Connexions VPN
IBM Power Virtual Server dans IBM centre de données
IBM Power Virtual Server Cloud privé dans Site client
IBM® Power® Virtual Server offre une solution de réseau privé virtuel (VPN) robuste, adaptée à la sécurité et à la connectivité transparente pour les entreprises ayant des besoins de mise en réseau variés. Le VPN pour Power Virtual Server établit un canal de communication privé et chiffré entre l'environnement géré par le client et les instances de serveur virtuel déployées sur IBM Cloud.
Pour plus d'informations sur la création d'une connexion VPN, voir Création d'une connexion VPN Cloud VPN Recommandé
La méthode obsolète suivante est également prise en charge: Création d'une connexion VPN Power Virtual Server Obsolète
Création d'une connexion Cloud VPN
En utilisant le service Virtual Private Cloud (VPC) fourni par Virtual Private Network (VPN), vous pouvez utiliser un VPN dédié pour une expérience cloud unique et obtenir une fiabilité et une haute disponibilité améliorées.
Si vous utilisez le Power Virtual Server VPN en tant que service (VPNaaS), nous vous encourageons à passer au IBM Cloud VPC VPN avant mars 2024. La fin de service de Power Virtual Server VPNaaS est le 14 juillet 2025. IBM ne fournira pas la prise en charge standard de Power Virtual Server VPNaaS après le 18 janvier 2025. Pour obtenir de l'aide afin de mettre à niveau ou de migrer vers IBM Cloud VPC VPN, ouvrez un billet d'assistance ou contactez votre responsable de l'assistance à la clientèle (CSM).
Lorsque vous terminez la configuration du VPN VPC, vous bénéficiez des avantages suivants:
- Connectivité privée et à faible coût aux services IBM Cloud.
- Accès à vos instances de serveur virtuel via l'adresse IP privée. Vous pouvez utiliser Secure Shell (SSH) et d'autres applications gérées par le client qui s'exécutent sur votre hôte pour l'accès.
IBM Cloud offre les deux options VPN suivantes:
- VPN for VPC pour les passerelles de site à site permettant de se connecter en toute sécurité à partir d'un environnement géré par le client aux ressources de l'infrastructure VPC, Power et classique.
- Client VPN for VPC pour les serveurs client-site qui permettent aux appareils distants de se connecter secrètement au réseau VPC de manière sécurisée.
Pour en savoir plus sur les options VPN que vous obtenez, consultez la documentation VPC sur VPNs for VPC overview.
Procédez comme suit pour créer une connexion VPN VPC:
- Créez une ressource VPC.
- Créez une passerelle VPN de site à site dans VPC.
- Connectez la connexion VPN à l'espace de travail Power Virtual Server à l'aide de l'une des méthodes suivantes:
- Utilisez un site Transit Gateway dans un espace de travail Power Edge Router (PER).
- Utilisez une connexion au cloud dans un espace de travail non-PER.
Il est recommandé de créer une connexion de cloud directe entre le VPC et Power Virtual Server. L'ajout d'une Transit Gateway est faisable, mais elle entraîne des frais supplémentaires. La configuration de la connexion au cloud n'est pas requise dans un espace de travail compatible PER.
Diagramme d'architecture
Configuration du VPN VPC dans un espace de travail PER
- Définissez le sous-réseau géré par le client dans le préfixe d'adresse du VPC.
- Définissez une table de routage avec Transit Gateway et une passerelle VPN.
Configuration du VPN VPC dans un espace de travail non PER
- Définissez le sous-réseau géré par le client dans le préfixe d'adresse du VPC.
- Définissez une table de routage avec Direct Link et une passerelle VPN.
- Connectez Direct Link au sous-réseau de l'espace de travail.
- Vous pouvez choisir d'associer une Transit Gateway à Direct Link, mais cela entraîne des frais supplémentaires.
Procédure
-
Créez une ressource VPC. Effectuez les étapes décrites dans Utilisation de la console IBM Cloud pour créer des ressources VPC.
-
Créez une passerelle VPN de site à site dans VPC. Effectuez les étapes décrites dans A propos des passerelles VPN de site à site.
Pour créer une connexion VPN, utilisez un VPN basé sur des règles.
