Verbindungen zu einem VPN-Gateway hinzufügen
Sie können Verbindungen beim Erstellen eines VPN-Gateways oder nach der Bereitstellung hinzufügen. Wenn Sie eine VPN-Verbindung konfigurieren, können Sie auswählen, dass die Verbindung mit automatischer Vereinbarung hergestellt wird oder dass eine vordefinierte, angepasste IKE- oder IPsec-Richtlinie verwendet wird. Weitere Informationen finden Sie unter Informationen zur Richtlinienvereinbarung.
Die Sicherheitsoptionen IKE Phase 1 und IKE Phase 2 (IPsec), die Sie für die Verbindung angeben, müssen mit den Optionen übereinstimmen, die im Peer-Gateway für das Netz außerhalb Ihrer VPC festgelegt sind.
Hinzufügen einer Verbindung in der Konsole
Führen Sie die folgenden Schritte aus, um eine VPN-Verbindung zu einem vorhandenen VPN-Gateway hinzuzufügen:
-
Markieren Sie die Zeile des Gateways, mit dem Sie arbeiten möchten, in der Tabelle der VPN-Gateways, und klicken Sie dann im Menü Aktionen auf Neue Verbindung
.
Alternativ dazu können Sie auf der Detailseite des Gateways im Abschnitt VPN-Verbindungen auf Erstellen klicken.
-
Definieren Sie eine Verbindung zwischen diesem Gateway und einem Netz außerhalb Ihrer VPC, indem Sie die folgenden Informationen angeben:
-
VPN-Verbindungsname - Geben Sie einen Namen für die Verbindung ein (z. B.
my-connection
). -
Peer-Gateway-Adresse - Geben Sie die IP-Adresse des VPN-Gateways für das Netz außerhalb Ihrer VPC an.
Nachdem Sie die VPN-Verbindung bereitgestellt haben, können Sie den Adresstyp des Peer-Gateways nicht mehr von IP-Adresse zu FQDN oder von FQDN zu IP-Adresse ändern.
-
Modus einrichten-Wählen Sie entweder Bidirektional oder Nur Peer aus.
- Der bidirektionale Modus initiiert IKE-Protokollverhandlungen (oder Rekeying-Prozesse) von beiden Seiten des VPN-Gateways.
- Im Modus Nur Peer kann der Peer IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einleiten. Der Peer ist auch dafür verantwortlich, die Schlüsselneuerstellung einzuleiten, nachdem die Verbindung hergestellt wurde.
Wenn sich Ihre Peereinheit hinter einer NAT-Einheit befindet und keine öffentliche IP-Adresse hat, müssen Sie Nur Peer angeben.
-
Vorab verteilter Schlüssel - Geben Sie den Authentifizierungsschlüssel des VPN-Gateways für das Netz außerhalb Ihrer VPC an. Der vorab verteilte Schlüssel ist eine Zeichenfolge aus Hexadezimalziffern oder eine Kennphrase aus druckbaren ASCII-Zeichen. Die Zeichenfolge muss die folgenden Regeln einhalten, damit sie mit den meisten Peer-Gateway-Typen kompatibel ist:
- Kann eine Kombination aus Ziffern, Klein- oder Großbuchstaben oder den folgenden Sonderzeichen sein:
- + & ! @ # $ % ^ * ( ) . , :
- Die Zeichenfolge muss 6 bis 128 Zeichen lang sein.
- Sie darf nicht mit den Zeichen
0x
oder0s
beginnen.
- Kann eine Kombination aus Ziffern, Klein- oder Großbuchstaben oder den folgenden Sonderzeichen sein:
-
Verkehr verteilen (nur routenbasiertes VPN)- Aktivieren Sie diese Option, um den Verkehr zwischen den
Up
Tunneln der VPN-Gateway-Verbindung zu verteilen, wenn der nächste Hop einer VPC-Route die VPN-Verbindung ist. Wenn dieses Kontrollkästchen nicht aktiviert ist, verwendet das VPN-Gateway den Tunnel mit der kleinen öffentlichen IP als primären Egress-Pfad, und nur wenn der primäre Egress-Pfad deaktiviert ist, wird der Verkehr über den sekundären Pfad geleitet. Weitere Informationen finden Sie unter Anwendungsfall 4: Verteilen des Datenverkehrs für ein routenbasiertes VPN. -
Lokale IBM CIDRs (nur richtlinienbasiertes VPN)- Geben Sie ein oder mehrere CIDRs in der VPC an, die Sie über den VPN-Tunnel verbinden möchten.
