IBM Cloud Docs
Verbindungen zu einem VPN-Gateway hinzufügen

Verbindungen zu einem VPN-Gateway hinzufügen

Sie können Verbindungen beim Erstellen eines VPN-Gateways oder nach der Bereitstellung hinzufügen. Wenn Sie eine VPN-Verbindung konfigurieren, können Sie auswählen, dass die Verbindung mit automatischer Vereinbarung hergestellt wird oder dass eine vordefinierte, angepasste IKE- oder IPsec-Richtlinie verwendet wird. Weitere Informationen finden Sie unter Informationen zur Richtlinienvereinbarung.

Die Sicherheitsoptionen IKE Phase 1 und IKE Phase 2 (IPsec), die Sie für die Verbindung angeben, müssen mit den Optionen übereinstimmen, die im Peer-Gateway für das Netz außerhalb Ihrer VPC festgelegt sind.

Hinzufügen einer Verbindung in der Konsole

Führen Sie die folgenden Schritte aus, um eine VPN-Verbindung zu einem vorhandenen VPN-Gateway hinzuzufügen:

  1. Markieren Sie in der Tabelle der VPN-Gateways die Zeile des Gateways, mit dem Sie arbeiten möchten, und klicken Sie dann im Menü Aktionen auf Neue Verbindung.

    Alternativ dazu können Sie auf der Detailseite des Gateways im Abschnitt VPN-Verbindungen auf Erstellen klicken.

  2. Definieren Sie eine Verbindung zwischen diesem Gateway und einem Netz außerhalb Ihrer VPC, indem Sie die folgenden Informationen angeben:

    • VPN-Verbindungsname - Geben Sie einen Namen für die Verbindung ein (z. B. my-connection).

    • Peer-Gateway-Adresse - Geben Sie die IP-Adresse des VPN-Gateways für das Netz außerhalb Ihrer VPC an.

      Nachdem Sie die VPN-Verbindung bereitgestellt haben, können Sie den Adresstyp des Peer-Gateways nicht mehr von IP-Adresse zu FQDN oder von FQDN zu IP-Adresse ändern.

    • Modus einrichten-Wählen Sie entweder Bidirektional oder Nur Peer aus.

      • Der bidirektionale Modus initiiert IKE-Protokollverhandlungen (oder Rekeying-Prozesse) von beiden Seiten des VPN-Gateways.
      • Im Modus Nur Peer kann der Peer IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einleiten. Der Peer ist auch dafür verantwortlich, die Schlüsselneuerstellung einzuleiten, nachdem die Verbindung hergestellt wurde.

      Wenn sich Ihre Peereinheit hinter einer NAT-Einheit befindet und keine öffentliche IP-Adresse hat, müssen Sie Nur Peer angeben.

    • Vorab verteilter Schlüssel - Geben Sie den Authentifizierungsschlüssel des VPN-Gateways für das Netz außerhalb Ihrer VPC an. Der vorab verteilte Schlüssel ist eine Zeichenfolge aus Hexadezimalziffern oder eine Kennphrase aus druckbaren ASCII-Zeichen. Die Zeichenfolge muss die folgenden Regeln einhalten, damit sie mit den meisten Peer-Gateway-Typen kompatibel ist:

      • Kann eine Kombination aus Ziffern, Klein- oder Großbuchstaben oder den folgenden Sonderzeichen sein: - + & ! @ # $ % ^ * ( ) . , :
      • Die Zeichenfolge muss 6 bis 128 Zeichen lang sein.
      • Sie darf nicht mit den Zeichen 0x oder 0s beginnen.
    • Verkehr verteilen (nur routenbasiertes VPN)- Aktivieren Sie diese Option, um den Verkehr zwischen den Up Tunneln der VPN-Gateway-Verbindung zu verteilen, wenn der nächste Hop einer VPC-Route die VPN-Verbindung ist. Wenn dieses Kontrollkästchen nicht aktiviert ist, verwendet das VPN-Gateway den Tunnel mit der kleinen öffentlichen IP als primären Egress-Pfad, und nur wenn der primäre Egress-Pfad deaktiviert ist, wird der Verkehr über den sekundären Pfad geleitet. Weitere Informationen finden Sie unter Anwendungsfall 4: Verteilen des Datenverkehrs für ein routenbasiertes VPN.

