IBM Cloud Docs
A propos des services de chemin privé

A propos des services de chemin privé

Les services de chemin privé fournissent une connectivité privée pour IBM Cloud et des services tiers. Un service Private Path nécessite un équilibreur de charge réseau (NLB) Private Path pour déployer un service sur IBM Cloud et une passerelle Virtual Private Endpoint (VPE) pour que les consommateurs puissent se connecter au service. Le trafic reste sur le réseau principal IBM sans passer par Internet.

Le processus type de création d'une connectivité privée entre les fournisseurs et les consommateurs est le suivant :

  1. Le fournisseur crée un service de chemin privé.
  2. Le fournisseur associe son service de chemin privé à un NLB de chemin privé.
  3. Le fournisseur partage des informations pertinentes avec les consommateurs de service, y compris un nom de ressource de cloud (CRN) de service de chemin privé unique.
  4. Le consommateur crée une passerelle VPE qui configure le CRN du service de chemin privé. En retour, une demande de connexion est envoyée au fournisseur de services.
  5. Le fournisseur autorise ou refuse la demande du consommateur et définit une règle de compte, le cas échéant (le fournisseur peut également configurer une règle de compte pour autoriser ou refuser automatiquement les demandes du consommateur).
  6. Le consommateur est informé du statut de la demande de connexion. S'il est autorisé, le consommateur peut accéder au service ; s'il est refusé, il peut contacter le fournisseur pour plus de détails.

Pour plus d'informations, voir le Guide des solutions de chemin privé.

Votre capacité à effectuer les actions suivantes dépend du niveau des droits IAM associés à votre compte IBM Cloud. Pour plus d'informations, voir Droits requis.

Initiation au service Chemin privé

En tant que fournisseur de services, procédez comme suit pour commencer:

  1. Assurez-vous que vous disposez d'un nuage privé virtuel (VPC) et d'au moins un sous-réseau dans le VPC sélectionné.

  2. Créer un chemin privé NLB.

    • Vous pouvez créer un équilibreur de charge de réseau de chemin privé lorsque vous créez votre service de chemin privé ou vous pouvez utiliser la page de mise à disposition Equilibreur de charge pour VPC pour en créer un. Pour créer un équilibreur de charge de chemin privé distinct du service de chemin privé, voir Création d'un équilibreur de charge de réseau de chemin privé.
    • Vous devez utiliser le même compte dans la même région VPC pour vos services Private Path NLB et Private Path.

  3. Créez un service de chemin privé.

    • Définissez la règle par défaut pour le cas où un compte ne possède pas de règle spécifique qui lui est affectée. La règle par défaut (Vérifier) vous permet d'autoriser ou de refuser chaque demande, tandis que Autoriser et Refuser automatisent le processus des demandes de connexion sans règles de compte spécifiques.
    • Créez des règles de compte pour des ID de compte spécifiques maintenant ou ultérieurement. Ces règles déterminent l'action à effectuer lorsque le fournisseur reçoit une demande d'un compte spécifique et sont prioritaires par rapport à la règle par défaut.

Cas d'utilisation du service Chemin privé

Les cas d'utilisation suivants illustrent les différentes façons d'utiliser les services de chemin privé.

Dans tous les cas d'utilisation de la voie privée, vous pouvez utiliser les fonctionnalités de stratégie ALB pour diriger le trafic de service de la voie privée.

Cas d'utilisation 1: Connexion d'un service à un consommateur unique

En tant que fournisseur, vous souhaitez connecter votre service à un consommateur sans que le trafic ne traverse Internet et sans donner accès à l'ensemble de votre VPC. Votre consommateur peut être un client, une autre division de votre entreprise ou autre chose.

Ce schéma illustre comment établir un service Private Path. L'établissement d'un service de chemin privé vous permet d'exposer un service à un client en privé.

Tout d'abord, l'application d'un consommateur se connecte à une passerelle VPE dans le VPC du consommateur. Ensuite, la passerelle VPE se connecte au chemin d'accès privé NLB dans le VPC du fournisseur. À son tour, le Private Path NLB se connecte au service du fournisseur. Le service du fournisseur répond ensuite à la demande du consommateur par le biais du retour direct du serveur (Direct Server Return ou DSR). Cette activité de service de chemin privé est entièrement contenue dans une seule région (Sud des Etats-Unis) d'un réseau privé IBM Cloud.

Un chemin privé exposant un service à un
chemin privé exposant un service à un client sans utiliser l'
public*

Cas d'utilisation 2 : Connexion d'un service à plusieurs consommateurs

Cette figure illustre comment établir un service Private Path avec des connexions à plusieurs passerelles VPE grand public.

Tout d'abord, l'application d'un consommateur se connecte à une passerelle VPE dans les VPC du consommateur. Ensuite, la passerelle VPE se connecte au chemin d'accès privé NLB dans le VPC du fournisseur. À son tour, le Private Path NLB se connecte au service du fournisseur. Le service du fournisseur répond alors à la demande du consommateur par le biais du DSR. Cette activité de service de chemin privé est entièrement contenue dans une seule région (Sud des Etats-Unis) d'un réseau privé IBM Cloud.