-
Peer CIDRs (nur richtlinienbasiertes VPN)- Geben Sie ein oder mehrere CIDRs im anderen Netzwerk an, das Sie über den VPN-Tunnel verbinden möchten. Die Bereichsüberlagerung von Teilnetzen zwischen lokalen und Peer-Teilnetzen ist nicht zulässig.
-
-
Konfigurieren Sie, wie das VPN-Gateway durch Senden von Nachrichten überprüfen soll, ob das Peer-Gateway aktiv ist, indem Sie die folgenden Informationen im Abschnitt Erkennung inaktiver Peers angeben.
- Aktion: Die Aktion, die ausgeführt werden soll, wenn ein Peer-Gateway nicht mehr antwortet. Wählen Sie zum Beispiel Erneut starten aus, wenn das Gateway die Verbindung sofort erneut vereinbaren soll.
- Intervall (Sek.): Geben Sie an, in welchen Zeitabständen überprüft werden soll, ob das Peer-Gateway aktiv ist. Standardmäßig werden alle 2 Sekunden Statusprüfungsanforderungen gesendet.
- Zeitlimit (Sek.): Geben Sie an, wie lange auf eine Antwort vom Peer-Gateway gewartet werden soll. Standardmäßig wird ein Peer-Gateway als inaktiv eingestuft, wenn innerhalb von 10 Sekunden keine Antwort empfangen wird.
-
Geben Sie im Abschnitt Richtlinien die Optionen für Internet Key Exchange (IKE) und Internet Protocol Security (IPsec) an, die für Phase 1 und Phase 2 beim Vereinbaren der Verbindung verwendet werden sollen.
- Wählen Sie Automatisch aus, wenn das Gateway versuchen soll, die Verbindung automatisch herzustellen.
- Wählen oder erstellen Sie benutzerdefinierte Richtlinien, wenn Sie bestimmte Sicherheitsanforderungen durchsetzen müssen oder wenn das VPN-Gateway für das andere Netzwerk die Sicherheitsvorschläge, die durch die automatische Aushandlung versucht werden, nicht unterstützt.
-
Im Abschnitt Erweiterte Optionen können Sie lokale und Peer-IKE-Identitäten anpassen, anstatt die Standard-IKE-Identität zu verwenden. Es kann maximal eine Peer-IKE-Identität angegeben werden.
Für richtlinienbasierte VPN-Gateways können Sie höchstens eine lokale IKE-Identität konfigurieren. Wenn Sie für routenbasierte VPN-Gateways eine lokale IKE-Identität konfigurieren möchten, müssen Sie zwei angeben. Sie können Werte für die Mitglieder angeben oder die Eingabefelder leer lassen.
-
Lokale IKE-Identitäten-Wählen Sie einen Typ für die lokale IKE-Identität aus und geben Sie dann den zugehörigen Wert ein. Sie können beispielsweise eine einzelne 4-Oktett-Adresse IPv4 (
9.168.3.4
), einen FQDN (my-vpn.example.com
), einen Hostnamen (my-host
) oder eine Schlüssel-ID base64-encoded (MTIzNA==
) eingeben.-
Der statische Routenmodus besteht aus zwei Membern im Aktiv/Aktiv-Modus, wobei die erste Identität für das erste Member und die zweite Identität für das zweite Member gilt. Wenn Sie keine lokalen IKE-Identitäten angeben, ist der Typ eine IPv4-Adresse und der Wert ist die öffentliche IP-Adresse des VPN-Verbindungstunnels des Mitglieds.
-
Der Richtlinienmodus besteht aus zwei Membern im Aktiv-Standby-Modus. Die lokale IKE-Identität gilt für das aktive Mitglied. Wenn Sie keinen Wert angeben, dann ist die lokale IKE-Identität die öffentliche IP-Adresse des VPN-Gateways.
