使用客户端到站点 VPN 连接到着陆区
本教程将深入介绍使用 客户端 VPN for VPC 连接的最快方法。 与手动步骤相比,您可以通过使用社区注册表中客户端到站点 VPN 可部署架构云自动化用于部署公共体系结构模式,该模式组合了一个或多个云资源,这些资源旨在实现轻松部署、可伸缩性和模块化。的云自动化,设置一种自动方式来创建客户端到站点的 VPN 连接,并将其连接到账户中的一个或多个登陆区。
目标
- 使用社区注册表中的云自动化客户端到站点 VPN 可部署架构云自动化用于部署公共体系结构模式,该模式组合了一个或多个云资源,这些资源旨在实现轻松部署、可伸缩性和模块化。,在私有 VPC 网络和客户端之间创建客户端到站点 VPN 连接。
问题
假设您部署了 Red Hat OpenShift Container Platform on VPC landing zone 可部署架构云自动化用于部署公共体系结构模式,该模式组合了一个或多个云资源,这些资源旨在实现轻松部署、可伸缩性和模块化。. 在 IBM Cloud 控制台中,可以看到群集已创建并正常运行。 当您尝试访问管理群集上的 Red Hat OpenShift 网络控制台时,会看到此错误:
无法访问 Red Hat OpenShift 控制台,因为集群只能在管理 VPC 的专用网络上访问,该网络已锁定并且无法从因特网访问。
如果您部署 VPC 的云基础、 VSI on VPC landing zone 或 Red Hat OpenShift Container Platform on VPC landing zone 则可能还会遇到与 VPC 私有网络的连接问题。
例如,对网络执行 ping 操作但超时:
ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
ping: sendto: Host is down
Request timeout for icmp_seq 0
ping: sendto: Host is down
Request timeout for icmp_seq 1
ping: sendto: Host is down
Request timeout for icmp_seq 2
ping: sendto: Host is down
Request timeout for icmp_seq 3
^C
--- 10.0.0.1 ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
如何安全地访问该专用网络以完成对这些 VPC 中资源的操作?
解决方案
建立与私有 VPC 网络的安全连接:
- 客户机到站点 VPN 服务器和 VPN 客户端-在设备上配置 VPN 客户端应用程序,以创建与使用 IBM Cloud VPN for VPC的 VPC 网络的安全连接。 IBM Cloud VPN 服务器服务具有高可用性方式供生产使用,并由 IBM管理。
利用项目为客户端到站点 VPN 部署云自动化
- 从社区注册表中搜索“客户端到站点 VPN 的云自动化”。
- 您可以选择两种不同的款式:
- 快速启动:专为快速测试和通过 VPN 客户端无缝访问专用 VPC 网络而设计。 VPN 是完全开放的,ACL 规则和安全组允许不受限制的访问,并允许来自任何来源的所有传入请求。
- 标准:完全可定制的解决方案。 默认情况下,所有进入私有 VPC 网络的请求都会被拒绝,必须通过配置 ACL 规则和安全组进行授权。 VPN 服务器有两个独立的 VPC 子网,以确保高可用性。
- 将其添加到现有项目或创建一个项目。
- 根据需要选择可选的附加组件,定制客户端到站点 VPN 的云自动化:
- Red Hat OpenShift Container Platform on VPC landing zone
- VSI on VPC landing zone
- VPC 的云基础
- Secrets Manager 云自动化
- 根据计划使用 可部署架构云自动化用于部署公共体系结构模式,该模式组合了一个或多个云资源,这些资源旨在实现轻松部署、可伸缩性和模块化。的方式,完成接下来的步骤:
可部署架构云自动化用于部署公共体系结构模式,该模式组合了一个或多个云资源,这些资源旨在实现轻松部署、可伸缩性和模块化。是基础设施即代码 IaC ),旨在实现轻松部署、可扩展性和模块化。 在这种情况下,可部署架构云自动化用于部署公共体系结构模式,该模式组合了一个或多个云资源,这些资源旨在实现轻松部署、可伸缩性和模块化。 代表了一种可重复的方式,可为组织中的多个登陆区创建客户端到站点的 VPN 连接。 它还简化了贵公司中的其他人如何为其登录区域设置更多 VPN 连接。
配置 OpenVPN 客户端
部署 VPN 服务器云资源后,请在将访问登录区域的设备上设置 OpenVPN 客户机。
-
从 VPN 服务器下载 OpenVPN 概要文件
-
使用 IBM Cloud 控制台:
- 单击导航菜单图标
,然后单击网络部分的基础设施 > VPN 打开 VPC 的 VPN 页面。 - 单击客户端到站点服务器选项卡,选择创建的客户端到站点 VPN 服务器。
- 单击客户选项卡。 然后,单击 下载客户机概要文件。
或
- 单击导航菜单图标
-
使用 IBM Cloud CLI:
ibmcloud is vpn-server-client-configuration VPN_SERVER --file client2site-vpn.ovpn从验证步骤中查找 Terraform 应用的输出中的
VPN_SERVER标识。 如果您在其中找不到概要文件,请遵循先前步骤下载概要文件并查看<vpn_server>.ovpn文件。
-
-
设置客户机:
您可以遵循 设置 VPN 客户端 中的步骤。
- 从 https://openvpn.net下载并安装 OpenVPN 客户机应用程序。
- 打开 OpenVPN 客户机应用程序,然后导入
client2site-vpn.ovpn文件。 - 输入配置为作为用户标识访问 VPN 的其中一个 IBM Cloud 电子邮件地址。
-
在浏览器中转至 https://iam.cloud.ibm.com/identity/passcode 以生成验证码。 复制验证码。
-
返回到 OpenVPN 客户机应用程序并粘贴一次性密码。 然后,导入
client2site-vpn.ovpn证书文件。
使用客户机证书而不是一次性密码
如果要在 VPN 上配置客户机证书,而不是使用一次性密码,请遵循客户机到站点文档的 管理 VPN 服务器和客户机证书 部分中的指示信息。
测试对 Red Hat OpenShift Web 控制台的访问权
如果登录区域包含 Red Hat OpenShift 集群,那么现在可以测试您是否有权访问 Web 控制台。
- 在浏览器中打开 https://{DomainName}/kubernetes/clusters。
- 选择登录区域中管理集群的集群详细信息。
- 单击右上角的 OpenShift Web 控制台 以访问 Red Hat OpenShift Web 控制台。
- 重复步骤 (2) 和 (3) 以测试与登录区域的工作负载集群的连接。
测试 VPN 连接
在具有 OpenVPN 客户机的设备上,ping 10.* 网络 (位于管理 VPC 中)。
ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
64 bytes from 10.0.0.1: icmp_seq=0 ttl=64 time=19.920 ms
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=19.301 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=14.490 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=20.896 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=13.938 ms
^C
--- 10.0.0.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 13.938/17.709/20.896/2.904 ms
如果未看到任何超时或其他错误,那么您的本地工作站已连接到 VPC 的专用网络。
解决连接问题
在以下错误中,OpenVPN 具有活动连接,但无法访问专用 VPN 子网上的服务器。 检查设备通过其连接的本地网络。 某些较新的路由器在 10.* 范围而不是 192.168.* 范围内分配 IP 地址。
error: dial tcp: lookup YOUR_SERVER_URL on 10.0.0.1:53:
read udp 10.0.0.2:0->10.0.0.1:53:
i/o timeout- verify you have provided the correct host and port and that the server is currently running.
摘要
在 IBM Cloud上使用可部署体系结构的功能时,自动创建到安全登录区域的客户机到站点 VPN 连接很简单。