IBM Cloud Docs
Conéctese a una VPC landing zone utilizando una VPN de cliente a sitio

Conéctese a una VPC landing zone utilizando una VPN de cliente a sitio

Este tutorial se sumerge en la opción más rápida para ponerse en marcha con una conectividad cliente VPN for VPC. En lugar de realizar pasos manuales, puede configurar una forma automatizada de crear una conexión VPN de cliente a sitio a una o más zonas de destino de su cuenta mediante la automatización de la nube para la arquitectura desplegableCloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity. VPN de cliente a sitio desde el registro de la comunidad.

Objetivos

  • Cree una conexión VPN cliente-sitio entre la red VPC privada y los clientes mediante la arquitectura desplegableCloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity. Cloud automation for Client to Site VPN del registro comunitario.

Problema

Supongamos que ha desplegado el sitio Red Hat OpenShift Container Platform on VPC landing zone arquitectura desplegableCloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity.. En la consola IBM Cloud, puedes ver que el cluster está creado y funcionando correctamente. Cuando intenta acceder a la consola web Red Hat OpenShift en el cluster de gestión, aparece este error:

No es posible acceder a la consola de Red Hat OpenShift porque el clúster solo es accesible en la red privada de la VPC de gestión, que está bloqueada y no es accesible desde Internet.

También puede tener problemas de conectividad con las redes privadas de la VPC si despliega la VPC landing zone, VSI on VPC landing zoneo la arquitectura desplegable de Red Hat OpenShift Container Platform on VPC landing zone.

Por ejemplo, puede hacer ping a la red pero se agota el tiempo de espera:

ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
ping: sendto: Host is down
Request timeout for icmp_seq 0
ping: sendto: Host is down
Request timeout for icmp_seq 1
ping: sendto: Host is down
Request timeout for icmp_seq 2
ping: sendto: Host is down
Request timeout for icmp_seq 3
^C
--- 10.0.0.1 ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss

¿Cómo puede acceder de forma segura a esa red privada para completar operaciones en recursos dentro de estas VPC?

Solución

Establecer conexiones seguras a una red VPC privada:

  • Servidor VPN de cliente a sitio y cliente VPN-Configure una aplicación cliente VPN en el dispositivo para crear una conexión segura con la red de VPC que utiliza IBM Cloud VPN for VPC. El servicio de servidor VPN IBM Cloud tiene la modalidad de alta disponibilidad para uso de producción y está gestionado por IBM.

Despliegue de automatización en la nube para VPN de cliente a sitio con proyectos

  1. Desde el registro de la Comunidad, busque Cloud automation for Client to Site VPN.
  2. Puede elegir entre dos variantes diferentes:
    • inicio rápido: Diseñado para realizar pruebas rápidas y acceder sin problemas a una red VPC privada a través de un cliente VPN. La VPN es totalmente abierta, con reglas ACL y grupos de seguridad que garantizan un acceso sin restricciones y permiten todas las solicitudes entrantes de cualquier origen.
    • estándar: Una solución totalmente personalizable. Por defecto, todas las peticiones entrantes a redes VPC privadas son denegadas y deben ser autorizadas mediante la configuración de reglas ACL y grupos de seguridad. La VPN tiene dos subredes VPC separadas para el servidor VPN, lo que garantiza una alta disponibilidad.
  3. Añádelo a un proyecto existente o crea un proyecto.
  4. Personalice la automatización de la nube para VPN de cliente a sitio seleccionando componentes adicionales opcionales según sea necesario:
    • Red Hat OpenShift Container Platform on VPC landing zone
    • VSI on VPC landing zone
    • VPC landing zone
    • Automatización en la nube para Secrets Manager
  5. Complete los siguientes pasos en función de cómo vaya a utilizar la arquitectura desplegableCloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity.:
    • Configúrelo en su proyecto y despliéguelo
    • Puede apilar arquitecturas desplegables en un proyecto para crear una sólida arquitectura de solución integral. No es necesario codificar Terraform para conectar las arquitecturas desplegables miembros dentro de la pila. Al configurar los valores de entrada en una arquitectura desplegable miembro, puede hacer referencia a entradas o salidas de otro miembro para vincular las arquitecturas desplegables entre sí. Después de desplegar las arquitecturas desplegables en su pila, puede añadir la pila a un catálogo privado para compartirla fácilmente con otras personas de su organización.

Una arquitectura desplegableCloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity. es una infraestructura como código IaC ) diseñada para facilitar el despliegue, la escalabilidad y la modularidad. En este caso, la arquitectura desplegableCloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity. representa una forma repetible de crear conexiones VPN cliente-sitio para más de una zona de aterrizaje en su org. También simplifica cómo otros en su empresa pueden configurar más conexiones VPN para sus zonas de destino.

Configurar el cliente OpenVPN

Una vez desplegados los recursos de nube del servidor VPN, configure el cliente OpenVPN en los dispositivos que accederán a la zona de destino.

  1. Descargue el perfil OpenVPN del servidor VPN

    • Mediante la consola IBM Cloud:

      1. Haga clic en el icono del menú de navegación Menú de navegación y, a continuación, haga clic en Infraestructura > VPNs en la sección Red para abrir la página VPNs para VPC.
      2. Haga clic en la pestaña Servidores cliente-sitio y seleccione el servidor VPN cliente-sitio que ha creado.
      3. Haga clic en la pestaña Clientes. A continuación, pulse Descargar perfil de cliente.

      O

    • Utilizando la IBM Cloud CLI:

      ibmcloud is vpn-server-client-configuration VPN_SERVER --file client2site-vpn.ovpn

      Busque el ID de VPN_SERVER en la salida de la aplicación de Terraform desde el paso de validación. Si no lo encuentra allí, siga los pasos anteriores para descargar el perfil y buscar en el archivo <vpn_server>.ovpn.

  2. Configure el cliente:

    Puede seguir los pasos de Configuración de un cliente VPN.

    1. Descargue e instale la aplicación cliente OpenVPN desde https://openvpn.net.
    2. Abra la aplicación cliente OpenVPN e importe el archivo client2site-vpn.ovpn.
    3. Especifique una de las direcciones de correo electrónico de IBM Cloud que se ha configurado para acceder a la VPN como ID de usuario.

  3. Vaya a https://iam.cloud.ibm.com/identity/passcode en el navegador para generar un código de acceso. Copie el código de acceso.

  4. Vuelva a la aplicación cliente OpenVPN y pegue el código de acceso de un solo uso. A continuación, importe el archivo de certificado client2site-vpn.ovpn.

Utilización de certificados de cliente en lugar de códigos de acceso de un solo uso

Si desea configurar certificados de cliente en la VPN en lugar de utilizar un código de acceso único, siga las instrucciones de la sección Gestión de certificaciones de cliente y servidor VPN de la documentación de cliente a sitio.

Prueba de acceso a la consola web Red Hat OpenShift

Si la zona de destino incluye un clúster de Red Hat OpenShift, ahora puede probar que tiene acceso a la consola web.

  1. Abra https://{DomainName}/kubernetes/clusters en el navegador.
  2. Seleccione los detalles del clúster para el clúster de gestión en la zona de destino.
  3. Pulse OpenShift en la parte superior derecha para acceder a la consola web de Red Hat OpenShift.
  4. Repita los pasos (2) y (3) para probar la conectividad con el clúster de carga de trabajo de la zona de destino.

Probar la conexión VPN

En el dispositivo que tiene el cliente OpenVPN, haga ping a la red 10.* (que está en la VPC de gestión).

ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
64 bytes from 10.0.0.1: icmp_seq=0 ttl=64 time=19.920 ms
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=19.301 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=14.490 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=20.896 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=13.938 ms
^C
--- 10.0.0.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 13.938/17.709/20.896/2.904 ms

Si no ve tiempos de espera u otros errores, la estación de trabajo local tiene conectividad con la red privada de la VPC.

Resolución de problemas de conectividad

En el error siguiente, OpenVPN tiene una conexión activa, pero no puede acceder a un servidor en la subred VPN privada. Compruebe la red local a través de la que se conecta el dispositivo. Algunos direccionadores más recientes asignan direcciones IP en el rango 10.* en lugar de 192.168.*.

error: dial tcp: lookup YOUR_SERVER_URL on 10.0.0.1:53:
read udp 10.0.0.2:0->10.0.0.1:53:
i/o timeout- verify you have provided the correct host and port and that the server is currently running.

Resumen

La automatización de la creación de conexiones VPN de cliente a sitio con las zonas de destino seguras es sencilla cuando se utilizan las prestaciones de las arquitecturas desplegables en IBM Cloud.