目标

• 了解基于 VPC 的中心和辐射模型背后的概念，用于管理所有 VPC 到 VPC 的流量。
• 了解 VPC 入口和出口路由。
• 确定并 (可选) 解决非对称路由问题。
• 了解如何将网络负载均衡器用于高可用性和可扩展的防火墙路由器。
• 利用 DNS 服务路由和转发规则，构建架构完善的名称解析系统。

准备工作

本教程需要:

• terraform 以使用基础结构作为代码来供应资源，
• python 以 (可选) 运行 pytest 命令，
• 实现防火墙路由器将要求您 启用 IP 电子欺骗检查，

请参阅 先决条件 以获取一些选项，包括用于轻松创建先决条件环境的 Dockerfile。

此外：

• 检查用户许可权。 请确保您的用户帐户具有足够的许可权来创建和管理本教程中的所有资源。 请参阅以下列表:
  • VPC 必需的许可权。
  • 创建 Transit Gateway 所需的许可权。
  • IP 电子欺骗检查所需的许可权。
  • 管理权限所需的许可权。

第一部分摘要

在本教程的 第一部分 中，我们仔细规划了传输和辐射 VPC 的地址空间。 基于区域的体系结构如下所示:

此图显示交通流。 Only the enterprise <-> spoke is passing through the firewall:

这是通过 Direct Link，Transit Gateway 和 VPC 路由实现的。 所有区域都进行了类似的配置，下图显示了区域 1 的详细信息:

CIDR 10.1.0.0/16 涵盖运输和轮辐，并通过 Direct Link 作为广告路线传递到企业。 类似地，CIDR 192.168.0.0/24 涵盖企业，并通过 Transit Gateway 传递到辐条作为广告路线。

辐条中的出口路由将流量路由到防火墙路由器。 Ingress routes in the transit route enterprise <-> spoke traffic through the firewall-router.

供应通过防火墙路由器路由所有内部 VPC 流量的初始 VPC 资源

通常，企业使用传输 VPC 来监视使用防火墙路由器的流量。 In part one only enterprise <-> spoke traffic was flowing through the transit firewall-router. 本节介绍如何通过防火墙路由器将所有 VPC 路由到 VPC 流量。

此图显示在此步骤中实现的流量流:

VPC 之间的所有流量都将流经防火墙路由器:

• enterprise <-> spoke.
• enterprise <-> transit.
• transit <-> spoke.
• spoke <-> spoke in different VPC.

VPC 中的流量不会流经防火墙。

如果从第一部分继续，请特别记下 terraform.tfvars: all_firewall = true 中的配置。

修订跨区域路由

如前所述，要使系统具有跨区域故障的弹性，最好消除跨区域流量。 如果需要跨区域支持，那么可以添加其他出口路径。 下图中显示了辐射 0 到辐射 1 流量的问题:

绿色路径是发起方辐射 0 区域 2 10.2.0.4 路由到辐射 1 区域 1 10.1.1.4的示例。 匹配的出口路径为:

区域	目标	下一个中继段
Dallas10.0.0.0/810.2.15.196

选择图的中间区域区域 2 中的防火墙路由器向左向右移动。 在返回路径区域 1 上已选择。

要解决此问题，需要添加一些更具体的路由，以在指定了较低区域编号目标时强制较高区域路由到较低区域编号防火墙。 引用相同或更高编号的区域时，将继续路由到同一区域中的防火墙。

每个轮辐默认出口路由表中的路由（显示为 Dallas/us-south）：

区域	目标	下一个中继段
Dallas10.1.0.0/1610.1.15.196
Dallas10.1.0.0/1610.1.15.196
Dallas10.2.0.0/1610.2.15.196

These routes are also going to correct a similar transit <--> spoke cross zone asymmetric routing problem. 请考虑中转工作程序 10.1.15.4-> 辐射工作程序 10.2.0.4。 来自区域 1 中的传输工作程序的流量将选择区域 1 (同一区域) 中的防火墙路由器。 返回时，将使用区域 2 (同一区域) 中的防火墙路由器，现在将使用区域 1 中的防火墙路由器。

1. 应用 all_firewall_asym 层:

