Informationen zum Netzbetrieb
Bei IBM Cloud® Virtual Private Cloud (VPC) handelt es sich um ein virtuelles Netz, das mit Ihrem Kundenkonto verknüpft ist. Das Produkt bietet Ihnen Cloudsicherheit und die Möglichkeit zur dynamischen Skalierung Ihres Systems, die durch die Bereitstellung fein abgestimmter Steuerungsinstrumente für Ihre virtuelle Infrastruktur und die Segmentierung Ihres Netzdatenverkehrs erreicht wird.
Übersicht
Jede VPC-Instanz (VPC = Virtual Private Cloud) wird für eine einzelne Region bereitgestellt. Innerhalb dieser Region kann sich die VPC-Instanz über mehrere Zonen erstrecken.
Teilnetze in Ihrer VPC-Instanz können über ein optionales öffentliches Gateway eine Verbindung zum öffentlichen Internet herstellen. Sie können jeder Virtual Server-Instanz variable IP-Adressen zuweisen, sodass diese Instanz über das Internet erreichbar ist, und zwar unabhängig davon, ob das zugehörige Teilnetz einem öffentlichen Gateway zugeordnet ist.
Teilnetze innerhalb der VPC-Instanz bieten private Konnektivität. Sie können über eine private Verbindung, die über den impliziten Router hergestellt wird, miteinander kommunizieren. Die Einrichtung von Routen ist nicht erforderlich. In Abbildung 1 wird dargestellt, wie Sie ein Virtual Private Cloud-System mithilfe von Teilnetzen unterteilen und jedes Teilnetz das öffentliche Internet erreichen kann.
Terminologie
Um mit Ihrem VPC zusammenzuarbeiten, überprüfen Sie die grundlegenden Konzepte von Region und Zone, wie sie für Ihren Einsatz gelten.
Regionen
Eine RegionEin unabhängiges geografisches Gebiet, das aus einer oder mehreren Zonen besteht. ist eine Abstraktion des geografischen Gebiets, in dem ein VPC eingesetzt wird. Jede Region enthält mehrere ZonenEin Standort innerhalb einer Region, der als unabhängige Fehlerdomäne fungiert und eine geringere Latenz zu anderen Zonen in der Region aufweist.. Eine VPC kann mehrere Zonen innerhalb der ihr zugewiesenen Region umfassen. IBM Cloud bietet zwei Ebenen von Regionen: Multizone-RegionenEine Region, die über physische Standorte in mehreren Zonen verteilt ist, um die Fehlertoleranz zu erhöhen. und Multizone-Regionen für einen einzelnen CampusEine Region, die aus mehreren Zonen besteht, die sich innerhalb eines einzigen Gebäudes oder Campus befinden. Abhängigkeiten wie Stromversorgung, Kühlung, Netzwerk und physische Sicherheit können gemeinsam genutzt werden, sind jedoch so konzipiert, dass sie ein hohes Maß an Fehlerunabhängigkeit bieten. .
Zonen
Jeder Zone wird ein Standardadressenpräfix zugeordnet, das den Adressbereich angibt, in dem Teilnetze erstellt werden können. Wenn das Standardadressschema Ihren Anforderungen nicht genügt und Sie beispielsweise einen eigenen Bereich öffentlicher IPv4-Adressen verwenden möchten, dann können Sie die Adresspräfixe anpassen. Die Zuordnung von logischen Zonennamen zu den physischen Zonen ist relativ zum Konto, so dass der Standard-Adresspräfixbereich für eine Zone je nach Konto unterschiedlich sein kann. Weitere Informationen finden Sie unter IBM Cloud für die Ressourcenbereitstellung.
Merkmale von Teilnetzen in Virtual Private Cloud
Jedes Teilnetz besteht aus einem angegebenen IP-Adressbereich (CIDR-Block). Teilnetze sind an eine einzelne Zone gebunden und dürfen nicht mehrere Zonen oder Regionen umfassen. Teilnetze innerhalb derselben VPC-Instanz sind miteinander verbunden.
Für das System reservierte Adressen
Bestimmte IP-Adressen sind für IBM reserviert, um den VPC zu betreiben. Die folgenden Adressen sind reservierte Adressen (diese IP-Adressen setzen voraus, dass der CIDR-Bereich des Subnetzes 10.10.10.0/24 lautet):
- Erste Adresse im CIDR-Bereich (
10.10.10.0): Netzadresse - Zweite Adresse im CIDR-Bereich (
10.10.10.1): Gateway-Adresse - Dritte Adresse im CIDR-Bereich (
10.10.10.2): Für IBM reserviert - Vierte Adresse im CIDR-Bereich (
10.10.10.3): Für die zukünftige Verwendung durch IBM reserviert - Letzte Adresse im CIDR-Bereich (
10.10.10.255): Broadcastadresse des Netzes
Externe Konnektivität
Die externe Konnektivität kann mithilfe eines öffentlichen Gateways erreicht werden, das einem Teilnetz zugeordnet wurde. Alternativ hierzu kann auch eine variable IP-Adresse verwendet werden, die einer Virtual Server-Instanz zugeordnet ist. Verwenden Sie ein öffentliches Gateway für SNAT (Source Network Address Translation) und eine variable IP-Adresse für DNAT (Destination Network Address Translation).