Un chemin privé exposant un service à plusieurs
chemin privé exposant un service à plusieurs clients sans utiliser l'
public*

Cas d'utilisation 3: Connexion d'un service à un client dans votre VPC

Ce diagramme illustre comment établir un service Private Path avec des connexions à la passerelle VPE d'un consommateur au sein de votre VPC.

Utilisez un service Private Path au sein d'un seul VPC si vous avez besoin d'améliorer les performances et l'évolutivité d'un équilibreur de charge réseau Private Path.

Tout d'abord, l'application d'un consommateur se connecte à la passerelle VPE du consommateur au sein du VPC du fournisseur. Ensuite, la passerelle VPE se connecte au chemin d'accès privé NLB dans le VPC du fournisseur. À son tour, le Private Path NLB se connecte au service du fournisseur. Le service du fournisseur répond alors à la demande du consommateur par le biais du DSR. Cette activité de service de chemin privé est entièrement contenue dans une seule région (Sud des Etats-Unis) d'un réseau privé IBM Cloud.

Un chemin privé exposant un service à un client au sein du même
chemin privé exposant un service à un client au sein du même VPC sans utiliser l'
public*

Cas d'utilisation 4 : Permettre à un service IBM Cloud de se connecter au VPC d'un fournisseur

Private Path permet la connexion entre un service IBM Cloud comme IBM Cloud Code Engine et votre VPC sans compromettre la sécurité ou mettre votre VPC en danger. Code Engine est un service informatique multi-tenant qui exécute du code source ou des charges de travail conteneurisées. Ses capacités de mise à l'échelle dynamique permettent à vos applications d'augmenter ou de réduire automatiquement leur taille, voire de la ramener à zéro, en fonction des demandes entrantes. Grâce à son modèle de paiement à l'utilisation, Code Engine ne facture que la capacité de calcul que vous utilisez réellement. Pour plus d'informations, voir IBM Cloud Code Engine.

Ce diagramme illustre comment établir un service Private Path avec des connexions à la passerelle VPE d'une application d' Code Engine s et à votre VPC. Tout d'abord, l'application d' Code Engine s se connecte à la passerelle VPE au sein du VPC de l' Code Engine. Ensuite, la passerelle VPE se connecte au chemin d'accès privé NLB dans le VPC du fournisseur. À son tour, le Private Path NLB se connecte à l'application du fournisseur. L'application du fournisseur répond alors à la demande. Cette activité de service Private Path est entièrement contenue dans une seule région (us-south) dans un réseau privé d' IBM Cloud.

Utilisez Code Engine et Private Path pour déployer une architecture complexe avec des besoins
Code Engine et Private Path pour déployer une architecture complexe avec des
de mise à l'échelle dynamique et statique*

Cas d'utilisation 5 : Utilisation d'un ALB avec un chemin privé NLB pour héberger des services en dehors d'un VPC

Le diagramme suivant illustre le processus de configuration d'un service Private Path pour connecter le service d'un consommateur au point d'extrémité d'un fournisseur, qui peut être hébergé sur site ou dans d'autres emplacements privés accessibles depuis le VPC du fournisseur :

  1. L'application ou le service du consommateur se connecte à une passerelle de point d'extrémité privé virtuel (VPE) au sein du VPC du consommateur.

    Le VPC du consommateur peut être un service IBM avec prise en charge du chemin privé, tel que MQ as a Service ou Code Engine. Cela permet des connexions telles que la liaison d'un MQ Queue Manager sur le cloud avec un Queue Manager sur site, ou la connexion d'un projet Code Engine à des ressources sur site.

  2. La passerelle VPE est ensuite reliée à l'équilibreur de charge du réseau Private Path (NLB) situé dans le VPC du fournisseur.

  3. Pour permettre au Private Path NLB d'atteindre son point d'extrémité sur site, le fournisseur ajoute son équilibreur de charge d'application (ALB) en tant que membre du Private Path NLB.

  4. Le fournisseur configure le point d'extrémité sur site en tant que membre du pool ALB.

  5. Enfin, le fournisseur connecte le point d'extrémité sur site à son ALB à l'aide de IBM Cloud Direct Link.

Le fournisseur peut en outre exploiter les capacités de la politique ALB pour diriger le trafic vers le pool et le membre ALB appropriés. Pour plus d'informations, voir Équilibrage de charge basé sur des règles.

Il est recommandé d'activer l'affinité zonale dans le service Private Path pour s'assurer que le trafic du client vers la passerelle VPE est dirigé vers un NLB et un ALB Private Path dans la même zone (si disponible), évitant ainsi le trafic inter-zones.

Chemin privé connectant un service consommateur à un service sur site d'un fournisseur à l'aide d'un ALB dans un pool NLB à chemin privé
Chemin privé connectant un service consommateur à un service sur site d'un fournisseur à l'aide d'un ALB dans un pool NLB à chemin privé