IBM Cloud Docs
Accès aux points d'extrémité de service via un VPN

Accès aux points d'extrémité de service via un VPN

IBM Cloud VPN for VPC vous permet d'accéder aux noeuds finaux de service IBM Cloud depuis votre réseau sur site.

Pour configurer l'accès à un point d'extrémité de service, procédez comme suit :

  1. Obtenez l'adresse IP du point d'extrémité de service. IBM Cloud VPN for VPC prend en charge deux types de noeuds finaux de service: les noeuds finaux d'infrastructure sous forme de service (IaaS) et les noeuds finaux de service IBM Cloud. Les points d'extrémité IaaS sont hébergés dans les plages d'adresses 161.26.0.0/16 ; les points d'extrémité de service IBM Cloud sont hébergés dans les plages d'adresses IP 166.8.0.0/14. Pour plus d'informations sur les points d'extrémité, voir Points d'extrémité IaaS et Utilisation des points d'extrémité de service.

  2. Effectuez l'une des opérations suivantes :

    • Pour les passerelles VPN basées sur des règles - Pour la connexion VPN, assurez-vous que les sous-réseaux locaux incluent la plage 161.26.0.0/16 pour les points d'extrémité de service IaaS et la plage 166.8.0.0/14 pour les points d'extrémité de service IBM Cloud.

    • Pour les passerelles VPN basées sur des routes - Créez une connexion pour connecter votre réseau privé sur site, et ajoutez les routes suivantes sur votre "passerelle sur site" pour vous assurer que le trafic passe par le tunnel. Aucune route VPC personnalisée n'est nécessaire dans la table de routage personnalisée du VPC IBM.

      • Destination - 166.8.0.0/14 pour les points d'extrémité du service IBM Cloud, saut suivant : interface de tunnel VPN
      • Destination - 161.26.0.0/16 pour les points d'extrémité IaaS, saut suivant : interface de tunnel VPN

Vous pouvez réduire la plage du CIDR de destination au lieu d'utiliser 166.8.0.0/14 ou 161.26.0.0/16. Par exemple, si vous devez accéder uniquement aux IP DNS IBM 161.26.0.10 et 161.26.0.11, vous pouvez choisir 161.26.0.10/30 comme destination au lieu d'utiliser 161.26.0.0/16.

Pour certaines passerelles VPN sur site, le saut suivant doit être une adresse IP au lieu d'un nom d'interface de tunnel. Vous devez attribuer une adresse IP d'un CIDR avec un masque de 30 bits à une interface de tunnel sur la passerelle VPN sur site, et utiliser l'autre adresse IP du même CIDR comme prochain saut de la route. Par exemple, vous pouvez attribuer 169.254.0.1/30 comme adresse IP de l'interface du tunnel sur la passerelle VPN sur site, et utiliser 169.254.0.2/30 comme prochain saut de la route.