网络概述
IBM Power Virtual Server私有云 于 客户所在地
在数据中心内的 pod 与 IBM® Power® Virtual Server IBM Cloud 之间建立连接需要精心规划,站点准备,满足先决条件,了解网络体系结构等。
设置网络涉及设置以下两个网络:
控制平面网络
IBM Power Virtual Server私有云 网络架构要求 IBM Cloud 与位于客户所在地数据中心 IBM Power Virtual Server私有云 的 pod 之间具有连接性。 这种连接是服务代理、IBM Cloud和 pod 之间的主要通信渠道。 这种通信信道被称为控制平面网络。 通过该通道,服务代理可在 PowerVC 上为 Power Virtual Server 启动用于虚拟机生命周期操作的 API。
控制平面网络设置为冗余,提供多个网络路径,以确保 pod 可靠地连接到 IBM Cloud 区域。 控制平面网络可通过 IBM Cloud Direct Link 2.0 或虚拟专用网络 (VPN) 建立。 对于 IBM Cloud Direct Link 2.0 连接,IBM 命令使用 IPsec over VPN(最后一英里连接)的设备连接到 IBM Cloud 区域客户位置 pod 中的 IBM Power Virtual Server私有云。
安装 pod 之前,请提供所需的特定网络信息,以便建立 IBM Cloud Direct Link 2.0 连接或 VPN 连接。
计划外网络中断的影响
当部署在客户位置的 IBM Power Virtual Server私有云 基础设施遇到计划外网络中断时,通信链路会中断,导致与 IBM Cloud 的主管理连接和辅助管理连接( Direct Link 或站点到站点 VPN)丢失。 下表概述了 IBM Power Virtual Server私有云 基础设施在断开连接模式下运行的影响。
| 功能 | 断开连接模式下的行为 |
|---|---|
| 客户工作量和数据 | 客户工作量已投入运行,您可以访问所有数据。 |
用于 read 操作的图形用户界面或应用程序接口 |
图形用户界面开始运行,并使用最新的缓存数据。 |
用于 write 操作的图形用户界面或应用程序接口,如创建虚拟机(VM)或卷 |
在恢复与控制平面网络的连接之前,无法对 Power Virtual Sever 资源执行 write 操作。 |
| 命令行界面 (command-line interface, CLI) | 您可以执行 read 操作。 但是,在恢复与控制平面网络的连接之前,您不能执行 write 操作。 |
| 计费和计量 | 计量使用最新的缓存数据。 如果基础架构断开连接,则无法执行 write 操作,直到恢复与控制平面网络的连接。 |
| 为客户数据网络提供动态主机配置协议(DHCP)服务 | DHCP 服务由 IBM Power Virtual Server私有云 基础设施中的驻地网提供,不需要连接到 IBM Cloud。 |
| IBM 远程支持 | IBM 在恢复与控制平面网络的连接之前,远程支持团队无法远程连接到 基础设施。IBM Power Virtual Server私有云 |
IBM Cloud Direct Link 2.0 连接
IBM Cloud Direct Link 2.0 Connect 是一种用于连接远程数据中心的 IBM Cloud 技术。 该技术将 IBM Cloud上的虚拟专用云 (VPC) 和路由器连接到位于数据中心的 pod。 IBM Cloud Direct Link 2.0 连接使用 VPN IPsec(也称为最后一英里连接)连接到 pod。 因此,IBM Cloud Direct Link网络在最低级别穿过数据中心环境,并连接到 pod 的路由器。 控制平面网络设置为冗余,提供多个网络路径,以确保 pod 可靠地连接到 IBM Cloud 区域。 IBM 使用您之前提供的第三方网络提供商详细信息(如 Megaport 或 Equinix)为您的帐户订购 IBM Cloud Direct Link 2.0 连接。 这些属性 (例如服务密钥) 是从排序过程收集的。 订购完成后,相应的第三方网络提供商可在 IBM Cloud和数据中心之间建立远程连接。
IBM Cloud Direct Link 2.0 连接可被视为传统站点到站点 VPN 解决方案的替代方案。 这种连接可在远程网络和 IBM Cloud环境之间提供安全性和隐私性、一致性和更高吞吐量的连接。 有关 IBM Cloud Direct Link Connect 的更多信息,请参阅 开始使用 IBM Cloud Direct Link。
IBM Cloud 与 pod 之间的连接有两个部分:
- IBM Cloud 网络基础结构与第三方网络提供者基础结构之间的共享连接。
- 第三方网络提供商基础架构与数据中心之间基于互联网的连接。 这称为“最后一英里连接”,可能涉及 IPsec VPN。 与服务提供者签订合同,以提供最后一英里连接。
要建立此连接,需要您,IBM和第三方网络提供商之间的协作。
虚拟专用网
可以通过以下方式在 IBM Cloud 和 pod 之间建立虚拟专用网 (VPN):
- 站点到站点的 VPN 连接 可以在包含服务代理程序的 VPC 上设置 VPN 网关。 此网关提供面向因特网的 IP 地址。 您可以在数据中心上建立可以提供面向因特网的 IP 地址的 VPN 客户端。 此连接在两个端点之间形成 IPsec VPN 隧道。 然后,数据中心的 VPN 客户端就可以扩展到 IBM Power Virtual Server私有云 路由器。
- 使用 IBM Cloud 经典环境的 VPN 连接: 可以在 IBM Cloud上的经典环境中部署 Juniper vSRX 虚拟防火墙。 此设置可以通过 Transit-gateway 连接到用于容纳服务代理程序的 VPC。 或者,可以在数据中心环境上设置类似的 VPN 硬件或软件环境。 此设置可通过 IPsec VPN 通道连接,并扩展到 IBM Power Virtual Server私有云 路由器。 数据中心基础结构必须连接到 pod 上的路由器。 建议尽可能减少此连接。 您可以在环境中设置一个或多个虚拟路由器,并使用 IBM Power Virtual Server私有云 路由器设置边界网关协议 (BGP) 部署。
数据平面网络
当数据中心中的 pod 连接到 IBM Power Virtual Server私有云 网络基础架构时,就会启用数据平面网络。 您必须能够通过网络而不是 IBM Cloud访问 pod 中的虚拟服务器(逻辑分区)。
Pod 包含与 IBM Cloud通信所需的所有软件组件。 这些组件包括 HMC 和 PowerVC, 等服务软件,以及 IBM Power Virtual Server 网络结构和路由器等存储和网络设备。
在 pod 中创建网络时,请确保该网络与 pod 内同一工作空间中的其他现有网络不重叠。 如果创建重叠网络,那么将显示错误消息。
如果通过 API 创建重叠网络,那么将显示类似于以下示例的错误消息:
{
"errors": "Subnet overlap between uni/tn-VPN502/BD-BD_VPN502_V504_PRIV_3302/subnet-[192.168.31.1/24] and uni/tn-VPN502/BD-BD_VPN502_V504_PRIV_3301/subnet-[192.168.31.1/24] in VRF uni/tn-VP
N502/ctx-VPN502_V504_VRF. It is not possible to have overlapping subnets across different Bridge Domains within the same VRF."
}
作为网络规划的一部分,您可以查看以下用例并确定适用于您的用例。 您可以在安装前就此类需求进行沟通,以便不必打开单独的支持凭单来实现用例和配置。
- pod 内 LPAR 之间的连接-您可以创建内部专用网络,并在没有外部连接的情况下在这些网络上部署 LPAR。 通过自动 主机通信,这些 LPARS 可以相互访问,并在 pod 内配置网络结构。 有关更多信息,请参阅 pod 内 LPAR 之间的连接。
- 仅出站-通过 DNAT 的外部连接-您可以在 pod 中创建外部网络。 必须通过手动凭单过程来配置这些网络的连接。 在连接配置之后,可以在它们上部署 LPAR,并且它们可以访问外部网络。 您始终可以使用内部和外部网络作为单独的网络接口来部署 LPAR。 有关更多信息,请参阅 仅出站通过 DNAT 的外部连接。
- 通过 BGP 实现双向外部连接- 您可以在 pod 中部署外部网络,通过使用 BGP IBM Power Virtual Server私有云 网络环境中的端点之间建立通信。 有关更多信息,请参阅 通过 BGP 进行双向外部连接。
- 通过静态路由实现双向外部连接- 您可以在 pod 中部署外部网络,通过使用类似于 BGP 的静态路由在 IBM Power Virtual Server私有云 网络环境中的端点之间建立通信。 有关更多信息,请参阅 通过静态路由进行双向外部连接。
- 双向外部连接 - L2Out- 当您建立这种类型的外部连接时,它会绕过路由器直接连接到网络结构。 如果内部和外部网络上都需要相同的 IP 地址空间,那么此类型的连接很有用。 所有其他类型的外部网络都涉及两个不同的子网。 更多信息,请参阅 通过 L2Out 进行双向外部连接。
网络体系结构图
图 1 显示了网络体系结构的整体视图。
