IBM Cloud Docs
IBM Power Virtual Server VPN

IBM Power Virtual Server VPN

IBM Power Virtual Server in IBM

IBM Power Virtual Server Private Cloud in Standort des Clients

Das Power Virtual Server-VPN wird nicht mehr verwendet und IBM stellt nach dem 18. Januar 2025 keine Standardunterstützung mehr bereit. Erstellen Sie Ihre neue VPN-Verbindung mit dem IBM Cloud VPC VPN. Für vorhandene VPN-Verbindungen Power Virtual Server wird ein Upgrade auf VPC-VPN vor März 2024 mit dem Ende des Servicezeitraums am 14. Juli 2025 empfohlen. Wenn Sie Unterstützung beim Upgrade oder bei der Migration benötigen, öffnen Sie ein Support-Ticket oder wenden Sie sich an Ihren Customer Support Manager (CSM).

Erstellen eines Power Virtual Server VPN

Sie können ein Virtual Private Network (VPN)-Gateway in Ihrer vom Client verwalteten Umgebung mit einem IBM Cloud™ VPN-Gateway verbinden, das innerhalb eines Power Virtual Server-VPN-Dienstes erstellt wurde. Über das VPN können Sie eine Verbindung zum privaten Netzwerk von Power Virtual Server herstellen, Ihre Arbeit sicher erledigen und sich abmelden. Diese Funktion bietet Ihnen Site-to-Site IP Security (IPsec) VPN zwischen Ihrem vom Client verwalteten Standort und Power Virtual Server, um eine kostengünstige sichere Verbindung zu ermöglichen.

Mit VPN-Zugriff verfügen Sie über folgende Möglichkeiten:

  • Gewährleistung privater und günstiger Verbindungen zu IBM Cloud-Services.
  • Greifen Sie über die private IP-Adresse auf Ihre Virtual Servers zu, indem Sie Secure Shell (SSH) und Ihre anderen vom Client verwalteten Anwendungen verwenden, die auf Ihrem vom Client verwalteten Host laufen.

Die Power Virtual Server-Infrastruktur besteht aus Teilnetzen und virtuellen Serverinstanzen (VSIs). Sie können ein VPN als Service mit Ihren bestehenden VSIs und privaten Netzen verwenden. Informationen zum Erstellen einer VSI in einem privaten Netz finden Sie unter Power Virtual Server und unter Teilnetz eines privaten Netzes konfigurieren und hinzufügen. Sie können VPN verwenden, um Ihren Arbeitsbereich "Power Virtual Server" über einen VPN-Tunnel sicher mit einem Netz in der vom Client verwalteten Umgebung zu verbinden. Weitere Informationen hierzu finden Sie unter Verbindung zum Netz Ihrer clientverwalteten Umgebung herstellen.

Für ein Benutzerkonto werden maximal vier VPN-Verbindungen unterstützt. In jedem Rechenzentrum werden maximal vier Richtlinien (IKE und IPsec) für eine VPN-Verbindung unterstützt. Derzeit wird VPN für Power Virtual Server in den Rechenzentren DAL12, DAL13, FRA04, FRA05, LON04, LON06, MON01, OSA21, SAO01, SYD04, SYD05, TOR01 und TOK04 unterstützt. Wenn Sie den Power Virtual Server-Netzautomatisierungsservice zum ersten Mal verwenden, kann dies zu einer temporären Zeitlimitüberschreitung führen. Sie müssen die Operation wiederholen, da derselbe Fehler möglicherweise nicht erneut auftritt.

Aufgrund Ihrer Bandbreitenvariation bei der Verbindung über ein gemeinsam genutztes VPN-Gateway variiert die Leistung. Für Workloads, die die Übertragung großer Datenmengen erfordern, sollten Sie die Verwendung einer Site-to-Site-VPN-Konfiguration mit Ihren eigenen dedizierten Gateway-Geräten in Betracht ziehen. Weitere Informationen finden Sie unter Clientverwaltetes VPN-Gateway konfigurieren.

Weitere Informationen zur Verwendung der Befehlszeilenschnittstelle (CLI) für VPN-Verbindungen finden Sie unter IBM Power Virtual Servers CLI Reference.

Power Virtual Server-Arbeitsbereichsunterstützung mit VPN

Power Virtual Server unterstützt mehrere Arbeitsbereiche für dasselbe Konto. Allerdings kann nur ein einziger Arbeitsbereich eine VPN-Verbindung nutzen. Wenn Sie eine VPN-Verbindung für mehrere Arbeitsbereiche für dasselbe Konto konfigurieren wollen, öffnen Sie ein Serviceticket.

