IBM Cloud Docs
A propos des serveurs VPN client à site

A propos des serveurs VPN client à site

Le client VPN for VPC fournit une connectivité client-site qui permet aux appareils distants de se connecter en toute sécurité au réseau VPC à l'aide d'un client logiciel OpenVPN. Cette solution est utile pour les télétravailleurs qui souhaitent se connecter au IBM Cloud à partir d'un emplacement distant, comme un bureau à domicile, tout en conservant une connectivité sécurisée.

Principaux points :

  • Connectivité sécurisée/chiffrée TLS 1.2/1.3 sur Internet
  • Prend en charge les déploiements autonomes (pilotes) et à haute disponibilité (production)
  • Interconnexion privée des IaaS et VPC classiques sur IBM Public Cloud
  • Disponibilité dans toutes les zones MZR du monde entier
  • Haute disponibilité couvrant plusieurs zones, offrant de meilleures performances et une meilleure résilience
  • Fournit des couches supplémentaires de sécurité avec des méthodes d'authentification intégrées

Architecture

La figure 1 illustre un exemple de configuration d'un serveur VPN pour connecter des ressources dans et hors du VPC. Le serveur VPN est mis à disposition sur deux sous-réseaux dans le VPC d'un utilisateur. Il existe également deux membres du serveur VPN qui fonctionnent en mode haute disponibilité (HA) actif/actif. Tous les membres du serveur VPN peuvent communiquer avec les ressources cibles. Une adresse IP publique est attribuée à chacun des membres, et un enregistrement de nom d'hôte DNS est créé pour le serveur VPN. Le nom d'hôte est résolu à l'adresse IP publique du membre VPN. Les clients VPN obtiennent deux adresses IP publiques via la résolution DNS et essaient deux adresses IP au hasard pour se connecter avec l'un des membres VPN. Le client VPN tente de se reconnecter et de passer à un membre actif du serveur VPN si un membre est hors service.

Un service DNS est déployé dans le cadre du service VPN. Le nom DNS fourni se termine par appdomain.cloud.

Architecture du serveur VPN client à site* " caption-side="bottom"} du serveur VPN client{: caption="site*

Mise en route

Pour commencer à utiliser Client VPN for VPC, suivez les étapes suivantes :

  1. Passez en revue la rubrique Remarques relatives à la planification des serveurs VPN.
  2. Complétez tous les prérequis dans la section Avant de commencer.
  3. Mettez à disposition un serveur VPN autonome dans un sous-réseau, ou mettez à disposition un serveur VPN à haute disponibilité dans les deux sous-réseaux. Pour des instructions, voir Création d'un serveur VPN.
  4. Créez des routes VPN.
  5. Configurez un environnement client VPN et connectez-vous au serveur VPN.

Cas d'utilisation du serveur VPN

Voici comment vous pouvez mettre en oeuvre le service IBM Cloud Client VPN for VPC :

Cas d'utilisation 1 : accéder à un VPC au sein d'une MZR déployée

Le serveur VPN est déployé dans une région multizone (MZR) et un VPC sélectionnés. Toutes les instances de serveur virtuel sont accessibles depuis le client VPN dans le VPC unique.

Topologie du réseau : Un client VPN peut accéder à une instance de serveur virtuel au sein d'une MZR déployée via le serveur
du réseau : Un client VPN peut accéder à une instance de serveur virtuel au sein d'une MZR déployée via le serveur

Cas d'utilisation 2 : un client VPN peut accéder à Internet via le serveur VPN

Lorsque l'administrateur applique le serveur VPN en mode tunnel complet, tout le trafic provenant des périphériques client est envoyé au serveur VPN, y compris le trafic Internet. Le serveur VPN achemine le trafic vers Internet via l'infrastructure IBM Cloud.

Topologie du réseau : Un client VPN peut accéder à l'internet via le serveur
du réseau : Un client VPN peut accéder à l'internet par l'intermédiaire du serveur

Cas d'utilisation 3 : intégration à une passerelle de transit

En général, il est recommandé de mettre à disposition des ressources VPC dans plusieurs régions à des fins de redondance. Pour accéder aux ressources de toutes les régions à partir de dispositifs personnels, une approche consiste à créer un serveur VPN client à site par VPC, par région, et à établir la connexion VPN à tous les serveurs VPN. Vous devez également maintenir plusieurs serveurs VPN avec cette approche. Cela peut être un inconvénient, mais il s'agit d'une méthode plus sûre. Une autre approche consiste à utiliser une passerelle de transit pour connecter tous ces VPC. Par conséquent, un seul serveur VPN est requis pour accéder aux VCP.

Topologie du réseau : Intégration avec une passerelle de
du réseau : Intégration avec une passerelle de

Lorsque vous intégrez le serveur VPN client-site à la passerelle de transit, vous devez ajouter une ou plusieurs routes VPN dont la destination est définie sur le CIDR du sous-réseau dans d'autres VPC ou réseaux classiques, et définir l'action de la route sur Deliver ou Translate. Pour plus d'informations, voir Gestion des routes VPN.

Cas d'utilisation 4 : intégration à une passerelle VPN site à site

Effectuez une intégration à une passerelle VPN site à site si vous souhaitez accéder à votre réseau privé sur site en même temps que vous vous connectez aux VPC IBM. Ce cas d'utilisation supprime l'obligation de maintenir plusieurs serveurs VPN simultanément. Vous pouvez accéder directement à votre réseau privé sur site à partir d'un serveur VPN client à site.

Topologie du réseau : Intégration avec une
VPN site à site*Topologie du réseau : Intégration à une passerelle VPN de site à