Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
Conecte uma VPC landing zone a uma rede usando uma VPN de site para site...
Neste tutorial, você usará IBM Cloud VPN for VPC para conectar suas arquiteturas implementáveis da VPC landing zone de forma segura a uma rede no local por meio de um túnel VPN de site para site. Configure um gateway VPN strongSwan para se conectar ao VPN for VPC.
strongSwan é uma solução VPN baseada em IPsec de software livre. Para obter mais informações sobre o strongSwan, consulte Introdução ao strongSwan.
Objetivos
Você implementou uma das arquiteturas implementáveis da zona de entrada do IBM Cloud, como Red Hat OpenShift Container Platform on VPC landing zone, VPC landing zone ou VSI on VPC landing zone. Os servidores virtuais são criados e estão funcionando corretamente
Por padrão, o acesso à rede para a topologia da VPC landing zone é bloqueado por motivos de conformidade de segurança, portanto, não é possível acessar as VSIs de gerenciamento ou de carga. Como é possível implementar seu aplicativo nas VSIs de carga de trabalho que estão localizadas na VPC de carga?
A resposta é designar o acesso do operador por meio da VPC de Gerenciamento Você tem várias opções para fornecer acesso ao operador, com níveis variados de segurança, conformidade e facilidade de ativação
- Cliente para o Site com IBM Cloud Servidor VPN e Cliente VPN-Configure um aplicativo cliente VPN em seu dispositivo para criar uma conexão segura com sua rede VPC que usa o servidor VPN IBM Cloud. O serviço do servidor VPN tem um modo de alta disponibilidade para o uso de produção e é gerenciado pela IBM
- Gateway de VPN de Site para Site VPC-Configure sua VPN no local para se conectar a um gateway de VPN do IBM Cloud usando uma VPN baseada em rota estática ou uma VPN baseada em política para configurar um túnel de site para site IPsec entre sua VPC e sua rede privada no local ou outra VPC.
- Direct Link-É possível estabelecer uma conexão de rede direta entre sua rede no local e IBM Cloud Direct Link.
- Acesso de outro VPC usando o Transit Gateway-o acesso de outro IBM Cloud VPC para o seu VPC pode ser obtido usando o IBM Cloud Transit Gateway
Neste tutorial, podemos aprender como configurar uma conexão VPN de site para site para sua rede no local
Antes de Iniciar
- Implementar uma instância de uma arquitetura implementável da VPC landing zone. Para obter mais informações, consulte Implementando uma arquitetura implementável da zona de entrada..
- Crie uma VSI com qualquer S.O. baseado no Linuxem diferentes Virtual Private Cloud (VPC), sub-rede, com regras de ACL padrão e um grupo de segurança que permita o acesso SSH. Certifique-se de que a VSI esteja designada a um IP flutuante, que é usado para acesso SSH à máquina Para simular uma rede no local, essas etapas assumem que uma VSI é implementada em uma VPC separada.
O tutorial é baseado nas seguintes suposições:
- O sistema operacional é o CentOS. Para obter mais informações sobre outras configurações de VPN, consulte Configurando o gateway VPN no local.
- O gateway VPN é implementado em uma VPC de zona de entrada denominada
management-vpc
. - Sua arquitetura implementável inclui uma VSI no
management-vpc
que é suportada pela arquitetura implementável VSI on VPC landing zone no catálogo IBM Cloud.
Configurar o Strongswan
Para obter mais informações sobre como instalar strongSwan em um sistema operacional diferente do CentOS, consulte a documentação de instalação.
-
Ativar encaminhamento de IP:
-
Abra o arquivo
/etc/sysctl.conf
em um editor de texto e adicione a seguinte linha:net.ipv4.ip_forward = 1
-
Salve e feche o arquivo.
