À propos de la mise en réseau
IBM Cloud® Virtual Private Cloud (VPC) est un réseau virtuel qui est lié à votre compte client. Il vous offre une sécurité cloud, avec la possibilité d'évoluer de manière dynamique, en fournissant un contrôle fin de votre infrastructure virtuelle et de la segmentation de votre trafic réseau.
Présentation
Chaque VPC est déployé dans une seule région. Dans cette région, le VPC peut couvrir plusieurs zones.
Les sous-réseaux de votre VPC peuvent se connecter à Internet public via une passerelle publique facultative. Vous pouvez affecter des adresses IP flottantes à n'importe quelle instance de serveur virtuel pour lui permettre d'être accessible depuis Internet, que son sous-réseau soit connecté ou non à une passerelle publique.
Les sous-réseaux du VPC offrent une connectivité privée ; ils peuvent communiquer entre eux sur un lien privé via le routeur implicite. La configuration de routes n'est pas nécessaire. La Figure 1 montre comment subdiviser un cloud privé virtuel avec des sous-réseaux et chaque sous-réseau peut atteindre l'Internet public.
Terminologie
Pour travailler avec votre VPC, passez en revue les concepts de base de région et de zone tels qu'ils s'appliquent à votre déploiement.
Régions
Une régionTerritoire géographique indépendant composé d'une ou plusieurs zones. est une abstraction de la zone géographique dans laquelle un VPC est déployé. Chaque région contient plusieurs zonesUn emplacement au sein d'une région qui agit comme un domaine de défaillance indépendant et dont le temps de latence avec les autres zones de la région est réduit.. Un VPC peut s'étendre sur plusieurs zones au sein de la région qui lui est attribuée. IBM Cloud propose deux niveaux de régions : régions multizonesUne région répartie sur des sites physiques dans plusieurs zones afin d'accroître la tolérance aux pannes. et régions multizones mono-campusUne région composée de plusieurs zones situées dans un même bâtiment ou campus. Les dépendances telles que l'alimentation, le refroidissement, le réseau et la sécurité physique peuvent être partagées, mais elles sont conçues pour offrir un degré élevé d'indépendance vis-à-vis des pannes. .
Zones
Chaque zone se voit affecter un préfixe d'adresse par défaut, qui spécifie la plage d'adresses dans laquelle les sous-réseaux peuvent être créés. Si le schéma d'adresse par défaut ne correspond pas à vos exigences, par exemple si vous souhaitez apporter votre propre plage d'adresses IPv4 publiques, vous pouvez personnaliser les préfixes d'adresse. Le mappage des noms de zones logiques aux zones physiques est relatif au compte, de sorte que la plage de préfixes d'adresses par défaut pour une zone peut différer d'un compte à l'autre. Pour plus d'informations, voir EmplacementsIBM Cloud pour le déploiement des ressources.
Caractéristiques des sous-réseaux dans le VPC
Chaque sous-réseau est constitué d'une plage d'adresses IP spécifiée (bloc CIDR). Les sous-réseaux sont liés à une seule zone et ils ne peuvent pas couvrir plusieurs zones ou régions. Les sous-réseaux du même VPC sont connectés les uns aux autres.
Adresses réservées par le système
Certaines adresses IP sont réservées à l'usage d' IBM, pour l'exploitation du VPC. Les adresses suivantes sont les adresses réservées (ces adresses IP supposent que la plage CIDR du sous-réseau est 10.10.10.0/24
):
- Première adresse dans la plage CIDR (
10.10.10.0
) : adresse réseau - Deuxième adresse dans la plage CIDR (
10.10.10.1
) : adresse de passerelle - Troisième adresse dans la plage CIDR (
10.10.10.2
) : réservée par IBM - Quatrième adresse dans la plage CIDR (
10.10.10.3
) : réservée par IBM pour une utilisation future - Dernière adresse dans la plage CIDR (
10.10.10.255
) : adresse de diffusion réseau
Connectivité externe
La connectivité externe peut être obtenue à l'aide d'une passerelle publique connectée à un sous-réseau ou d'une adresse IP flottante qui est connectée à une instance de serveur virtuel. Utilisez une passerelle publique pour la conversion d’adresse réseau source (SNAT) et une adresse IP flottante pour la conversion d’adresse réseau de destination (DNAT).
Ce tableau résume les différences entre les options :
Passerelle publique | IP flottante |
---|---|
Les instances peuvent initier des connexions à Internet mais ne peuvent pas recevoir de connexions depuis Internet. | Les instances peuvent initier ou recevoir des connexions vers ou depuis Internet |
Fournit une connectivité pour un sous-réseau complet | Fournit une connectivité pour une instance unique |
Pour une connectivité externe sécurisée, utilisez le service VPN pour connecter votre VPC à un autre réseau. Pour plus d'informations sur les VPN, voir Utilisation du VPN avec votre VPC.
Utilisation d'une passerelle publique pour la connectivité externe d'un sous-réseau
Une passerelle publique permet à un sous-réseau et à toutes ses instances de serveur virtuel connectées de se connecter à Internet. Les sous-réseaux sont privés par défaut. Une fois qu'un sous-réseau est connecté à la passerelle publique, toutes les instances de ce sous-réseau peuvent se connecter à Internet. Bien que chaque zone ne comporte qu'une seule passerelle publique, la passerelle publique peut être associée à plusieurs sous-réseaux.
Les passerelles publiques utilisent Many-to-1 NAT, ce qui signifie que des milliers d'instances avec des adresses privées utilisent une adresse IP publique pour communiquer avec l'Internet public.
La figure suivante résume la portée actuelle des services de passerelle.
SNAT | DNAT | ACL | VPN |
---|---|---|---|
Les instances peuvent avoir un accès à Internet uniquement en sortie. | Autoriser la connectivité entrante depuis Internet vers une adresse IP privée. | Fournir un accès entrant restreint depuis Internet aux instances ou sous-réseaux. | Le VPN site à site gère les clients de toute taille, et les sites uniques ou multiples. |
Des sous-réseaux entiers partagent le point de terminaison public sortant. | Fournit un accès limité à un seul serveur privé. | Restreindre l'accès entrant depuis Internet, en fonction du service, du protocole ou du port. | Le débit élevé (jusqu'à 10 Gbit/s) permet aux clients de transférer rapidement et en toute sécurité des fichiers de données volumineux. |
Protège les instances; ne peut pas initier l'accès aux instances via le point de terminaison public. | Le service DNAT peut être adapté à la hausse ou à la baisse, en fonction des besoins. | Les ACL sans état permettent un contrôle granulaire du trafic. | Créez des connexions sécurisées grâce au cryptage standard de l'industrie. |
Vous ne pouvez créer qu'une seule passerelle publique par zone. Toutefois, cette passerelle publique peut être connectée à plusieurs sous-réseaux dans la zone.
Utilisation d'une adresse IP flottante pour la connectivité externe d'une instance de serveur virtuel
Les adresses IP flottantes sont les adresses IP fournies par le système et accessibles depuis l'internet public.
Vous pouvez réserver une adresse IP flottante à partir du pool d'adresses disponibles fournies par IBM et vous pouvez l'associer à une interface réseau d'une instance dans la même zone. Cette interface dispose également d'une adresse IP privée. Chaque IP flottante peut être associée à une seule interface.
Remarques
- L'association d'une adresse IP flottante à une instance supprime l'instance de la conversion NAT plusieurs-à-un de la passerelle publique.
- Actuellement, l'adresse IP flottante prend uniquement en charge les adresses IPv4.