Creazione di un gateway VPN nella console

Per creare un gateway VPN utilizzando l'IU:

1. Dal browser, aprire la console IBM Cloud e accedere al proprio account.

2. Selezionare il menu di navigazione , quindi fare clic su Icona Infrastruttura > Rete > VPN.

3. Assicurati di selezionare le schede Site - to - site gateways> VPN gateways.

4. Nella pagina VPN per VPC, fai clic su Create e seleziona il tile del gateway Site - to - site.

5. Specificare le informazioni seguenti:

   • Nome gateway VPN- immetti un nome per il gateway VPN, ad esempio my-vpn-gateway.
   • Gruppo di risorse- Selezionare un gruppo di risorse per il gateway VPN.
   • Tag- Facoltativamente, aggiungere le tag per identificare questo gateway VPN.
   • Tag di gestione degli accessi- Facoltativamente, aggiungere tag di gestione degli accessi alle risorse per organizzare le relazioni di controllo degli accessi. L'unico formato supportato per le tag di gestione accessi è key:value. Per ulteriori informazioni, vedi Controllo dell'accesso alle risorse utilizzando le tag.
   • Regione- mostra la regione in cui si trova il VPC e in cui il gateway VPN eseguirà il provisioning.
   • Virtual Private Cloud- seleziona il VPC per il gateway VPN.
   • Sottorete- Selezionare la sottorete in cui creare il gateway VPN. Consultare Considerazioni sulla pianificazione per importanti informazioni sulla sottorete.
   • Modalità- Selezionare una VPN basata su criteri o su instradamento. Per ulteriori informazioni sui tipi di VPN, vedi Funzioni VPN.

6. Nella sezione Connessione VPN per VPC, attiva lo switch per stabilire la connettività tra questo gateway e la rete esterna alla tua VPN. È possibile aggiungere una connessione VPN anche dopo il provisioning del gateway.

   • Nome della connessione VPN- Inserire un nome per la connessione, ad esempio my-connection.

   • Indirizzo gateway peer- Specifica il dispositivo peer tramite un indirizzo IP pubblico o FQDN del gateway VPN per la rete all'esterno del tuo VPC.

   • Stabilisci modalità- Selezionare Bidirezionale o Solo peer.

     • La modalità bidirezionale avvia le negoziazioni del protocollo IKE (o i processi di rekeying) da entrambi i lati del gateway VPN.
     • La modalità Solo peer consente al peer di avviare le negoziazioni del protocollo IKE per questa connessione gateway VPN. Il peer è anche responsabile dell'avvio del processo di rekeying dopo che è stato stabilito il collegamento.

     Se il tuo dispositivo peer è dietro un dispositivo NAT e non ha un indirizzo IP pubblico, assicurati di specificare Solo peer.

   • Chiave preshared- Specificare la chiave di autenticazione del gateway VPN per la rete esterna alla VPC. La chiave precondivisa è una stringa di cifre esadecimali o una passphrase di caratteri ASCII stampabili. Per essere compatibile con la maggior parte dei tipi di gateway peer, questa stringa deve seguire queste regole:

     • Può essere una combinazione di cifre, caratteri minuscoli o maiuscoli o i seguenti caratteri speciali: - + & ! @ # $ % ^ * ( ) . , :
     • La lunghezza della stringa deve essere compresa tra 6 e 128 caratteri.
     • Non può iniziare con 0x o 0s.

   • Distribuisci traffico (solo VPN basate su rotte)- Abilita la distribuzione del traffico tra le Up gallerie della connessione del gateway VPN quando l'hop successivo di una rotta VPC è la connessione VPN. Se questa casella di controllo non è selezionata, il gateway VPN utilizza il tunnel con l'IP pubblico piccolo come percorso di uscita primario e solo quando il percorso di uscita primario è disabilitato, il traffico passa attraverso il percorso secondario. Per ulteriori informazioni, vedere Caso d'uso 4: Distribuzione del traffico per una VPN basata su percorsi.

   • Sottoreti locali (solo VPN basate su criteri)- Specificare una o più sottoreti nella VPC che si desidera collegare attraverso il tunnel VPN.

   • Sottoreti peer (solo VPN basate su criteri)- Specificare una o più sottoreti dell'altra rete che si desidera collegare attraverso il tunnel VPN.

     La sovrapposizione dell'intervallo di sottoreti tra sottoreti locali e peer non è consentita.

7. Nella sezione Rilevamento peer inattivo, configura il modo in cui il gateway VPN invia i messaggi per controllare che il gateway peer sia attivo. Specificare le informazioni seguenti:

   • Azione- L'azione di rilevamento peer inattivo da eseguire se un gateway peer smette di rispondere. Ad esempio, seleziona Restart se vuoi che il gateway rinegozi immediatamente la connessione.
   • Intervallo (sec)- Con quale frequenza controllare che il gateway peer sia attivo. Per impostazione predefinita, i messaggi vengono inviati ogni 2 secondi.
   • Timeout (sec)- Tempo di attesa per una risposta dal gateway peer. Per impostazione predefinita, un gateway del peer non è più considerato attivo se non viene ricevuta una risposta entro 10 secondi.

