IBM Cloud Docs
IBM Power Virtual Server VPN

IBM Power Virtual Server VPN

IBM Power Virtual Server 于 IBM 数据中心

IBM Power Virtual Server私有云 于 客户所在地

不推荐使用 Power Virtual Server VPN,并且 IBM 将在 2025 年 1 月 18 日之后不提供标准支持。 使用 IBM Cloud VPC VPN 创建新 VPN 连接。 对于现有 Power Virtual Server VPN 连接,建议在 2024 年 3 月之前升级到 VPC VPN,并在 2025 年 7 月 14 日结束服务。 如果在升级或迁移方面需要任何帮助,请开具 支持凭单 或与客户支持经理 (CSM) 联系。

创建 Power Virtual Server VPN

您可以将客户端管理环境中的虚拟专用网络 (VPN) 网关连接到 IBM Cloud™ VPN 网关,该网关在 Power Virtual Server VPN 服务中创建。 您可以使用 VPN 连接到 Power Virtual Server 专用网络,安全地完成工作,然后注销。 此功能为您提供客户机管理的位置与 Power Virtual Server之间的站点间 IP 安全性 (IPsec) VPN,以启用低成本安全连接。

通过 VPN 访问,您可以:

  • 确保与 IBM Cloud 服务的专用和低成本连接。
  • 使用安全 Shell (SSH) 和在客户机管理的主机上运行的其他客户机管理的应用程序,通过专用 IP 地址访问 Virtual Servers。

Power Virtual Server 基础结构由子网和虚拟服务器实例 (VSI) 组成。 您可以将 VPN 作为服务与现有 VSI 和专用网络配合使用。 要在专用网络上创建 VSI,请参阅 创建 Power Virtual Server配置和添加专用网络子网。 您可以使用 VPN 通过 VPN 隧道将“Power 虚拟服务器”工作空间安全地连接到客户机管理的环境中的网络。 有关更多信息,请参阅 连接到客户机管理的环境网络

一个用户帐户最多支持四个 VPN 连接。 每个数据中心最多支持 4 个用于 VPN 连接的策略 (IKE 和 IPsec)。 目前,Power Virtual Server的 VPN 在 DAL12,DAL13,FRA04,FRA05,LON04,LON06,MON01,OSA21,SAO01,SYD04,SYD05,TOR01和 TOK04 数据中心内受支持。 首次使用 Power Virtual Server 网络自动化服务时,可能会导致临时超时故障。 必须重试该操作,因为同一错误可能不会再次发生。

由于通过共享 VPN 网关连接时的带宽变化,性能会有所不同。 对于需要传输大量数据的工作负载,应考虑将站点间 VPN 配置与您自己的专用网关设备配合使用。 有关更多信息,请参阅 配置客户机管理的环境 VPN 网关

要了解有关将命令行界面 (CLI) 用于 VPN 连接的更多信息,请参阅 IBM Power Virtual Servers CLI 参考

使用 VPN 的 Power Virtual Server 工作空间支持

Power Virtual Server 支持来自同一帐户的多个工作空间。 但是,只有单个工作空间可以使用 VPN 连接。 如果要为同一帐户的多个工作空间配置 VPN 连接,请打开 服务凭单

在客户机管理的环境中连接到网络

您可以通过在 Power Virtual Server CLI 或 API 中执行以下步骤来配置 VPN 以连接到客户机管理的环境中的网络。

  1. 创建 IKE 策略
  2. 创建 IPsec 策略
  3. 创建 VPN 连接
  4. 在客户机管理的环境中配置兼容的 IPsec 网关持久 IKE 策略,IPsec 策略和 VPN 连接参数。

在客户机管理的环境中配置 VPN 网关

下一步是配置 VPN 网关对等设备,以便在客户端管理的环境中连接到 IBM Cloud VPN Gateway for Power Virtual Server 工作区。 配置取决于 VPN 网关的类型。 请参阅以下主题以获取详细信息。

Power Virtual Server不支持此部分中未列出的任何配置。 如果需要其他配置或可预测的性能,那么必须选择具有冗余 VPN 连接的 VPC 文档中的站点间 VPN 连接 中描述的配置。

检查安全连接状态

您可以通过在客户机管理的环境中执行从虚拟服务器实例到网络中的服务器的 ping 操作来测试连接。

创建 IKE 和 IPsec 策略

在创建 VPN 连接之前,必须设置 IKE 和 IPsec 策略。 IBM 提供缺省 IKE 和 IPsec 策略。 您还可以根据需求创建定制策略。

将 VPN IKE 策略添加到 VPN 连接

您可以使用缺省或定制 IKE 策略来定义将在 IKE 协商的阶段 1 期间使用的安全参数。 在此阶段中,将在 VPN 和对等设备之间交换凭证和安全策略,以相互认证并建立将用于 IKE 协商的阶段 2 的安全通信信道。

要创建 IKE 策略,请完成以下步骤:

  1. 转至 Power Virtual Server 用户界面,然后单击 VPN 连接

  2. 在“VPN 连接”页面中,单击 IKE 策略 以打开 IKE 策略 选项卡。

  3. 单击创建策略

  4. 在“新建 IKE 策略”页面中,输入以下详细信息:

    • 名称: 指定 IKE 策略的名称,例如 "powervs-vpn-ike1"。 名称的最大字符数为 47 个字符。
    • IKE 版本: 选择 IKE 版本。 有效值为 1、2。 IKE 策略版本 2 与基于策略的 VPN 连接不兼容。
    • 认证: 选择 IKE 策略的认证算法。 有效值为 "none","sha1","sha-256" 和 "sha-384"。
    • 加密: 选择 IKE 策略的加密算法。 有效值为 "3des-cbc","aes-128-cbc","aes-128-gcm","aes-192-cbc","aes-256-cbc","aes-256-gcm" 和 "des-cbc"。 使用 "aes-128-gcm" 或 "aes-256-gcm" 时,Authentication 选项必须设置为 "none"。
    • Diffie-Hellman (DH) 组: 选择 IKE 策略的 DH 组号。 有效值为 1,2,5,14,19,20 和 24。
    • 密钥生存期: 指定 IKE 策略的密钥生存期 (以秒计)。 有效值在 180-86400 秒范围内。
    • 预共享密钥:在客户端管理环境中,为网络指定 VPN 网关的验证密钥。

  5. 单击创建

要使用 CLI 创建,查看,更新或删除 IKE 策略,请参阅 VPN IKE 策略 的 CLI 参考。

示例 IKE 策略的显示如下所示。 对于 IKE 策略,未显示预共享密钥。

Ibmcloud pi vpn-ike-policy a757fb8d0a324e4abe0589bc17fbad7c
ID               a757fb8d0a324e4abe0589bc17fbad7c
Name             rs-ike-1
Version          2
Authentication   sha-256
Encryption       aes-256-cbc
Dh Group         2
Key Lifetime     28800

向 VPN 连接添加和配置 IPsec 策略

您可以使用缺省或定制 IPsec 策略来定义将在 IKE 协商的阶段 2 期间使用的安全参数。 在此阶段中,VPN 和对等设备使用在 IKE 协商的 1 阶段中建立的安全性关联来协商要发送的流量以及如何认证和加密该流量。

要创建 IPsec 策略,请完成以下步骤:

  1. 转至 Power Virtual Server 用户界面,然后单击 VPN 连接
  2. 在“VPN 连接”页面中,单击 IPsec 策略 以打开 IPsec 策略 选项卡。
  3. 单击创建策略
  4. 在“新建 IPsec 策略”页面中,输入以下详细信息:
    • 名称: 指定 IPsec 策略的名称,例如 "powervs-vpn-ipsec1"。 名称中的最大字符数为 47。
    • PFS: 启用“完美正向保密”,以更改用于频繁且自动加密和解密信息的密钥。
    • 认证: 选择 IPsec 策略的认证加密类型。 有效值为 "none","hmac-md5-96","hmac-sha-256-128","hmac-sha1-96"。
    • 加密: 选择 IPsec 策略的连接加密策略。 有效值为 "3des-cbc","aes-128-cbc","aes-128-gcm","aes-192-cbc","aes-192-gcm","aes-256-cbc","aes-256-gcm" 和 "des-cbc"。 使用 "aes-128-gcm","aes-192-gcm" 或 "aes-256-gcm" 值时,必须将 Authentication 选项设置为 "none"。
    • Diffie-Hellman (DH) 组: 选择 IPsec 策略的 DH 组号。 有效值为 1,2,5,14,19,20 和 24。
    • 密钥生存期: 指定 IPsec 策略的密钥生存期 (以秒计)。 有效值在 180-86400 秒范围内。
  5. 单击创建

要使用 CLI 创建,查看,更新或删除 IPsec 策略,请参阅 VPN IPsec 策略 的 CLI 参考。

示例 IPsec 策略的显示如下所示:

Ibmcloud pi vpn-ips-policy befd77bd25a04c388c43ccb3973966be
ID                        befd77bd25a04c388c43ccb3973966be
Name                      rs-ipsec-1
Authentication            hmac-sha-256-128
Encryption                aes-256-cbc
Dh Group                  2
Perfect Forward Secrecy   true
Key Lifetime              28800

创建 Power Virtual Server VPN 连接

先决条件: 必须在客户机管理的环境中的 Power Virtual Server 接口和对等子网中至少创建一个本地子网。 您可以通过 VPN 隧道连接客户机管理的环境和 Power Virtual Server 网络。 有关创建子网的指示信息,请参阅 配置和添加专用网络子网

要创建 VPN 连接,请完成以下步骤:

  1. 转至 Power Virtual Server 用户界面,然后单击 VPN 连接
  2. VPN 连接页面,单击创建连接
  3. 在“创建新的 VPN 连接”页面中,输入以下详细信息:
    • 连接名称:输入连接名称,如 "powervs-vpn-dallas"。
    • 对等网关地址:指定客户端管理环境中网络 VPN 网关的 IP 地址。
    • 预共享密钥:在客户端管理环境中为网络指定 VPN 网关的验证密钥。
    • IKE 策略: 使用缺省 IKE 策略或指定定制 IKE 策略以定义将在 IKE 协商的阶段 1 期间使用的安全性参数。
    • IPsec 策略: 使用缺省 IPsec 策略或指定定制 IPsec 策略以定义将在 IKE 协商的阶段 2 期间使用的安全性参数。
    • 方式: 选择 基于路由的方式基于策略的方式 以确定如何通过 VPN 隧道发送流量。 创建 VPN 连接后,无法编辑 VPN 连接的方式。
    • 本地子网:在 Power Virtual Server 工作区中指定一个或多个要通过 VPN 隧道连接的子网。
    • 对等子网: 在客户机管理的环境中指定要通过 VPN 隧道连接的网络中的一个或多个子网。
    • 失效对等检测: 显示 VPN 连接的失效对等检测设置。 您可以使用设置信息来检测死 IKE 同级。 显示这些设置仅供参考; 您无法修改这些设置。
  4. 查看估计费用,然后点击创建

您可以在创建 VPN 连接后编辑 VPN 连接选项。 单击要编辑的现有 VPN 连接,单击 编辑详细信息,然后修改选项。

要使用 CLI 创建,查看,更新或删除 VPN 连接,请参阅 VPN 连接 的 CLI 参考。

删除虚拟服务器实例时,它会删除专用网络 (子网) 和其他资源。 如果您考虑以下事项,将会有所帮助:

  • 必须先删除 VPN 连接,然后才能删除虚拟服务器实例。
  • 如果有多个虚拟服务器实例使用 Cloud Connection,并且您删除了一个虚拟服务器实例,那么可以从现有服务器实例中删除 Cloud Connection。

IKE 策略版本 2 与基于策略的 VPN 连接不兼容。 如果尝试将 IKE 策略版本 2 添加到基于策略的 VPN 连接,那么将显示错误。

示例 VPN 连接的显示如下所示:

ID                      1471c65163dd44daa969cf3edddd20a8
Name                    rs-vpc-vpn01
Status                  active
Mode                    route
Local Gateway Address   169.48.225.198
Peer Gateway Address    130.198.12.241
VPN Gateway Address     169.48.225.198
IKE Policy              ID: a757fb8d0a324e4abe0589bc17fbad7c, Name: rs-ike-1
IPSec Policy            ID: befd77bd25a04c388c43ccb3973966be, Name: rs-ipsec-1
Peer Subnets            10.245.0.0/27
Networks                cb36a4e8-23d1-4ddc-b6c0-cf640ae0456d
Dead Peer Detection     Action: restart, Interval: 10, Threshold: 5

将子网连接到 VPN 连接

如果创建包含 VPN 连接的 Power Virtual Server工作空间,那么还必须具有连接到 VPN 连接的本地子网和对等子网。 创建 VPN 连接时,请确保本地子网和对等子网连接到 VPN 连接。

要在共存的 VM 和 VPC 之间实现冗余,必须有两个子网连接到不同的 VPN。 这两个子网都必须是共存 VM 的一部分。

必须通过 VPN 连接路由 Power Virtual Server 专用网络子网,以允许通过专用网络访问 Power Virtual Server。 创建子网或编辑子网的详细信息时,可以将现有 VPN 连接附加到子网。

要将本地子网或对等子网创建,连接或拆离到 VPN 连接,请完成以下步骤:

  1. 转至 Power Virtual Server 用户界面,然后单击 VPN 连接
  2. 在“VPN 连接”页面中,单击要编辑的现有 VPN 连接。
  3. 在“VPN 连接详细信息”页面中,单击 连接其他 + 选项以连接其他本地子网和对等子网。 单击 拆离 以从 VPN 连接拆离现有本地子网和对等子网。

有关使用 CLI 连接或拆离子网的更多信息,请参阅 VPN 子网 的 CLI 参考。

除了 配置和添加专用网络子网 中指定的子网限制外,VPNaaS 还具有以下限制:

a. 不支持具有 10.xx.xx.xx/8 地址的子网。

b. 这些附加子网受到限制: 10.8.0.0/14 10.45.0.0/16 10.63.0.0/16 10.65.0.0/16 10.72.0.0/16 10.74.0.0/15 10.95.96.0/20 10.114.0.0/15 10.123.0.0/16 10.128.0.0/13 10.136.0.0/13 10.150.0.0/15 10.184.0.0/13 10.192.0.0/13 10.208.0.0/12 10.240.0.0/14 10.21.1.0/26 10.182.28.192/26

c. 在某些位置创建子网时,可能会收到“子网不可用”消息。 请选择其他子网以解决此问题。