IBM Cloud Docs
IBMPower Virtual Server VPN

IBMPower Virtual Server VPN

IBM Power Virtual Server 中的 IBM 資料中心

IBM Power Virtual Server私有雲 中的 用戶端位置

Power Virtual Server VPN 已淘汰,且 IBM 將在 2025 年 1 月 18 日之後不提供標準支援。 使用以下命令建立新的 VPN 連接 IBM Cloud VPC VPN。 對於現有 Power Virtual Server VPN 連線,建議在 2024 年 3 月之前升級至 VPC VPN,並在 2025 年 7 月 14 日結束服務。 如果您在升級或移轉方面需要任何協助,請開立 支援問題單 或與「客戶支援管理程式 (CSM)」互動。

建立 Power Virtual Server VPN

您可以將用戶端管理環境中的虛擬私人網路 (VPN) 閘道連接到IBM Cloud™ VPN內部建立的網關Power Virtual Server VPN 服務。 您可以使用 VPN 來連接至 Power Virtual Server 專用網路,安全地完成工作,然後登出。 此功能為您提供用戶端管理位置與 Power Virtual Server之間的站台對站台 IP 安全 (IPsec) VPN,以啟用低成本安全連線功能。

使用 VPN 存取,您可以:

  • 確保 IBM Cloud 服務的專用及低成本連線功能。
  • 使用 Secure Shell (SSH) 及在用戶端管理主機上執行的其他用戶端管理應用程式,透過專用 IP 位址來存取 Virtual Servers。

Power Virtual Server 基礎架構由子網路和虛擬伺服器實例 (VSI) 組成。 您可以使用 VPN 作為現有 VSI 及專用網路的服務。 若要在專用網路上建立 VSI,請參閱 建立 Power Virtual Server配置並新增專用網路子網路。 您可以使用 VPN,透過 VPN 通道將「Power 虛擬伺服器」工作區安全地連接至用戶端管理環境中的網路。 如需相關資訊,請參閱 連接至用戶端管理的環境網路

一個使用者帳戶最多支援四個 VPN 連線。 每個資料中心最多支援 VPN 連線的四個原則 (IKE 及 IPsec)。 目前,DAL12、DAL13、FRA04、FRA05、LON04、LON06、MON01、OSA21、SAO01、SYD04、SYD05、TOR01及 TOK04 資料中心支援 Power Virtual Server的 VPN。 當您第一次使用 Power Virtual Server 網路自動化服務時,可能會導致暫時逾時失敗。 您必須重試作業,因為可能不會再次發生相同的錯誤。

透過共用 VPN 閘道進行連接時,由於頻寬變化,效能會有所不同。 對於需要傳送大量資料的工作負載,您應該考量使用具有專屬專用閘道裝置的站台對站台 VPN 配置。 如需相關資訊,請參閱 配置用戶端管理的環境 VPN 閘道

若要進一步瞭解如何使用指令行介面 (CLI) 進行 VPN 連線,請參閱 IBM Power Virtual Servers CLI 參考資料

Power Virtual Server 工作區支援 VPN

Power Virtual Server 支援來自相同帳戶的多個工作區。 不過,只有單一工作區可以使用 VPN 連線。 如果您想要為相同帳戶的多個工作區配置 VPN 連線,請開立 服務通行證

連接至用戶端管理環境中的網路

您可以在 Power Virtual Server CLI 或 API 中遵循下列步驟,將 VPN 配置為連接至用戶端管理環境中的網路。

  1. 建立 IKE 政策
  2. 建立 IPsec 政策
  3. 建立 VPN 連線
  4. 在用戶端管理的環境中配置相容的 IPsec 閘道持久 IKE 原則、IPsec 原則及 VPN 連線參數。

在用戶端管理的環境中配置 VPN 閘道

下一步是設定您的 VPN 閘道對等點,以便在用戶端管理的環境中連線到您的IBM Cloud VPN Power Virtual Server 工作區的閘道。 配置取決於 VPN 閘道的類型。 如需詳細資料,請參閱下列主題。

