IBM Cloud Docs
IBM Power Virtual Server VPN

IBM Power Virtual Server VPN

IBM Power Virtual Server in Centro dati IBM

IBM Power Virtual Server Cloud privato in Posizione del cliente

La VPN Power Virtual Server è obsoleta e IBM non fornirà il supporto standard dopo 18 gennaio 2025. Creare la nuova connessione VPN utilizzando la VPN IBM Cloud VPC. Per le connessioni VPN esistenti Power Virtual Server, l'aggiornamento alla VPN VPC viene incoraggiato prima di marzo 2024 con la fine del servizio il 14 luglio 2025. Se hai bisogno di assistenza per l'aggiornamento o la migrazione, apri un ticket di supporto o contatta il tuo CSM (Customer Support Manager).

Creazione di una VPN Power Virtual Server

È possibile collegare un gateway di rete privata virtuale (VPN) nell'ambiente gestito dal client a un gateway IBM Cloud™ VPN creato all'interno di un servizio Power Virtual Server VPN. Puoi utilizzare la VPN per collegarti alla rete privata Power Virtual Server, completare il tuo lavoro in modo sicuro e disconnetterti. Questa funzionalità ti offre una VPN di sicurezza IP site - to - site (IPsec) tra la tua ubicazione gestita dal client e Power Virtual Serverper abilitare la connettività sicura a basso costo.

Con l'accesso VPN, puoi:

  • Garantisci la connettività privata e a basso costo ai servizi IBM Cloud.
  • Accedi ai tuoi Virtual Servers attraverso l'indirizzo IP privato utilizzando SSH (Secure Shell) e altre tue applicazioni gestite dal client in esecuzione sul tuo host gestito dal client.

L'infrastruttura Power Virtual Server è composta da sottoreti e VSI (Virtual Server Instance). Puoi utilizzare VPN as a service con le tue VSI e reti private esistenti. Per creare una VSI su una rete privata, vedi Creazione di un Power Virtual Server e Configurazione e aggiunta di una sottorete di rete privata. Puoi utilizzare la VPN per collegare in modo sicuro il tuo spazio di lavoro Power Virtual Server a una rete nell'ambiente gestito dal client tramite un tunnel VPN. Per ulteriori informazioni, vedi Connessione alla tua rete dell'ambiente gestito dal client.

È supportato un massimo di quattro connessioni VPN per un account utente. Su ciascun data center sono supportate un massimo di quattro politiche (IKE e IPsec) per una connessione VPN. Attualmente, la VPN per i data center Power Virtual Serverè supportata in DAL12, DAL13, FRA04, FRA05, LON04, LON06, MON01, OSA21, SAO01, SYD04, SYD05, TOR01e TOK04. Quando si utilizza il servizio di automazione di rete Power Virtual Server per la prima volta, potrebbe verificarsi un errore di timeout temporaneo. È necessario ripetere l'operazione poiché lo stesso errore potrebbe non verificarsi di nuovo.

A causa della variazione della larghezza di banda durante la connessione tramite un gateway VPN condiviso, le prestazioni variano. Per i workload che richiedono il trasferimento di grandi volumi di dati, è necessario considerare l'utilizzo di una configurazione VPN site - to - site con i propri dispositivi gateway dedicati. Per ulteriori informazioni, vedi Configurazione del gateway VPN dell'ambiente gestito dal client.

Per ulteriori informazioni sull'utilizzo della CLI (command - line interface) per le connessioni VPN, vedi IBM Power Virtual Server's CLI Reference.

Power Virtual Server supporto spazio di lavoro con VPN

Power Virtual Server supporta più spazi di lavoro dallo stesso account. Tuttavia, solo un singolo spazio di lavoro può utilizzare una connessione VPN. Se si desidera configurare una connessione VPN per più spazi di lavoro per lo stesso account, aprire un Ticket di servizio.

Connessione a una rete nell'ambiente gestito dal client

Puoi configurare la tua VPN per connetterti alla tua rete nell'ambiente gestito dal client seguendo questa procedura nella CLI o API Power Virtual Server.

  1. Creare un criterio IKE.
  2. Creare un criterio IPsec.
  3. Creare una connessione VPN.
  4. Configura il tuo gateway IPsec che sopporta la politica IKE, la politica IPsec e i parametri di connessione VPN nel tuo ambiente gestito dal client che sono compatibili.

