IBM Cloud Docs
网络架构图

网络架构图

IBM Power Virtual Server 于 IBM 数据中心

本主题描述了在 IBM® Power® Virtual Server 网络架构中使用的典型网络架构,并非 Power Virtual Server 连接方法的详尽列表。

Power Virtual Server 网络环境

创建 Power Virtual Server 时,您可以选择专用或公共网络接口。 更多信息,请参阅 公共和专用网络

Power Virtual Server 网络架构由以下一个或多个网络组成:

  • IBM Cloud基础架构网络:虽然以下基础架构网络环境提供不同的功能并单独管理,但它们可以相互连接,以提供 layer-3 IPv4 流量:
    • 经典:传统网络资源包括 VLAN、子网和 SSL 虚拟专用网络 (VPN) 访问。 有关经典网络组件的描述,请参阅 网络安全体系结构。 不支持自带 IP (BYOIP)。
    • 虚拟专用云(VPC):VPC 网络资源包括子网、浮动 IP 地址、安全组和 VPN 网关。 有关更多信息,请参阅 关于联网。 有关 VPC 网络连接的一小时课程,请参阅 IBM Cloud VPC。 支持 BYOIP。
    • IBM 电源:网络资源包括子网。 支持 BYOIP。
  • 覆盖网络:这些网络存在于IBM Cloud VMware共享和VMware专用产品中。 虽然在技术上托管在 IBM Cloud 经典基础架构环境中,但这些网络是在 VMware NSX 中实施的,并由您直接控制,包括 IP 寻址模式。 支持 BYOIP。 因此,IBM Cloud 基础设施网络无法路由覆盖网络;只能通过隧道访问。
  • 外部网络

    • 互联网:通过三个 IBM Cloud基础设施环境中任何一个托管的资源访问互联网。

    • 远程:将远程网络连接到IBM Cloud网络。 您可以使用以下服务连接远程网络:

      • 互联网 VPN:使用公共互联网通过 VPN 连接远程网络及其 IBM Cloud网络。 VPN 终止于网关设备或 IBM Cloud 中的服务。
      • Direct Link:Direct Link是一套产品,可在您的远程私有云网络和IBM Cloud之间创建直接的私有连接,而无需穿越公共互联网。 有关更多信息,请 参阅 IBM Cloud Direct Link(2.0)入门

      您可以将 Direct Links 连接到本地或远程 IBM Cloud Transit Gateway 上,这样私有云网络就可以访问连接到 IBM Cloud Transit Gateway 的所有网络。

电源边缘路由器

电源边缘路由器 (PER) 是一种高性能路由器,可为 IBM® Power® Virtual Server 用户提供高级路由功能。 有关详细信息,请参阅 开始使用 Power Edge 路由器

电源边缘路由器使用案例

使用支持电源边缘路由器 (PER) 的工作区有以下好处:

  • 通过 400 Gbps 的聚合带宽提高性能。
  • 从 Power Virtual Server 工作区直接访问 IBM Cloud服务。
  • 使用 Direct Link 连接或 Direct Link 专用,从客户端管理的环境直接访问 Power Virtual Server。

以下是启用了 PER 的 Power Virtual Server 工作区的一些使用案例:

  1. 连接客户管理的数据中心
  2. 连接到经典基础设施
  3. 连接到虚拟专用云
  4. 连接到 IBM Cloud服务
  5. 连接多个工作区

这些用例具有基本功能,并可根据具体要求进行定制。

连接客户管理的数据中心

在此描述中,客户管理的数据中心使用 Direct Link 连接连接到 Transit Gateway。

  1. 您可以将启用 PER 的 Power Virtual Server 工作区附加到 Transit Gateway 上。 Transit Gateway通过边界网关协议(BGP)路由协议,通过传入的 Direct Link连接,实现与客户管理的数据中心的连接。 Direct Link 连接通过 Transit Gateway 互联。

    使用 Transit Gateway 将客户机管理的工作区与启用了 PER 的 Power Virtual Server 连接
    使用 Transit Gateway 将客户机管理的工作区与启用了 PER 的 Power Virtual Server 连接。

  2. 您需要为 Direct Link 连接付费,该连接用于将客户机管理的环境与 Transit Gateway 连接起来。 您最多可以在本地 Transit Gateway 上使用 4 个连接,而无需支付任何费用。 有关 Transit Gateway 定价的更多信息,请参阅:电源边缘路由器的定价

  3. 您可以通过 Transit Gateway 附加位于不同 IBM Cloud 账户中的启用 PER 的 Power Virtual Server 工作区。 Transit Gateway 可通过传入的 Direct Link 连接实现与客户管理的数据中心的连接。

Connecting two IBM Cloud Accounts with a PER and Global Transit Gateway
Connecting two IBM Cloud Accounts with a PER and Global Transit Gateway.

