IBM Cloud Docs
Creazione di un gateway VPN

Creazione di un gateway VPN

È possibile creare una IBM Cloud VPN per VPC per collegare in modo sicuro la VPC a un'altra rete privata, come una rete on-premise o un'altra VPC.

Prima di iniziare, esaminare le considerazioni sulla pianificazione dei gateway VPN e le limitazioni, i problemi e le restrizioni note dei gateway VPN.

Creazione di un gateway VPN nella console

Per creare un gateway VPN utilizzando l'IU:

  1. Dal browser, aprire la console IBM Cloud e accedere al proprio account.

  2. Selezionare il 'Menu di navigazione e il 'Icona del menu, quindi fare clic su 'Infrastruttura > Rete > VPN.

  3. Assicurati di selezionare le schede Site - to - site gateways> VPN gateways.

  4. Nella pagina VPN per VPC, fai clic su Create e seleziona il tile del gateway Site - to - site.

  5. Specificare le informazioni seguenti:

    • Nome gateway VPN- immetti un nome per il gateway VPN, ad esempio my-vpn-gateway.
    • Gruppo di risorse- Selezionare un gruppo di risorse per il gateway VPN.
    • Tag- Facoltativamente, aggiungere le tag per identificare questo gateway VPN.
    • Tag di gestione degli accessi- Facoltativamente, aggiungere tag di gestione degli accessi alle risorse per organizzare le relazioni di controllo degli accessi. L'unico formato supportato per le tag di gestione accessi è key:value. Per ulteriori informazioni, vedi Controllo dell'accesso alle risorse utilizzando le tag.
    • Regione- mostra la regione in cui si trova il VPC e in cui il gateway VPN eseguirà il provisioning.
    • Virtual Private Cloud- seleziona il VPC per il gateway VPN.
    • Sottorete- Selezionare la sottorete in cui creare il gateway VPN. Consultare Considerazioni sulla pianificazione per importanti informazioni sulla sottorete.
    • Modalità- Selezionare una VPN basata su criteri o su instradamento. Per ulteriori informazioni sui tipi di VPN, vedi Funzioni VPN.
  6. Nella sezione Connessione VPN per VPC, attiva lo switch per stabilire la connettività tra questo gateway e la rete esterna alla tua VPN. È possibile aggiungere una connessione VPN anche dopo il provisioning del gateway.

    • Nome della connessione VPN- Inserire un nome per la connessione, ad esempio my-connection.

    • Indirizzo gateway peer- Specifica il dispositivo peer tramite un indirizzo IP pubblico o FQDN del gateway VPN per la rete all'esterno del tuo VPC.

    • Stabilisci modalità- Selezionare Bidirezionale o Solo peer.

      • La modalità bidirezionale avvia le negoziazioni del protocollo IKE (o i processi di rekeying) da entrambi i lati del gateway VPN.
      • La modalità Solo peer consente al peer di avviare le negoziazioni del protocollo IKE per questa connessione gateway VPN. Il peer è anche responsabile dell'avvio del processo di rekeying dopo che è stato stabilito il collegamento.

      Se il tuo dispositivo peer è dietro un dispositivo NAT e non ha un indirizzo IP pubblico, assicurati di specificare Solo peer.

    • Chiave preshared- Specificare la chiave di autenticazione del gateway VPN per la rete esterna alla VPC. La chiave precondivisa è una stringa di cifre esadecimali o una passphrase di caratteri ASCII stampabili. Per essere compatibile con la maggior parte dei tipi di gateway peer, questa stringa deve seguire queste regole:

      • Può essere una combinazione di cifre, caratteri minuscoli o maiuscoli o i seguenti caratteri speciali: - + & ! @ # $ % ^ * ( ) . , :
      • La lunghezza della stringa deve essere compresa tra 6 e 128 caratteri.
      • Non può iniziare con 0x o 0s.
    • Distribuisci traffico (solo VPN basate su rotte)- Abilita la distribuzione del traffico tra le Up gallerie della connessione del gateway VPN quando l'hop successivo di una rotta VPC è la connessione VPN. Se questa casella di controllo non è selezionata, il gateway VPN utilizza il tunnel con l'IP pubblico piccolo come percorso di uscita primario e solo quando il percorso di uscita primario è disabilitato, il traffico passa attraverso il percorso secondario. Per ulteriori informazioni, vedere Caso d'uso 4: Distribuzione del traffico per una VPN basata su percorsi.

    • Sottoreti locali (solo VPN basate su criteri)- Specificare una o più sottoreti nella VPC che si desidera collegare attraverso il tunnel VPN.

    • Sottoreti peer (solo VPN basate su criteri)- Specificare una o più sottoreti dell'altra rete che si desidera collegare attraverso il tunnel VPN.

      La sovrapposizione dell'intervallo di sottoreti tra sottoreti locali e peer non è consentita.

  7. Nella sezione Rilevamento peer inattivo, configura il modo in cui il gateway VPN invia i messaggi per controllare che il gateway peer sia attivo. Specificare le informazioni seguenti:

    • Azione- L'azione di rilevamento peer inattivo da eseguire se un gateway peer smette di rispondere. Ad esempio, seleziona Restart se vuoi che il gateway rinegozi immediatamente la connessione.
    • Intervallo (sec)- Con quale frequenza controllare che il gateway peer sia attivo. Per impostazione predefinita, i messaggi vengono inviati ogni 2 secondi.
    • Timeout (sec)- Tempo di attesa per una risposta dal gateway peer. Per impostazione predefinita, un gateway del peer non è più considerato attivo se non viene ricevuta una risposta entro 10 secondi.
  8. Nella sezione Criteri, specificare le opzioni Internet Key Exchange (IKE) e Internet Protocol Security (IPsec) da utilizzare per la negoziazione della fase 1 e della fase 2 della connessione.