Configurazione del gateway VPN nell'ambiente gestito dal client

Il passo successivo consiste nel configurare il peer del gateway VPN per connettersi nell'ambiente gestito dal client all'area di lavoro IBM Cloud VPN Gateway for Power Virtual Server. La configurazione dipende dal tipo di gateway VPN. Per i dettagli, consultare i seguenti argomenti.

Le configurazioni non elencate in questa sezione non sono supportate da Power Virtual Server. Se hai bisogno di una configurazione diversa o di prestazioni prevedibili, devi optare per la configurazione descritta in Connettività VPN da sito a sito nella documentazione VPC con connessioni VPN ridondanti.

Controllo dello stato della connessione sicura

Puoi verificare la connessione eseguendo un ping da un'istanza del server virtuale a un server nella rete nel tuo ambiente gestito dal client.

Creazione di politiche IKE e IPsec

Prima di creare una connessione VPN, devi configurare le politiche IKE e IPsec. IBM fornisce le politiche IKE e IPsec predefinite. È anche possibile creare politiche personalizzate in base alle esigenze.

Aggiunta di una normativa VPN IKE a una connessione VPN

È possibile utilizzare le normative IKE predefinite o personalizzate per definire i parametri di sicurezza che verranno utilizzati durante la fase 1 della negoziazione IKE. In questa fase, le credenziali e le politiche di sicurezza vengono scambiate tra la VPN e il dispositivo peer per autenticarsi tra loro e stabilire un canale di comunicazione sicuro che verrà utilizzato per la fase 2 della negoziazione IKE.

Per creare un criterio IKE, completare i seguenti passaggi:

  1. Vai all'interfaccia utente Power Virtual Server e fai clic su Connessioni VPN.

  2. Nella pagina Connessioni VPN, fai clic su Politiche IKE per aprire la scheda Politiche IKE.

  3. Fai clic su Create Policy.

  4. Nella pagina Nuova politica IKE, immettere i seguenti dettagli:

    • Nome: specificare un nome per la politica IKE, ad esempio 'powervs-vpn-ike1'. Il numero massimo di caratteri per il nome è 47.
    • Versione IKE: selezionare la versione IKE. I valori validi sono 1, 2. La normativa IKE versione 2 non è compatibile con le connessioni VPN basate sulla normativa.
    • Autenticazione: selezionare l'algoritmo di autenticazione della politica IKE. I valori validi sono 'none', 'sha1', 'sha-256', 'sha-384'.
    • Codifica: selezionare l'algoritmo di codifica della politica IKE. I valori validi sono '3des-cbc', 'aes-128-cbc', 'aes-128-gcm', 'aes-192-cbc', 'aes-256-cbc', 'aes-256-gcm' e 'des-cbc '. Quando si utilizza 'aes-128-gcm' o 'aes-256-gcm', l'opzione Autenticazione deve essere impostata su 'none'.
    • Gruppo Diffie - Hellman (DH): selezionare il numero di gruppo DH della politica IKE. I valori validi sono 1, 2, 5, 14, 19, 20, 24.
    • Durata chiave: specificare la durata della chiave della normativa IKE in secondi. Il valore valido è compreso tra 180 e 86400 secondi.
    • Chiave preshared: Specificare la chiave di autenticazione del gateway VPN per la rete nell'ambiente gestito dal client.

  5. Fai clic su Crea.

Per creare, visualizzare, aggiornare o eliminare una normativa IKE utilizzando la CLI, vedi il riferimento CLI per la normativa IKE VPN.

La visualizzazione di una politica IKE di esempio è la seguente. La chiave precondivisa non viene visualizzata per una normativa IKE.

Ibmcloud pi vpn-ike-policy a757fb8d0a324e4abe0589bc17fbad7c
ID               a757fb8d0a324e4abe0589bc17fbad7c
Name             rs-ike-1
Version          2
Authentication   sha-256
Encryption       aes-256-cbc
Dh Group         2
Key Lifetime     28800

Aggiunta e configurazione di una politica IPsec a una connessione VPN

È possibile utilizzare le politiche IPsec predefinite o personalizzate per definire i parametri di sicurezza che verranno utilizzati durante la fase 2 della negoziazione IKE. In questa fase, i dispositivi VPN e peer utilizzano l'associazione di sicurezza stabilita durante la fase 1 della negoziazione IKE per negoziare quale traffico inviare e come autenticare e codificare tale traffico.

