目标

• 使用社区注册表中的云自动化客户端到站点 VPN 可部署架构Cloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity.，在私有 VPC 网络和客户端之间创建客户端到站点 VPN 连接。

ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
ping: sendto: Host is down
Request timeout for icmp_seq 0
ping: sendto: Host is down
Request timeout for icmp_seq 1
ping: sendto: Host is down
Request timeout for icmp_seq 2
ping: sendto: Host is down
Request timeout for icmp_seq 3
^C
--- 10.0.0.1 ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss

利用项目为客户端到站点 VPN 部署云自动化

1. 从社区注册表中搜索“客户端到站点 VPN 的云自动化”。
2. 您可以选择两种不同的款式：
   • 快速启动：专为快速测试和通过 VPN 客户端无缝访问专用 VPC 网络而设计。 VPN 是完全开放的，ACL 规则和安全组允许不受限制的访问，并允许来自任何来源的所有传入请求。
   • 标准：完全可定制的解决方案。 默认情况下，所有进入私有 VPC 网络的请求都会被拒绝，必须通过配置 ACL 规则和安全组进行授权。 VPN 服务器有两个独立的 VPC 子网，以确保高可用性。
3. 将其添加到现有项目或创建一个项目。
4. 根据需要选择可选的附加组件，定制客户端到站点 VPN 的云自动化：
   • Red Hat OpenShift Container Platform on VPC landing zone
   • VSI on VPC landing zone
   • VPC landing zone
   • Secrets Manager 云自动化
5. 根据计划使用 可部署架构Cloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity.的方式，完成接下来的步骤：
   • 在项目中 配置 并 部署
   • 您可以在一个项目中将 可部署架构堆叠 在一起，创建一个强大的端到端解决方案架构。 您无需编写 Terraform 代码，即可连接堆栈中的可部署成员架构。 在成员可部署架构中配置输入值时，可以引用另一成员的输入或输出，将可部署架构连接在一起。 在堆栈中部署可部署架构后，您可以将堆栈添加到私有目录中，以便与组织中的其他人轻松共享。

可部署架构Cloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity.是基础设施即代码 IaC ），旨在实现轻松部署、可扩展性和模块化。 在这种情况下，可部署架构Cloud automation for deploying a common architectural pattern that combines one or more cloud resources that is designed for easy deployment, scalability, and modularity. 代表了一种可重复的方式，可为组织中的多个登陆区创建客户端到站点的 VPN 连接。 它还简化了贵公司中的其他人如何为其登录区域设置更多 VPN 连接。

配置 OpenVPN 客户端

部署 VPN 服务器云资源后，请在将访问登录区域的设备上设置 OpenVPN 客户机。

1. 从 VPN 服务器下载 OpenVPN 概要文件

   • 使用 IBM Cloud 控制台：

     1. 单击导航菜单图标，然后单击网络部分的基础设施 > VPN 打开 VPC 的 VPN 页面。
     2. 单击客户端到站点服务器选项卡，选择创建的客户端到站点 VPN 服务器。
     3. 单击客户选项卡。 然后，单击 下载客户机概要文件。

     或

   • 通过使用 IBM Cloud CLI：

     ibmcloud is vpn-server-client-configuration VPN_SERVER --file client2site-vpn.ovpn
     

     从验证步骤中查找 Terraform 应用的输出中的 VPN_SERVER 标识。 如果您在其中找不到概要文件，请遵循先前步骤下载概要文件并查看 <vpn_server>.ovpn 文件。

2. 设置客户机:

   您可以遵循 设置 VPN 客户端 中的步骤。

   1. 从 https://openvpn.net下载并安装 OpenVPN 客户机应用程序。
   2. 打开 OpenVPN 客户机应用程序，然后导入 client2site-vpn.ovpn 文件。
   3. 输入配置为作为用户标识访问 VPN 的其中一个 IBM Cloud 电子邮件地址。

3. 在浏览器中转至 https://iam.cloud.ibm.com/identity/passcode 以生成验证码。 复制验证码。

4. 返回到 OpenVPN 客户机应用程序并粘贴一次性密码。 然后，导入 client2site-vpn.ovpn 证书文件。

测试对 Red Hat OpenShift Web 控制台的访问权

如果登录区域包含 Red Hat OpenShift 集群，那么现在可以测试您是否有权访问 Web 控制台。

1. 在浏览器中打开 https://{DomainName}/kubernetes/clusters。
2. 选择登录区域中管理集群的集群详细信息。
3. 单击右上角的 OpenShift Web 控制台 以访问 Red Hat OpenShift Web 控制台。
4. 重复步骤 (2) 和 (3) 以测试与登录区域的工作负载集群的连接。

测试 VPN 连接

在具有 OpenVPN 客户机的设备上，ping 10.* 网络 (位于管理 VPC 中)。

ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
64 bytes from 10.0.0.1: icmp_seq=0 ttl=64 time=19.920 ms
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=19.301 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=14.490 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=20.896 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=13.938 ms
^C
--- 10.0.0.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 13.938/17.709/20.896/2.904 ms

如果未看到任何超时或其他错误，那么您的本地工作站已连接到 VPC 的专用网络。

error: dial tcp: lookup YOUR_SERVER_URL on 10.0.0.1:53:
read udp 10.0.0.2:0->10.0.0.1:53:
i/o timeout- verify you have provided the correct host and port and that the server is currently running.

摘要

在 IBM Cloud上使用可部署体系结构的功能时，自动创建到安全登录区域的客户机到站点 VPN 连接很简单。