-
Aplique as alterações com o seguinte comando:
sudo sysctl -p
-
-
Instale o strongSwan:
sudo dnf install epel-release -y
sudo dnf install strongswan -y
-
Inicie o serviço strongSwan e ative-o para iniciar na inicialização do sistema:
systemctl start strongswan
systemctl enable strongswan
systemctl status strongswan
-
Configure os gateways de segurança:
-
Abra o arquivo
/etc/strongswan/ipsec.conf
:No exemplo a seguir, uma conexão é definida entre a sub-rede no local
10.160.x.x/26
com o endereço IP169.45.x.x
para o gateway VPN strongSwan e o gateway VPN de arquitetura implementável e sub-redes VSI de gerenciamento10.10.30.0/24,10.20.10.0/24
com um endereço IP do gateway VPN for VPC169.61.x.x
.conn all type=tunnel auto=start esp=aes256-sha256! ike=aes256-sha256-modp2048! left=%any leftsubnet=10.160.x.x/26 #<== c. Subnet CIDR of your on-premises network rightsubnet=10.10.30.0/24,10.20.10.0/24 #<== d, e. Subnet CIDR of the deployable architecture VPN gateway. Subnet CIDR of the Management VSI right=169.61.x.x #<== f. Public IP of the VPN gateway leftauth=psk rightauth=psk leftid="169.45.x.x" #<== g. Public IP of your strongSwan server keyexchange=ikev2 lifetime=10800s ikelifetime=36000s dpddelay=30s dpdaction=restart dpdtimeout=120s
-
Clique no ícone Menu de navegação
e, em seguida, clique em Infraestrutura do VPC > Instâncias de servidor virtual na seção Cálculo.
-
Especifique a sub-rede de sua rede no local:
- Selecione a VSI que tem o gateway strongSwan instalado.
- Na seção Interfaces de Rede, clique no nome da sub-rede da interface que possui o IP flutuante designado a ela
- Copie o intervalo de IP de sub-rede de sua rede local na propriedade
leftsubnet
no arquivoipsec.conf
.
-
Especifique o CIDR da VSI de gerenciamento:
- Clique em Sub-redes na seção Rede para abrir a página Subnets for VPC.
- Procure sub-redes associadas ao VPC de gerenciamento (em nosso exemplo,
management-vpc
). - Na lista de sub-redes, clique no nome da sub-rede com a VSI de gerenciamento implementada.
- Copie a coluna de intervalo de IP de sub-rede para a propriedade
rightsubnet
no arquivoipsec.conf
-
Especifique os CIDRs do gateway VPN da zona de entrada:
-
Clique em VPNs na seção Rede para abrir a página VPN para VPC.
-
Certifique-se de que as guias Gateways site a site > Gateways VPN estejam selecionadas.
-
Selecione a VPN de site para site associada à sua arquitetura implementável de zona de entrada (em nosso exemplo,
management-gateway
). -
Na página de detalhes do gateway VPN, clique em Sub-rede para ver detalhes sobre a sub-rede associada ao seu gateway VPN.
-
Copie a coluna de intervalo de IP de sub-rede do gateway de VPN da arquitetura implementável
Copie o intervalo de IP no início da propriedade
rightsubnet
no arquivoipsec.conf
. Separe esse intervalo do CIDR da VSI de gerenciamento com uma vírgula, conforme mostrado no exemplo.
-
-
Especifique o endereço IP público do gateway VPN:
- Na página VPNs for VPC, certifique-se de que as guias Gateways de site para site > Gateways de VPN estejam selecionadas
- Selecione a VPN de site para site associada à sua arquitetura implementável da zona de entrada novamente (em nosso exemplo,
management-gateway
). - Na página de detalhes do gateway VPN, clique em qualquer IP público para copiá-lo e cole-o na propriedade
right
no arquivoipsec.conf
.
-
Verifique o IP público de seu servidor strongSwan:
- Clique em instâncias de servidor virtual na seção Cálculo.
- Clique no nome da VSI que tem o gateway strongSwan instalado.
- Clique no IP flutuante que está associado à sub-rede escolhida na Etapa 1 na seção Interfaces de rede.
- Cole o endereço IP na propriedade
leftid
para identificar o endereço IP do servidor strongSwan..
-
-
Configure uma chave pré-compartilhada (PSK) para autenticação ponto a ponto.
-
Na linha de comandos, emita o comando a seguir para gerar um PSK forte para os peers usarem:
head -c 24 /dev/urandom | base64
-
Inclua o PSK no arquivo
/etc/strongswan/ipsec.secrets
..# <Public IP of your strongSwan server> <Public IP of the Landing Zone VPN gateway> : PSK "***********" 169.45.x.x 169.61.x.x : PSK "***********"
-
-
Inicie o serviço strongSwan e verifique o status das conexões
systemctl restart strongswan
❯ strongswan status Security Associations (0 up, 1 connecting): all[1]: CONNECTING, 10.160.x.x[%any]...169.61.x.x[%any]
É normal que o status mostre '0 para cima, 1 para conectar' porque a conexão no lado da zona de pouso ainda não está configurada.