    • Lokale IBM CIDRs (nur richtlinienbasiertes VPN)- Geben Sie ein oder mehrere CIDRs in der VPC an, die Sie über den VPN-Tunnel verbinden möchten.

    • Peer CIDRs (nur richtlinienbasiertes VPN)- Geben Sie ein oder mehrere CIDRs im anderen Netzwerk an, das Sie über den VPN-Tunnel verbinden möchten. Die Bereichsüberlagerung von Teilnetzen zwischen lokalen und Peer-Teilnetzen ist nicht zulässig.

  3. Konfigurieren Sie, wie das VPN-Gateway durch Senden von Nachrichten überprüfen soll, ob das Peer-Gateway aktiv ist, indem Sie die folgenden Informationen im Abschnitt Erkennung inaktiver Peers angeben.

    • Aktion: Die Aktion, die ausgeführt werden soll, wenn ein Peer-Gateway nicht mehr antwortet. Wählen Sie zum Beispiel Erneut starten aus, wenn das Gateway die Verbindung sofort erneut vereinbaren soll.
    • Intervall (Sek.): Geben Sie an, in welchen Zeitabständen überprüft werden soll, ob das Peer-Gateway aktiv ist. Standardmäßig werden alle 2 Sekunden Statusprüfungsanforderungen gesendet.
    • Zeitlimit (Sek.): Geben Sie an, wie lange auf eine Antwort vom Peer-Gateway gewartet werden soll. Standardmäßig wird ein Peer-Gateway als inaktiv eingestuft, wenn innerhalb von 10 Sekunden keine Antwort empfangen wird.
  4. Geben Sie im Abschnitt Richtlinien die Optionen für Internet Key Exchange (IKE) und Internet Protocol Security (IPsec) an, die für Phase 1 und Phase 2 beim Vereinbaren der Verbindung verwendet werden sollen.

    • Wählen Sie Automatisch aus, wenn das Gateway versuchen soll, die Verbindung automatisch herzustellen.
    • Wählen oder erstellen Sie benutzerdefinierte Richtlinien, wenn Sie bestimmte Sicherheitsanforderungen durchsetzen müssen oder wenn das VPN-Gateway für das andere Netzwerk die Sicherheitsvorschläge, die durch die automatische Aushandlung versucht werden, nicht unterstützt.
  5. Im Abschnitt Erweiterte Optionen können Sie lokale und Peer-IKE-Identitäten anpassen, anstatt die Standard-IKE-Identität zu verwenden. Es kann maximal eine Peer-IKE-Identität angegeben werden.

    Für richtlinienbasierte VPN-Gateways können Sie höchstens eine lokale IKE-Identität konfigurieren. Wenn Sie für routenbasierte VPN-Gateways eine lokale IKE-Identität konfigurieren möchten, müssen Sie zwei angeben. Sie können Werte für die Mitglieder angeben oder die Eingabefelder leer lassen.

    • Lokale IKE-Identitäten-Wählen Sie einen Typ für die lokale IKE-Identität aus und geben Sie dann den zugehörigen Wert ein. Sie können beispielsweise eine einzelne 4-Oktett-Adresse IPv4 (9.168.3.4), einen FQDN (my-vpn.example.com), einen Hostnamen (my-host) oder eine Schlüssel-ID base64-encoded (MTIzNA==) eingeben.

      • Der statische Routenmodus besteht aus zwei Membern im Aktiv/Aktiv-Modus, wobei die erste Identität für das erste Member und die zweite Identität für das zweite Member gilt. Wenn Sie keine lokalen IKE-Identitäten angeben, ist der Typ eine IPv4-Adresse und der Wert ist die öffentliche IP-Adresse des VPN-Verbindungstunnels des Mitglieds.

      • Der Richtlinienmodus besteht aus zwei Membern im Aktiv-Standby-Modus. Die lokale IKE-Identität gilt für das aktive Mitglied. Wenn Sie keinen Wert angeben, dann ist die lokale IKE-Identität die öffentliche IP-Adresse des VPN-Gateways.