-
-
Peer-IKE-Identität-Wählen Sie einen Typ für die Peer-IKE-Identität aus und geben Sie dann den zugehörigen Wert ein. Sie können zum Beispiel eine IPv4 Adresse (
9.168.3.4
), einen FQDN (my-vpn.example.com
), einen Hostnamen (my-host
) oder eine base64-encoded Schlüssel-ID (MTIzNA==
) eingeben.Die Peer-IKE-Identität gilt für das aktive Mitglied. Wenn Sie keinen Wert angeben, verwenden Sie die IPv4-Adresse oder den FQDN des Peer-Gateways.
-
-
Überprüfen Sie die Zusammenfassungsanzeige und klicken dann auf VPN-Verbindung erstellen.
Hinzufügen einer Verbindung über die CLI
Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.
Um eine VPN-Verbindung von der CLI aus aufzubauen, geben Sie den folgenden Befehl ein:
ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY
[--vpc VPC] [--admin-state-up true | false] [--dead-peer-detection-action restart | clear | hold | none]
[--distribute-traffic true | false]
[--dead-peer-detection-interval INTERVAL] [--dead-peer-detection-timeout TIMEOUT] [--ike-policy IKE_POLICY_ID]
[--ipsec-policy IPSEC_POLICY_ID] [--peer-cidr CIDR1 --peer-cidr CIDR2 ... --local-cidr CIDR1 --local-cidr CIDR2 ...]
[[--local-ike-identity-type fqdn | hostname | ipv4_address | key_id --local-ike-identity-value VALUE] |
[--local-ike-identities LISTENER_POLICIES_JSON | @LISTENER_POLICIES_JSON_FILE]]
[--peer-ike-identity-type fqdn | hostname | ipv4_address | key_id --peer-ike-identity-value VALUE]
[--establish-mode bidirectional | peer_only] [--output JSON] [-q, --quiet]
ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY
Dabei gilt:
CONNECTION_NAME
- Der Name der Verbindung.
VPN_GATEWAY
- Die ID des VPN-Gateways.
PEER
- Die IP-Adresse oder der vollständig qualifizierte Domainname des Peer-VPN-Gateways.
PRESHARED_KEY
- Der gemeinsam genutzte Schlüssel.
--vpc
- Die ID oder der Name der VPC. Dies ist nur erforderlich, um die eindeutige Ressource durch ihren Namen innerhalb dieser VPC anzugeben.
--admin-state-up
- Bei der Einstellung
false
wird die VPN-Gateway-Verbindung abgebaut. Dies kann entwedertrue
oderfalse
sein. --dead-peer-detection-action
- Die Aktion zur Erkennung toter Peers. Dies kann
restart
,clear
,hold
odernone
sein. (Standardwert:restart
) --dead-peer-detection-interval
- Das Erkennungsintervall für tote Peers in Sekunden (Standard:
2
). --dead-peer-detection-timeout
- Der Timeout für die Erkennung von toten Peers in Sekunden (Standard:
10
). --distribute-traffic
- Stellen Sie
true
ein, um den Verkehr zwischen denUp
Tunneln der VPN-Gateway-Verbindung zu verteilen, wenn der nächste Hop einer VPC-Route das VPN ist connection.This kann entwedertrue
oderfalse
sein. Weitere Informationen finden Sie unter Verteilen des Datenverkehrs für ein routenbasiertes VPN. --ike-policy
- Die ID der IKE-Richtlinie.
--ipsec-policy
- Die ID der IPsec-Richtlinie.
--local-ike-identity-type
- Der Typ der lokalen IKE-Identität. Dies kann
fqdn
,hostname
,ipv4_address
oderkey_id
sein. --local-ike-identity-value
- Der Wert der lokalen IKE-Identität.
--local-ike-identities
- Die ID der lokalen IKE-Identität.
LOCAL_IKE_IDENTITIES_JSON | @LOCAL_IKE_IDENTITIES_JSON_FILE
in JSON oder einer JSON-Datei. -peer-cidr
- Die Peer-CIDRs für die Ressource.
