Informazioni sulla rete
IBM Cloud® Virtual Private Cloud (VPC) è una rete virtuale collegata al tuo account cliente. Ti fornisce la sicurezza cloud, con la capacità di eseguire il ridimensionamento in modo dinamico, fornendo un controllo dettagliato sulla tua infrastruttura virtuale e sulla tua segmentazione del traffico di rete.
Panoramica
Ogni VPC viene distribuito in un'unica regione. All'interno di tale regione, il VPC si può estendere a più zone.
Le sottoreti nel tuo VPC possono connettersi all'internet pubblico attraverso un gateway pubblico facoltativo. Puoi assegnare gli indirizzi IP mobili a qualsiasi VSI (virtual server instance) per abilitarla a essere raggiungibile da internet, indipendentemente dal fatto che la sua sottorete sia collegata a un gateway pubblico.
Le sottoreti all'interno del VPC offrono una connettività privata; possono comunicare tra loro su un collegamento privato attraverso il router implicito. La configurazione degli instradamenti non è necessaria. La Figura 1 mostra come puoi suddividere un Virtual Private Cloud con le sottoreti e ciascuna sottorete può raggiungere l'internet pubblico.
Terminologia
Per utilizzare il tuo VPC, esamina i concetti di base di regione e zona quando si applicano alla tua distribuzione.
Regioni
Una regioneUn territorio geografico indipendente composto da una o più zone. è un'astrazione dell'area geografica in cui viene distribuito un VPC. Ogni regione contiene più zoneUna posizione all'interno di una regione che agisce come dominio di guasto indipendente e ha una latenza ridotta rispetto alle altre zone della regione.. Una VPC può estendersi su più zone all'interno della regione assegnata. IBM Cloud fornisce due livelli di regioni: regioni multizonaUna regione distribuita in più zone fisiche per aumentare la tolleranza ai guasti. e regioni multizona a campus singoloUna regione composta da più zone situate all'interno di un singolo edificio o campus. Dipendenze come l'alimentazione, il raffreddamento, la rete e la sicurezza fisica possono essere condivise, ma sono progettate per fornire un elevato grado di indipendenza dai guasti. .
Zone
A ciascuna zona è assegnato un prefisso di indirizzo predefinito che specifica l'intervallo di indirizzi in cui è possibile creare le sottoreti. Se lo schema di indirizzi predefinito non si adatta ai tuoi requisiti, ad esempio se desideri portare un tuo intervallo di indirizzi IPv4 pubblici, puoi personalizzare i prefissi di indirizzo. La mappatura dei nomi delle zone logiche alle zone fisiche è relativa all'account, pertanto l'intervallo di prefissi degli indirizzi predefiniti per una zona può variare tra gli account. Per ulteriori informazioni, vedere Posizioni diIBM Cloud per la distribuzione delle risorse.
Caratteristiche delle sottoreti nel VPC
Ogni sottorete consiste in uno specifico intervallo di indirizzi IP (blocco CIDR). Le sottoreti sono associate a una sola zona e non possono essere suddivise su più zone o regioni. Le sottoreti nello stesso VPC sono collegate tra loro.
Indirizzi riservati dal sistema
Alcuni indirizzi IP sono riservati all'uso da parte di IBM per il funzionamento del VPC. I seguenti indirizzi sono indirizzi riservati (questi indirizzi IP presuppongono che l'intervallo CIDR della sottorete sia 10.10.10.0/24):
- Primo indirizzo nella gamma CIDR (
10.10.10.0): Indirizzo di rete - Secondo indirizzo nella gamma CIDR (
10.10.10.1): Indirizzo gateway - Terzo indirizzo nella gamma CIDR (
10.10.10.2): riservato da IBM - Quarto indirizzo nella gamma CIDR (
10.10.10.3): riservato da IBM per uso futuro - Ultimo indirizzo nella gamma CIDR (
10.10.10.255): Indirizzo di trasmissione di rete
Connettività esterna
La connettività esterna può essere ottenuta utilizzando un gateway pubblico collegato a una sottorete o un indirizzo IP mobile collegato a una VSI (virtual server instance). Utilizza un gateway pubblico per SNAT (source network address translation) e un IP mobile per DNAT (destination network address translation).
Questa tabella riassume le differenze tra le opzioni:
| Gateway pubblico | IP mobile |
|---|---|
| Le istanze possono avviare connessioni a Internet, ma non possono ricevere connessioni da Internet. | Le istanze possono avviare o ricevere connessioni da o verso Internet |
| Fornisce connettività per un'intera sottorete | Fornisce connettività per una singola istanza |
Per una connettività esterna sicura, utilizza il servizio VPN per connettere il tuo VPC a un'altra rete. Per ulteriori informazioni sulle VPN, vedi Utilizzo della VPN con il tuo VPC.
Utilizza un gateway pubblico per la connettività esterna di una sottorete
Un Gateway pubblico abilita una sottorete e tutte le relative VSI (virtual server instance) collegate a connettersi a internet. Le sottoreti sono private per impostazione predefinita. Dopo che una sottorete è stata collegata al gateway pubblico, tutte le istanze in quella sottorete possono connettersi a internet. Anche se ciascuna zona ha solo un singolo gateway pubblico, il gateway pubblico può essere collegato a più sottoreti.
I gateway pubblici utilizzano un NAT ( Many-to-1 ), il che significa che migliaia di istanze con indirizzi privati utilizzano un indirizzo IP pubblico per comunicare con la rete Internet pubblica.
La seguente figura riepiloga l'attuale campo di applicazione dei servizi gateway.
| SNAT | DNAT | ACL | VPN |
|---|---|---|---|
| Le istanze possono avere accesso a Internet solo in uscita. | Consenti la connettività in entrata da Internet a un IP privato. | Fornire un accesso in entrata limitato da Internet a istanze o sottoreti. | La VPN da sito a sito gestisce clienti di qualsiasi dimensione e con una o più sedi. |
| Intere sottoreti condividono l'endpoint pubblico in uscita. | Fornisce accesso limitato a un singolo server privato. | Limitare l'accesso in entrata da Internet, in base al servizio, al protocollo o alla porta. | L'elevata velocità (fino a 10 Gbps) offre ai clienti la possibilità di trasferire file di dati di grandi dimensioni in modo sicuro e rapido. |
| Protegge le istanze; non è possibile avviare l'accesso alle istanze tramite l'endpoint pubblico. | Il servizio DNAT può essere ampliato o ridotto in base alle esigenze. | Gli ACL stateless consentono un controllo granulare del traffico. | Crea connessioni sicure con la crittografia standard del settore. |
È possibile creare un solo gateway pubblico per zona. Tuttavia, tale gateway pubblico può essere collegato a più sottoreti nella zona.
Utilizza un indirizzo IP mobile per la connettività esterna di una VSI (virtual server instance)
Gli indirizzi IP mobili sono indirizzi IP forniti dal sistema e raggiungibili dall'internet pubblico.
Puoi riservare un indirizzo IP mobile dal pool degli indirizzi disponibili forniti da IBM e puoi associarlo ad un'interfaccia di rete di qualsiasi istanza nella stessa zona. Anche quell'interfaccia ha un indirizzo IP privato. Ogni indirizzo IP mobile può essere associato a una sola interfaccia.
Note
- L'associazione di un indirizzo IP mobile a un'istanza rimuove l'istanza dal NAT Molti a 1 del gateway pubblico.
- Attualmente, l'IP mobile supporta solo gli indirizzi IPv4.