目标

• 在 IBM Cloud IaaS 帐户中链接安全网络
• 设置防火墙规则以进行站点到站点的访问
• 配置站点间的路由

{: caption="*

1. 部署安全专用网络
2. 配置 VRF 或 VLAN 生成 (首选 VRF)
3. 配置专用网络之间的 IP 路由
4. 配置防火墙规则以访问远程站点

准备工作

本教程基于教程使用安全专用网络隔离工作负载。 开始之前，应复查该教程及其先决条件。

配置安全专用网络站点

将利用教程使用安全专用网络隔离工作负载两次，以在两个不同的数据中心内实施专用网络。 除了注意等待时间对将在站点之间通信的任何流量或工作负载的影响之外，对于可以利用哪两个数据中心没有任何限制。

可以遵循使用安全专用网络隔离工作负载教程，而不更改每个所选数据中心，同时记录以下信息以供后续步骤使用。

1. 通过网关设备页面，前往每个 VRA 的“网关详细信息”页面。
2. Locate the Gateway VLANs section and click on the Gateway VLAN on the 私人 network to view the VLAN details. 名称应包含标识 bcrxxx，代表“后端客户路由器”，并且格式应为 nnnxx.bcrxxx.xxxx。
3. 在“设备”部分可以看到已配置的 VRA。 在子网部分，记下 VRA 专用子网 IP 地址和 CIDR (/26)。 该子网的类型为 primary，具有 64 个 IP。 稍后的路由配置会需要这些详细信息。
4. 再次在“网关详细信息”页面上找到“相关 VLAN”部分，然后点击与创建安全网络和 APP 区域相关联的 VLAN 网络上的私人。
5. 在“设备”部分可以看到已配置的 VSI。 在“子网”部分，记下 VSI 子网 IP 地址和 CIDR (/26)，因为路由配置需要这些信息。 在两个 VRA 防火墙配置中，该 VLAN 和子网都被标识为 APP 区域，并记录为 <APP 区域子网/CIDR>。

配置后端网络连接

缺省情况下，不同 VLAN 和数据中心上的服务器（和 VRA）无法通过专用网络彼此进行通信。 在这些教程中，在单个数据中心内，VRA 用于将 VLAN 和子网链接到经典 IP 路由和防火墙，以创建专用网络用于跨 VLAN 进行服务器通信。 虽然它们可以在同一数据中心内进行通信，但在此配置中，属于同一 IBM Cloud 帐户的服务器却无法跨数据中心进行通信。

与 VRA 关联的 VLAN 只能通过其关联的 VRA 进行通信，由 VRA 防火墙和路由配置确定。 IBM Cloud 帐户拥有的 VRA 通过专用网络连接并可通信。

与 VRA 创建的安全专用网络无关的 VLAN 允许这些“无关联”VLAN 跨数据中心互联。 这包括不同数据中心内属于同一 IBM Cloud 帐户的 VRA 网关（转移）VLAN。 因此，当启用后端网络连接时，VRA 可以跨数据中心进行通信。 通过 VRA 到 VRA 的连接，VRA 防火墙和路由配置将支持安全网络中的服务器进行连接。

请检查您的帐户以启用 VRF 或 VLAN 生成。 只能启用其中一个，并且首选 VRF。 要确定是否启用 VRF，请参阅 启用 VRF 和服务端点。 请参阅 VLAN 生成 以确定是否启用 VLAN 生成。

确认这两个 VRA 现在可以通信：

登录到数据中心 1 VRA，然后对数据中心 2 VRA 执行 ping 操作

SSH vyatta@<DC1 VRA Private IP Address>
ping <DC2 VRA Private IP Address>

登录到数据中心 2 VRA，然后对数据中心 1 VRA 执行 ping 操作

SSH vyatta@<DC2 VRA Private IP Address>
ping <DC1 VRA Private IP Address>

配置 VRA IP 路由

在每个数据中心内创建 VRA 路由，以支持两个数据中心内 APP 专区中的 VSI 进行通信。

1. 在 VRA 编辑方式下，在数据中心 1 中创建与数据中心 2 中的 APP 专区专用子网的静态路由。

   ssh vyatta@<DC1 VRA Private IP Address>
   conf
   set protocols static route <DC2 APP zone subnet/CIDR>  next-hop <DC2 VRA Private IP>
   commit
   

2. 在 VRA 编辑方式下，在数据中心 2 中创建与数据中心 1 中的 APP 专区专用子网的静态路由。

   ssh vyatta@<DC2 VRA Private IP Address>
   conf
   set protocols static route <DC1 APP zone subnet/CIDR>  next-hop <DC1 VRA Private IP>
   commit
   

3. 通过 VRA 命令行查看 VRA 路由表。 此时 VSI 还不能进行通信，因为不存在 APP 专区防火墙规则以允许两个 APP 专区子网之间的流量。 在任一端启动的流量都需要防火墙规则。

   show ip route
   

现在将显示允许 APP 专区通过 IBM 专用网络进行通信的新路由。

VRA 防火墙配置

现有的 APP 专区防火墙规则仅配置为允许此子网与 IBM Cloud 专用网络上的 IBM Cloud 服务之间的流量，以及通过 NAT 进行公用因特网访问。 与此 VRA 上或其他数据中心内的 VSI 关联的其他子网都会被阻止。 下一步是更新与 APP-TO-INSIDE 防火墙规则相关联的 ibmprivate 资源组，以允许显式访问其他数据中心内的子网。

1. 在数据中心 1 VRA 编辑命令模式下，将<DC2APP 区域子网>/CIDR 添加到 ibmprivate 资源组中

   set resources group address-group ibmprivate address <DC2 APP zone subnet/CIDR>
   commit
   

2. 在数据中心 2 VRA 编辑命令模式下，将<DC1APP 区域子网>/CIDR 添加到 ibmprivate 资源组中

   set resources group address-group ibmprivate address <DC1 APP zone subnet/CIDR>
   commit
   

3. 验证两个数据中心内的 VSI 现在是否可以进行通信

   ping <Remote Subnet Gateway IP>
   ssh root@<VSI Private IP>
   ping <Remote Subnet Gateway IP>
   

   如果 VSI 无法进行通信，请遵循使用安全专用网络隔离工作负载教程中的指示信息来监视接口上的流量并复查防火墙日志。

除去资源

除去本教程中创建的资源所需执行的步骤。

VRA 采用按月付费套餐。 取消也不会退费。 建议您仅在下个月不再需要此 VRA 时取消。 如果需要双 VRA 高可用性集群，那么可以在网关详细信息页面上升级此单个 VRA。

1. 取消任何虚拟服务器或裸机服务器
2. 取消 VRA

扩展教程

本教程可以与通过 VPN 连接到安全专用网络中教程结合使用，以通过 IPSec VPN 将两个安全网络链接到用户的远程网络。 可以建立与两个安全网络的 VPN 链路，以提高访问 IBM Cloud IaaS 平台时的弹性。 请注意，IBM 不允许通过 IBM 专用网络在客户机数据中心之间路由用户流量。 避免网络循环的路由配置已超出了本教程的范围。

相关材料

1. 使用 IBM Cloud® Direct Link 的所有客户机都必须使用 VRF。 IBM Cloud 上的虚拟路由和转发 (VRF) 概述
2. IBM Cloud 网络