. Sie können die Liste der VPC, CIDR und die CIDR für die entfernte Seite des VPN sehen.
Weitere Informationen zu Transit Gateways finden Sie unter Erste Schritte mit IBM Cloud Transit Gateway.
Der Übergang zu VPC VPN kann unter der Voraussetzung beginnen, dass die folgende Liste zutrifft:
-
Die Verbindung zwischen einem virtuellen Server in der VPC und einem System auf der entfernten Seite des VPNs funktioniert.
-
Die CIDRs werden an das Transit Gateway weitergegeben.
Der Arbeitsbereich und die entfernte Seite des VPN sind nicht verbunden, bis der Übergang zum VPC VPN abgeschlossen ist.
-
Löschen Sie das Gateway VPNaaS. Sie müssen die VPNaaS auswählen, die mit dem Arbeitsbereich verbunden sind.
-
Migrieren Sie den Arbeitsbereich zu PER. Sie müssen die aktiven Cloud-Verbindungen entfernen, die mit dem Arbeitsbereich in anderen Teilnetzen verbunden sind. Weitere Informationen finden Sie unter Umstellung auf PER.
-
Verbinden Sie sich mit dem Transit Gateway, nachdem der Arbeitsbereich PER-aktiviert wurde.
-
Generieren Sie die Routing-Tabelle. Die CIDRs für den Arbeitsbereich werden zusammen mit den vorhandenen CIDRs aufgelistet.