IBM Cloud Docs
Actualización a un servidor VPN de HA

Actualización a un servidor VPN de HA

Una vez creado un servidor VPN, se puede cambiar su tipo. Por ejemplo, se puede actualizar un servidor VPN autónomo (despliegue piloto) a un servidor VPN de alta disponibilidad (HA) (despliegue en producción). También se puede desconectar una subred para degradar un servidor VPN HA a un despliegue autónomo, o cambiar una subred VPN una vez aprovisionado el servidor VPN.

Actualización a un servidor VPN de HA en la consola

Para cambiar el tipo de servidor VPN, siga estos pasos:

  1. Desde su navegador, abra la consola IBM Cloud y conéctese a su cuenta.

  2. Seleccione el icono Menú de navegación y, a continuación, haga clic en Infraestructura > Red > VPNs.

  3. En la página VPN de VPC, pulse en la pestaña Servidores 'cliente a sitio'. Luego pulse en el nombre del servidor VPN que desee modificar.

  4. En la sección Subredes, realice una de las acciones:

    • Para actualizar a un servidor de VPN de alta disponibilidad, pulse Añadir+ para añadir una segunda subred en una zona diferente.
    • Para cambiar a un servidor VPN independiente, haga clic en el icono Eliminar para eliminar una de las dos subredes existentes.
    • Para utilizar una subred diferente, pulse en el icono Editar de la subred Icono de edición.

    Consulte el ejemplo siguiente:

    Sección de subredes
    Sección de subredes

  5. Revise el resumen de costes y pulse Guardar para guardar los cambios.

Actualización a un servidor VPN de HA desde la CLI

Antes de empezar, configure el entorno de CLI.

Para actualizar a un servidor VPN de HA desde la CLI, introduzca el siguiente comando:

ibmcloud is vpn-server-update VPN_SERVER_ID [--vpc VPC] [--subnet SUBNET]
[--client-ip-pool CLIENT_IP_POOL] [--cert CERT]
[--client-auth-methods certificate | username | certificate,username | username,certificate]
[--client-ca CLIENT_CA] [--client-crl CLIENT_CRL] [--client-dns CLIENT_DNS]
[--client-idle-timeout CLIENT_IDLE_TIMEOUT] [--enable-split-tunnel false | true]
[--port PORT] [--protocol udp | tcp] [--name NEW_NAME] [--output JSON] [-q, --quiet]

Donde:

  • VPN_SERVER_ID: ID o nombre del servidor VPN.
  • --vpc: ID o nombre del VPC. Esta opción solo es obligatoria para especificar el recurso exclusivo por nombre dentro de este VPC.
  • --subred: IDs o nombres separados por coma de las subredes para aprovisionar este servidor VPN. Utilice dos subredes en zonas diferentes para alta disponibilidad. Se puede configurar un máximo de dos subredes.
  • --client-ip-pool: La agrupación de direcciones IPv4 del cliente VPN, expresada en formato CIDR. La petición no puede solaparse con ningún prefijo de dirección existente en el VPC ni con cualquiera de los siguientes rangos de direcciones reservadas: 127.0.0.0/8 (direcciones de bucle de retorno de IPv4), 161.26.0.0/16 (servicios de IBM), 166.8.0.0/14 (puntos finales de Cloud Service), 169.254.0.0/16 (direcciones locales de enlace de IPv4), 224.0.0.0/4 (direcciones de multidifusión de IPv4). La longitud del prefijo del CIDR de la agrupación de direcciones IP del cliente tiene que estar comprendida entre /9(8.388.608 direcciones) y /22 (1024 direcciones). Se recomienda que el bloque de CIDR contenga el doble de direcciones IP que las necesarias para habilitar el número máximo de conexiones simultáneas.
  • --cert: Instancia del certificado CRN de este servidor VPN.
  • --client-auth-methods: Métodos de autenticación de cliente separados por coma. Uno de los siguientes:
    • certificate
    • username
    • certificate,username
    • username,certificate
  • --client-ca: CRN de la instancia de certificado que hay que usar en la entidad emisora de certificados (CA) de cliente de la VPN.
  • --client-crl: CRL | @archivo-CRL. Contenido de la lista de revocación de certificados, codificado en formato PEM.
    • -client-dns- Lista separada por comas de direcciones de servidor DNS que se proporciona a los clientes VPN conectados a este servidor VPN. Se pueden establecer dos servidores DNS, como máximo.
  • --client-idle-timeout: Segundos que un cliente VPN puede estar desocupado antes de que este servidor VPN lo desconecte. Especifique 0 para impedir que el servidor desconecte los clientes desocupados.
  • --enable-split-tunnel: Indica si en este servidor VPN está habilitado el tunelado dividido. Uno de los siguientes: false, true (valor predeterminado: false).
  • --port: Número de puerto que se usa para este servidor VPN.
  • --protocol: Protocolo de transporte que se usa en este servidor VPN. Uno de los siguientes: udp, tcp.
  • --name: Nuevo nombre del servidor VPN.
  • --output: Especifique el formato de salida; solo está soportado JSON. Valores posibles: JSON.
  • -q, --quiet: suprimir la salida detallada.