   ./apply.sh all_firewall_asym_tf
   

2. 运行测试套件。

   您的预期结果是： 所有测试 通过，并行运行 (-n 10)：

   pytest -n 10 -m curl
   

现在，VPC 之间的所有流量都通过防火墙路由器进行路由。

高性能高可用性 (HA) 防火墙-路由器

为了防止防火墙路由器成为性能瓶颈或单点故障，可以添加 VPC 网络负载均衡器以将流量分发到分区防火墙路由器，从而创建高可用性，HA 和防火墙路由器。 请检查防火墙路由器文档以验证它是否支持此体系结构。

此图显示以 路由方式 在两个防火墙路由器前配置了网络负载均衡器 (NLB) 的单个区域。 要查看此构造，需要更改配置并再次应用。

1. 在 config_tf/terraform.tfvars: 中更改这两个变量

   firewall_nlb                 = true
   number_of_firewalls_per_zone = 2
   

   此更改将导致防火墙路由器的 IP 地址从先前使用的防火墙路由器实例更改为 NLB 的 IP 地址。 需要将 IP 地址更改应用于传输和辐射 VPC 中的多个 VPC 路由表路由。 最好应用之前应用的所有层:

2. 通过all_firewall_非对称 _tf 层应用所有层:

   ./apply.sh : all_firewall_asym_tf
   

观察所做的更改:

1. 打开 VPC 负载均衡器。
2. 选择区域 1（Dallas1/us-south-1）中的负载平衡器，其后缀为 fw-z1-s3。
3. 请注意 专用 IP。

将专用 IP 与传输 VPC 入口路由表中的 IP 进行比较:

1. 打开 虚拟私有云。
2. 选择运输 VPC。
3. 单击 管理路由表。
4. 单击 tgw-ingress 路由表。 请注意，下一个中继段 IP 地址与其中一个 NLB 专用 IP 匹配

验证弹性:

1. 运行辐射 0 区域 1 测试:

   pytest -k r-spoke0-z1 -m curl
   

2. 打开 VPC 的虚拟服务器实例
3. 通过指定不允许入站端口 80 的安全组，停止到 0 防火墙实例的流量。 找到后缀为 fw-z1-s3-0 的实例，然后打开详细信息视图:
   1. 向下滚动并点击 网络接口 旁边的画笔编辑
   2. 取消选中 x-fw-inall-outall
   3. 检查 x-fw-in22-outall
   4. 单击保存。
4. 再次运行 pytest。 它将指示失败。 NLB 需要几分钟才能停止将流量路由到无响应实例，此时所有测试都将通过。 继续等待并运行 pytest，直到所有测试通过为止。

不再需要 NLB 防火墙。 除去 NLB 防火墙:

1. 在 config_tf/terraform.tfvars: 中更改这两个变量

   firewall_nlb                 = false
   number_of_firewalls_per_zone = 1
   

2. 通过all_firewall_非对称 _tf 层应用所有层:

   ./apply.sh : all_firewall_asym_tf
   

关于在路由方式下配置的 NLB 的说明

NLB 路由方式将重写路由表条目-在故障转移期间始终保留路由表中的活动 NLB 设备 IP 地址。 但是，仅对包含 NLB 的中转 VPC 中的路线执行此操作。 该辐射具有使用其中一个 NLB 设备 IP 初始化的出口路径。 不会在 NLB 设备故障转移上更新发言的下一个中继段!

需要在传输 VPC 中维护入口路径，NLB 将重写该路径以反映活动设备。 辐射出口路由将把包传递到传输 VPC 的正确区域。 在传输 VPC 区域内的路由将找到将包含活动设备的匹配入口规则。

下面是前面讨论的中转 VPC 入口路由表。 下一个中继段将与活动 NLB 设备保持最新。 请注意，NLB 路由模式服务写入了一项更改▄■▄，以反映活动设备。

NLB 要求创建允许 NLB 写入 VPC 的 IAM 授权。 此授权由 apply.sh 脚本创建。 有关脚本执行的配置的更多详细信息，请参阅 使用路由方式创建网络负载均衡器。

必须在将 会话持久性类型 设置为空的情况下配置路由方式 NLB 池。

DNS

IBM Cloud DNS Services 服务用于将名称转换为 IP 地址。 在此示例中，将在云中创建 DNS 服务。 将创建 DNS 区域 cloud.example.com，并将传输 VPC 添加为允许的网络。 云实例的 DNS 记录将添加到 cloud.example.com。 例如，将为区域 1 中的辐射 0 工作程序创建一条记录，该记录将具有全名 spoke0-z1-worker.cloud.example.com。