-local-cidr
- Die lokale CIDR für die Ressource.
-peer-ike-identity-type
- Der Typ der Peer-IKE-Identität. Dies kann
ipv4_address
,fqdn
,hostname
oderkey_id
sein. --peer-ike-identity-value
- Der Wert der Peer-IKE-Identität.
Richtlinienbasierte VPN-Gateways können nur eine lokale IKE-Identität haben.
Wenn für ein routenbasiertes VPN-Gateway lokale IKE-Identitäten angegeben sind, müssen mindestens zwei vorhanden sein. Die erste Identität gilt für das erste Mitglied des VPN-Gateways und die zweite Identität gilt für das zweite Mitglied.
--establish-mode
- Dies kann entweder
bidirectional
oderpeer_only
sein. Der bidirektionale Modus initiiert IKE-Protokollverhandlungen (oder Rekeying-Prozesse) von beiden Seiten des VPN-Gateways. Im Modus "Nur Peer" kann der Peer IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einleiten. Der Peer ist auch dafür verantwortlich, die Schlüsselneuerstellung einzuleiten, nachdem die Verbindung hergestellt wurde. Erfolgt keine Schlüsselneuerstellung, wird die VPN-Gateway-Verbindung nach Ablauf ihrer Lebensdauer entfernt. -output
- Gibt an, dass die Ausgabe im JSON-Format erfolgt.
-q, --quiet
- Unterdrückt die ausführliche Ausgabe.
Befehlsbeispiele
-
Erstellen Sie eine VPN-Verbindung für eine bestimmte Gateway-ID mit den erforderlichen Konfigurationswerten:
ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24
-
Erstellen Sie eine VPN-Verbindung für ein routenbasiertes VPN-Gateway, bei dem die Funktion zur Verteilung des Datenverkehrs aktiviert ist:
ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY --distribute-traffic true
-
Erstellen Sie eine VPN-Verbindung mit den gleichen Kernparametern und den angegebenen DPD-Konfigurationen:
ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --dead-peer-detection-action clear --dead-peer-detection-interval 33 --dead-peer-detection-timeout 100
-
Erstellen Sie eine VPN-Verbindung mit den gleichen Kernparametern und angepassten Richtlinien mit angegebenen IDs:
ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --ipsec-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479 --ike-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f480
-
Erstellen Sie eine VPN-Verbindung mit dem FQDN des Peers und geben Sie die lokale und die Peer-IKE-Identität an:
ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 on-prem.my-company.com lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --local-ike-identities '[{"type":"key_id","value":"MTIzNA=="}]' --peer-ike-identity-type fqdn --peer-ike-identity-value on-prem.my-company.com --establish-mode peer_only
-
Erstellen Sie eine VPN-Verbindung, die es dem Peer ermöglicht, IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einzuleiten:
ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --establish-mode peer_only --local-ike-identities '[{type:ipv4_address,value:2.2.2.2},{type:fqdn,value:sadsadasd.com}]' --peer-ike-identity-type key_id --peer-ike-identity-value MTIzNA==
-
VPN-Verbindung mit erweiterten Konfigurationsoptionen erstellen:
ibmcloud is vpn-gateway-connection-create to-prem ${gateway_id} on-prem.test.com test123 --local-cidr 10.10.20.0/28 --peer-cidr 192.168.0.0/24 --peer-ike-identity-type ipv4_address --peer-ike-identity-value 192.168.0.1 --establish-mode peer_only
Lokale CIDR zu einer VPN-Gateway-Verbindung über die Befehlszeilenschnittstelle hinzufügen
Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.
Geben Sie den folgenden Befehl ein, um eine lokale CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gatewayverbindung hinzuzufügen:
Dieser Befehl wird nur von VPN-Gateways im Richtlinienmodus unterstützt.
ibmcloud is vpn-gateway-connection-local-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]
Dabei gilt:
VPN_GATEWAY
- Die ID des VPN-Gateways.
CONNECTION
- Die ID oder der Name der VPN-Verbindung.
PREFIX_ADDRESS
- Der Präfixadressteil der CIDR.
PREFIX_LENGTH
- Der Präfixlängenteil der CIDR.