Ejemplos de mandato

  • Actualice un servidor VPN autónomo a un servidor VPN HA añadiendo una segunda subred desde una zona distinta:

    ibmcloud is vpn-server-update r006-aa88726e-8b34-4f97-992d-027df9c4bb36 --subnet 0716-6ec3e875-abfa-40f4-a7c5-7473f4b2a2e1,0717-61b2f53f-1e95-42a7-94ab-55de8f8cbdd5

    Separe los dos ID de subred o nombres con una coma.

  • Cambie la subred de un servidor VPN o degrade de dos subredes (servidor VPN HA) a una subred (servidor VPN autónomo). La subred especificada (por ejemplo, 0716-6ec3e875-abfa-40f4-a7c5-7473f4b2a2e1) sustituye a las subredes existentes.

    ibmcloud is vpn-server-update r006-aa88726e-8b34-4f97-992d-027df9c4bb36 --subnet 0716-6ec3e875-abfa-40f4-a7c5-7473f4b2a2e1

Actualización a un servidor VPN de HA con la API

Para actualizar a un servidor VPN de HA con la API, siga estos pasos:

  1. Configure el entorno de API con las variables correctas.

  2. Busque el servidor VPN que desea actualizar:

    Añada | json_pp o | jq después del comando curl para obtener una cadena JSON legible. jq es una herramienta de terceros con licencia MIT. jq podría no venir preinstalada en todas las imágenes VPC disponibles al crear una instancia. El comando json_pp es un preprocesador JSON que suele instalarse por defecto en la mayoría de las distribuciones de Linux.

    curl -X GET "$vpc_api_endpoint/v1/vpn_servers?version=$api_version&generation=2" \
     -H "Authorization:$iam_token"

    Guarde el ID del servidor VPN en una variable para poder usarlo más tarde, por ejemplo:

    VpnServer="r006-cb67562d-626c-488d-8c56-35879e238274"

  3. Busque las subredes que desee conectar al servidor VPN:

    curl -X GET "$vpc_api_endpoint/v1/subnets?version=$api_version&generation=2" \
   -H "Authorization:$iam_token"

    Guarde el ID de las subredes en una variable para poder usarlo más tarde, por ejemplo:

    SubnetId1="0716-08b770a6-e5e8-4e59-ad0c-9f517914f5a6"
SubnetId2="0717-aa067949-e947-435f-bdcd-1ec84815513d"

    SubnetId1 y SubnetId2 tienen que estar en el mismo VPC que el servidor VPN, aunque en zonas diferentes.

  4. Obtenga el ETag del servidor VPN:

    curl -X GET -i "$vpc_api_endpoint/v1/vpn_servers/$VpnServer?version=$api_version&generation=2" \
     -H "Authorization:$iam_token"

    Guarde el ETag del servidor VPN (incluido en la cabecera de la respuesta) en una variable para poder usarlo más tarde, por ejemplo:

    ETag="0366003158c0be829d0727e80325406145eaa682955c1703642eaab2c655d609"

  5. Cuando estén inicializadas todas las variables, actualice el servidor VPN a HA añadiendo una segunda subred:

       curl -X PATCH "$vpc_api_endpoint/v1/vpn_servers/$VpnServer?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -H "If-Match: $ETag" \
     -d '{
        "subnets": [
           {
            "id": "'$SubnetId1'"
            },
            {
            "id": "'$SubnetId2'"
            }
            ]
      }'