VPN 连接
IBM Power Virtual Server 于 IBM 数据中心
IBM Power Virtual Server私有云 于 客户所在地
IBM® Power® Virtual Server 提供强大的虚拟专用网 (VPN) 解决方案,该解决方案为具有不同网络需求的企业定制了安全性和无缝连接。 Power Virtual Server 的 VPN 在客户机管理的环境与部署在 IBM Cloud上的虚拟服务器实例之间建立专用和加密的通信通道。
有关创建 VPN 连接的更多信息,请参阅 创建虚拟专用 Cloud VPN 连接 建议
当前还支持以下不推荐使用的方法- 创建 Power Virtual Server VPN 连接 不推荐使用
创建虚拟专用 Cloud VPN 连接
通过使用虚拟私有云 (VPC) 提供的虚拟专用网 (VPN) 服务,您可以使用专用 VPN 实现单云体验,并实现更高的可靠性和高可用性。
如果您正在使用 Power Virtual Server VPN 即服务 (VPNaaS),我们建议您在 2024 年 3 月之前升级到 IBM Cloud VPC VPN。 Power Virtual Server VPNaaS 的服务结束时间为 2025 年 7 月 14 日。 在 2025 年 1 月 18 日之后,IBM 将不会为 Power Virtual Server VPNaaS 提供标准支持。 如需升级或迁移到 IBM Cloud VPC VPN 的帮助,请打开 支持票单 或与您的客户支持经理 (CSM) 联系。
完成 VPC VPN 设置后,您将获得以下优势:
- 与 IBM Cloud 服务的专用和低成本连接。
- 通过专用 IP 地址访问虚拟服务器实例。 您可以使用安全 Shell (SSH) 和在主机上运行的其他客户机管理的应用程序进行访问。
IBM Cloud 提供以下两个 VPN 选项:
- VPN for VPC for site-to-site gateways,用于从客户机管理的环境安全地连接到 VPC,Power 和经典基础架构中的资源。
- Client VPN for VPC,用于允许远程设备以安全方式秘密连接到 VPC 网络的客户机到站点服务器。
要了解有关 VPN 选项的更多信息,请参阅 VPNs for VPC 概述 上的 VPC 文档。
完成以下步骤以创建 VPC VPN 连接:
- 创建 VPC 资源。
- 在 VPC 中创建站点间 VPN 网关。
- 使用下列其中一种方法将 VPN 连接连接到 Power Virtual Server 工作空间:
- 在电源边缘路由器 (PER) 工作区中使用 Transit Gateway。
- 在非 PER 工作空间中使用云连接。
建议您在 VPC 与 Power Virtual Server之间创建直接云连接。 添加 Transit Gateway 是可行的,但会产生额外费用。 在支持 PER 的工作空间中不需要云连接设置。
体系结构图
在 PER 工作空间中配置 VPC VPN
- 在 VPC 的地址前缀中定义客户机管理的子网。
- 使用 Transit Gateway 和 VPN 网关定义路由表。
在非 PER 工作空间中配置 VPC VPN
- 在 VPC 的地址前缀中定义客户机管理的子网。
- 使用 Direct Link 和 VPN 网关定义路由表。
- 将 Direct Link 连接到工作空间子网。
- 您可以选择将 Transit Gateway 与 Direct Link一起连接,但会产生额外费用。
过程
-
创建 VPC 资源。 完成 使用 IBM Cloud 控制台创建 VPC 资源 中记录的步骤。
-
在 VPC 中创建站点间 VPN 网关。 完成 关于站点间 VPN 网关 中记录的步骤。
要创建 VPN 连接,请使用基于策略的 VPN。
-
将 VPN 连接附加到 Power Virtual Server 工作空间。 使用下列其中一个符合您需求的过程:
- 对于支持 PER 的工作空间,请参阅: 将 Transit Gateway 连接到 PER 工作空间。
- 对于未启用 PER 的工作空间,请参阅: 创建 IBM Cloud 连接。
在非 PER 工作空间中配置 VPC VPN 的注意事项
要在非 PER 工作区配置 VPC VPN,必须考虑以下几点:
- 在 VPN 连接的所有配置中使用基于策略的 VPN。
- 将 Power Virtual Server 中创建的子网添加到 IBM Cloud VPC 的本地 CIDR 列表和客户管理环境中 VPC 的对等 CIDR 列表中。
- 在 IBM Cloud VPC 路由表中的“编辑流量”窗口中为 Direct Link 和 Transit Gateway 启用 VPN 网关和流量源。
选择通过 Transit Gateway 启用的 Direct Link,或禁用同一区域内不同 Power Virtual Server 工作区的配置。
从 VPNaaS 更改为 VPC VPN 服务
要使用 VPC VPN 服务,必须从 VPNaaS 切换到 VPC VPN 服务。 下面的示例说明了设置 VPC VPN 连接和验证从 VPNaaS 切换到 VPC VPN 服务的步骤:
-
使用相同账户,在与 Power Virtual Server 相同的数据中心创建 VPC 连接。 完成以下配置:
- 必须通过为 接受来自 选项选择
VPN server
和VPN gateway
值来配置默认路由表。 这种配置允许作为 VPC 子网成员的虚拟服务器与 VPN 连接远端的设备之间进行通信。 - 创建第二个路由表,选择 VPN 服务器、VPN 网关和 Transit Gateway。 在 " Transit Gateway "下,选择“广告到”选项。 有关更多信息,请参阅 开始使用虚拟专用云(VPC)。
- 必须通过为 接受来自 选项选择
-
在 VPC 和现有 VPNaaS 远端之间建立 VPN 连接。 请注意以下几点:
- 在 VPN 连接的所有配置中使用基于策略的 VPN。
- 远程 VPN、VPC 和工作区的子网必须不同。 子网不能共享或重叠。
- 将工作区 CIDR 添加到 VPN 连接的本地 CIDR 列表中。
- 将工作区 CIDR 添加到 VPNaaS 远端的对等 CIDR 列表中。
有关 VPN 选项的更多信息,请参阅 关于站点到站点 VPN 网关。
-
完成以下步骤,创建 Transit Gateway:
- 将 VPC 添加到 Transit Gateway。
- 在路由选项卡下,生成路由表。 您可以看到 VPC 列表、CIDR 和 VPN 远端的 CIDR。
有关转接网关的更多信息,请参阅 IBM Cloud Transit Gateway 入门。
假设以下清单属实,就可以开始向 VPC VPN 过渡:
-
VPC 上的虚拟服务器与 VPN 远端系统之间的连接正常。
-
CIDR 通过广告发布到 Transit Gateway。
在完成向 VPC VPN 的所有过渡之前,工作区和 VPN 的远程端不会连接。
-
删除 VPNaaS 网关。 您必须选择附加到工作区的 VPNaaS 连接。
-
将工作区迁移到 PER。 您必须删除附加到其他子网工作区的活动云连接。 有关详细信息,请参阅 迁移到 PER。
-
在工作区启用 PER 后连接 Transit Gateway。
-
生成路由表。 工作区的 CIDR 与现有的 CIDR 一起列出。