Verbindungen zu einem VPN-Gateway hinzufügen
Sie können Verbindungen beim Erstellen eines VPN-Gateways oder nach der Bereitstellung hinzufügen. Wenn Sie eine VPN-Verbindung konfigurieren, können Sie auswählen, dass die Verbindung mit automatischer Vereinbarung hergestellt wird oder dass eine vordefinierte, angepasste IKE- oder IPsec-Richtlinie verwendet wird. Weitere Informationen finden Sie unter Informationen zur Richtlinienvereinbarung.
Die Sicherheitsoptionen IKE Phase 1 und IKE Phase 2 (IPsec), die Sie für die Verbindung angeben, müssen mit den Optionen übereinstimmen, die im Peer-Gateway für das Netz außerhalb Ihrer VPC festgelegt sind.
Hinzufügen einer Verbindung in der Konsole
Führen Sie die folgenden Schritte aus, um eine VPN-Verbindung zu einem vorhandenen VPN-Gateway hinzuzufügen:
-
Markieren Sie in der Tabelle der VPN-Gateways die Zeile des Gateways, mit dem Sie arbeiten möchten, und klicken Sie dann im
Aktionen auf Neue Verbindung.
Alternativ dazu können Sie auf der Detailseite des Gateways im Abschnitt VPN-Verbindungen auf Erstellen klicken.
-
Definieren Sie eine Verbindung zwischen diesem Gateway und einem Netz außerhalb Ihrer VPC, indem Sie die folgenden Informationen angeben:
-
VPN-Verbindungsname - Geben Sie einen Namen für die Verbindung ein (z. B.
my-connection
). -
Peer-Gateway-Adresse - Geben Sie die IP-Adresse des VPN-Gateways für das Netz außerhalb Ihrer VPC an.
Nachdem Sie die VPN-Verbindung bereitgestellt haben, können Sie den Adresstyp des Peer-Gateways nicht mehr von IP-Adresse zu FQDN oder von FQDN zu IP-Adresse ändern.
-
Modus einrichten-Wählen Sie entweder Bidirektional oder Nur Peer aus.
- Der bidirektionale Modus initiiert IKE-Protokollverhandlungen (oder Rekeying-Prozesse) von beiden Seiten des VPN-Gateways.
- Im Modus Nur Peer kann der Peer IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einleiten. Der Peer ist auch dafür verantwortlich, die Schlüsselneuerstellung einzuleiten, nachdem die Verbindung hergestellt wurde.
Wenn sich Ihre Peereinheit hinter einer NAT-Einheit befindet und keine öffentliche IP-Adresse hat, müssen Sie Nur Peer angeben.
-
Vorab verteilter Schlüssel - Geben Sie den Authentifizierungsschlüssel des VPN-Gateways für das Netz außerhalb Ihrer VPC an. Der vorab verteilte Schlüssel ist eine Zeichenfolge aus Hexadezimalziffern oder eine Kennphrase aus druckbaren ASCII-Zeichen. Die Zeichenfolge muss die folgenden Regeln einhalten, damit sie mit den meisten Peer-Gateway-Typen kompatibel ist:
- Kann eine Kombination aus Ziffern, Klein- oder Großbuchstaben oder den folgenden Sonderzeichen sein:
- + & ! @ # $ % ^ * ( ) . , :
- Die Zeichenfolge muss 6 bis 128 Zeichen lang sein.
- Sie darf nicht mit den Zeichen
0x
oder0s
beginnen.
- Kann eine Kombination aus Ziffern, Klein- oder Großbuchstaben oder den folgenden Sonderzeichen sein:
-
Verkehr verteilen (nur routenbasiertes VPN)- Aktivieren Sie diese Option, um den Verkehr zwischen den
Up
Tunneln der VPN-Gateway-Verbindung zu verteilen, wenn der nächste Hop einer VPC-Route die VPN-Verbindung ist. Wenn dieses Kontrollkästchen nicht aktiviert ist, verwendet das VPN-Gateway den Tunnel mit der kleinen öffentlichen IP als primären Egress-Pfad, und nur wenn der primäre Egress-Pfad deaktiviert ist, wird der Verkehr über den sekundären Pfad geleitet. Weitere Informationen finden Sie unter Anwendungsfall 4: Verteilen des Datenverkehrs für ein routenbasiertes VPN. -
Lokale IBM CIDRs (nur richtlinienbasiertes VPN)- Geben Sie ein oder mehrere CIDRs in der VPC an, die Sie über den VPN-Tunnel verbinden möchten.