查看 关于 VPE 网关的 DNS 共享。 传输 VPC 已作为 DNS 中心启用。 每个辐射 VPC 都配置有与传输 VPC 集线器的 DNS 解析绑定。 这会将 DNS 服务器的辐射 VPC DHCP 设置配置为传输 VPC 定制解析器。

./apply.sh dns_tf

pytest -n 10 -m dns

虚拟专用端点网关

VPC 允许通过 Virtual Private Endpoint (VPE) for VPC 对 IBM Cloud 服务进行专用访问。 VPE 网关允许通过标准 IBM Cloud VPC 控件进行细粒度网络访问控制:

• Security Groups.
• VPC 网络访问控制表。
• 路由表和路由。

将为每个 VPC VPE 网关创建 DNS 区域。 DNS 区域将自动添加到与 VPC 关联的专用 DNS 服务。 每个辐射 VPC 都具有到传输 VPC 的 DNS 配置 bound。 这使辐射 VPE DNS 区域能够共享到传输 VPC。

1. 通过应用 vpe_transit_tf 和vpe_发言人 _tf 层，为传输和每个辐射 VPC 创建 IBM Cloud Databases for PostgreSQL 实例和 VPE:

   ./apply.sh vpe_transit_tf vpe_spokes_tf
   

2. 在 pytest 脚本中提供了一组 vpe 和 vpedns 测试。 vpedns 测试将验证 Databases for PostgreSQL 实例的 DNS 名称是否位于外层 VPC 的专用 CIDR 块中。 vpe 测试将执行 psql 命令以远程访问 Databases for PostgreSQL 实例。 从辐射 0 区域 1 测试 vpe 和 vpedns:

   • 预期结果所有测试都通过

   pytest -m 'vpe or vpedns' -k spoke0-z1
   

本教程中的所有测试现在都应该通过。 有不少。 并行运行这些命令:

pytest -n 10

生产说明和结论

IBM Cloud for Financial Services 的 VPC 参考体系结构 提供了有关保护 IBM Cloud中工作负载的更多详细信息。

要进行的一些明显更改:

• 选择 CIDR 块是为了澄清和便于解释。 多专区区域中的可用性专区可以是 10.1.0.0/10，10.64.0.0/10，10.128.0.0/10 以节省地址空间。 同样，工作程序节点的地址空间可以以防火墙，DNS 和 VPE 空间为代价进行扩展。
• 应该仔细考虑工作程序 VSI，虚拟专用端点网关，DNS 位置和防火墙的每个网络接口的安全组。
• 应仔细考虑每个子网的网络访问控制表。
• 浮动 IP 已连接到所有测试实例，以支持通过 SSH 进行的连接测试。 这在生产中是不需要的或不可取的。
• 实施基于上下文的限制 规则以进一步控制对所有资源的访问。

在本教程中，您创建了一个中心 VPC 和一组辐射 VPC。 您通过传输 VPC 防火墙路由器路由了所有跨 VPC 流量。 为传输 VPC 中心创建了 DNS 服务，并且每个辐射 VPC 都是与传输 VPC 绑定的 DNS。

除去资源

使用 ./apply.sh 命令以逆向顺序在所有目录中执行 terraform destroy :

./apply.sh -d : :

扩展教程

您的体系结构可能与所呈现的体系结构不同，但可能是从此处讨论的基本组件构造的。 展开本教程的构想:

• 使用 IBM Cloud® Internet Services 集成入局公共因特网访问。
• 在传输中添加 Flow Logs for VPC capture。
• 将每个辐条放在 企业 中的单独帐户中。
• 强制某些辐条通过防火墙的辐条流量，而某些辐条不通过防火墙的辐条流量。
• 将工作程序 VSI 替换为 Red Hat OpenShift on IBM Cloud 和 VPC 负载均衡器。
• 强制通过传输 VPC 中的防火墙和 公共网关 的所有出站流量。

相关内容

• IBM Cloud for Financial Services
• 如何跨多个位置和区域部署隔离的工作负载
• 虚拟私有云中的公共前端和私有后端，
• 网络功能虚拟化
• 使用透明 VNF 和辐射到辐射流量的专用中心和辐射