--output value
- Die Ausgabe im JSON-Format.
-q, --quiet
- Unterdrückt die ausführliche Ausgabe.
Befehlsbeispiel
Fügen Sie eine lokale CIDR für einen bestimmten Verbindungsnamen mit erforderlichen Konfigurationswerten hinzu:
ibmcloud is vpn-gateway-connection-local-cidr-add my-vpn-gateway my-connection 3.3.3.0/24
Peer-CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gateway-Verbindung hinzufügen
Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.
Geben Sie den folgenden Befehl ein, um eine Peer-CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gateway-Verbindung hinzuzufügen:
Dieser Befehl wird nur vom VPN-Gateway im Richtlinienmodus unterstützt.
ibmcloud is vpn-gateway-connection-peer-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]
Dabei gilt:
VPN_GATEWAY
- ID des VPN-Gateways.
CONNECTION
- ID oder Name der VPN-Verbindung.
PREFIX_ADDRESS
- Teil der Präfixadresse des CIDR.
PREFIX_LENGTH
- Teil der Präfixlänge des CIDR.
--output value
- Ausgabe im JSON-Format.
-q, --quiet
- Ausführliche Ausgabe unterdrücken.
Befehlsbeispiel
Fügen Sie eine Peer-CIDR für einen bestimmten Verbindungsnamen mit den erforderlichen Konfigurationswerten hinzu:
ibmcloud is vpn-gateway-connection-peer-cidr-add my-vpn-gateway my-connection 4.4.4.0/24
Hinzufügen einer Verbindung mit der API
Gehen Sie folgendermaßen vor, um eine VPN-Verbindung mit der API herzustellen:
-
Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.
-
Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:
-
vpnGatewayId
- Die Kennung des VPN-Gateways.export vpnGatewayId=<your_vpn_gateway_id>
-
ikePolicyId
- Der eindeutige Bezeichner für diese IKE-Richtlinie.export ikePolicyId=<your_ike_policy_id>
-
ipsecPolicyId
- Der eindeutige Bezeichner für diese IPsec-Richtlinie.export ipsecPolicyId=<your_ipsec_policy_id>
-
-
Wenn alle Variablen initialisiert sind, erstellen Sie die VPN-Gatewayverbindung. Beispiel:
curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2" \ -H "Authorization: $iam_token" \ -d '{ "name": "my-vpn-connection", "psk": "'$psk'", "dead_peer_detection": { "action": "restart", "interval": 2, "timeout": 10 }, "local": { "cidrs": "'$localCidrs'" }, "peer": { "cidrs": "'$remoteCidrs'", "address": "7.8.9.10" } "ike_policy": { "id": "'$ikePolicyId'" }, "ipsec_policy": { "id": "'$ipsecPolicyId'" } }'
-
(Optional) Gehen Sie wie folgt vor, um eine Verbindung mit erweiterten Konfigurationsoptionen zu erstellen:
curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2" \ -H "Authorization: $iam_token" -d '{ \ "name": "my-advanced-vpn-connection", "establish_mode": "peer_only", "psk": "'$psk'", "dead_peer_detection": { "action": "restart", "interval": 2, "timeout": 10 }, "local": { "cidrs": "'$localCidrs'", "ike_identities": [ { "type": "key_id", "value": "dGVzdGtleQ==" } ] }, "peer": { "cidrs": "'$remoteCidrs'", "ike_identity": { "type": "hostname", "value": "cisco-asa" }, "fqdn": "on-prem.test.com" } "ike_policy": { "id": "'$ikePolicyId'" }, "ipsec_policy": { "id": "'$ipsecPolicyId'" }, "distribute_traffic":true }'
Hinzufügen eines lokalen CIDR zu einer VPN-Gateway-Verbindung mit der API
So fügen Sie eine lokale CIDR zu einer VPN-Gateway-Verbindung mit der API hinzu:
Diese API wird nur von VPN-Gateways im Richtlinienmodus unterstützt.
-
Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.