-
Peer CIDRs (nur richtlinienbasiertes VPN)- Geben Sie ein oder mehrere CIDRs im anderen Netzwerk an, das Sie über den VPN-Tunnel verbinden möchten. Die Bereichsüberlagerung von Teilnetzen zwischen lokalen und Peer-Teilnetzen ist nicht zulässig.
-
-
Konfigurieren Sie, wie das VPN-Gateway durch Senden von Nachrichten überprüfen soll, ob das Peer-Gateway aktiv ist, indem Sie die folgenden Informationen im Abschnitt Erkennung inaktiver Peers angeben.
- Aktion: Die Aktion, die ausgeführt werden soll, wenn ein Peer-Gateway nicht mehr antwortet. Wählen Sie zum Beispiel Erneut starten aus, wenn das Gateway die Verbindung sofort erneut vereinbaren soll.
- Intervall (Sek.): Geben Sie an, in welchen Zeitabständen überprüft werden soll, ob das Peer-Gateway aktiv ist. Standardmäßig werden alle 2 Sekunden Statusprüfungsanforderungen gesendet.
- Zeitlimit (Sek.): Geben Sie an, wie lange auf eine Antwort vom Peer-Gateway gewartet werden soll. Standardmäßig wird ein Peer-Gateway als inaktiv eingestuft, wenn innerhalb von 10 Sekunden keine Antwort empfangen wird.
-
Geben Sie im Abschnitt Richtlinien die Optionen für Internet Key Exchange (IKE) und Internet Protocol Security (IPsec) an, die für Phase 1 und Phase 2 beim Vereinbaren der Verbindung verwendet werden sollen.
- Wählen Sie Automatisch aus, wenn das Gateway versuchen soll, die Verbindung automatisch herzustellen.
- Wählen oder erstellen Sie benutzerdefinierte Richtlinien, wenn Sie bestimmte Sicherheitsanforderungen durchsetzen müssen oder wenn das VPN-Gateway für das andere Netzwerk die Sicherheitsvorschläge, die durch die automatische Aushandlung versucht werden, nicht unterstützt.
-
Im Abschnitt Erweiterte Optionen können Sie lokale und Peer-IKE-Identitäten anpassen, anstatt die Standard-IKE-Identität zu verwenden. Es kann maximal eine Peer-IKE-Identität angegeben werden.
Für richtlinienbasierte VPN-Gateways können Sie höchstens eine lokale IKE-Identität konfigurieren. Wenn Sie für routenbasierte VPN-Gateways eine lokale IKE-Identität konfigurieren möchten, müssen Sie zwei angeben. Sie können Werte für die Mitglieder angeben oder die Eingabefelder leer lassen.
-
Lokale IKE-Identitäten-Wählen Sie einen Typ für die lokale IKE-Identität aus und geben Sie dann den zugehörigen Wert ein. Sie können beispielsweise eine einzelne 4-Oktett-Adresse IPv4 (
9.168.3.4
), einen FQDN (my-vpn.example.com
), einen Hostnamen (my-host
) oder eine Schlüssel-ID base64-encoded (MTIzNA==
) eingeben.-
Der statische Routenmodus besteht aus zwei Membern im Aktiv/Aktiv-Modus, wobei die erste Identität für das erste Member und die zweite Identität für das zweite Member gilt. Wenn Sie keine lokalen IKE-Identitäten angeben, ist der Typ eine IPv4-Adresse und der Wert ist die öffentliche IP-Adresse des VPN-Verbindungstunnels des Mitglieds.
-
Der Richtlinienmodus besteht aus zwei Membern im Aktiv-Standby-Modus. Die lokale IKE-Identität gilt für das aktive Mitglied. Wenn Sie keinen Wert angeben, dann ist die lokale IKE-Identität die öffentliche IP-Adresse des VPN-Gateways.
