IBM Cloud Docs
VPN 连接

VPN 连接

IBM Power Virtual Server 于 IBM 数据中心

IBM Power Virtual Server私有云 于 客户位置

IBM® Power® Virtual Server 提供强大的虚拟专用网 (VPN) 解决方案,该解决方案为具有不同网络需求的企业定制了安全性和无缝连接。 Power Virtual Server 的 VPN 在客户机管理的环境与部署在 IBM Cloud上的虚拟服务器实例之间建立专用和加密的通信通道。

有关创建 VPN 连接的更多信息,请参阅 创建虚拟专用 Cloud VPN 连接 建议

当前还支持以下不推荐使用的方法- 创建 Power Virtual Server VPN 连接 不推荐使用

创建虚拟专用 Cloud VPN 连接

通过使用虚拟私有云 (VPC) 提供的虚拟专用网 (VPN) 服务,您可以使用专用 VPN 实现单云体验,并实现更高的可靠性和高可用性。

如果您正在使用 Power Virtual Server VPN 即服务 (VPNaaS),我们建议您在 2024 年 3 月之前升级到 IBM Cloud VPC VPN。 Power Virtual Server VPNaaS 的服务结束时间为 2025 年 7 月 14 日。 在 2025 年 1 月 18 日之后,IBM 将不会为 Power Virtual Server VPNaaS 提供标准支持。 如需升级或迁移到 IBM Cloud VPC VPN 的帮助,请打开 支持票单 或与您的客户支持经理 (CSM) 联系。

完成 VPC VPN 设置后,您将获得以下优势:

  • 与 IBM Cloud 服务的专用和低成本连接。
  • 通过专用 IP 地址访问虚拟服务器实例。 您可以使用安全 Shell (SSH) 和在主机上运行的其他客户机管理的应用程序进行访问。

IBM Cloud 提供以下两个 VPN 选项:

  • VPN for VPC for site-to-site gateways,用于从客户机管理的环境安全地连接到 VPC,Power 和经典基础架构中的资源。
  • Client VPN for VPC,用于允许远程设备以安全方式秘密连接到 VPC 网络的客户机到站点服务器。

要了解有关 VPN 选项的更多信息,请参阅 VPNs for VPC 概述 上的 VPC 文档。

完成以下步骤以创建 VPC VPN 连接:

  1. 创建 VPC 资源。
  2. 在 VPC 中创建站点间 VPN 网关。
  3. 使用下列其中一种方法将 VPN 连接连接到 Power Virtual Server 工作空间:
    • 在电源边缘路由器 (PER) 工作区中使用 Transit Gateway。
    • 在非 PER 工作空间中使用云连接。

建议您在 VPC 与 Power Virtual Server之间创建直接云连接。 添加 Transit Gateway 是可行的,但会产生额外费用。 在支持 PER 的工作空间中不需要云连接设置。

体系结构图

在 PER 工作空间中配置 VPC VPN

PER
配置 VPC VPN* 在 PER
区中配置 VPC VPN*

  1. 在 VPC 的地址前缀中定义客户机管理的子网。
  2. 使用 Transit Gateway 和 VPN 网关定义路由表。

在非 PER 工作空间中配置 VPC VPN

非 PER
配置 VPC VPN* 在非 PER 工作区中配置 VPC VPN* 在非 PER 工作
配置 VPC VPN

  1. 在 VPC 的地址前缀中定义客户机管理的子网。
  2. 使用 Direct Link 和 VPN 网关定义路由表。
  3. 将 Direct Link 连接到工作空间子网。
  4. 您可以选择将 Transit Gateway 与 Direct Link一起连接,但会产生额外费用。

过程

  1. 创建 VPC 资源。 完成 使用 IBM Cloud 控制台创建 VPC 资源 中记录的步骤。

  2. 在 VPC 中创建站点间 VPN 网关。 完成 关于站点间 VPN 网关 中记录的步骤。

    要创建 VPN 连接,请使用基于策略的 VPN。

  3. 将 VPN 连接附加到 Power Virtual Server 工作空间。 使用下列其中一个符合您需求的过程:

在非 PER 工作空间中配置 VPC VPN 的注意事项

要在非 PER 工作区配置 VPC VPN,必须考虑以下几点:

  • 在 VPN 连接的所有配置中使用基于策略的 VPN。
  • 将 Power Virtual Server 中创建的子网添加到 IBM Cloud VPC 的本地 CIDR 列表和客户管理环境中 VPC 的对等 CIDR 列表中。
  • 在 IBM Cloud VPC 路由表中的“编辑流量”窗口中为 Direct Link 和 Transit Gateway 启用 VPN 网关和流量源。

选择通过 Transit Gateway 启用的 Direct Link,或禁用同一区域内不同 Power Virtual Server 工作区的配置。

从 VPNaaS 更改为 VPC VPN 服务

要使用 VPC VPN 服务,必须从 VPNaaS 切换到 VPC VPN 服务。 下面的示例说明了设置 VPC VPN 连接和验证从 VPNaaS 切换到 VPC VPN 服务的步骤:

  1. 使用相同账户,在与 Power Virtual Server 相同的数据中心创建 VPC 连接。 完成以下配置:

    1. 必须通过为 接受来自 选项选择 VPN serverVPN gateway 值来配置默认路由表。 这种配置允许作为 VPC 子网成员的虚拟服务器与 VPN 连接远端的设备之间进行通信。
    2. 创建第二个路由表,选择 VPN 服务器、VPN 网关和 Transit Gateway。 在 " Transit Gateway "下,选择“广告到”选项。 有关更多信息,请参阅 开始使用虚拟专用云(VPC)

  2. 在 VPC 和现有 VPNaaS 远端之间建立 VPN 连接。 请注意以下几点:

    1. 在 VPN 连接的所有配置中使用基于策略的 VPN。
    2. 远程 VPN、VPC 和工作区的子网必须不同。 子网不能共享或重叠。
    3. 将工作区 CIDR 添加到 VPN 连接的本地 CIDR 列表中。
    4. 将工作区 CIDR 添加到 VPNaaS 远端的对等 CIDR 列表中。

    有关 VPN 选项的更多信息,请参阅 关于站点到站点 VPN 网关

  3. 完成以下步骤,创建 Transit Gateway:

    1. 将 VPC 添加到 Transit Gateway。
    2. 路由选项卡下,生成路由表。 您可以看到 VPC 列表、CIDR 和 VPN 远端的 CIDR。

    有关转接网关的更多信息,请参阅 IBM Cloud Transit Gateway 入门

    假设以下清单属实,就可以开始向 VPC VPN 过渡:

    • VPC 上的虚拟服务器与 VPN 远端系统之间的连接正常。

    • CIDR 通过广告发布到 Transit Gateway。

      在完成向 VPC VPN 的所有过渡之前,工作区和 VPN 的远程端不会连接。

  4. 删除 VPNaaS 网关。 您必须选择附加到工作区的 VPNaaS 连接。

  5. 将工作区迁移到 PER。 您必须删除附加到其他子网工作区的活动云连接。 有关详细信息,请参阅 迁移到 PER

  6. 在工作区启用 PER 后连接 Transit Gateway。

  7. 生成路由表。 工作区的 CIDR 与现有的 CIDR 一起列出。

其他信息