IBM Cloud Docs
Informazioni sui server VPN client-to-site

Informazioni sui server VPN client-to-site

Il client VPN for VPC fornisce la connettività client - to - site, che permette ai dispositivi remoti di connettersi in maniera sicura alla rete VPC utilizzando un client software OpenVPN. Questa soluzione è utile per i telependolari che desiderano collegarsi al IBM Cloud da una postazione remota, come ad esempio un ufficio di casa, mantenendo comunque la connettività sicura.

Le caratteristiche principali includono:

  • Connettività sicura / crittografata TLS 1.2/1.3-based su Internet
  • Supporta distribuzioni sia stand-alone (pilota) che ad alta disponibilità (produzione)
  • Interconnessione privata Classic IaaS e VPC su IBM Public Cloud
  • Disponibilità in tutto MZRs world wide
  • Alta disponibilità che si estende per le zone, fornendo migliori prestazioni e resilienza
  • Fornisce ulteriori strati di sicurezza con metodi di autenticazione integrati

Architettura

La Figura 1 illustra un setup di server VPN di esempio per collegare le risorse dentro e fuori dal VPC. Il server VPN viene fornito su due sottoreti all'interno di VPC di un utente. Ci sono anche due membri del server VPN che lavorano nella modalità Active / Active High Availability (HA). Tutti i membri del server VPN possono comunicare con le risorse di destinazione. Esiste un indirizzo IP pubblico assegnato a ciascuno dei membri e viene creato un record di hostname DNS per il server VPN. Il nomehost viene risolto all'indirizzo IP pubblico del membro della VPN. I client VPN ottengono due indirizzi IP pubblici tramite risoluzione DNS e provare due indirizzi IP casualmente per connettersi con uno dei membri VPN. Il client VPN tenta di ricollegarsi e passare a un membro del server VPN attivo se un membro è in calo.

Un servizio DNS viene distribuito come parte del servizio VPN. Il nome DNS fornito termina con appdomain.cloud.

del server VPN da client a
del server VPN da client a sito*

Introduzione

Per iniziare a utilizzare Client VPN for VPC, seguire questi passaggi:

  1. Rivedere Considerazioni di pianificazione per i server VPN.
  2. Completa tutti i prerequisiti in Prima di iniziare.
  3. Predisposizione un server VPN autonomo in una sottorete o predisposizione un server VPN ad alta disponibilità nelle due sottoreti. Per istruzioni consultare Creazione di un server VPN.
  4. Creare percorsi VPN.
  5. Impostare un ambiente client VPN e collegarsi al server VPN.

Casi di utilizzo del server VPN

Ecco alcuni modi in cui è possibile implementare il servizio IBM Cloud Client VPN for VPC:

Caso di utilizzo 1: VPC di accesso all'interno di un MZR distribuito

Il server VPN è distribuito in una Regione Multi - zona selezionata (MZR) e VPC. Tutte le istanze del server virtuale sono accessibili dal client VPN nel singolo VPC.

Topologia di rete: Un client VPN può accedere a un'istanza di server virtuale all'interno di un MZR distribuito attraverso il server
di rete: Un client VPN può accedere a un'istanza di server virtuale all'interno di un MZR distribuito attraverso il server

Caso d'uso 2: un client VPN può accedere a internet tramite il server VPN

Quando l'amministratore obbliga il server VPN in modalità full - tunnel, tutto il traffico proveniente dai dispositivi dei clienti viene inviato al server VPN, incluso il traffico internet. Il server VPN inoltra il traffico a Internet tramite l'infrastruttura IBM Cloud.

Topologia di rete: Un client VPN può accedere a Internet attraverso il server
di rete: Un client VPN può accedere a Internet attraverso il server

Caso di utilizzo 3: Integrare con un gateway di transito

Generalmente si consiglia di fornire le risorse VPC in più regioni per la ridondanza. Per accedere alle risorse in tutte le regioni dai dispositivi personali, un approccio è quello di creare un server VPN client - to - site per VPC, per regione e stabilire la connessione VPN a tutti i server VPN. È necessario inoltre mantenere più server VPN con questo approccio. Questo potrebbe essere un inconveniente, ma è un metodo più sicuro. Un altro approccio è quello di utilizzare un gateway di transito per collegare tutti questi VPC. Di conseguenza, è necessario un solo server VPN per accedere ai VPC.

Topologia di rete: Integrazione con un gateway di
di rete: Integrazione con un gateway di

Quando si integra il server VPN client - to - site con il gateway di transito, è necessario aggiungere uno o più instradamenti VPN con la destinazione impostata sul CIDR della sottorete in altri VPC o reti classiche e impostare l'azione di instradamento su Deliver o Translate. Per ulteriori informazioni, vedi Gestione degli instradamenti VPN.

Caso di utilizzo 4: Integrazione con un gateway VPN sito - to - site

Integrarsi con un gateway VPN sito - to - site se si desidera accedere alla propria rete privata on-premises contemporaneamente a quando ci si collega a IBM VPC. Questo caso d'uso rimuove il requisito per mantenere contemporaneamente più server VPN. È possibile accedere alla rete privata on-premises da un server VPN da client a sito direttamente.

Topologia di rete: Integrazione con un gateway VPN
di rete: Integrazione con un gateway VPN