    • Peer-IKE-Identität-Wählen Sie einen Typ für die Peer-IKE-Identität aus und geben Sie dann den zugehörigen Wert ein. Sie können zum Beispiel eine IPv4 Adresse (9.168.3.4), einen FQDN (my-vpn.example.com), einen Hostnamen (my-host) oder eine base64-encoded Schlüssel-ID (MTIzNA==) eingeben.

      Die Peer-IKE-Identität gilt für das aktive Mitglied. Wenn Sie keinen Wert angeben, verwenden Sie die IPv4-Adresse oder den FQDN des Peer-Gateways.

  6. Überprüfen Sie die Zusammenfassungsanzeige und klicken dann auf VPN-Verbindung erstellen.

Hinzufügen einer Verbindung über die CLI

Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.

Um eine VPN-Verbindung von der CLI aus aufzubauen, geben Sie den folgenden Befehl ein:

ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY
[--vpc VPC] [--admin-state-up true | false] [--dead-peer-detection-action restart | clear | hold | none]
[--distribute-traffic true | false]
[--dead-peer-detection-interval INTERVAL] [--dead-peer-detection-timeout TIMEOUT] [--ike-policy IKE_POLICY_ID]
[--ipsec-policy IPSEC_POLICY_ID] [--peer-cidr CIDR1 --peer-cidr CIDR2 ... --local-cidr CIDR1 --local-cidr CIDR2 ...]
[[--local-ike-identity-type fqdn | hostname | ipv4_address | key_id --local-ike-identity-value VALUE] |
[--local-ike-identities LISTENER_POLICIES_JSON | @LISTENER_POLICIES_JSON_FILE]]
[--peer-ike-identity-type fqdn | hostname | ipv4_address | key_id --peer-ike-identity-value VALUE]
[--establish-mode bidirectional | peer_only] [--output JSON] [-q, --quiet]
ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY

Dabei gilt:

CONNECTION_NAME
Der Name der Verbindung.
VPN_GATEWAY
Die ID des VPN-Gateways.
PEER
Die IP-Adresse oder der vollständig qualifizierte Domainname des Peer-VPN-Gateways.
PRESHARED_KEY
Der gemeinsam genutzte Schlüssel.
--vpc
Die ID oder der Name der VPC. Dies ist nur erforderlich, um die eindeutige Ressource durch ihren Namen innerhalb dieser VPC anzugeben.
--admin-state-up
Bei der Einstellung false wird die VPN-Gateway-Verbindung abgebaut. Dies kann entweder true oder false sein.
--dead-peer-detection-action
Die Aktion zur Erkennung toter Peers. Dies kann restart, clear, hold oder none sein. (Standardwert: restart)
--dead-peer-detection-interval
Das Erkennungsintervall für tote Peers in Sekunden (Standard: 2).
--dead-peer-detection-timeout
Der Timeout für die Erkennung von toten Peers in Sekunden (Standard: 10).
--distribute-traffic
Stellen Sie true ein, um den Verkehr zwischen den Up Tunneln der VPN-Gateway-Verbindung zu verteilen, wenn der nächste Hop einer VPC-Route das VPN ist connection.This kann entweder true oder false sein. Weitere Informationen finden Sie unter Verteilen des Datenverkehrs für ein routenbasiertes VPN.
--ike-policy
Die ID der IKE-Richtlinie.
--ipsec-policy
Die ID der IPsec-Richtlinie.
--local-ike-identity-type
Der Typ der lokalen IKE-Identität. Dies kann fqdn, hostname, ipv4_address oder key_id sein.
--local-ike-identity-value
Der Wert der lokalen IKE-Identität.
--local-ike-identities
Die ID der lokalen IKE-Identität. LOCAL_IKE_IDENTITIES_JSON | @LOCAL_IKE_IDENTITIES_JSON_FILE in JSON oder einer JSON-Datei.
-peer-cidr
Die Peer-CIDRs für die Ressource.
-local-cidr
Die lokale CIDR für die Ressource.
-peer-ike-identity-type
Der Typ der Peer-IKE-Identität. Dies kann ipv4_address, fqdn, hostname oder key_id sein.
--peer-ike-identity-value
Der Wert der Peer-IKE-Identität.