8. Nella sezione Criteri, specificare le opzioni Internet Key Exchange (IKE) e Internet Protocol Security (IPsec) da utilizzare per la negoziazione della fase 1 e della fase 2 della connessione.

   • Selezionare Auto se si desidera che il gateway cerchi di stabilire automaticamente la connessione.
   • Selezionare o creare criteri personalizzati se è necessario applicare particolari requisiti di sicurezza o se il gateway VPN dell'altra rete non supporta le proposte di sicurezza tentate dalla negoziazione automatica.

   Le opzioni di sicurezza IKE e IPsec specificate per la connessione devono essere le stesse impostate sul gateway peer per la rete esterna alla VPC.

9. Nella sezione Opzioni avanzate, è possibile personalizzare le identità IKE locali e peer invece di utilizzare l'identità IKE predefinita. È possibile specificare al massimo un'identità IKE peer.

   Per i gateway VPN basati su criteri, puoi configurare al massimo un'identità IKE locale. Per i gateway VPN basati sull'instradamento, se vuoi configurare un'identità IKE locale, devi fornirne due. È possibile fornire valori per i membri o lasciare vuoti i campi di immissione.

   • Identità IKE locali- Selezionare un tipo per l'identità IKE locale, quindi immetterne il valore. Ad esempio, è possibile inserire un singolo indirizzo IPv4 di 4 ottetti (9.168.3.4), un FQDN (my-vpn.example.com), un hostname (my-host), o un ID chiave base64-encoded (MTIzNA==).

     • La modalità di instradamento statico è composta da due membri in modalità attivo - attivo, dove la prima identità si applica al primo membro e la seconda identità si applica al secondo membro. Se non si specificano identità IKE locali, il tipo è un indirizzo IPv4 e il valore è l'indirizzo IP pubblico del tunnel di connessione VPN del membro.

     • La modalità politica è composta da due membri in modalità standby attivo. L'identità IKE locale si applica al membro attivo. Se non si specifica un valore, l'identità IKE locale è l'indirizzo IP pubblico del gateway VPN.

   • Identità IKE peer- Selezionare un tipo per l'identità IKE peer, quindi immetterne il valore. Ad esempio, è possibile inserire un indirizzo IPv4 (9.168.3.4), un FQDN (my-vpn.example.com), un hostname (my-host) o un ID chiave base64-encoded (MTIzNA==).

     L'identità IKE del peer si applica al membro attivo. Se non si specifica un valore, utilizzare l'indirizzo IPv4 o l'FQDN del gateway peer.

Creazione di un gateway VPN dalla CLI

Prima di iniziare, configura il tuo ambiente CLI.

Per creare un gateway VPN dalla CLI, immetti il seguente comando:

ibmcloud is vpn-gateway-create VPN_GATEWAY_NAME SUBNET
    [--mode policy | route]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

Dove:

VPN_GATEWAY_NAME

Il nome del gateway VPN.

SUBNET

L'ID della sottorete.

--mode

La modalità del gateway VPN. Uno tra: policy, route.

--resource-group-id

L'ID del gruppo di risorse. Questa opzione si esclude a vicenda con --resource-group-name.

--resource-group-name

Il nome del gruppo di risorse. Questa opzione si esclude a vicenda con --resource-group-id.

--output

Uscita in formato JSON.

-q, --quiet

Un'opzione che sopprime l'output dettagliato.

Creazione di un gateway VPN con l'API

Per creare un gateway VPN basato sulla politica con l'API, attieniti alla seguente procedura:

1. Configura il tuo ambiente API con le variabili corrette.

2. Memorizzare eventuali variabili aggiuntive da utilizzare nei comandi API; ad esempio:

   • ResourceGroupId- Trova l'ID gruppo di risorse utilizzando il comando get resource groups e popola la variabile:

   export ResourceGroupId=<your_resourcegroup_id>
   

   • SubnetId- Trova l'ID sottorete utilizzando il comando get subnet e popola la variabile:

   export SubnetId=<your_subnet_id>
   

3. Quando tutte le variabili vengono avviate, crea il gateway VPN:

      curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \
        -H "Authorization: $iam_token" \
        -d '{
           "name": "my-new-vpn-gateway",
           "mode": "policy",
           "subnet": {
            "id": "'$SubnetId'"
            },
           "resource_group": {
             "id": "'$ResourceGroupId'"
           }
         }'
   

Creazione di un gateway VPN con Terraform

Il seguente esempio crea un gateway VPN utilizzando Terraform:

   resource "ibm_is_vpn_gateway" "is_vpn_gateway" {
   name = "my-vpn-gateway"
   subnet = ibm_is_subnet.is_subnet.id
   mode = "route"
   }

Per ulteriori informazioni, vedi Registro Terraform.