Cas d'utilisation 1 : hub privé et spoke avec un trafic transparent VNF et spoke-spoke

La figure 1 illustre une VNF transparente utilisée dans le VPC de transit pour traiter le trafic de données dans les spokes VPC.

Les ressources suivantes sont configurées :

• Le hub VPC contient le NLB privé, qui est configuré en « mode Routage » et les VNF transparentes sont ajoutés à son pool pour activer HA.
• VPC-spoke#1 contient un IBM Cloud Application Load Balancer (ALB) privé pour VPC avec un pools qui contient les sous-réseaux de charge de travail pour la zone 1 (10.174.0.0/24) et la zone 2 (10.174.4.0/24).
• VPC-spoke#2 contient un ALB privé avec un pool contenant le sous-réseau de charge de travail pour la zone1 (10.174.2.0/24).
• Une passerelle de transit gère les interconnexions entre le hub et les spokes.
• L'usurpation d'adresse IP sur l'interface VNF est le tronçon suivant dans le hub.

Une charge de travail dans VPC-spoke#1 zone 1 qui doit communiquer avec une charge de travail dans VPC-spoke#2 zone 1 doit traverser la VNF dans le hub VPC. Une ligne de sortie à partir du sous-réseau VPC-spoke#1 (10.174.0.0/24) destiné à VPC-spoke#2 (10.174.2.0/24) qui passe par le NLB du hub VPC (10.175.0.4) permet au trafic sortant d'atteindre sa destination. Une route de sortie similaire est créée sous VPC-spoke#2, ce qui permet à la réponse de traverser également le hub VPC. Pour les charges de travail dans VPC-spoke#1 zone 2, une route de sortie similaire est également créée pour le trafic sortant.

Enfin, étant donné que le NLB peut basculer et nécessiter une mise à jour vers le tronçon suivant, une route d'entrée est créée avec la source comme passerelle de transit pour garantir que l'adresse IP du NLB est mise à jour lors du basculement. Le NLB ne peut mettre à jour les routes personnalisées que dans son VPC (hub VPC) et ne peut pas automatiquement mettre à jour les routes dans les spokes VCP.

Cas d'utilisation 2 : VNF transparente HA active/active (VPC unique de région multi-zone)

La figure 2 illustre une fonction de réseau virtuel (VNF) active/active (VNF) transparente et hautement disponible. Cette topologie de déploiement garantit que le réseau et ses services sont toujours disponibles, toujours accessibles, et que les sessions actives sont toujours maintenues sans interruption.

Comme cette VNF est transparente, le client (source) effectue une demande TCP sur l'instance de serveur virtuel cible (destination) à 10.241.66.5 au lieu de l'adresse IP de pare-feu.

Une route personnalisée de sortie a été créée pour que les paquets de données du client (10.241.0.6) destinés à la cible (10.241.66.5) passent par le NLB. Comme le NLB est configuré avec le mode de routage activé, les demandes TCP sur tous les ports sont automatiquement transmises à leur destination. Lls VNF se trouvant dans le pool NLB, elles sont le prochain tronçon après le NLB. Dans cet exemple de région active/active, une route de sortie est également requise pour que le paquet de retour de la cible passe par le NLB lors du trajet de retour, puis par la VNF par laquelle il est passé et atteigne le client. Dans ce cas d'utilisation, le client se trouve dans une zone différente de la cible, mais la cible se trouve dans la même zone que le NLB et la VNF.

Avant de commencer

Vérifiez que vous disposez des droits IAM requis pour configurer le routage personnalisé et activer l'usurpation d'adresse IP.

Mise en route

Suivez ces étapes de base pour configurer la haute disponibilité pour les VNF IBM Cloud prises en charge:

1. Vérifiez les limitations VNF.
2. Configurer les ressources VPC.
3. Configurer les groupes de sécurité.
4. Déployez une VNF.
5. Créez un équilibreur de charge réseau avec le mode de routage.
6. Configurez des routes personnalisées.