Richtlinienbasierte VPN-Gateways können nur eine lokale IKE-Identität haben.

Wenn für ein routenbasiertes VPN-Gateway lokale IKE-Identitäten angegeben sind, müssen mindestens zwei vorhanden sein. Die erste Identität gilt für das erste Mitglied des VPN-Gateways und die zweite Identität gilt für das zweite Mitglied.

--establish-mode
Dies kann entweder bidirectional oder peer_only sein. Der bidirektionale Modus initiiert IKE-Protokollverhandlungen (oder Rekeying-Prozesse) von beiden Seiten des VPN-Gateways. Im Modus "Nur Peer" kann der Peer IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einleiten. Der Peer ist auch dafür verantwortlich, die Schlüsselneuerstellung einzuleiten, nachdem die Verbindung hergestellt wurde. Erfolgt keine Schlüsselneuerstellung, wird die VPN-Gateway-Verbindung nach Ablauf ihrer Lebensdauer entfernt.
-output
Gibt an, dass die Ausgabe im JSON-Format erfolgt.
-q, --quiet
Unterdrückt die ausführliche Ausgabe.

Befehlsbeispiele

  • Erstellen Sie eine VPN-Verbindung für eine bestimmte Gateway-ID mit den erforderlichen Konfigurationswerten: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24

  • Erstellen Sie eine VPN-Verbindung für ein routenbasiertes VPN-Gateway, bei dem die Funktion zur Verteilung des Datenverkehrs aktiviert ist: ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY --distribute-traffic true

  • Erstellen Sie eine VPN-Verbindung mit den gleichen Kernparametern und den angegebenen DPD-Konfigurationen: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --dead-peer-detection-action clear --dead-peer-detection-interval 33 --dead-peer-detection-timeout 100

  • Erstellen Sie eine VPN-Verbindung mit den gleichen Kernparametern und angepassten Richtlinien mit angegebenen IDs: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --ipsec-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479 --ike-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f480

  • Erstellen Sie eine VPN-Verbindung mit dem FQDN des Peers und geben Sie die lokale und die Peer-IKE-Identität an: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 on-prem.my-company.com lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --local-ike-identities '[{"type":"key_id","value":"MTIzNA=="}]' --peer-ike-identity-type fqdn --peer-ike-identity-value on-prem.my-company.com --establish-mode peer_only

  • Erstellen Sie eine VPN-Verbindung, die es dem Peer ermöglicht, IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einzuleiten: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --establish-mode peer_only --local-ike-identities '[{type:ipv4_address,value:2.2.2.2},{type:fqdn,value:sadsadasd.com}]' --peer-ike-identity-type key_id --peer-ike-identity-value MTIzNA==

  • VPN-Verbindung mit erweiterten Konfigurationsoptionen erstellen: ibmcloud is vpn-gateway-connection-create to-prem ${gateway_id} on-prem.test.com test123 --local-cidr 10.10.20.0/28 --peer-cidr 192.168.0.0/24 --peer-ike-identity-type ipv4_address --peer-ike-identity-value 192.168.0.1 --establish-mode peer_only

Lokale CIDR zu einer VPN-Gateway-Verbindung über die Befehlszeilenschnittstelle hinzufügen

Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.

Geben Sie den folgenden Befehl ein, um eine lokale CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gatewayverbindung hinzuzufügen:

Dieser Befehl wird nur von VPN-Gateways im Richtlinienmodus unterstützt.

ibmcloud is vpn-gateway-connection-local-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]

Dabei gilt:

VPN_GATEWAY
Die ID des VPN-Gateways.
CONNECTION
Die ID oder der Name der VPN-Verbindung.
PREFIX_ADDRESS
Der Präfixadressteil der CIDR.
PREFIX_LENGTH
Der Präfixlängenteil der CIDR.
--output value
Die Ausgabe im JSON-Format.
-q, --quiet
Unterdrückt die ausführliche Ausgabe.