Verbindung zu einem Netz in der vom Client verwalteten Umgebung herstellen

Sie können Ihr VPN für die Verbindung zu Ihrem Netz in der vom Client verwalteten Umgebung konfigurieren, indem Sie die folgenden Schritte in der Befehlszeilenschnittstelle oder API von Power Virtual Server ausführen.

  1. IKE-Richtlinie erstellen.
  2. IPsec-Richtlinie erstellen.
  3. VPN-Verbindung erstellen.
  4. Konfigurieren Sie Ihr IPsec-Gateway so, dass die IKE-Richtlinie, die IPsec-Richtlinie und die VPN-Verbindungsparameter in Ihrer Client-verwalteten Umgebung kompatibel sind.

VPN-Gateway in der vom Client verwalteten Umgebung konfigurieren

Der nächste Schritt besteht darin, Ihren VPN-Gateway-Peer so zu konfigurieren, dass er sich in der vom Client verwalteten Umgebung mit Ihrem IBM Cloud VPN Gateway for Power Virtual Server-Arbeitsbereich verbindet. Die Konfiguration hängt vom Typ des VPN-Gateways ab. Details finden Sie in den folgenden Abschnitten.

Alle Konfigurationen, die in diesem Abschnitt nicht aufgeführt sind, werden von Power Virtual Server nicht unterstützt. Wenn Sie eine andere Konfiguration oder eine vorhersehbare Leistung benötigen, müssen Sie sich für die Konfiguration entscheiden, die in Site-to-site VPN connectivity in der VPC-Dokumentation mit redundanten VPN-Verbindungen beschrieben ist.

Status der sicheren Verbindung überprüfen

Sie können die Verbindung testen, indem Sie einen Ping von einer virtuellen Serverinstanz zu einem Server im Netzwerk in Ihrer vom Client verwalteten Umgebung durchführen.

IKE- und IPsec-Richtlinien erstellen

Bevor Sie eine VPN-Verbindung erstellen, müssen Sie die IKE-und IPsec-Richtlinien definieren. Von IBM werden IKE- und IPsec-Standardrichtlinien bereitgestellt. Abhängig von Ihren Anforderungen können Sie auch angepasste Richtlinien erstellen.

VPN-IKE-Richtlinie zu VPN-Verbindung hinzufügen

Sie können Standardrichtlinien oder angepasste IKE-Richtlinien verwenden, um die Sicherheitsparameter zu definieren, die in Phase 1 der IKE-Vereinbarung verwendet werden. In dieser Phase werden Berechtigungsnachweise und Sicherheitsrichtlinien zwischen dem VPN und dem Peer-Gerät ausgetauscht, um sich gegenseitig zu authentifizieren und einen sicheren Kommunikationskanal zu erstellen, der für Phase 2 der IKE-Vereinbarung verwendet wird.

Führen Sie die folgenden Schritte aus, um eine IKE-Richtlinie zu erstellen:

  1. Rufen Sie die Benutzeroberfläche Power Virtual Server auf und klicken Sie auf VPN-Verbindungen.

  2. Klicken Sie auf der Seite VPN-Verbindungen auf IKE-Richtlinien , um die Registerkarte IKE-Richtlinien zu öffnen.

  3. Klicken Sie auf Richtlinie erstellen.

  4. Geben Sie auf der Seite Neue IKE-Richtlinie die folgenden Details ein:

    • Name: Geben Sie einen Namen für die IKE-Richtlinie an, beispielsweise 'powervs-vpn-ike1'. Der Name darf maximal 47 Zeichen lang sein.
    • IKE-Version: Wählen Sie die IKE-Version aus. Gültige Werte sind 1, 2. IKE-Richtlinienversion 2 ist nicht mit richtlinienbasierten VPN-Verbindungen kompatibel.
    • Authentifizierung: Wählen Sie den Authentifizierungsalgorithmus der IKE-Richtlinie aus. Gültige Werte sind 'none', 'sha1', 'sha-256', 'sha-384'.
    • Verschlüsselung: Wählen Sie den Verschlüsselungsalgorithmus der IKE-Richtlinie aus. Gültige Werte sind '3des-cbc', 'aes-128-cbc', 'aes-128-gcm', 'aes-192-cbc', 'aes-256-cbc', 'aes-256-gcm' und 'des-cbc '. Wenn Sie 'aes-128-gcm' oder 'aes-256-gcm' verwenden, muss die Option Authentifizierung auf 'none' gesetzt sein.
    • Diffie-Hellman-Gruppe (DH): Wählen Sie die DH-Gruppennummer der IKE-Richtlinie aus. Gültige Werte sind 1, 2, 5, 14, 19, 20, 24.
    • Lebensdauer des Schlüssels: Geben Sie die Schlüssellebensdauer der IKE-Richtlinie in Sekunden an. Der gültige Wert liegt im Bereich von 180 bis 86400 Sekunden.
    • Preshared Key: Geben Sie den Authentifizierungsschlüssel des VPN-Gateways für das Netzwerk in der Client-verwalteten Umgebung an.