连接经典基础设施

通过 Transit Gateway 的本地路由,在启用 PER 的 Power Virtual Server 工作区和传统基础架构之间建立连接。

您无需为 Transit Gateway 支付额外费用。 要建立连接,必须满足以下条件:

  • 工作区和经典基础架构必须位于同一区域。

  • 工作区必须连接到 Transit Gateway 上。

有关 Transit Gateway 定价的更多信息,请参阅:电源边缘路由器的定价

Connecting PER workspace with classic with custom IP
Connecting PER workspace with classic.

根据通用路由封装(GRE)隧道的要求,将传统基础架构连接到支持 PER 的工作区的以下两种方案有所不同:

  • 什么情况下不需要 GRE 隧道?

    从启用 PER 的工作区与传统基础设施建立连接,以及在工作区没有自定义 IP 地址时建立连接,都不需要 GRE 通道。

连接 PER 和 Transit Gateway,无需 GRE 隧道。
Connecting PER and Transit Gateway without a GRE tunnel.

  • 何时需要 GRE 隧道?

从已启用 PER 的Power Virtual Server工作区到配置为使用自定义 IP 地址范围的经典基础架构环境,需要使用 GRE 隧道建立连接。

GRE 隧道用于用另一个报头封装自定义 IP 地址,使其可以通过IBM Cloud网络底层进行路由。 例如,考虑网络底层的后端客户路由器(BCR)。 BCR 只允许 IP 地址范围10.0.0.0/8流量通过,而会丢弃来自IBM Power Virtual Server的流量。VLAN 子网使用172.16.0.0/12或其他 IP 范围的流量。

GRE 隧道必须连接到Transit Gateway,以便在IBMPower VS 工作区和传统基础架构之间进行路由选择。

有关详细步骤,请参阅 配置通用路由封装(GRE)隧道

通过 Transit Gateway 连接 PER 和 GRE。
Connecting PER and GRE through the Transit Gateway.

连接到虚拟专用云

使用 Transit Gateway 在启用 PER 的 Power Virtual Server 工作区和虚拟专用云 (VPC) 之间建立连接。 要创建多连接网络,请将传统基础设施与 Transit Gateway 连接起来。 这样,启用了 PER 的工作区、VPC 和传统基础设施之间就建立了三方连接。

此连接的定价取决于本地或全局 Transit Gateway的使用情况。 有关详细信息,请参阅:电源边缘路由器的定价

将支持 PER 的工作空间与 VPC 和传统基础架构连接
将支持 PER 的工作空间与 VPC 和传统基础架构连接*

通过安全端点 (SE) 连接 IBM Cloud(经典)服务

默认情况下,启用 PER 的 Power Virtual Server 工作区可以连接到 IBM Cloud服务端点 (CSE)。

您还可以将启用 PER 的工作区与传统基础架构环境中的安全端点 (SE) 无缝连接。 要通过 Transit Gateway 建立连接,请完成以下步骤:

  1. 使用 Transit Gateway 将启用 PER 的 Power Virtual Server 工作区连接到经典基础架构环境。

  2. 将 Power Virtual Server 连接到 IBM Cloud (Classic) 服务的安全端点 (SE)。

    在使用自定义 IP 地址的已启用 PER 的工作区中,网络通过网络地址转换器 (NAT) 设备路由。 NAT 设备会将自定义 IP 地址转换为 IBM Cloud 支持的 IP 地址。

有关 Transit Gateway 定价的信息,请参阅 Pricing for Power Edge Router

Connecting PER workspace to IBM Cloud(Classic)services via Secure Endpoint(SE)
Connecting PER workspace to IBM Cloud (Classic) services via Secure Endpoint (SE).

使用 VPE 与 PER 连接 IBM Cloud服务

您可以使用以下选项之一将专用网络与 IBM Cloud服务 API 连接:

  • 公共端点:您可以通过IBM Cloud公共网络连接到帐户中所有区域的资源。
  • 虚拟专用端点 (VPE):您可以使用只能从 VPC 访问的专用 IP 地址进行连接。
  • 服务端点 (SE):完成以下步骤即可建立连接:
    1. 在网络路由器上启用虚拟路由和转发 (VRF) 选项。
    2. 为您的账户启用服务终端。
    3. 使用只能通过 IBM Cloud 专用网络访问的专用 IP 地址建立连接。

但是,您必须建立与Cloud Object Storage (COS) 的安全连接,以进行备份和恢复、加密服务、密钥管理以及监控或数据库即服务解决方案。

要使用 VPE 或 SE 选项,不需要公共网络,可以应用网络访问控制列表 (ACL) 来控制网络访问。 此外,您还可以使用 DNS 服务。

通过使用 VPE 和
IBM Cloud服务

连接整个数据中心的多个工作区

使用本地 Transit Gateway 连接多个 Power Virtual Server 工作区,这些工作区跨越不同区域,但位于同一区域。 启用 PER 的工作区必须连接到 Transit Gateway,它可以在两个工作区之间交换路由。

使用全局 Transit Gateway 来连接不同区域的工作区。

有关本地和全局路由的 Transit Gateway 收费的详细信息,请参阅 Pricing for Power Edge Router

caption-side=bottom"
连接不同区域的工作空间