Befehlsbeispiel

Fügen Sie eine lokale CIDR für einen bestimmten Verbindungsnamen mit erforderlichen Konfigurationswerten hinzu: ibmcloud is vpn-gateway-connection-local-cidr-add my-vpn-gateway my-connection 3.3.3.0/24

Peer-CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gateway-Verbindung hinzufügen

Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.

Geben Sie den folgenden Befehl ein, um eine Peer-CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gateway-Verbindung hinzuzufügen:

Dieser Befehl wird nur vom VPN-Gateway im Richtlinienmodus unterstützt.

ibmcloud is vpn-gateway-connection-peer-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]

Dabei gilt:

VPN_GATEWAY
ID des VPN-Gateways.
CONNECTION
ID oder Name der VPN-Verbindung.
PREFIX_ADDRESS
Teil der Präfixadresse des CIDR.
PREFIX_LENGTH
Teil der Präfixlänge des CIDR.
--output value
Ausgabe im JSON-Format.
-q, --quiet
Ausführliche Ausgabe unterdrücken.

Befehlsbeispiel

Fügen Sie eine Peer-CIDR für einen bestimmten Verbindungsnamen mit den erforderlichen Konfigurationswerten hinzu: ibmcloud is vpn-gateway-connection-peer-cidr-add my-vpn-gateway my-connection 4.4.4.0/24

Hinzufügen einer Verbindung mit der API

Gehen Sie folgendermaßen vor, um eine VPN-Verbindung mit der API herzustellen:

  1. Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.

  2. Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:

    • vpnGatewayId- Die Kennung des VPN-Gateways.

      export vpnGatewayId=<your_vpn_gateway_id>
      
    • ikePolicyId- Der eindeutige Bezeichner für diese IKE-Richtlinie.

      export ikePolicyId=<your_ike_policy_id>
      
    • ipsecPolicyId- Der eindeutige Bezeichner für diese IPsec-Richtlinie.

      export ipsecPolicyId=<your_ipsec_policy_id>
      
  3. Wenn alle Variablen initialisiert sind, erstellen Sie die VPN-Gatewayverbindung. Beispiel:

       curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2" \
         -H "Authorization: $iam_token" \
         -d '{
             "name": "my-vpn-connection",
             "psk": "'$psk'",
             "dead_peer_detection": {
                 "action": "restart",
                 "interval": 2,
                 "timeout": 10
             },
             "local": {
                 "cidrs": "'$localCidrs'"
             },
             "peer": {
                 "cidrs": "'$remoteCidrs'",
                 "address": "7.8.9.10"
             }
             "ike_policy": {
                 "id": "'$ikePolicyId'"
             },
             "ipsec_policy": {
                 "id": "'$ipsecPolicyId'"
             }
         }'
    
  4. (Optional) Gehen Sie wie folgt vor, um eine Verbindung mit erweiterten Konfigurationsoptionen zu erstellen:

    curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2"  \
          -H "Authorization: $iam_token"      -d '{  \
          "name": "my-advanced-vpn-connection",
          "establish_mode": "peer_only",
          "psk": "'$psk'",
          "dead_peer_detection": {
              "action": "restart",
              "interval": 2,
              "timeout": 10
          },
          "local": {
              "cidrs": "'$localCidrs'",
              "ike_identities": [
                  {
                      "type": "key_id",
                      "value": "dGVzdGtleQ=="
                  }
              ]
          },
          "peer": {
              "cidrs": "'$remoteCidrs'",
              "ike_identity": {
                  "type": "hostname",
                  "value": "cisco-asa"
              },
              "fqdn": "on-prem.test.com"
          }
          "ike_policy": {
              "id": "'$ikePolicyId'"
          },
          "ipsec_policy": {
              "id": "'$ipsecPolicyId'"
          },
          "distribute_traffic":true
      }'
    

Hinzufügen eines lokalen CIDR zu einer VPN-Gateway-Verbindung mit der API

So fügen Sie eine lokale CIDR zu einer VPN-Gateway-Verbindung mit der API hinzu:

Diese API wird nur von VPN-Gateways im Richtlinienmodus unterstützt.

  1. Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.