-
-
Peer-IKE-Identität-Wählen Sie einen Typ für die Peer-IKE-Identität aus und geben Sie dann den zugehörigen Wert ein. Sie können zum Beispiel eine IPv4 Adresse (
9.168.3.4
), einen FQDN (my-vpn.example.com
), einen Hostnamen (my-host
) oder eine base64-encoded Schlüssel-ID (MTIzNA==
) eingeben.Die Peer-IKE-Identität gilt für das aktive Mitglied. Wenn Sie keinen Wert angeben, verwenden Sie die IPv4-Adresse oder den FQDN des Peer-Gateways.
-
-
Überprüfen Sie die Zusammenfassungsanzeige und klicken dann auf VPN-Verbindung erstellen.
Hinzufügen einer Verbindung über die CLI
Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.
Um eine VPN-Verbindung von der CLI aus aufzubauen, geben Sie den folgenden Befehl ein:
ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY
[--vpc VPC] [--admin-state-up true | false] [--dead-peer-detection-action restart | clear | hold | none]
[--distribute-traffic true | false]
[--dead-peer-detection-interval INTERVAL] [--dead-peer-detection-timeout TIMEOUT] [--ike-policy IKE_POLICY_ID]
[--ipsec-policy IPSEC_POLICY_ID] [--peer-cidr CIDR1 --peer-cidr CIDR2 ... --local-cidr CIDR1 --local-cidr CIDR2 ...]
[[--local-ike-identity-type fqdn | hostname | ipv4_address | key_id --local-ike-identity-value VALUE] |
[--local-ike-identities LISTENER_POLICIES_JSON | @LISTENER_POLICIES_JSON_FILE]]
[--peer-ike-identity-type fqdn | hostname | ipv4_address | key_id --peer-ike-identity-value VALUE]
[--establish-mode bidirectional | peer_only] [--output JSON] [-q, --quiet]
ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY
Dabei gilt:
CONNECTION_NAME
- Der Name der Verbindung.
VPN_GATEWAY
- Die ID des VPN-Gateways.
PEER
- Die IP-Adresse oder der vollständig qualifizierte Domainname des Peer-VPN-Gateways.
PRESHARED_KEY
- Der gemeinsam genutzte Schlüssel.
--vpc
- Die ID oder der Name der VPC. Dies ist nur erforderlich, um die eindeutige Ressource durch ihren Namen innerhalb dieser VPC anzugeben.
--admin-state-up
- Bei der Einstellung
false
wird die VPN-Gateway-Verbindung abgebaut. Dies kann entwedertrue
oderfalse
sein. --dead-peer-detection-action
- Die Aktion zur Erkennung toter Peers. Dies kann
restart
,clear
,hold
odernone
sein. (Standardwert:restart
) --dead-peer-detection-interval
- Das Erkennungsintervall für tote Peers in Sekunden (Standard:
2
). --dead-peer-detection-timeout
- Der Timeout für die Erkennung von toten Peers in Sekunden (Standard:
10
). --distribute-traffic
- Stellen Sie
true
ein, um den Verkehr zwischen denUp
Tunneln der VPN-Gateway-Verbindung zu verteilen, wenn der nächste Hop einer VPC-Route das VPN ist connection.This kann entwedertrue
oderfalse
sein. Weitere Informationen finden Sie unter Verteilen des Datenverkehrs für ein routenbasiertes VPN. --ike-policy
- Die ID der IKE-Richtlinie.
--ipsec-policy
- Die ID der IPsec-Richtlinie.
--local-ike-identity-type
- Der Typ der lokalen IKE-Identität. Dies kann
fqdn
,hostname
,ipv4_address
oderkey_id
sein. --local-ike-identity-value
- Der Wert der lokalen IKE-Identität.
--local-ike-identities
- Die ID der lokalen IKE-Identität.
LOCAL_IKE_IDENTITIES_JSON | @LOCAL_IKE_IDENTITIES_JSON_FILE
in JSON oder einer JSON-Datei. -peer-cidr
- Die Peer-CIDRs für die Ressource.
-local-cidr
- Die lokale CIDR für die Ressource.
-peer-ike-identity-type
- Der Typ der Peer-IKE-Identität. Dies kann
ipv4_address
,fqdn
,hostname
oderkey_id
sein. --peer-ike-identity-value
- Der Wert der Peer-IKE-Identität.
Richtlinienbasierte VPN-Gateways können nur eine lokale IKE-Identität haben.
Wenn für ein routenbasiertes VPN-Gateway lokale IKE-Identitäten angegeben sind, müssen mindestens zwei vorhanden sein. Die erste Identität gilt für das erste Mitglied des VPN-Gateways und die zweite Identität gilt für das zweite Mitglied.
--establish-mode
- Dies kann entweder
bidirectional
oderpeer_only
sein. Der bidirektionale Modus initiiert IKE-Protokollverhandlungen (oder Rekeying-Prozesse) von beiden Seiten des VPN-Gateways. Im Modus "Nur Peer" kann der Peer IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einleiten. Der Peer ist auch dafür verantwortlich, die Schlüsselneuerstellung einzuleiten, nachdem die Verbindung hergestellt wurde. Erfolgt keine Schlüsselneuerstellung, wird die VPN-Gateway-Verbindung nach Ablauf ihrer Lebensdauer entfernt. -output
- Gibt an, dass die Ausgabe im JSON-Format erfolgt.
-q, --quiet
- Unterdrückt die ausführliche Ausgabe.
Befehlsbeispiele
-
Erstellen Sie eine VPN-Verbindung für eine bestimmte Gateway-ID mit den erforderlichen Konfigurationswerten:
ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24
-
Erstellen Sie eine VPN-Verbindung für ein routenbasiertes VPN-Gateway, bei dem die Funktion zur Verteilung des Datenverkehrs aktiviert ist:
ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY --distribute-traffic true
-
Erstellen Sie eine VPN-Verbindung mit den gleichen Kernparametern und den angegebenen DPD-Konfigurationen:
ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --dead-peer-detection-action clear --dead-peer-detection-interval 33 --dead-peer-detection-timeout 100
-
Erstellen Sie eine VPN-Verbindung mit den gleichen Kernparametern und angepassten Richtlinien mit angegebenen IDs:
ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --ipsec-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479 --ike-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f480
-
Erstellen Sie eine VPN-Verbindung mit dem FQDN des Peers und geben Sie die lokale und die Peer-IKE-Identität an:
ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 on-prem.my-company.com lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --local-ike-identities '[{"type":"key_id","value":"MTIzNA=="}]' --peer-ike-identity-type fqdn --peer-ike-identity-value on-prem.my-company.com --establish-mode peer_only
-
Erstellen Sie eine VPN-Verbindung, die es dem Peer ermöglicht, IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einzuleiten:
ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --establish-mode peer_only --local-ike-identities '[{type:ipv4_address,value:2.2.2.2},{type:fqdn,value:sadsadasd.com}]' --peer-ike-identity-type key_id --peer-ike-identity-value MTIzNA==
-
VPN-Verbindung mit erweiterten Konfigurationsoptionen erstellen:
ibmcloud is vpn-gateway-connection-create to-prem ${gateway_id} on-prem.test.com test123 --local-cidr 10.10.20.0/28 --peer-cidr 192.168.0.0/24 --peer-ike-identity-type ipv4_address --peer-ike-identity-value 192.168.0.1 --establish-mode peer_only
Lokale CIDR zu einer VPN-Gateway-Verbindung über die Befehlszeilenschnittstelle hinzufügen
Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.
Geben Sie den folgenden Befehl ein, um eine lokale CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gatewayverbindung hinzuzufügen:
Dieser Befehl wird nur von VPN-Gateways im Richtlinienmodus unterstützt.
ibmcloud is vpn-gateway-connection-local-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]
Dabei gilt:
VPN_GATEWAY
- Die ID des VPN-Gateways.
CONNECTION
- Die ID oder der Name der VPN-Verbindung.
PREFIX_ADDRESS
- Der Präfixadressteil der CIDR.
PREFIX_LENGTH
- Der Präfixlängenteil der CIDR.
