用于在 Classic 中管理 VMware Cloud Foundation for Classic - Automated 实例的堡垒 VPC 架构模式
此架构模式提供基于客户端 VPN 的连接,可连接到 VMware Cloud Foundation for Classic - Automated 经典基础架构中配置的实例。 此解决方案使用具有 客户到站点 VPNaaS 的堡垒 VPC 和连接 IBM Cloud Transit Gateway 的 VPC,或者使用具有 classic connectivity 的 VPC。IBM Cloud DNS Services 在 VPC 中使用自定义解析器。
在 Classic 中部署用于管理 vCenter 服务器部署的堡垒 VPC
下图概述了部署 bastion VPC 以管理 Classic 中 vCenter 服务器部署的架构模式。
该架构模式部署概述如下:
- 为 Bastion 主机创建 VPC。 选择一个 VPC 前缀,该前缀不能与您的经典前缀重叠。 例如,MZR 和 Zone 的默认 VPC 前缀通常适用于这一步。
根据您的偏好设置子网大小,例如
/27
或更大。 - 为基于 OpenVPN 的 VPN 连接提供客户端到站点 VPNaaS。 为客户端配置首选的身份验证方法。 为客户使用一个前缀,不要与其他前缀重叠。 当 VPN 客户端与所连接的资源通信时,您可以使用 SNAT。 向您的客户宣传
10.0.0.0/8
或根据您的偏好宣传更小的前缀。 - 使用 classic 连接,或配置 IBM Cloud Transit Gateway 并添加您的 VPC 和 Classic 作为其连接。 这将在 Bastion VPC、Classic 和已连接的 VPN 客户端之间提供路由连接。
- 使用您选择的本地域名配置 DNS 服务。 例如,
bastion.ibmcloud.local
。 - 为您的 Bastion VPC 子网配置自定义解析器。 此外,将其配置为 VPN 客户端的 DNS 服务器。
- 在自定义解析器中配置 DNS 转发器,指向 VMware Cloud Foundation for Classic - Automated 实例 AD 根域,例如
vcs-zyx.ibmcloud.local
。 - 如有需要,请将 Windows® 或 Linux® 堡垒主机配置到您的堡垒 VPC 子网。 您可以使用 OpenVPN 客户端通过互联网访问它们。
如果使用 A 类块 10.0.0.0/8
中的任何 IP 地址范围作为 VPC 前缀,则必须为 Classic 服务器添加路由,才能访问 VPC 托管的服务器。 经典服务器的路由默认设置为 IBM Cloud 专用网络(10.0.0.0/8
)和 IBM Cloud 服务网络(166.8.0.0/14
和 161.26.0.0/16
),BCR 为下一跳。 如果您的 VPC 使用其他设备,请确保您的经典资产通过
BCR 路由到该设备。
注意事项
在设计或部署这种架构模式时,可以考虑将传统的虚拟服务器实例用于跳转或堡垒主机。 配置服务器 DNS 以指向 vCenter 服务器实例 Active Directory™ 或 DNS 服务器,或在 hosts
文件中创建条目。