  2. Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:

    • vpnGatewayId- Die Kennung des VPN-Gateways.

      export vpnGatewayId=<your_vpn_gateway_id>
      
    • connectionId-Die eindeutige Kennung für diese VPN-Verbindung.

      export connectionId=<your_connection_id>
      
    • cidr_prefix- Der Teil der Präfixadresse des CIDR.

      export cidr_prefix=<your_cidr_prefix>
      
    • prefix_length- Der Teil der Präfixlänge des CIDR.

      export prefix_length=<your_prefix_length>
      
  3. Wenn alle Variablen initialisiert sind, fügen Sie eine lokale CIDR zu einer VPN-Gateway-Verbindung hinzu. Beispiel:

       curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/local_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \
         -H "Authorization: $iam_token"
    

Peer-CIDR zu einer VPN-Gateway-Verbindung mit der API hinzufügen

Gehen Sie wie folgt vor, um eine Peer-CIDR zu einer VPN-Gateway-Verbindung mit der API hinzuzufügen:

Diese API wird nur von VPN-Gateways im Richtlinienmodus unterstützt.

  1. Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.

  2. Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:

    • vpnGatewayId - Die VPN-Gateway-ID

      export vpnGatewayId=<your_vpn_gateway_id>
      
    • connectionId-Die eindeutige Kennung für diese VPN-Verbindung

      export connectionId=<your_connection_id>
      
    • cidr_prefix- Der Teil der Präfixadresse des CIDR

      export cidr_prefix=<your_cidr_prefix>
      
    • prefix_length- Der Teil der Präfixlänge des CIDR.

      export prefix_length=<your_prefix_length>
      
  3. Fügen Sie nach der Initialisierung aller Variablen eine Peer-CIDR zu einer VPN-Gateway-Verbindung hinzu. Beispiel:

       curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/peer_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \
         -H "Authorization: $iam_token"
    

Verbindung durch die Verwendung von Terraform hinzufügen

Führen Sie den folgenden Befehl aus, um eine Verbindung mithilfe von Terraform hinzuzufügen:

   resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
     name                 = "my-vpn-gateway-connection"
     vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
     peer_address   =  "7.8.9.10"
     preshared_key = var.presharedkey
     local_cidrs        = [var.localCIDR]
     peer_cidrs        = [var.peerCIDR]
   }

Das folgende Terraform-Beispiel erstellt eine VPN-Gateway-Verbindung:

resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
  name           = "my-vpn-gateway-connection"
  vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
  preshared_key  = "VPNDemoPassword"
  establish_mode = "bidirectional"
  peer {
    cidrs   = [var.peerCIDR]
    address = "7.8.9.10"
  }
  local {
    cidrs = [var.localCIDR]
  }
  ike_policy   = ibm_is_ike_policy.is_ike_policy.id
  ipsec_policy = ibm_is_ipsec_policy.is_ipsec_policy.id
}

Das folgende Terraform-Beispiel erstellt eine VPN-Verbindung für ein routenbasiertes VPN-Gateway mit aktivierter Verkehrsverteilungsfunktion:


resource "ibm_is_vpn_gateway_connection" "test_VPNGatewayConnection1" {
    name = "example-vpn-gateway-connection"
    vpn_gateway = "${ibm_is_vpn_gateway.example.id}"
    peer_address = "${ibm_is_vpn_gateway.example.public_ip_address}"
    preshared_key = "VPNDemoPassword"
    distribute-traffic = true
}

Im folgenden Terraform-Beispiel wird eine VPN-Verbindung mit erweiterten Konfigurationsoptionen erstellt:

resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
  name           = "to-prem"
  vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
  preshared_key  = "test123"
  establish_mode = "peer_only"
  peer {
    cidrs   = ["192.168.0.0/24"]
    ike_identity {
      type  = "ipv4_address"
      value = "192.168.0.1"
    }
    fqdn = "on-prem.test.com"
  }
  local {
    cidrs = ["10.10.20.0/28"]
  }
}

Weitere Informationen finden Sie in der Terraform-Registrierung.

Nächste Schritte

Um ein routenbasiertes VPN zu erstellen, müssen Sie zunächst eine Routing-Tabelle erstellen und anschließend eine Route mit dem VPN-Verbindungstyp erstellen.