Per creare un criterio IPsec, completare i seguenti passaggi:

  1. Vai all'interfaccia utente Power Virtual Server e fai clic su Connessioni VPN.
  2. Nella pagina Connessioni VPN, fare clic su Politiche IPsec per aprire la scheda Politiche IPsec.
  3. Fai clic su Create Policy.
  4. Nella pagina Nuova politica IPsec, immettere i seguenti dettagli:
    • Nome: specificare un nome per la politica IPsec, ad esempio 'powervs-vpn-ipsec1'. Il numero massimo di caratteri nel nome è 47.
    • PFS: Abilitare Perfect Forward Secrecy che modifica le chiavi utilizzate per codificare e decodificare le informazioni frequentemente e automaticamente.
    • Autenticazione: selezionare il tipo di codifica di autenticazione della politica IPsec. I valori validi sono 'none', 'hmac-md5-96', 'hmac-sha-256-128', 'hmac-sha1-96'.
    • Codifica: selezionare la politica di codifica della connessione della Politica IPSec. I valori validi sono '3des-cbc', 'aes-128-cbc', 'aes-128-gcm', 'aes-192-cbc', 'aes-192-gcm', 'aes-256-cbc', 'aes-256-gcm', 'des-cbc '. Quando si utilizza il valore 'aes-128-gcm', 'aes-192-gcm' o 'aes-256-gcm', l'opzione Autenticazione deve essere impostata su 'none'.
    • gruppo Diffie - Hellman (DH): selezionare il numero del gruppo DH della politica IPsec. I valori validi sono 1, 2, 5, 14, 19, 20, 24.
    • Durata chiave: specificare la durata della chiave della politica IPsec in secondi. Il valore valido è compreso tra 180 e 86400 secondi.
  5. Fai clic su Crea.

Per creare, visualizzare, aggiornare o eliminare una politica IPsec utilizzando la CLI, vedi il riferimento CLI per la politica IPsec VPN.

La visualizzazione di una politica IPsec di esempio è la seguente:

Ibmcloud pi vpn-ips-policy befd77bd25a04c388c43ccb3973966be
ID                        befd77bd25a04c388c43ccb3973966be
Name                      rs-ipsec-1
Authentication            hmac-sha-256-128
Encryption                aes-256-cbc
Dh Group                  2
Perfect Forward Secrecy   true
Key Lifetime              28800

Creazione della connessione VPN Power Virtual Server

Prerequisito: devi creare almeno una sottorete locale nell'interfaccia Power Virtual Server e una sottorete peer nel tuo ambiente gestito dal client. Puoi connettere il tuo ambiente gestito dal client e la rete Power Virtual Server attraverso il tunnel VPN. Per istruzioni sulla creazione di una sottorete, vedi Configurazione e aggiunta di una sottorete di rete privata.

Per creare una connessione VPN, completare i seguenti passaggi:

  1. Vai all'interfaccia utente Power Virtual Server e fai clic su Connessioni VPN.
  2. Nella pagina Connessioni VPN, fai clic su Crea connessione.
  3. Nella pagina Crea una nuova connessione VPN, immettere i seguenti dettagli:
    • Nome della connessione: inserire un nome per la connessione, ad esempio "powervs-vpn-dallas".
    • Indirizzo del gateway peer: Specificare l'indirizzo IP del gateway VPN per la rete nell'ambiente gestito dal client.
    • Chiave preshared: Specificare la chiave di autenticazione del gateway VPN per la rete nell'ambiente gestito dal client.
    • Normativa IKE: utilizzare la normativa IKE predefinita o specificare una normativa IKE personalizzata per definire i parametri di sicurezza che verranno utilizzati durante la fase 1 della negoziazione IKE.
    • Politica IPsec: utilizzare la politica IPsec predefinita o specificare una politica IPsec personalizzata per definire i parametri di sicurezza che verranno utilizzati durante la fase 2 della negoziazione IKE.
    • Modalità: selezionare Modalità basata sull'instradamento o Modalità basata sulla normativa per determinare il modo in cui il traffico viene inviato tramite il tunnel VPN. Non è possibile modificare la modalità della connessione VPN dopo aver creato la connessione VPN.
    • Sottoreti locali: Specificare una o più sottoreti nell'area di lavoro di Power Virtual Server che si desidera collegare attraverso il tunnel VPN.
    • Sottoreti peer: specifica una o più sottoreti nella rete nel tuo ambiente gestito dal client che vuoi connettere tramite il tunnel VPN.
    • Rilevamento peer inattivo: mostra le impostazioni di rilevamento peer inattivo per la connessione VPN. Puoi utilizzare le informazioni sulle impostazioni per rilevare un peer IKE inattivo. Queste impostazioni vengono visualizzate solo a scopo informativo; non è possibile modificarle.
  4. Rivedere il costo stimato e fare clic su Crea.

