IBM Cloud Docs
Informationen zu Client-to-Site-VPN-Servern

Informationen zu Client-to-Site-VPN-Servern

Client VPN for VPC stellt Client-zu-Site-Konnektivität bereit, die es fernen Geräten ermöglicht, über einen OpenVPN-Software-Client eine sichere Verbindung zum VPC-Netz herzustellen. Diese Lösung ist nützlich für Telearbeiter, die sich von einem entfernten Standort aus mit der IBM Cloud verbinden möchten, z. B. von einem Heimbüro aus, und dennoch eine sichere Verbindung aufrechterhalten wollen.

Sie bietet die folgenden besonderen Vorzüge:

  • TLS 1.2/1.3-basierte sichere/verschlüsselte Konnektivität über das Internet
  • Unterstützt sowohl Standalone- (Pilot) als auch Hochverfügbarkeitsbereitstellungen (Produktion)
  • Private Verbindungen zwischen klassischen IaaS-Servern und anderen VPCs in IBM Public Cloud herstellen
  • Verfügbarkeit in allen MZR weltweit
  • Hohe Verfügbarkeit über Zonen hinweg für eine bessere Leistung und Ausfallsicherheit
  • Stellt zusätzliche Sicherheitsebenen mit integrierten Authentifizierungsmethoden bereit

Architektur

Abbildung 1 zeigt ein Beispiel für eine VPN-Serverkonfiguration für die Verbindung von Ressourcen mit der PVC. Der VPN-Server wird in zwei Teilnetzen in einer VPC eines Benutzers bereitgestellt. Es gibt auch zwei VPN-Server-Member mit Hochverfügbarkeit (HA) in einer Aktiv-Aktiv-Konfiguration. Alle VPN-Server-Member können mit Zielressourcen kommunizieren. Jedem der Member ist eine öffentliche IP-Adresse zugeordnet und für den VPN-Server wird ein DNS-Hostname erstellt. Der Hostname wird in die öffentliche IP-Adresse des VPN-Members aufgelöst. VPN-Clients erhalten über die DNS-Auflösung zwei öffentliche IP-Adressen und versuchen mit zwei beliebigen IP-Adressen eine Verbindung zu einem der VPN-Member herzustellen. Der VPN-Client versucht, die Verbindung wiederherzustellen und zu einem aktiven VPN-Server-Member zu wechseln, wenn ein Member inaktiv ist.

Ein DNS-Service wird als Teil des VPN-Service implementiert. Der angegebene DNS-Name endet auf appdomain.cloud.

Client-to-site VPN server architecture
Client-to-site VPN server architecture

Einführung

Führen Sie die folgenden Schritte aus, um Client VPN for VPC zu verwenden:

  1. Prüfen Sie die Planungshinweise für VPN-Server.
  2. Erfüllen Sie alle unter Vorbereitende Schritte aufgeführten Vorbedingungen.
  3. Stellen Sie einen eigenständigen VPN-Servers in einem Teilnetz oder einen VPN-Server mit hoher Verfügbarkeit in den beiden Teilnetzen bereit. Anweisungen hierzu finden Sie unter VPN-Server erstellen.
  4. Erstellen Sie VPN-Routen.
  5. Konfigurieren Sie eine VPN-Clientumgebung und stellen Sie eine Verbindung zum VPN-Server her.

Anwendungsfälle für einen VPN-Server

Im Folgenden finden Sie einige Möglichkeiten, wie Sie den Client VPN for VPC-Service von IBM Cloud implementieren können:

Anwendungsfall 1: Zugriff auf eine VPC innerhalb einer implementierten MZR

Der VPN-Server wird in einer ausgewählten Region mit mehreren Zonen (MZR, Multi-zone Region) und einer VPC bereitgestellt. Alle Virtual Server-Instanzen sind über den VPN-Client in der einzelnen VPC-Instanz zugänglich.

Netzwerktopologie: Ein VPN-Client kann über den VPN-Server auf eine virtuelle Serverinstanz innerhalb eines bereitgestellten MZR
: Ein VPN-Client kann über den
auf eine virtuelle Serverinstanz innerhalb eines bereitgestellten MZR zugreifen

Anwendungsfall 2: Ein VPN-Client kann über den VPN-Server auf das Internet zugreifen

Wenn der Administrator den VPN-Server im Full-Tunnel-Modus erzwingt, wird der gesamte Datenverkehr, einschließlich der Internetdatenverkehr, von den Kundengeräten an den VPN-Server gesendet. Der VPN-Server leitet den Datenverkehr über die IBM Cloud-Infrastruktur an das Internet weiter.

Netzwerktopologie: Ein VPN-Client kann über den
auf das Internet zugreifen*Netzwerktopologie: Ein VPN-Client kann über den
auf das Internet zugreifen

Anwendungsfall 3: Integration mit einem Transit-Gateway

In der Regel wird empfohlen, VPC-Ressourcen zu Redundanzzwecken in mehreren Regionen bereitzustellen. Um auf die Ressourcen in allen Regionen von persönlichen Geräten zuzugreifen, ist ein Ansatz, einen Client-to-Site-VPN-Server pro VPC und Region zu erstellen und die VPN-Verbindung zu allen VPN-Servern herzustellen. Sie müssen auch mehrere VPN-Server mit diesem Ansatz verwalten. Dies kann unter Umständen etwas schwerfällig sein, ist aber eine sicherere Methode. Ein anderer Ansatz besteht darin, ein Transit Gateway zu verwenden, um alle diese VPCs zu verbinden. Daher ist nur ein VPN-Server erforderlich, um auf die VPCs zuzugreifen.

Netzwerktopologie: Integration mit einem
: Integration mit einem

Wenn Sie den Client-to-Site-VPN-Server mit dem Transit-Gateway integrieren, müssen Sie eine oder mehrere VPN-Routen hinzufügen, deren Ziel auf die CIDR des Subnetzes in anderen VPCs oder klassischen Netzwerken festgelegt ist, und die Routenaktion auf Deliver oder Translate setzen. Weitere Informationen finden Sie unter VPN-Routen verwalten.

Anwendungsfall 4: Integration mit einem Site-to-Site-VPN-Gateway

Stellen Sie eine Integration mit einem Site-to-Site-VPN-Gateway her, wenn Sie auf Ihr privates On-Premises-Netz zugreifen möchten, während Sie mit IBM VPCs verbunden sind. Bei diesem Anwendungsfall müssen nicht mehr mehrere VPN-Server gleichzeitig verwaltet werden. Sie können von einem Client-zu-Site-VPN-Server direkt auf Ihr eigenes, privates On-Premises-Netz zugreifen.

Netzwerktopologie: Integration mit einem
: Einbindung in ein