-
Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:
-
vpnGatewayId
- Die Kennung des VPN-Gateways.export vpnGatewayId=<your_vpn_gateway_id>
-
connectionId
-Die eindeutige Kennung für diese VPN-Verbindung.export connectionId=<your_connection_id>
-
cidr_prefix
- Der Teil der Präfixadresse des CIDR.export cidr_prefix=<your_cidr_prefix>
-
prefix_length
- Der Teil der Präfixlänge des CIDR.export prefix_length=<your_prefix_length>
-
-
Wenn alle Variablen initialisiert sind, fügen Sie eine lokale CIDR zu einer VPN-Gateway-Verbindung hinzu. Beispiel:
curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/local_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \ -H "Authorization: $iam_token"
Peer-CIDR zu einer VPN-Gateway-Verbindung mit der API hinzufügen
Gehen Sie wie folgt vor, um eine Peer-CIDR zu einer VPN-Gateway-Verbindung mit der API hinzuzufügen:
Diese API wird nur von VPN-Gateways im Richtlinienmodus unterstützt.
-
Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.
-
Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:
-
vpnGatewayId
- Die VPN-Gateway-IDexport vpnGatewayId=<your_vpn_gateway_id>
-
connectionId
-Die eindeutige Kennung für diese VPN-Verbindungexport connectionId=<your_connection_id>
-
cidr_prefix
- Der Teil der Präfixadresse des CIDRexport cidr_prefix=<your_cidr_prefix>
-
prefix_length
- Der Teil der Präfixlänge des CIDR.export prefix_length=<your_prefix_length>
-
-
Fügen Sie nach der Initialisierung aller Variablen eine Peer-CIDR zu einer VPN-Gateway-Verbindung hinzu. Beispiel:
curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/peer_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \ -H "Authorization: $iam_token"
Verbindung durch die Verwendung von Terraform hinzufügen
Führen Sie den folgenden Befehl aus, um eine Verbindung mithilfe von Terraform hinzuzufügen:
resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
name = "my-vpn-gateway-connection"
vpn_gateway = ibm_is_vpn_gateway.is_vpn_gateway.id
peer_address = "7.8.9.10"
preshared_key = var.presharedkey
local_cidrs = [var.localCIDR]
peer_cidrs = [var.peerCIDR]
}
Das folgende Terraform-Beispiel erstellt eine VPN-Gateway-Verbindung:
resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
name = "my-vpn-gateway-connection"
vpn_gateway = ibm_is_vpn_gateway.is_vpn_gateway.id
preshared_key = "VPNDemoPassword"
establish_mode = "bidirectional"
peer {
cidrs = [var.peerCIDR]
address = "7.8.9.10"
}
local {
cidrs = [var.localCIDR]
}
ike_policy = ibm_is_ike_policy.is_ike_policy.id
ipsec_policy = ibm_is_ipsec_policy.is_ipsec_policy.id
}
Das folgende Terraform-Beispiel erstellt eine VPN-Verbindung für ein routenbasiertes VPN-Gateway mit aktivierter Verkehrsverteilungsfunktion:
resource "ibm_is_vpn_gateway_connection" "test_VPNGatewayConnection1" {
name = "example-vpn-gateway-connection"
vpn_gateway = "${ibm_is_vpn_gateway.example.id}"
peer_address = "${ibm_is_vpn_gateway.example.public_ip_address}"
preshared_key = "VPNDemoPassword"
distribute-traffic = true
}
Im folgenden Terraform-Beispiel wird eine VPN-Verbindung mit erweiterten Konfigurationsoptionen erstellt:
resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
name = "to-prem"
vpn_gateway = ibm_is_vpn_gateway.is_vpn_gateway.id
preshared_key = "test123"
establish_mode = "peer_only"
peer {
cidrs = ["192.168.0.0/24"]
ike_identity {
type = "ipv4_address"
value = "192.168.0.1"
}
fqdn = "on-prem.test.com"
}
local {
cidrs = ["10.10.20.0/28"]
}
}
Weitere Informationen finden Sie in der Terraform-Registrierung.
Nächste Schritte
Um ein routenbasiertes VPN zu erstellen, müssen Sie zunächst eine Routing-Tabelle erstellen und anschließend eine Route mit dem VPN-Verbindungstyp erstellen.