--output value
- Die Ausgabe im JSON-Format.
-q, --quiet
- Unterdrückt die ausführliche Ausgabe.
Befehlsbeispiel
Fügen Sie eine lokale CIDR für einen bestimmten Verbindungsnamen mit erforderlichen Konfigurationswerten hinzu:
ibmcloud is vpn-gateway-connection-local-cidr-add my-vpn-gateway my-connection 3.3.3.0/24
Peer-CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gateway-Verbindung hinzufügen
Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.
Geben Sie den folgenden Befehl ein, um eine Peer-CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gateway-Verbindung hinzuzufügen:
Dieser Befehl wird nur vom VPN-Gateway im Richtlinienmodus unterstützt.
ibmcloud is vpn-gateway-connection-peer-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]
Dabei gilt:
VPN_GATEWAY
- ID des VPN-Gateways.
CONNECTION
- ID oder Name der VPN-Verbindung.
PREFIX_ADDRESS
- Teil der Präfixadresse des CIDR.
PREFIX_LENGTH
- Teil der Präfixlänge des CIDR.
--output value
- Ausgabe im JSON-Format.
-q, --quiet
- Ausführliche Ausgabe unterdrücken.
Befehlsbeispiel
Fügen Sie eine Peer-CIDR für einen bestimmten Verbindungsnamen mit den erforderlichen Konfigurationswerten hinzu:
ibmcloud is vpn-gateway-connection-peer-cidr-add my-vpn-gateway my-connection 4.4.4.0/24
Hinzufügen einer Verbindung mit der API
Gehen Sie folgendermaßen vor, um eine VPN-Verbindung mit der API herzustellen:
-
Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.
-
Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:
-
vpnGatewayId
- Die Kennung des VPN-Gateways.export vpnGatewayId=<your_vpn_gateway_id>
-
ikePolicyId
- Der eindeutige Bezeichner für diese IKE-Richtlinie.export ikePolicyId=<your_ike_policy_id>
-
ipsecPolicyId
- Der eindeutige Bezeichner für diese IPsec-Richtlinie.export ipsecPolicyId=<your_ipsec_policy_id>
-
-
Wenn alle Variablen initialisiert sind, erstellen Sie die VPN-Gatewayverbindung. Beispiel:
curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2" \ -H "Authorization: $iam_token" \ -d '{ "name": "my-vpn-connection", "psk": "'$psk'", "dead_peer_detection": { "action": "restart", "interval": 2, "timeout": 10 }, "local": { "cidrs": "'$localCidrs'" }, "peer": { "cidrs": "'$remoteCidrs'", "address": "7.8.9.10" } "ike_policy": { "id": "'$ikePolicyId'" }, "ipsec_policy": { "id": "'$ipsecPolicyId'" } }'
-
(Optional) Gehen Sie wie folgt vor, um eine Verbindung mit erweiterten Konfigurationsoptionen zu erstellen:
curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2" \ -H "Authorization: $iam_token" -d '{ \ "name": "my-advanced-vpn-connection", "establish_mode": "peer_only", "psk": "'$psk'", "dead_peer_detection": { "action": "restart", "interval": 2, "timeout": 10 }, "local": { "cidrs": "'$localCidrs'", "ike_identities": [ { "type": "key_id", "value": "dGVzdGtleQ==" } ] }, "peer": { "cidrs": "'$remoteCidrs'", "ike_identity": { "type": "hostname", "value": "cisco-asa" }, "fqdn": "on-prem.test.com" } "ike_policy": { "id": "'$ikePolicyId'" }, "ipsec_policy": { "id": "'$ipsecPolicyId'" }, "distribute_traffic":true }'
Hinzufügen eines lokalen CIDR zu einer VPN-Gateway-Verbindung mit der API
So fügen Sie eine lokale CIDR zu einer VPN-Gateway-Verbindung mit der API hinzu:
Diese API wird nur von VPN-Gateways im Richtlinienmodus unterstützt.
-
Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.