Edite as ACLs para permitir conexões de strongSwan
-
No console do IBM Cloud, clique no ícone do menu Navegação
e, em seguida, clique em Infraestrutura do VPC > Listas de controle de acesso na seção Rede.
-
Selecione a ACL
management-acl
que está associada à sua VPC de arquitetura implementável da zona de entrada (em nosso exemplo,management-vpc
). -
Crie regras de entrada para a sub-rede local e o IP público para acessar a sub-rede VPN.
-
Clique em Criar, na seção de regras de entrada
-
Inclua duas regras de entrada com os seguintes valores:
Regras de ACL de entrada Prioridade Permitir ou negar Protocolo Origem Destino 1 Permitir TODOS strongSwan IP público da VSI Sub-rede do gateway de VPN LZ s2s 2 Permitir TODOS strongSwan sub-rede VSI CIDR LZ VPC CIDR 3 Permitir TODOS LZ VPC CIDR strongSwan sub-rede VSI CIDR 4 Permitir TODOS strongSwan IP público da VSI CIDR de sub-rede de VSI de gerenciamento.
-
-
Crie regras de saída para a sub-rede VPN e o IP público para acessar a sub-rede local.
-
Clique em Criar na seção de regras de saída
-
Inclua duas regras de saída com os seguintes valores:
Regras de ACL de saída Prioridade Permitir ou negar Protocolo Origem Destino 1 Permitir TODOS Sub-rede do gateway de VPN LZ s2s strongSwan IP público da VSI 2 Permitir TODOS LZ VPC CIDR strongSwan sub-rede VSI CIDR 3 Permitir TODOS strongSwan sub-rede VSI CIDR LZ VPC CIDR 4 Permitir TODOS CIDR de sub-rede de VSI de gerenciamento. strongSwan IP público da VSI
-
Crie uma conexão VPN na VPN do IBM Cloud
-
Clique no ícone Menu de navegação
e, em seguida, clique em Infraestrutura do VPC > VPN na seção Rede.
-
Selecione a VPN site a site que está associada à sua arquitetura implementável da zona de entrada (em nosso exemplo,
management-gateway
). -
Na página de dados do gateway, clique em Criar na seção de conexões de VPN
-
Defina uma conexão entre este gateway e uma rede fora do seu VPC, especificando as informações a seguir:
- Nome da conexão VPN: digite um nome para a conexão, como
my-connection
. - Endereço do gateway de peer: especifique o endereço IP flutuante do servidor strongSwan.
- Chave pré-compartilhada: especifique a chave de autenticação do gateway VPN. Certifique-se de usar a mesma chave pré-compartilhada que é mencionada nos segredos do strongSwan.
- Crie uma política IKE:
- Na página Conexão de VPN para VPC, selecione Criar política IKE.
- Especifique as informações a seguir:
- Name (Nome): Digite um nome para a política IKE.
- Grupo de recursos: Selecione o grupo de recursos para essa política IKE.
- Versão IKE: configure a versão do protocolo IKE como
2
. - Encryption (Criptografia): Algoritmo de criptografia a ser usado na Fase 1 do IKE. Configure a Criptografia para
aes256
- Authentication (Autenticação): Algoritmo de autenticação a ser usado na Fase 1 do IKE. Configure a Autenticação para
sha256
- Grupo Diffie-Hellman: Grupo DH a ser usado para a fase 1 do IKE. Configure o grupo DH para
14
- Tempo de vida da chave: Tempo de vida em número de segundos do túnel da Fase 1. Configure o tempo de vida da chave para
36000
..
- Clique em Criar.
- Crie uma política IPsec:
- Na página Conexão de VPN para VPC, selecione Criar política de IPsec
- Especifique as informações a seguir:
- Name (Nome): Digite um nome para a política IPsec.
- Grupo de recursos: Selecione o grupo de recursos para essa política IPsec.
- Encryption (Criptografia): Algoritmo de criptografia a ser usado para a fase 2 do IKE. Configure a Criptografia para
aes256
- Authentication (Autenticação): Algoritmo de autenticação a ser usado na fase 2 do IKE. Configure a Autenticação para
sha256
- Perfect Forward Secrecy: Desativar PFS.
- Grupo Diffie-Hellman (se o PFS estiver ativado): Grupo DH a ser usado para troca de chaves IKE Fase 2. Quando o PFS é desativado, o grupo DH é configurado como
14
por padrão - Tempo de vida da chave: Tempo de vida em número de segundos do túnel da Fase 2. Configure o tempo de vida para
10800
- Clique em Criar.