  5. Klicken Sie auf Erstellen.

Informationen zum Erstellen, Anzeigen, Aktualisieren oder Löschen einer IKE-Richtlinie über die Befehlszeilenschnittstelle finden Sie in der CLI-Referenz für VPN IKE-Richtlinie.

Die Anzeige einer IKE-Beispielrichtlinie sieht wie folgt aus. Für eine IKE-Richtlinie wird der vorab verteilte Schlüssel nicht angezeigt.

Ibmcloud pi vpn-ike-policy a757fb8d0a324e4abe0589bc17fbad7c
ID               a757fb8d0a324e4abe0589bc17fbad7c
Name             rs-ike-1
Version          2
Authentication   sha-256
Encryption       aes-256-cbc
Dh Group         2
Key Lifetime     28800

IPsec-Richtlinie zu VPN-Verbindung hinzufügen und konfigurieren

Sie können die Standard- oder benutzerdefinierten IPsec-Richtlinien verwenden, um die Sicherheitsparameter zu definieren, die während Phase 2 der IKE-Aushandlung verwendet werden. In dieser Phase verwenden die VPN- und Peer-Geräte die Sicherheitsassoziation, die in Phase 1 der IKE-Verhandlung eingerichtet wurde, um auszuhandeln, welcher Verkehr gesendet werden soll und wie dieser Verkehr authentifiziert und verschlüsselt werden soll.

Führen Sie die folgenden Schritte aus, um eine IPsec-Richtlinie zu erstellen:

  1. Rufen Sie die Benutzeroberfläche Power Virtual Server auf und klicken Sie auf VPN-Verbindungen.
  2. Klicken Sie auf der Seite VPN-Verbindungen auf IPsec-Richtlinien , um die Registerkarte IPsec-Richtlinien zu öffnen.
  3. Klicken Sie auf Richtlinie erstellen.
  4. Geben Sie auf der Seite Neue IPsec-Richtlinie die folgenden Details ein:
    • Name: Geben Sie einen Namen für die IPsec-Richtlinie an, beispielsweise 'powervs-vpn-ipsec1'. Der Name darf maximal 47 Zeichen lang sein.
    • PFS: Aktivieren Sie "Perfect Forward Secrecy", um die Schlüssel zu ändern, die häufig und automatisch zum Ver-und Entschlüsseln von Informationen verwendet werden.
    • Authentifizierung: Wählen Sie den Authentifizierungsverschlüsselungstyp der IPsec-Richtlinie aus. Gültige Werte sind 'none', 'hmac-md5-96', 'hmac-sha-256-128', 'hmac-sha1-96'.
    • Verschlüsselung: Wählen Sie die Verbindungsverschlüsselungsrichtlinie der IPsec-Richtlinie aus. Gültige Werte sind '3des-cbc', 'aes-128-cbc', 'aes-128-gcm', 'aes-192-cbc', 'aes-192-gcm', 'aes-256-cbc', 'aes-256-gcm', 'des-cbc'. Wenn Sie den Wert 'aes-128-gcm', 'aes-192-gcm' oder 'aes-256-gcm' verwenden, muss die Option Authentifizierung auf 'none' gesetzt werden.
    • Diffie-Hellman-Gruppe (DH): Wählen Sie die DH-Gruppennummer der IPsec-Richtlinie aus. Gültige Werte sind 1, 2, 5, 14, 19, 20, 24.
    • Lebensdauer des Schlüssels: Geben Sie die Lebensdauer des Schlüssels für die IPsec-Richtlinie in Sekunden an. Der gültige Wert liegt im Bereich von 180 bis 86400 Sekunden.
  5. Klicken Sie auf Erstellen.

Informationen zum Erstellen, Anzeigen, Aktualisieren oder Löschen einer IPsec-Richtlinie über die Befehlszeilenschnittstelle finden Sie in der CLI-Referenz für VPN-IPsec-Richtlinie.