Diese Tabelle fasst die Unterschiede zwischen den Optionen zusammen:
| Öffentliches Gateway | Variable IP-Adresse |
|---|---|
| Instanzen können ausgehende Verbindungen zum Internet herstellen, aber sie können keine eingehenden Verbindungen aus dem Internet empfangen. | Instanzen können Verbindungen zum oder vom Internet herstellen bzw. empfangen. |
| Stellt Konnektivität für ein ganzes Teilnetz bereit. | Stellt Konnektivität für eine einzelne Instanz bereit. |
Verwenden Sie für eine sichere externe Konnektivität den VPN-Service, um Ihre VPC mit einem anderen Netz zu verbinden. Weitere Informationen zu VPN-Instanzen finden Sie unter VPN mit Ihrer VPC verwenden.
Öffentliches Gateway für externe Konnektivität eines Teilnetzes verwenden
Ein öffentliches Gateway ermöglicht einem Teilnetz und allen zugeordneten Virtual Server-Instanzen die Verbindung zum Internet. Teilnetze sind standardmäßig privat. Nachdem ein Teilnetz an das öffentliche Gateway angehängt wurde, können sich alle Instanzen in diesem Teilnetz mit dem Internet verbinden. Obwohl jede Zone über nur ein öffentliches Gateway verfügt, kann das öffentliche Gateway mehreren Teilnetzen zugeordnet werden.
Öffentliche Gateways verwenden Many-to-1-NAT, d. h. Tausende von Instanzen mit privaten Adressen verwenden eine öffentliche IP-Adresse für die Kommunikation mit dem öffentlichen Internet.
In der folgenden Abbildung wird der aktuelle Umfang der Gateway-Services zusammengefasst.
| SNAT | DNAT | ACL | VPN |
|---|---|---|---|
| Instanzen können nur ausgehenden Zugriff auf das Internet haben. | Eingehende Verbindungen vom Internet zu einer privaten IP zulassen. | Beschränkter Zugriff aus dem Internet auf Instanzen oder Subnetze. | Site-to-Site-VPN ist für Kunden jeder Größe und mit einem oder mehreren Standorten geeignet. |
| Ganze Subnetze teilen sich den ausgehenden öffentlichen Endpunkt. | Bietet eingeschränkten Zugriff auf einen einzelnen privaten Server. | Beschränken Sie den Zugriff aus dem Internet basierend auf Dienst, Protokoll oder Port. | Ein hoher Durchsatz (bis zu 10 Gbps) ermöglicht es Kunden, große Dateien sicher und schnell zu übertragen. |
| Schützt Instanzen; kann keinen Zugriff auf Instanzen über den öffentlichen Endpunkt initiieren. | Der DNAT-Dienst kann je nach Bedarf vergrößert oder verkleinert werden. | Stateless ACLs ermöglichen eine granulare Kontrolle des Datenverkehrs. | Erstellen Sie sichere Verbindungen mit branchenüblicher Verschlüsselung. |
Sie können nur ein öffentliches Gateway pro Zone erstellen. Dieses öffentliche Gateway kann jedoch mehreren Teilnetzen in der Zone zugeordnet werden.
Variable IP-Adresse für externe Konnektivität einer Virtual Server-Instanz verwenden
Variable IP-Adressen sind IP-Adressen, die vom System bereitgestellt werden und auf die über das öffentliche Internet zugegriffen werden kann.
Sie können eine variable IP-Adresse aus dem Pool der verfügbaren Adressen reservieren, die von IBM bereitgestellt werden. Sie können diese Adresse einer Netzschnittstelle einer beliebigen Instanz in derselben Zone zuordnen. Diese Schnittstelle hat auch eine private IP-Adresse. Jede variable IP-Adresse darf nur einer einzigen Schnittstelle zugeordnet werden.
Anmerkungen
- Durch die Zuordnung einer variablen IP-Adresse zu einer Instanz wird die Instanz aus der Viele-zu-1-Netzadressumsetzung des öffentlichen Gateways entfernt.
- Momentan werden als variable IP-Adressen nur IPv4-Adressen unterstützt.