-
Connectez la connexion VPN à l'espace de travail Power Virtual Server. Utilisez l'une des procédures suivantes qui répond à vos besoins:
- Pour un espace de travail avec référentiel PER activé, voir: Association de Transit Gateway à un espace de travail PER.
- Pour un espace de travail non-PER activé, voir: Création de connexions IBM Cloud.
Remarques relatives à la configuration du VPN VPC dans un espace de travail non PER
Pour configurer le VPC VPN dans un espace de travail non-PER, vous devez tenir compte des points suivants :
- Utilisez un VPN basé sur des règles dans toutes les configurations de la connexion VPN.
- Ajoutez les sous-réseaux créés dans Power Virtual Server à la liste CIDR locale de IBM Cloud VPC et à la liste CIDR homologue de VPC dans votre environnement géré par le client.
- Activez la passerelle VPN et la source de trafic pour Direct Link et Transit Gateway dans la fenêtre Edit Traffic qui est présente dans la table de routage de IBM Cloud VPC.
Sélectionnez Direct Link qui est activé avec Transit Gateway ou désactivez la configuration pour différents espaces de travail Power Virtual Server qui se trouvent dans la même région.
Passer de VPNaaS au service VPC VPN
Pour utiliser le service VPC VPN, vous devez passer de VPNaaS au service VPC VPN. L'exemple suivant illustre les étapes de configuration de la connexion VPC VPN et de validation du passage de VPNaaS au service VPC VPN :
-
Créez une connexion VPC dans le même centre de données que le Power Virtual Server en utilisant le même compte. Effectuez les configurations suivantes :
- La table de routage par défaut doit être configurée en sélectionnant les valeurs
VPN serveretVPN gatewaypour l'option Accepte les routes de. Cette configuration permet le trafic entre les serveurs virtuels membres du sous-réseau VPC et les appareils situés du côté distant de la connexion VPN. - Créer une deuxième table de routage pour sélectionner le serveur VPN, la passerelle VPN et Transit Gateway. Sous Transit Gateway, sélectionnez l'option Advertise to. Pour plus d'informations, voir Démarrer avec un nuage privé virtuel(VPC).
- La table de routage par défaut doit être configurée en sélectionnant les valeurs
-
Établir une connexion VPN entre le VPC et le côté distant du VPNaaS existant. Tenez compte des considérations suivantes :
- Utilisez un VPN basé sur des règles dans toutes les configurations de la connexion VPN.
- Les sous-réseaux du VPN distant, du VPC et de l'espace de travail doivent être distincts. Les sous-réseaux ne peuvent pas être partagés ou se chevaucher.
- Ajouter les CIDR de l'espace de travail à la liste des CIDR locaux dans la connexion VPN.
- Ajouter les CIDRs de l'espace de travail à la liste des CIDRs du côté distant de VPNaaS.
Pour plus d'informations sur les options VPN, voir À propos des passerelles VPN site à site.
-
Créez un site Transit Gateway en suivant les étapes suivantes :
- Ajouter un VPC à Transit Gateway.
- Sous l'onglet Routes, générez une table de routage. Vous pouvez voir la liste des VPC, CIDR, et le CIDR pour le côté distant du VPN.
Pour plus d'informations sur les passerelles Transit Gateway, voir Démarrer avec IBM Cloud Transit Gateway.
La transition vers le VPC VPN peut commencer en supposant que la liste suivante est vraie :
-
La connectivité entre un serveur virtuel sur le VPC et un système sur le côté distant du VPN fonctionne.
-
Les CIDR sont annoncés jusqu'à la Transit Gateway
L'espace de travail et le côté distant du VPN ne sont pas connectés tant que la transition vers le VPC VPN n'est pas terminée.
-
Supprimer la passerelle VPNaaS. Vous devez sélectionner les connexions VPNaaS attachées à l'espace de travail.
-
Migrer l'espace de travail vers PER. Vous devez supprimer les connexions Cloud actives attachées à l'espace de travail sur d'autres sous-réseaux. Pour plus d'informations, voir Migrations vers PER.
-
Se connecter à la Transit Gateway après que l'espace de travail a été activé par PER.
-
Générer la table de routage. Les CIDR de l'espace de travail sont répertoriés avec les CIDR existants.