-
Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:
-
vpnGatewayId
- Die Kennung des VPN-Gateways.export vpnGatewayId=<your_vpn_gateway_id>
-
connectionId
-Die eindeutige Kennung für diese VPN-Verbindung.export connectionId=<your_connection_id>
-
cidr_prefix
- Der Teil der Präfixadresse des CIDR.export cidr_prefix=<your_cidr_prefix>
-
prefix_length
- Der Teil der Präfixlänge des CIDR.export prefix_length=<your_prefix_length>
-
-
Wenn alle Variablen initialisiert sind, fügen Sie eine lokale CIDR zu einer VPN-Gateway-Verbindung hinzu. Beispiel:
curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/local_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \ -H "Authorization: $iam_token"
Peer-CIDR zu einer VPN-Gateway-Verbindung mit der API hinzufügen
Gehen Sie wie folgt vor, um eine Peer-CIDR zu einer VPN-Gateway-Verbindung mit der API hinzuzufügen:
Diese API wird nur von VPN-Gateways im Richtlinienmodus unterstützt.
-
Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.
-
Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:
-
vpnGatewayId
- Die VPN-Gateway-IDexport vpnGatewayId=<your_vpn_gateway_id>
-
connectionId
-Die eindeutige Kennung für diese VPN-Verbindungexport connectionId=<your_connection_id>
-
cidr_prefix
- Der Teil der Präfixadresse des CIDRexport cidr_prefix=<your_cidr_prefix>
-
prefix_length
- Der Teil der Präfixlänge des CIDR.export prefix_length=<your_prefix_length>
-
-
Fügen Sie nach der Initialisierung aller Variablen eine Peer-CIDR zu einer VPN-Gateway-Verbindung hinzu. Beispiel:
curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/peer_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \ -H "Authorization: $iam_token"
Verbindung durch die Verwendung von Terraform hinzufügen
Führen Sie den folgenden Befehl aus, um eine Verbindung mithilfe von Terraform hinzuzufügen:
resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
name = "my-vpn-gateway-connection"
vpn_gateway = ibm_is_vpn_gateway.is_vpn_gateway.id
peer_address = "7.8.9.10"
preshared_key = var.presharedkey
local_cidrs = [var.localCIDR]
peer_cidrs = [var.peerCIDR]
}
Das folgende Terraform-Beispiel erstellt eine VPN-Gateway-Verbindung:
resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
name = "my-vpn-gateway-connection"
vpn_gateway = ibm_is_vpn_gateway.is_vpn_gateway.id
preshared_key = "VPNDemoPassword"
establish_mode = "bidirectional"
peer {
cidrs = [var.peerCIDR]
address = "7.8.9.10"
}
local {
cidrs = [var.localCIDR]
}
ike_policy = ibm_is_ike_policy.is_ike_policy.id
ipsec_policy = ibm_is_ipsec_policy.is_ipsec_policy.id
}
Das folgende Terraform-Beispiel erstellt eine VPN-Verbindung für ein routenbasiertes VPN-Gateway mit aktivierter Verkehrsverteilungsfunktion:
resource "ibm_is_vpn_gateway_connection" "test_VPNGatewayConnection1" {
name = "example-vpn-gateway-connection"
vpn_gateway = "${ibm_is_vpn_gateway.example.id}"
peer_address = "${ibm_is_vpn_gateway.example.public_ip_address}"
preshared_key = "VPNDemoPassword"
distribute-traffic = true
}
Im folgenden Terraform-Beispiel wird eine VPN-Verbindung mit erweiterten Konfigurationsoptionen erstellt:
resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
name = "to-prem"
vpn_gateway = ibm_is_vpn_gateway.is_vpn_gateway.id
preshared_key = "test123"
establish_mode = "peer_only"
peer {
cidrs = ["192.168.0.0/24"]
ike_identity {
type = "ipv4_address"
value = "192.168.0.1"
}
fqdn = "on-prem.test.com"
}
local {
cidrs = ["10.10.20.0/28"]
}
}
Weitere Informationen finden Sie in der Terraform-Registrierung.
Nächste Schritte
Um ein routenbasiertes VPN zu erstellen, müssen Sie zunächst eine Routing-Tabelle erstellen und anschließend eine Route mit dem VPN-Verbindungstyp erstellen.