- Nome da conexão VPN: digite um nome para a conexão, como
-
Clique em Criar conexão VPN.
Criar uma rota na UI
Siga estas etapas para criar uma rota para controlar como o tráfego de rede de destino é direcionado
- Clique no ícone Menu de navegação
e, em seguida, clique em Infraestrutura do VPC > Tabelas de roteamento na seção Rede.
- Selecione a VPCs de gerenciamento (em nosso exemplo,
management-vpc
) - Clique na tabela de roteamento padrão associada ao
management-vpc
. - Na seção Rotas, clique em Criar.
- Na página Criar rota, especifique as seguintes informações:
-
Zona: selecione a zona na qual o gateway VPN é implementado.
-
Name (Nome): Digite um nome para a nova rota.
Você pode criar um nome usando uma combinação de nomes aleatórios.
-
CIDR de destino: especifique o CIDR de sub-rede de sua rede VSI strongSwan.
-
Ação: selecione Entregar quando o destino da rota estiver na VPC ou se uma sub-rede privada no local estiver conectada a um gateway VPN.
-
Tipo de salto seguinte: clique em Conexão VPN e selecione a conexão VPN que você criou na etapa anterior.
-
- Clique em Salvar.
- Da mesma forma, crie uma rota separada para a zona de VSI de gerenciamento
- Zona: selecione a zona na qual a VSI de gerenciamento é implementada.
- Name (Nome): Digite um nome para a nova rota.
- CIDR de destino: especifique o CIDR de sub-rede de sua rede VSI strongSwan.
- Ação: selecione Entregar quando o destino da rota estiver na VPC ou se uma sub-rede privada no local estiver conectada a um gateway VPN.
- Tipo de salto seguinte: clique em Conexão VPN e selecione a conexão VPN que você criou na etapa anterior.
- Clique em Salvar.
Verificar Status do Strongswan
Depois de concluir as etapas anteriores, verifique o status do processo strongSwan na VSI strongSwan.
-
Reinicie o serviço strongSwan.
systemctl restart strongswan
-
Verifique o status das conexões.
❯ strongswan status Security Associations (1 up, 0 connecting): all[1]: ESTABLISHED 59 minutes ago, 10.160.x.x[169.45.x.x]...169.61.x.x[169.61.x.x] all{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cfbbd5d9_i c864dc75_o all{1}: 10.160.x.x/24 === 10.10.10.0/24 10.20.10.0/24
Teste a configuração do gateway de site para site
Siga estas etapas para verificar se você tem um gateway de site a site de trabalho.
-
Acesse a VSI do strongSwan. Em seu computador, emita o seguinte comando na linha de comando:
ssh -i <private-key> root@<Floating IP of strongswan VSI>
-
Acesse a VSI de gerenciamento concluindo as etapas a seguir:
- Acesse Instâncias de servidor virtual para o VPC Copie o IP privado ("IP reservado") para a VSI rotulada
<management-server-2>
(10.20.10.4 neste exemplo). - Na VSI do strongSwan, execute ping na VSI de gerenciamento
❯ ping 10.20.10.4 PING 10.20.10.4 (10.20.10.4) 56(84) bytes of data. 64 bytes from 10.20.10.4: icmp_seq=1 ttl=62 time=99.5 ms 64 bytes from 10.20.10.4: icmp_seq=2 ttl=62 time=99.4 ms 64 bytes from 10.20.10.4: icmp_seq=3 ttl=62 time=99.4 ms ^C --- 10.20.10.4 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2003ms rtt min/avg/max/mdev = 99.415/99.462/99.502/0.035 ms
- Também é possível SSH para
<management-server-2>
. Copie a chave privada que corresponde à chave pública usada para implementar a zona de entrada na VSI strongSwan e execute o comando a seguir na linha de comandos strongSwan:
ssh -i <private-key> root@10.20.10.4
- Acesse Instâncias de servidor virtual para o VPC Copie o IP privado ("IP reservado") para a VSI rotulada
Resumo
Depois de configurar a VPN de site para site para a VPC de gerenciamento, é possível acessar a VPC de carga de trabalho por meio das VSIs de gerenciamento com as regras de ACL necessárias em vigor Com uma conexão estabelecida com o VPC de carga de trabalho, é possível implementar o seu aplicativo nas VSIs de carga de trabalho