È possibile modificare le opzioni di connessione VPN dopo aver creato una connessione VPN. Fare clic sulla connessione VPN esistente che si desidera modificare, selezionare Modifica dettagli e modificare le opzioni.

Per creare, visualizzare, aggiornare o eliminare una connessione VPN utilizzando la CLI, consulta il riferimento CLI per Connessioni VPN.

Quando elimini un'istanza del server virtuale, elimina le reti private (sottoreti) e altre risorse. Sarebbe utile se si considerasse quanto segue:

  • È necessario eliminare le connessioni VPN prima di eliminare l'istanza del server virtuale.
  • Quando ci sono più istanze del server virtuale che utilizzano la connessione cloud e ne elimini una, puoi eliminare la connessione cloud dalle istanze del server esistenti.

La normativa IKE versione 2 non è compatibile con le connessioni VPN basate sulla normativa. Se si tenta di aggiungere una normativa IKE versione 2 ad una connessione VPN basata sulla normativa, viene visualizzato un messaggio di errore.

La visualizzazione di una connessione VPN di esempio è la seguente:

ID                      1471c65163dd44daa969cf3edddd20a8
Name                    rs-vpc-vpn01
Status                  active
Mode                    route
Local Gateway Address   169.48.225.198
Peer Gateway Address    130.198.12.241
VPN Gateway Address     169.48.225.198
IKE Policy              ID: a757fb8d0a324e4abe0589bc17fbad7c, Name: rs-ike-1
IPSec Policy            ID: befd77bd25a04c388c43ccb3973966be, Name: rs-ipsec-1
Peer Subnets            10.245.0.0/27
Networks                cb36a4e8-23d1-4ddc-b6c0-cf640ae0456d
Dead Peer Detection     Action: restart, Interval: 10, Threshold: 5

Collegamento delle sottoreti alle connessioni VPN

se crei uno spazio di lavoro Power Virtual Serverche contiene connessioni VPN, devi anche avere sottoreti locali e sottoreti peer connesse alla connessione VPN. Quando crei una connessione VPN, assicurati che una sottorete locale e una sottorete peer siano collegate alla connessione VPN.

Per ottenere la ridondanza tra la VM colocated e VPC, devi avere due sottoreti collegate a VPN differenti. Entrambe queste sottoreti devono far parte della VM colocated.

Devi instradare le sottoreti di rete privata Power Virtual Server sulle connessioni VPN per consentire l'accesso alla tua Power Virtual Server sulla rete privata. Quando crei una sottorete o modifichi i dettagli di una sottorete, puoi collegare una connessione VPN esistente alla sottorete.

Per creare, collegare o scollegare una sottorete locale o una sottorete peer a una connessione VPN, completa la seguente procedura:

  1. Vai all'interfaccia utente Power Virtual Server e fai clic su Connessioni VPN.
  2. Nella pagina Connessioni VPN, fare clic su una connessione VPN esistente che si desidera modificare.
  3. Sulla pagina VPN connection details, fai clic sull'opzione Attach other + per collegare altre sottoreti locali e peer. Fai clic su Scollega per scollegare le sottoreti locali e peer esistenti dalla connessione VPN.

Per ulteriori informazioni sul collegamento o lo scollegamento delle sottoreti utilizzando la CLI, vedi il riferimento della CLI per le sottoreti VPN.

Oltre alle restrizioni di sottorete specificate in Configurazione e aggiunta di una sottorete di rete privata, VPNaaS ha le seguenti limitazioni:

a. Le sottoreti con indirizzo 10.xx.xx.xx/8 non sono supportate.

b. Queste sottoreti aggiuntive sono limitate: 10.8.0.0/14 10.45.0.0/16 10.63.0.0/16 10.65.0.0/16 10.72.0.0/16 10.74.0.0/15 10.95.96.0/20 10.114.0.0/15 10.123.0.0/16 10.128.0.0/13 10.136.0.0/13 10.150.0.0/15 10.184.0.0/13 10.192.0.0/13 10.208.0.0/12 10.240.0.0/14 10.21.1.0/26 10.182.28.192/26

c. Potresti ricevere un messaggio "sottorete non disponibile" durante la creazione di sottoreti in determinate ubicazioni. Scegliere una sottorete differente per risolvere questo problema.