Power Virtual Server不支援此區段中未列出的任何配置。 如果您需要不同的配置或可預測的效能,則必須選擇具有備援 VPN 連線的 VPC 文件中的站台對站台 VPN 連線功能 中所說明的配置。

檢查安全連線的狀態

您可以在用戶端管理的環境中執行從虛擬伺服器實例到網路中伺服器的連線測試,來測試連線。

建立 IKE 及 IPsec 原則

在建立 VPN 連線之前,您必須先設定 IKE 及 IPsec 原則。 IBM 提供預設 IKE 及 IPsec 原則。 您也可以根據需求來建立自訂原則。

將 VPN IKE 原則新增至 VPN 連線

您可以使用預設或自訂 IKE 原則來定義將在 IKE 協議階段 1 期間使用的安全參數。 在此階段中,VPN 與對等裝置之間會交換認證及安全原則,以彼此鑑別並建立將用於 IKE 協議階段 2 的安全通訊通道。

若要建立 IKE 政策,請完成下列步驟:

  1. 移至 Power Virtual Server 使用者介面,然後按一下 VPN 連線

  2. 在「VPN 連線」頁面中,按一下 IKE 原則 以開啟 IKE 原則 標籤。

  3. 按一下建立原則

  4. 在「新建 IKE 原則」頁面中,輸入下列詳細資料:

    • 名稱: 指定 IKE 原則的名稱,例如 'powervs-vpn-ike1'。 名稱的字元數上限為 47 個字元。
    • IKE 版本: 選取 IKE 版本。 有效值為 1、2。 IKE 原則第 2 版與原則型 VPN 連線不相容。
    • 鑑別: 選取「IKE 原則」的鑑別演算法。 有效值為 'none'、'sha1'、'sha-256'、'sha-384'。
    • 加密: 選取 IKE 原則的加密演算法。 有效值為 '3des-cbc'、'aes-128-cbc'、'aes-128-gcm'、'aes-192-cbc'、'aes-256-cbc'、'aes-256-gcm' 及 'des-cbc'。 當您使用 'aes-128-gcm' 或 'aes-256-gcm' 時,鑑別 選項必須設為 'none'。
    • Diffie-Hellman (DH) 群組: 選取 IKE 原則的 DH 群組號碼。 有效值為 1、2、5、14、19、20、24。
    • 金鑰生命期限: 指定 IKE 原則的金鑰生命期限 (以秒為單位)。 有效值在 180-86400 秒範圍內。
    • 預先共用金鑰:指定用戶端管理環境中 VPN 閘道器的網路驗證金鑰。

  5. 按一下建立

若要使用 CLI 來建立、檢視、更新或刪除 IKE 原則,請參閱 VPN IKE 原則 的 CLI 參考資料。

範例「IKE 原則」的顯示如下所示。 不會顯示 IKE 原則的預先共用金鑰。

Ibmcloud pi vpn-ike-policy a757fb8d0a324e4abe0589bc17fbad7c
ID               a757fb8d0a324e4abe0589bc17fbad7c
Name             rs-ike-1
Version          2
Authentication   sha-256
Encryption       aes-256-cbc
Dh Group         2
Key Lifetime     28800

新增及配置 IPsec 原則至 VPN 連線

您可以使用預設或自訂 IPsec 原則,來定義將在 IKE 協議階段 2 期間使用的安全參數。 在此階段中,VPN 及對等裝置會使用在 IKE 協議階段 1 期間建立的安全關聯,以協議要傳送哪些資料流量,以及如何鑑別及加密該資料流量。

要建立 IPsec 政策,請完成下列步驟:

  1. 移至 Power Virtual Server 使用者介面,然後按一下 VPN 連線
  2. 在「VPN 連線」頁面中,按一下 IPsec 原則 以開啟 IPsec 原則 標籤。
  3. 按一下建立原則
  4. 新建 IPsec 原則 頁面中,輸入下列詳細資料:
    • 名稱: 指定 IPsec 原則的名稱,例如 'powervs-vpn-ipsec1'。 名稱中的字元數上限為 47。
    • PFS: 啟用「完整轉遞保密」,以變更經常自動用來加密及解密資訊的金鑰。
    • 鑑別: 選取 IPsec 原則的鑑別加密類型。 有效值為 'none'、'hmac-md5-96'、'hmac-sha-256-128'、'hmac-sha1-96'。
    • 加密: 選取 IPsec 原則的連線加密原則。 有效值為 '3des-cbc'、'aes-128-cbc'、'aes-128-gcm'、'aes-192-cbc'、'aes-192-gcm'、'aes-256-cbc'、'aes-256-gcm'、'des-cbc '。 當您使用 'aes-128-gcm'、'aes-192-gcm' 或 'aes-256-gcm' 值時,鑑別 選項必須設為 'none'。
    • Diffie-Hellman (DH) 群組: 選取 IPsec 原則的 DH 群組號碼。 有效值為 1、2、5、14、19、20、24。
    • 金鑰生命期限: 指定 IPsec 原則的金鑰生命期限 (以秒為單位)。 有效值在 180-86400 秒範圍內。
  5. 按一下建立

若要使用 CLI 來建立、檢視、更新或刪除 IPsec 原則,請參閱 VPN IPsec 原則 的 CLI 參考資料。

範例 IPsec 原則的顯示如下:

Ibmcloud pi vpn-ips-policy befd77bd25a04c388c43ccb3973966be
ID                        befd77bd25a04c388c43ccb3973966be
Name                      rs-ipsec-1
Authentication            hmac-sha-256-128
Encryption                aes-256-cbc
Dh Group                  2
Perfect Forward Secrecy   true
Key Lifetime              28800

建立 Power Virtual Server VPN 連線

必要條件: 您必須在 Power Virtual Server 介面中至少建立一個本端子網路,並在用戶端管理環境中建立同層級子網路。 您可以透過 VPN 通道連接用戶端管理的環境與 Power Virtual Server 網路。 如需建立子網路的相關指示,請參閱 配置及新增專用網路子網路

若要建立 VPN 連線,請完成下列步驟:

  1. 移至 Power Virtual Server 使用者介面,然後按一下 VPN 連線
  2. VPN 連線頁面中,按一下建立連線
  3. 建立新的 VPN 連線 頁面中,輸入下列詳細資料:
    • 連線名稱:輸入連線名稱,例如「powervs-vpn-dallas」。
    • 對等閘道地址:指定用戶端管理環境中網路的 VPN 閘道 IP 位址。
    • 預先共用金鑰:指定用戶端管理環境中網路的 VPN 閘道的驗證金鑰。
    • IKE 原則: 使用預設 IKE 原則或指定自訂 IKE 原則,以定義將在 IKE 協議階段 1 期間使用的安全參數。
    • IPsec 原則: 使用預設 IPsec 原則,或指定自訂 IPsec 原則來定義 IKE 協議階段 2 期間將使用的安全參數。
    • 模式: 選取 路徑型模式原則型模式,以決定如何透過 VPN 通道傳送資料流量。 建立 VPN 連線之後,您無法編輯 VPN 連線的模式。
    • 本機子網路:指定 Power Virtual Server 工作區中要透過 VPN 通道連線的一個或多個子網路。
    • 對等節點子網路: 在您要透過 VPN 通道連接的用戶端管理環境中,指定網路中的一或多個子網路。
    • 停用對等節點偵測: 顯示 VPN 連線的停用對等節點偵測設定。 您可以使用設定資訊來偵測已停用的 IKE 對等節點。 這些設定顯示僅供參考; 您無法修改這些設定。
  4. 檢視估計成本,然後按一下建立