Eine IPsec-Beispielrichtlinie wird wie folgt angezeigt:

Ibmcloud pi vpn-ips-policy befd77bd25a04c388c43ccb3973966be
ID                        befd77bd25a04c388c43ccb3973966be
Name                      rs-ipsec-1
Authentication            hmac-sha-256-128
Encryption                aes-256-cbc
Dh Group                  2
Perfect Forward Secrecy   true
Key Lifetime              28800

Power Virtual Server-VPN-Verbindung erstellen

Voraussetzung: Sie müssen mindestens ein lokales Subnetz in der Schnittstelle Power Virtual Server und ein Peer-Subnetz in Ihrer Client-verwalteten Umgebung erstellen. Sie können Ihre vom Client verwaltete Umgebung und das Netz Power Virtual Server über den VPN-Tunnel verbinden. Anweisungen zum Erstellen eines Teilnetzes finden Sie in Teilnetz eines privaten Netzes konfigurieren und hinzufügen.

Führen Sie die folgenden Schritte aus, um eine VPN-Verbindung zu erstellen:

  1. Rufen Sie die Benutzeroberfläche Power Virtual Server auf und klicken Sie auf VPN-Verbindungen.
  2. Klicken Sie auf der Seite VPN-Verbindungen auf Verbindung erstellen.
  3. Geben Sie auf der Seite Neue VPN-Verbindung erstellen die folgenden Details ein:
    • Verbindungsname: Geben Sie einen Namen für die Verbindung ein, z. B. 'powervs-vpn-dallas'.
    • Adresse des Peer-Gateways: Geben Sie die IP-Adresse des VPN-Gateways für das Netzwerk in Ihrer Client-verwalteten Umgebung an.
    • Preshared Key: Geben Sie den Authentifizierungsschlüssel des VPN-Gateways für das Netzwerk in Ihrer Client-verwalteten Umgebung an.
    • IKE-Richtlinie: Verwenden Sie die IKE-Standardrichtlinie oder geben Sie eine angepasste IKE-Richtlinie an, um Sicherheitsparameter zu definieren, die während Phase 1 der IKE-Verhandlung verwendet werden.
    • IPsec-Richtlinie: Verwenden Sie die Standard-IPsec-Richtlinie oder geben Sie eine benutzerdefinierte IPsec-Richtlinie an, um die Sicherheitsparameter zu definieren, die während der Phase 2 der IKE-Aushandlung verwendet werden sollen.
    • Modus: Wählen Sie entweder Routenbasierter Modus oder Richtlinienbasierter Modus aus, um festzulegen, wie der Datenverkehr über den VPN-Tunnel gesendet wird. Sie können den Modus der VPN-Verbindung nicht bearbeiten, nachdem Sie die VPN-Verbindung erstellt haben.
    • Lokale Teilnetze: Geben Sie ein oder mehrere Teilnetze im Power Virtual Server-Arbeitsbereich an, die Sie über den VPN-Tunnel verbinden möchten.
    • Peer-Subnetze: Geben Sie ein oder mehrere Subnetze in dem Netzwerk in Ihrer vom Client verwalteten Umgebung an, die Sie über den VPN-Tunnel verbinden möchten.
    • Erkennung inaktiver Peers: Zeigt die Einstellungen für die Erkennung inaktiver Peers für die VPN-Verbindung an Sie können die Einstellungsinformationen verwenden, um einen inaktiven IKE-Peer zu erkennen. Diese Einstellungen werden nur zu Informationszwecken angezeigt; Sie können diese Einstellungen nicht ändern.
  4. Prüfen Sie die geschätzten Kosten und klicken Sie auf Erstellen.

Sie können die VPN-Verbindungsoptionen bearbeiten, nachdem eine VPN-Verbindung erstellt wurde. Klicken Sie auf die vorhandene VPN-Verbindung, die Sie bearbeiten möchten, klicken Sie auf Details bearbeitenund ändern Sie die Optionen.

Informationen zum Erstellen, Anzeigen, Aktualisieren oder Löschen einer VPN-Verbindung über die Befehlszeilenschnittstelle finden Sie in der CLI-Referenz für VPN-Verbindungen.

Wenn Sie eine virtuelle Serverinstanz löschen, werden die privaten Netze (Teilnetze) und andere Ressourcen gelöscht. Es wäre hilfreich, wenn Sie Folgendes berücksichtigen:

  • Sie müssen VPN-Verbindungen löschen, bevor Sie die virtuelle Serverinstanz löschen können.
  • Wenn mehrere virtuelle Serverinstanzen vorhanden sind, die die Cloudverbindung verwenden, und Sie eine löschen, können Sie die Cloudverbindung aus den vorhandenen Serverinstanzen löschen.