    • Selezionare Auto se si desidera che il gateway cerchi di stabilire automaticamente la connessione.
    • Selezionare o creare criteri personalizzati se è necessario applicare particolari requisiti di sicurezza o se il gateway VPN dell'altra rete non supporta le proposte di sicurezza tentate dalla negoziazione automatica.

    Le opzioni di sicurezza IKE e IPsec specificate per la connessione devono essere le stesse impostate sul gateway peer per la rete esterna alla VPC.

  9. Nella sezione Opzioni avanzate, è possibile personalizzare le identità IKE locali e peer invece di utilizzare l'identità IKE predefinita. È possibile specificare al massimo un'identità IKE peer.

    Per i gateway VPN basati su criteri, puoi configurare al massimo un'identità IKE locale. Per i gateway VPN basati sull'instradamento, se vuoi configurare un'identità IKE locale, devi fornirne due. È possibile fornire valori per i membri o lasciare vuoti i campi di immissione.

    • Identità IKE locali- Selezionare un tipo per l'identità IKE locale, quindi immetterne il valore. Ad esempio, è possibile inserire un singolo indirizzo IPv4 di 4 ottetti (9.168.3.4), un FQDN (my-vpn.example.com), un hostname (my-host), o un ID chiave base64-encoded (MTIzNA==).

      • La modalità di instradamento statico è composta da due membri in modalità attivo - attivo, dove la prima identità si applica al primo membro e la seconda identità si applica al secondo membro. Se non si specificano identità IKE locali, il tipo è un indirizzo IPv4 e il valore è l'indirizzo IP pubblico del tunnel di connessione VPN del membro.

      • La modalità politica è composta da due membri in modalità standby attivo. L'identità IKE locale si applica al membro attivo. Se non si specifica un valore, l'identità IKE locale è l'indirizzo IP pubblico del gateway VPN.

    • Identità IKE peer- Selezionare un tipo per l'identità IKE peer, quindi immetterne il valore. Ad esempio, è possibile inserire un indirizzo IPv4 (9.168.3.4), un FQDN (my-vpn.example.com), un hostname (my-host) o un ID chiave base64-encoded (MTIzNA==).

      L'identità IKE del peer si applica al membro attivo. Se non si specifica un valore, utilizzare l'indirizzo IPv4 o l'FQDN del gateway peer.

Creazione di un gateway VPN dalla CLI

Prima di iniziare, configura il tuo ambiente CLI.

Per creare un gateway VPN dalla CLI, immetti il seguente comando:

ibmcloud is vpn-gateway-create VPN_GATEWAY_NAME SUBNET
    [--mode policy | route]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

Dove:

VPN_GATEWAY_NAME
Il nome del gateway VPN.
SUBNET
L'ID della sottorete.
--mode
La modalità del gateway VPN. Uno tra: policy, route.
--resource-group-id
L'ID del gruppo di risorse. Questa opzione si esclude a vicenda con --resource-group-name.
--resource-group-name
Il nome del gruppo di risorse. Questa opzione si esclude a vicenda con --resource-group-id.
--output
Uscita in formato JSON.
-q, --quiet
Un'opzione che sopprime l'output dettagliato.

Esempi di comando

  • Crea un gateway VPN basato sull'instradamento con un ID sottorete specifico: ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route

  • Crea un gateway VPN basato sulla politica utilizzando il Gruppo di risorse predefinito: ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode policy --resource-group-name Default

  • Crea un gateway VPN basato sull'instradamento, utilizzando un ID gruppo di risorse specifico con output in formato JSON: ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON

Creazione di un gateway VPN con l'API

Per creare un gateway VPN basato sulla politica con l'API, attieniti alla seguente procedura:

  1. Configura il tuo ambiente API con le variabili corrette.

  2. Memorizzare eventuali variabili aggiuntive da utilizzare nei comandi API; ad esempio:

    • ResourceGroupId- Trova l'ID gruppo di risorse utilizzando il comando get resource groups e popola la variabile:
    export ResourceGroupId=<your_resourcegroup_id>
    
    • SubnetId- Trova l'ID sottorete utilizzando il comando get subnet e popola la variabile:
    export SubnetId=<your_subnet_id>
    
  3. Quando tutte le variabili vengono avviate, crea il gateway VPN:

       curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \
         -H "Authorization: $iam_token" \
         -d '{
            "name": "my-new-vpn-gateway",
            "mode": "policy",
            "subnet": {
             "id": "'$SubnetId'"
             },
            "resource_group": {
              "id": "'$ResourceGroupId'"
            }
          }'
    

Creazione di un gateway VPN con Terraform

Il seguente esempio crea un gateway VPN utilizzando Terraform:

   resource "ibm_is_vpn_gateway" "is_vpn_gateway" {
   name = "my-vpn-gateway"
   subnet = ibm_is_subnet.is_subnet.id
   mode = "route"
   }

Per ulteriori informazioni, vedi Registro Terraform.

Passi successivi

Dopo aver creato un gateway VPN, puoi: