Creazione di un gateway VPN
È possibile creare una IBM Cloud VPN per VPC per collegare in modo sicuro la VPC a un'altra rete privata, come una rete on-premise o un'altra VPC.
Prima di iniziare, esaminare le considerazioni sulla pianificazione dei gateway VPN e le limitazioni, i problemi e le restrizioni note dei gateway VPN.
Creazione di un gateway VPN nella console
Per creare un gateway VPN utilizzando l'IU:
-
Dal browser, aprire la console IBM Cloud e accedere al proprio account.
-
Selezionare il 'Menu di navigazione e il '
, quindi fare clic su 'Infrastruttura > Rete > VPN.
-
Assicurati di selezionare le schede Site - to - site gateways> VPN gateways.
-
Nella pagina VPN per VPC, fai clic su Create e seleziona il tile del gateway Site - to - site.
-
Specificare le informazioni seguenti:
- Nome gateway VPN- immetti un nome per il gateway VPN, ad esempio
my-vpn-gateway
. - Gruppo di risorse- Selezionare un gruppo di risorse per il gateway VPN.
- Tag- Facoltativamente, aggiungere le tag per identificare questo gateway VPN.
- Tag di gestione degli accessi- Facoltativamente, aggiungere tag di gestione degli accessi alle risorse per organizzare le relazioni di controllo degli accessi. L'unico formato supportato per le tag di gestione accessi
è
key:value
. Per ulteriori informazioni, vedi Controllo dell'accesso alle risorse utilizzando le tag. - Regione- mostra la regione in cui si trova il VPC e in cui il gateway VPN eseguirà il provisioning.
- Virtual Private Cloud- seleziona il VPC per il gateway VPN.
- Sottorete- Selezionare la sottorete in cui creare il gateway VPN. Consultare Considerazioni sulla pianificazione per importanti informazioni sulla sottorete.
- Modalità- Selezionare una VPN basata su criteri o su instradamento. Per ulteriori informazioni sui tipi di VPN, vedi Funzioni VPN.
- Nome gateway VPN- immetti un nome per il gateway VPN, ad esempio
-
Nella sezione Connessione VPN per VPC, attiva lo switch per stabilire la connettività tra questo gateway e la rete esterna alla tua VPN. È possibile aggiungere una connessione VPN anche dopo il provisioning del gateway.
-
Nome della connessione VPN- Inserire un nome per la connessione, ad esempio
my-connection
. -
Indirizzo gateway peer- Specifica il dispositivo peer tramite un indirizzo IP pubblico o FQDN del gateway VPN per la rete all'esterno del tuo VPC.
-
Stabilisci modalità- Selezionare Bidirezionale o Solo peer.
- La modalità bidirezionale avvia le negoziazioni del protocollo IKE (o i processi di rekeying) da entrambi i lati del gateway VPN.
- La modalità Solo peer consente al peer di avviare le negoziazioni del protocollo IKE per questa connessione gateway VPN. Il peer è anche responsabile dell'avvio del processo di rekeying dopo che è stato stabilito il collegamento.
Se il tuo dispositivo peer è dietro un dispositivo NAT e non ha un indirizzo IP pubblico, assicurati di specificare Solo peer.
-
Chiave preshared- Specificare la chiave di autenticazione del gateway VPN per la rete esterna alla VPC. La chiave precondivisa è una stringa di cifre esadecimali o una passphrase di caratteri ASCII stampabili. Per essere compatibile con la maggior parte dei tipi di gateway peer, questa stringa deve seguire queste regole:
- Può essere una combinazione di cifre, caratteri minuscoli o maiuscoli o i seguenti caratteri speciali:
- + & ! @ # $ % ^ * ( ) . , :
- La lunghezza della stringa deve essere compresa tra 6 e 128 caratteri.
- Non può iniziare con
0x
o0s
.
- Può essere una combinazione di cifre, caratteri minuscoli o maiuscoli o i seguenti caratteri speciali:
-
Distribuisci traffico (solo VPN basate su rotte)- Abilita la distribuzione del traffico tra le
Up
gallerie della connessione del gateway VPN quando l'hop successivo di una rotta VPC è la connessione VPN. Se questa casella di controllo non è selezionata, il gateway VPN utilizza il tunnel con l'IP pubblico piccolo come percorso di uscita primario e solo quando il percorso di uscita primario è disabilitato, il traffico passa attraverso il percorso secondario. Per ulteriori informazioni, vedere Caso d'uso 4: Distribuzione del traffico per una VPN basata su percorsi. -
Sottoreti locali (solo VPN basate su criteri)- Specificare una o più sottoreti nella VPC che si desidera collegare attraverso il tunnel VPN.
-
Sottoreti peer (solo VPN basate su criteri)- Specificare una o più sottoreti dell'altra rete che si desidera collegare attraverso il tunnel VPN.
La sovrapposizione dell'intervallo di sottoreti tra sottoreti locali e peer non è consentita.
-
-
Nella sezione Rilevamento peer inattivo, configura il modo in cui il gateway VPN invia i messaggi per controllare che il gateway peer sia attivo. Specificare le informazioni seguenti:
- Azione- L'azione di rilevamento peer inattivo da eseguire se un gateway peer smette di rispondere. Ad esempio, seleziona Restart se vuoi che il gateway rinegozi immediatamente la connessione.
- Intervallo (sec)- Con quale frequenza controllare che il gateway peer sia attivo. Per impostazione predefinita, i messaggi vengono inviati ogni 2 secondi.
- Timeout (sec)- Tempo di attesa per una risposta dal gateway peer. Per impostazione predefinita, un gateway del peer non è più considerato attivo se non viene ricevuta una risposta entro 10 secondi.
