使用客户机到站点 VPN 连接到 VPC landing zone
本教程将深入介绍使用 客户端 VPN for VPC 连接的最快方法。 与手动步骤相比,您可以通过使用社区注册表中客户端到站点 VPN 可部署架构Cloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity.的云自动化,设置一种自动方式来创建客户端到站点的 VPN 连接,并将其连接到账户中的一个或多个登陆区。
目标
- 使用社区注册表中的云自动化客户端到站点 VPN 可部署架构Cloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity.,在私有 VPC 网络和客户端之间创建客户端到站点 VPN 连接。
问题
假设您部署了 Red Hat OpenShift Container Platform on VPC landing zone 可部署架构Cloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity.. 在 IBM Cloud 控制台中,可以看到群集已创建并正常运行。 当您尝试访问管理群集上的 Red Hat OpenShift 网络控制台时,会看到此错误:
无法访问 Red Hat OpenShift 控制台,因为集群只能在管理 VPC 的专用网络上访问,该网络已锁定并且无法从因特网访问。
如果部署 VPC landing zone, VSI on VPC landing zone或 Red Hat OpenShift Container Platform on VPC landing zone 可部署体系结构,那么还可能存在与 VPC 专用网络的连接问题。
例如,对网络执行 ping 操作但超时:
ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
ping: sendto: Host is down
Request timeout for icmp_seq 0
ping: sendto: Host is down
Request timeout for icmp_seq 1
ping: sendto: Host is down
Request timeout for icmp_seq 2
ping: sendto: Host is down
Request timeout for icmp_seq 3
^C
--- 10.0.0.1 ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
如何安全地访问该专用网络以完成对这些 VPC 中资源的操作?
解决方案
建立与私有 VPC 网络的安全连接:
- 客户机到站点 VPN 服务器和 VPN 客户端-在设备上配置 VPN 客户端应用程序,以创建与使用 IBM Cloud VPN for VPC的 VPC 网络的安全连接。 IBM Cloud VPN 服务器服务具有高可用性方式供生产使用,并由 IBM管理。
利用项目为客户端到站点 VPN 部署云自动化
- 从社区注册表中搜索“客户端到站点 VPN 的云自动化”。
- 您可以选择两种不同的款式:
- 快速启动:专为快速测试和通过 VPN 客户端无缝访问专用 VPC 网络而设计。 VPN 是完全开放的,ACL 规则和安全组允许不受限制的访问,并允许来自任何来源的所有传入请求。
- 标准:完全可定制的解决方案。 默认情况下,所有进入私有 VPC 网络的请求都会被拒绝,必须通过配置 ACL 规则和安全组进行授权。 VPN 服务器有两个独立的 VPC 子网,以确保高可用性。
- 将其添加到现有项目或创建一个项目。
- 根据需要选择可选的附加组件,定制客户端到站点 VPN 的云自动化:
- Red Hat OpenShift Container Platform on VPC landing zone
- VSI on VPC landing zone
- VPC landing zone
- Secrets Manager 云自动化
- 根据计划使用 可部署架构Cloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity.的方式,完成接下来的步骤:
可部署架构Cloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity.是基础设施即代码 IaC ),旨在实现轻松部署、可扩展性和模块化。 在这种情况下,可部署架构Cloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity. 代表了一种可重复的方式,可为组织中的多个登陆区创建客户端到站点的 VPN 连接。 它还简化了贵公司中的其他人如何为其登录区域设置更多 VPN 连接。
配置 OpenVPN 客户端
部署 VPN 服务器云资源后,请在将访问登录区域的设备上设置 OpenVPN 客户机。
-
从 VPN 服务器下载 OpenVPN 概要文件
-
使用 IBM Cloud 控制台:
- 单击导航菜单图标
,然后单击网络部分的基础设施 > VPN 打开 VPC 的 VPN 页面。
- 单击客户端到站点服务器选项卡,选择创建的客户端到站点 VPN 服务器。
- 单击客户选项卡。 然后,单击 下载客户机概要文件。
或
- 单击导航菜单图标
-
通过使用 IBM Cloud CLI:
ibmcloud is vpn-server-client-configuration VPN_SERVER --file client2site-vpn.ovpn
从验证步骤中查找 Terraform 应用的输出中的
VPN_SERVER
标识。 如果您在其中找不到概要文件,请遵循先前步骤下载概要文件并查看<vpn_server>.ovpn
文件。
-
-
设置客户机:
您可以遵循 设置 VPN 客户端 中的步骤。
- 从 https://openvpn.net下载并安装 OpenVPN 客户机应用程序。
- 打开 OpenVPN 客户机应用程序,然后导入
client2site-vpn.ovpn
文件。 - 输入配置为作为用户标识访问 VPN 的其中一个 IBM Cloud 电子邮件地址。
-
在浏览器中转至 https://iam.cloud.ibm.com/identity/passcode 以生成验证码。 复制验证码。
-
返回到 OpenVPN 客户机应用程序并粘贴一次性密码。 然后,导入
client2site-vpn.ovpn
证书文件。
使用客户机证书而不是一次性密码
如果要在 VPN 上配置客户机证书,而不是使用一次性密码,请遵循客户机到站点文档的 管理 VPN 服务器和客户机证书 部分中的指示信息。
测试对 Red Hat OpenShift Web 控制台的访问权
如果登录区域包含 Red Hat OpenShift 集群,那么现在可以测试您是否有权访问 Web 控制台。
- 在浏览器中打开 https://{DomainName}/kubernetes/clusters。
- 选择登录区域中管理集群的集群详细信息。
- 单击右上角的 OpenShift Web 控制台 以访问 Red Hat OpenShift Web 控制台。
- 重复步骤 (2) 和 (3) 以测试与登录区域的工作负载集群的连接。
测试 VPN 连接
在具有 OpenVPN 客户机的设备上,ping 10.*
网络 (位于管理 VPC 中)。
ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
64 bytes from 10.0.0.1: icmp_seq=0 ttl=64 time=19.920 ms
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=19.301 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=14.490 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=20.896 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=13.938 ms
^C
--- 10.0.0.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 13.938/17.709/20.896/2.904 ms
如果未看到任何超时或其他错误,那么您的本地工作站已连接到 VPC 的专用网络。
解决连接问题
在以下错误中,OpenVPN 具有活动连接,但无法访问专用 VPN 子网上的服务器。 检查设备通过其连接的本地网络。 某些较新的路由器在 10.*
范围而不是 192.168.*
范围内分配 IP 地址。
error: dial tcp: lookup YOUR_SERVER_URL on 10.0.0.1:53:
read udp 10.0.0.2:0->10.0.0.1:53:
i/o timeout- verify you have provided the correct host and port and that the server is currently running.
摘要
在 IBM Cloud上使用可部署体系结构的功能时,自动创建到安全登录区域的客户机到站点 VPN 连接很简单。