IKE-Richtlinienversion 2 ist nicht mit richtlinienbasierten VPN-Verbindungen kompatibel. Wenn Sie versuchen, eine IKE-Richtlinienversion 2 zu einer richtlinienbasierten VPN-Verbindung hinzuzufügen, wird ein Fehler angezeigt.

Eine Beispiel-VPN-Verbindung wird wie folgt angezeigt:

ID                      1471c65163dd44daa969cf3edddd20a8
Name                    rs-vpc-vpn01
Status                  active
Mode                    route
Local Gateway Address   169.48.225.198
Peer Gateway Address    130.198.12.241
VPN Gateway Address     169.48.225.198
IKE Policy              ID: a757fb8d0a324e4abe0589bc17fbad7c, Name: rs-ike-1
IPSec Policy            ID: befd77bd25a04c388c43ccb3973966be, Name: rs-ipsec-1
Peer Subnets            10.245.0.0/27
Networks                cb36a4e8-23d1-4ddc-b6c0-cf640ae0456d
Dead Peer Detection     Action: restart, Interval: 10, Threshold: 5

Teilnetze zu VPN-Verbindungen zuordnen

Wenn Sie einen Power Virtual Server s Arbeitsbereich erstellen, der VPN-Verbindungen enthält, müssen Sie auch lokale Subnetze und Peer-Subnetze haben, die mit der VPN-Verbindung verbunden sind. Stellen Sie beim Erstellen einer VPN-Verbindung sicher, dass ein lokales Teilnetz und ein Peerteilnetz an die VPN-Verbindung angehängt sind.

Um Redundanz zwischen der kolokalen VM und VPC zu erreichen, benötigen Sie zwei Teilnetze, die unterschiedlichen VPNs zugeordnet sind. Beide Teilnetze müssen Teil der kolokierenden VM sein.

Sie müssen Power Virtual Server private Netzteilnetze über VPN-Verbindungen weiterleiten, um den Zugriff auf Ihre Power Virtual Server über das private Netz zuzulassen. Wenn Sie ein Teilnetz erstellen oder Details eines Teilnetzes bearbeiten, können Sie dem Teilnetz eine vorhandene VPN-Verbindung zuordnen.

Gehen Sie wie folgt vor, um ein lokales Teilnetz oder ein Peerteilnetz für eine VPN-Verbindung zu erstellen, zuzuordnen oder abzuhängen:

  1. Rufen Sie die Benutzeroberfläche Power Virtual Server auf und klicken Sie auf VPN-Verbindungen.
  2. Klicken Sie auf der Seite VPN-Verbindungen auf eine vorhandene VPN-Verbindung, die Sie bearbeiten wollen.
  3. Klicken Sie auf der Seite VPN-Verbindungsdetails auf die Option Weiteres + anhängen , um weitere lokale Teilnetze und Peerteilnetze zuzuordnen. Klicken Sie auf Abhängen , um die vorhandenen lokalen Teilnetze und Peerteilnetze von der VPN-Verbindung abzuhängen.

Weitere Informationen zum Zuordnen oder Abhängen von Teilnetzen über die Befehlszeilenschnittstelle finden Sie in der CLI-Referenz für VPN-Teilnetze.

Zusätzlich zu den in Teilnetz eines privaten Netzes konfigurieren und hinzufügen angegebenen Teilnetzeinschränkungen gelten für VPNaaS die folgenden Einschränkungen:

a. Teilnetze mit 10.xx.xx.xx/8-Adresse werden nicht unterstützt.

b. Diese zusätzlichen Subnetze sind eingeschränkt: 10.8.0.0/14 10.45.0.0/16 10.63.0.0/16 10.65.0.0/16 10.72.0.0/16 10.74.0.0/15 10.95.96.0/20 10.114.0.0/15 10.123.0.0/16 10.128.0.0/13 10.136.0.0/13 10.150.0.0/15 10.184.0.0/13 10.192.0.0/13 10.208.0.0/12 10.240.0.0/14 10.21.1.0/26 10.182.28.192/26

c. Beim Erstellen von Teilnetzen an bestimmten Positionen erhalten Sie möglicherweise die Nachricht "Teilnetz nicht verfügbar". Wählen Sie ein anderes Teilnetz aus, um dieses Problem zu lösen.