-
Nella sezione Criteri, specificare le opzioni Internet Key Exchange (IKE) e Internet Protocol Security (IPsec) da utilizzare per la negoziazione della fase 1 e della fase 2 della connessione.
- Selezionare Auto se si desidera che il gateway cerchi di stabilire automaticamente la connessione.
- Selezionare o creare criteri personalizzati se è necessario applicare particolari requisiti di sicurezza o se il gateway VPN dell'altra rete non supporta le proposte di sicurezza tentate dalla negoziazione automatica.
Le opzioni di sicurezza IKE e IPsec specificate per la connessione devono essere le stesse impostate sul gateway peer per la rete esterna alla VPC.
-
Nella sezione Opzioni avanzate, è possibile personalizzare le identità IKE locali e peer invece di utilizzare l'identità IKE predefinita. È possibile specificare al massimo un'identità IKE peer.
Per i gateway VPN basati su criteri, puoi configurare al massimo un'identità IKE locale. Per i gateway VPN basati sull'instradamento, se vuoi configurare un'identità IKE locale, devi fornirne due. È possibile fornire valori per i membri o lasciare vuoti i campi di immissione.
-
Identità IKE locali- Selezionare un tipo per l'identità IKE locale, quindi immetterne il valore. Ad esempio, è possibile inserire un singolo indirizzo IPv4 di 4 ottetti (
9.168.3.4
), un FQDN (my-vpn.example.com
), un hostname (my-host
), o un ID chiave base64-encoded (MTIzNA==
).-
La modalità di instradamento statico è composta da due membri in modalità attivo - attivo, dove la prima identità si applica al primo membro e la seconda identità si applica al secondo membro. Se non si specificano identità IKE locali, il tipo è un indirizzo IPv4 e il valore è l'indirizzo IP pubblico del tunnel di connessione VPN del membro.
-
La modalità politica è composta da due membri in modalità standby attivo. L'identità IKE locale si applica al membro attivo. Se non si specifica un valore, l'identità IKE locale è l'indirizzo IP pubblico del gateway VPN.
-
-
Identità IKE peer- Selezionare un tipo per l'identità IKE peer, quindi immetterne il valore. Ad esempio, è possibile inserire un indirizzo IPv4 (
9.168.3.4
), un FQDN (my-vpn.example.com
), un hostname (my-host
) o un ID chiave base64-encoded (MTIzNA==
).L'identità IKE del peer si applica al membro attivo. Se non si specifica un valore, utilizzare l'indirizzo IPv4 o l'FQDN del gateway peer.
-
Creazione di un gateway VPN dalla CLI
Prima di iniziare, configura il tuo ambiente CLI.
Per creare un gateway VPN dalla CLI, immetti il seguente comando:
ibmcloud is vpn-gateway-create VPN_GATEWAY_NAME SUBNET
[--mode policy | route]
[--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
[--output JSON] [-q, --quiet]
Dove:
VPN_GATEWAY_NAME
- Il nome del gateway VPN.
SUBNET
- L'ID della sottorete.
--mode
- La modalità del gateway VPN. Uno tra:
policy
,route
. --resource-group-id
- L'ID del gruppo di risorse. Questa opzione si esclude a vicenda con
--resource-group-name
. --resource-group-name
- Il nome del gruppo di risorse. Questa opzione si esclude a vicenda con
--resource-group-id
. --output
- Uscita in formato JSON.
-q, --quiet
- Un'opzione che sopprime l'output dettagliato.
Esempi di comando
-
Crea un gateway VPN basato sull'instradamento con un ID sottorete specifico:
ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route
-
Crea un gateway VPN basato sulla politica utilizzando il Gruppo di risorse predefinito:
ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode policy --resource-group-name Default
-
Crea un gateway VPN basato sull'instradamento, utilizzando un ID gruppo di risorse specifico con output in formato JSON:
ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON
Creazione di un gateway VPN con l'API
Per creare un gateway VPN basato sulla politica con l'API, attieniti alla seguente procedura:
-
Configura il tuo ambiente API con le variabili corrette.
-
Memorizzare eventuali variabili aggiuntive da utilizzare nei comandi API; ad esempio:
ResourceGroupId
- Trova l'ID gruppo di risorse utilizzando il comandoget resource groups
e popola la variabile:
export ResourceGroupId=<your_resourcegroup_id>
SubnetId
- Trova l'ID sottorete utilizzando il comandoget subnet
e popola la variabile:
export SubnetId=<your_subnet_id>
-
Quando tutte le variabili vengono avviate, crea il gateway VPN:
curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \ -H "Authorization: $iam_token" \ -d '{ "name": "my-new-vpn-gateway", "mode": "policy", "subnet": { "id": "'$SubnetId'" }, "resource_group": { "id": "'$ResourceGroupId'" } }'
Creazione di un gateway VPN con Terraform
Il seguente esempio crea un gateway VPN utilizzando Terraform:
resource "ibm_is_vpn_gateway" "is_vpn_gateway" {
name = "my-vpn-gateway"
subnet = ibm_is_subnet.is_subnet.id
mode = "route"
}
Per ulteriori informazioni, vedi Registro Terraform.
Passi successivi
Dopo aver creato un gateway VPN, puoi:
- Crea una politica IKE se si decide di utilizzare una politica IKE personalizzata invece della negoziazione automatica.
- Crea una politica IPsec se si decide di utilizzare una politica IPsec personalizzata invece della negoziazione automatica.
- Crea una connessione VPN se non l'hai già fatto quando esegui il provisioning del tuo gateway VPN. Per ulteriori informazioni, vedi Aggiunta di connessioni a un gateway VPN.
- Per creare una VPN basata sull'instradamento, prima creare una tabella di instradamento, quindi creare un instradamento utilizzando il tipo di connessione VPN.