IBM Cloud Docs
VPN 连接

VPN 连接

IBM Power Virtual Server 于 IBM 数据中心

IBM Power Virtual Server 私有云 于 客户位置

虚拟专用云(VPC)提供的虚拟专用网络(VPN)服务可为 IBM Cloud 服务提供专用和低成本的连接,从而提高可靠性和高可用性。 您可以使用主机上运行的安全外壳 (SSH) 和其他客户端管理应用程序,通过专用 IP 地址访问虚拟服务器实例。

IBM Cloud 提供以下两种 VPN 选项:

  • VPN for VPC 用于站点到站点网关,安全可靠地从客户管理的环境连接到 VPC、Power 和传统基础架构中的资源。
  • 客户端 VPN for VPC 用于客户端到站点服务器,允许远程设备以安全的方式秘密连接到 VPC 网络。

2025 年 7 月 14 日,Power Virtual Server VPNaaS 产品的使用寿命到期,不能再使用。 如果您正在使用 Power Virtual Server VPNaaS 产品,我们建议您转用 IBM Cloud VPC VPN,以避免 VPN 服务中断。 如需升级或迁移至 IBM Cloud VPC VPN 的帮助,请开立 支持票据或与客户支持经理 (CSM) 联系。

有关可用 VPN 选项的更多信息,请参阅 VPC 文档 VPN for VPC 概述

创建虚拟专用 Cloud VPN 连接

完成以下步骤创建 VPC VPN 连接:

  1. 创建 VPC 资源。
  2. 在 VPC 中创建站点到站点 VPN 网关。
  3. 使用以下方法之一将 VPN 连接附加到 Power Virtual Server 工作区:
    • 在 Power Edge Router (PER) 工作区使用 Transit Gateway。
    • 在非 PER 工作区中使用云连接。

建议在 VPC 和 Power Virtual Server 之间创建直接云连接。 添加 Transit Gateway 是可行的,但需要支付额外费用。 启用 PER 的工作区不需要云连接设置。

体系结构图

在 PER 工作区配置 VPC VPN

PER 架构图中的 VPC VPN
在 PER 工作区中配置 VPC VPN

  1. 在 VPC 的地址前缀中定义客户管理的子网。
  2. 通过 Transit Gateway 和 VPN 网关定义路由表。

在非 PER 工作区配置 VPC VPN

非 PER 架构图中的 VPC VPN
在非 PER 工作区中配置 VPC VPN

  1. 在 VPC 的地址前缀中定义客户管理的子网。
  2. 通过 Direct Link 和 VPN 网关定义路由表。
  3. 将 Direct Link 附加到工作区子网。
  4. 您可以选择在 Direct Link 的同时附上 Transit Gateway,但需要支付额外费用。

过程

  1. 创建 VPC 资源。 完成 使用 IBM Cloud 控制台创建 VPC 资源 中记录的步骤。

  2. 在 VPC 中创建站点到站点 VPN 网关。 完成“关于站点到站点 VPN 网关”中记录的步骤。

    要创建 VPN 连接,请使用基于策略的 VPN。

  3. 将 VPN 连接附加到 Power Virtual Server 工作区。 请根据自己的需要选择以下程序之一:

在非 PER 工作区配置 VPC VPN 的注意事项

要在非 PER 工作区配置 VPC VPN,必须考虑以下几点:

  • 在 VPN 连接的所有配置中使用基于策略的 VPN。
  • 将 Power Virtual Server 中创建的子网添加到 IBM Cloud VPC 的本地 CIDR 列表和客户管理环境中 VPC 的对等 CIDR 列表中。
  • 在 IBM Cloud VPC 路由表中的“编辑流量”窗口中为 Direct Link 和 Transit Gateway 启用 VPN 网关和流量源。

选择通过 Transit Gateway 启用的 Direct Link,或禁用同一区域内不同 Power Virtual Server 工作区的配置。

从 VPNaaS 更改为 VPC VPN 服务

要使用 VPC VPN 服务,必须从 VPNaaS 切换到 VPC VPN 服务。 下面的示例说明了设置 VPC VPN 连接和验证从 VPNaaS 切换到 VPC VPN 服务的步骤:

  1. 使用相同账户在 Power Virtual Server 的同一数据中心创建 VPC 连接。 完成以下配置:

    1. 必须通过选择 VPN serverVPN gateway接受来自选项的路线的值。 这种配置允许作为 VPC 子网成员的虚拟服务器与 VPN 连接远端的设备之间进行通信。
    2. 创建第二个路由表,选择 VPN 服务器、VPN 网关和 Transit Gateway。 在 Transit Gateway 下,选择“广告到”选项。 有关更多信息,请参阅 开始使用虚拟专用云(VPC)

  2. 在 VPC 和现有 VPNaaS 的远程端之间建立 VPN 连接。 请注意以下几点:

    1. 在 VPN 连接的所有配置中使用基于策略的 VPN。
    2. 远程 VPN、VPC 和工作区的子网必须不同。 子网不能共享或重叠。
    3. 将工作区 CIDR 添加到 VPN 连接的本地 CIDR 列表中。
    4. 将工作区 CIDR 添加到 VPNaaS 远端的对等 CIDR 列表中。

    有关 VPN 选项的更多信息,请参阅 关于站点到站点 VPN 网关

  3. 完成以下步骤,创建 Transit Gateway:

    1. 将 VPC 添加到 Transit Gateway。
    2. 路由选项卡下,生成路由表。 您可以看到 VPC 列表、CIDR 和 VPN 远端的 CIDR。

    有关转接网关的更多信息,请参阅 IBM Cloud Transit Gateway 入门

    假设以下清单属实,就可以开始向 VPC VPN 过渡:

    • VPC 上的虚拟服务器与 VPN 远端系统之间的连接正常。

    • CIDR 通过 Transit Gateway 发布。

      在完成向 VPC VPN 的所有过渡之前,工作区和 VPN 的远程端不会连接。

  4. 删除 VPNaaS 网关。 您必须选择附加到工作区的 VPNaaS 连接。

  5. 将工作区迁移到 PER。 您必须删除附加到其他子网工作区的活动云连接。 有关详细信息,请参阅 迁移到 PER

  6. 工作区启用 PER 后,连接到 Transit Gateway。

  7. 生成路由表。 工作区的 CIDR 与现有的 CIDR 一起列出。

其他信息