您可以在建立 VPN 連線之後編輯 VPN 連線選項。 按一下您要編輯的現有 VPN 連線,按一下 編輯詳細資料,然後修改選項。

若要使用 CLI 來建立、檢視、更新或刪除 VPN 連線,請參閱 VPN 連線 的 CLI 參考資料。

當您刪除虛擬伺服器實例時,它會刪除專用網路 (子網路) 及其他資源。 如果您考慮下列事項,將會有所幫助:

  • 在刪除虛擬伺服器實例之前,您必須先刪除 VPN 連線。
  • 如果有多個虛擬伺服器實例使用「雲端連線」,且您刪除一個,則可以從現有伺服器實例中刪除「雲端連線」。

IKE 原則第 2 版與原則型 VPN 連線不相容。 如果您嘗試將 IKE 原則第 2 版新增至原則型 VPN 連線,則會顯示錯誤。

VPN 連線範例的顯示如下所示:

ID                      1471c65163dd44daa969cf3edddd20a8
Name                    rs-vpc-vpn01
Status                  active
Mode                    route
Local Gateway Address   169.48.225.198
Peer Gateway Address    130.198.12.241
VPN Gateway Address     169.48.225.198
IKE Policy              ID: a757fb8d0a324e4abe0589bc17fbad7c, Name: rs-ike-1
IPSec Policy            ID: befd77bd25a04c388c43ccb3973966be, Name: rs-ipsec-1
Peer Subnets            10.245.0.0/27
Networks                cb36a4e8-23d1-4ddc-b6c0-cf640ae0456d
Dead Peer Detection     Action: restart, Interval: 10, Threshold: 5

將子網路連接至 VPN 連線

如果您建立包含 VPN 連線的 Power Virtual Server工作區,則也必須具有連接至 VPN 連線的「本端子網路」及「對等節點」子網路。 當您建立 VPN 連線時,請確定本端子網路及同層級子網路已連接至 VPN 連線。

為了達到並置 VM 與 VPC 之間的備援,您必須有兩個子網路連接至不同的 VPN。 這兩個子網路都必須是並置 VM 的一部分。

您必須透過 VPN 連線遞送 Power Virtual Server 專用網路子網路,以容許透過專用網路存取 Power Virtual Server。 當您建立子網路或編輯子網路的詳細資料時,可以將現有 VPN 連線連接至子網路。

若要建立、連接或分離本端子網路或同層級子網路至 VPN 連線,請完成下列步驟:

  1. 移至 Power Virtual Server 使用者介面,然後按一下 VPN 連線
  2. VPN 連線 頁面中,按一下您要編輯的現有 VPN 連線。
  3. 在「VPN 連線詳細資料」頁面中,按一下 連接另一個 + 選項,以連接其他本端及同層級子網路。 按一下 分離,以從 VPN 連線分離現有的本端及對等節點子網路。

如需使用 CLI 連接或分離子網路的相關資訊,請參閱 VPN 子網路 的 CLI 參考資料。

除了 配置及新增專用網路子網路 中指定的子網路限制之外,VPNaaS 還具有下列限制:

a. 不支援具有 10.xx.xx.xx/8 位址的子網路。

b. 這些額外子網路受到限制: 10.8.0.0/14 10.45.0.0/16 10.63.0.0/16 10.65.0.0/16 10.72.0.0/16 10.74.0.0/15 10.95.96.0/20 10.114.0.0/15 10.123.0.0/16 10.128.0.0/13 10.136.0.0/13 10.150.0.0/15 10.184.0.0/13 10.192.0.0/13 10.208.0.0/12 10.240.0.0/14 10.21.1.0/26 10.182.28.192/26

c. 在特定位置建立子網路時,您可能會收到「子網路無法使用」訊息。 請選擇不同的子網路來解決此問題。