IBM Cloud Docs
Atualização para um servidor VPN HA

Atualização para um servidor VPN HA

É possível mudar os tipos de servidor VPN depois de criar um servidor VPN. Por exemplo, é possível fazer upgrade de um servidor VPN independente (implementação piloto) para um servidor High Availability (HA) VPN (implementação de produção). Também é possível desanexar uma sub-rede para fazer downgrade de um servidor HA VPN para uma implementação independente, ou mudar uma sub-rede VPN após o seu servidor VPN ser provisionado.

Atualização para um servidor VPN HA no console

Para mudar o tipo de servidor VPN, siga estas etapas:

  1. No seu navegador, abra o console IBM Cloud e faça login na sua conta.

  2. Selecione o ícone Menu de navegação Menu e clique em Infraestrutura > Rede > VPNs.

  3. Na página VPNs para VPC, clique na guia Servidores de cliente para site. Em seguida, clique no nome do servidor VPN que você deseja modificar.

  4. Na seção Subnets, execute uma das ações:

    • Para fazer upgrade para um servidor HA VPN, clique em Incluir + para incluir uma segunda sub-rede em uma zona diferente.
    • Para mudar para um servidor VPN autônomo, clique no ícone Remover para remover uma das duas sub-redes existentes.
    • Para usar uma sub-rede diferente, clique no ícone Editar da sub-rede Ícone de edição.

    Consulte o seguinte exemplo:

    seção Subnets
    Seção de sub-redes

  5. Revise o resumo de custo, em seguida, clique em Salvar para salvar suas mudanças.

Atualização para um servidor VPN HA a partir da CLI

Antes de iniciar, configure o seu ambiente da CLI.

Para fazer upgrade para um servidor VPN HA na CLI, digite o seguinte comando:

ibmcloud is vpn-server-update VPN_SERVER_ID [--vpc VPC] [--subnet SUBNET]
[--client-ip-pool CLIENT_IP_POOL] [--cert CERT]
[--client-auth-methods certificate | username | certificate,username | username,certificate]
[--client-ca CLIENT_CA] [--client-crl CLIENT_CRL] [--client-dns CLIENT_DNS]
[--client-idle-timeout CLIENT_IDLE_TIMEOUT] [--enable-split-tunnel false | true]
[--port PORT] [--protocol udp | tcp] [--name NEW_NAME] [--output JSON] [-q, --quiet]

Em que:

  • VPN_SERVER_ID - ID ou nome do servidor VPN.
  • --vpc - ID ou nome da VPC. Esta opção é necessária somente para especificar o recurso exclusivo por nome dentro dessa VPC.
  • --subnet - IDs separados por vírgula ou nomes das sub-redes para provisionar esse servidor VPN. Use duas sub-redes em zonas diferentes para alta disponibilidade. É possível configurar, no máximo, duas sub-redes.
  • --client-ip-pool - O conjunto de endereços IPv4 do cliente VPN, expresso em formato CIDR. A solicitação não deve sobrepor-se a prefixos de endereço existentes na VPC ou qualquer um dos intervalos de endereço reservados: 127.0.0.0/8 (endereços de loopback IPv4), 161.26.0.0/16 (serviços IBM), 166.8.0.0/14 (Terminais de serviço de nuvem), 169.254.0.0/16 (endereços link-locais IPv4), 224.0.0.0/4 (endereços multicast IPv4). O comprimento de prefixo do CIDR do conjunto de endereços IP do cliente deve ser entre /9 (8.388.608 endereços) e /22 (1.024 endereços). Recomenda-se um bloco de CIDR que contenha o dobro do número necessário de endereços IP para permitir o estabelecimento do número máximo de conexões simultâneas.
  • --cert - O CRN da instância de certificado para esse servidor VPN.
  • --client-auth-methods - Métodos de autenticação de cliente separados por vírgula. Um dos:
    • certificate
    • username
    • certificate,username
    • username,certificate
  • --client-ca - O CRN da instância de certificado a ser usada para a autoridade de certificação (CA) do cliente VPN.
  • --client-crl - CRL | @CRL-file. O conteúdo da lista de revogação de certificado, codificado em formato PEM.
    • -client-dns- Lista separada por vírgula de endereços de servidor DNS fornecidos aos clientes VPN conectados a esse servidor VPN. No máximo, dois servidores DNS podem ser configurados.
  • --client-idle-timeout - Os segundos que um cliente VPN pode ficar inativo antes que esse servidor VPN desconecte-o. Especifique 0 para evitar que o servidor desconecte clientes inativos.
  • --enable-split-tunnel - indica se o tunelamento dividido está ativado nesse servidor VPN. Um de: false, true (padrão: false).
  • --port - O número da porta a usado para esse servidor VPN.
  • --protocol - O protocolo de transporte a ser usado para esse servidor VPN. Um destes: udp, tcp.
  • --name - O novo nome do servidor VPN.
  • --output - Especifique o formato de saída, somente JSON é suportado. Um dos seguintes: JSON.
  • -q, --quiet - Suprimir saída detalhada.

Exemplos de comando

  • Atualize um servidor VPN independente para um servidor HA VPN incluindo uma segunda sub-rede de uma zona diferente:

    ibmcloud is vpn-server-update r006-aa88726e-8b34-4f97-992d-027df9c4bb36 --subnet 0716-6ec3e875-abfa-40f4-a7c5-7473f4b2a2e1,0717-61b2f53f-1e95-42a7-94ab-55de8f8cbdd5

    Separe os dois IDs ou nomes de sub-rede com uma vírgula.

  • Mude a sub-rede de um servidor VPN ou faça downgrade de duas sub-redes (servidor HA VPN) para um sub-rede (servidor VPN independente). A sub-rede especificada (por exemplo, 0716-6ec3e875-abfa-40f4-a7c5-7473f4b2a2e1) substitui as sub-redes existentes.

    ibmcloud is vpn-server-update r006-aa88726e-8b34-4f97-992d-027df9c4bb36 --subnet 0716-6ec3e875-abfa-40f4-a7c5-7473f4b2a2e1

Atualização para um servidor VPN HA com a API

Para fazer upgrade para um servidor VPN HA com a API, siga estas etapas:

  1. Configure seu Ambiente de API com as variáveis corretas.

  2. Localize o servidor VPN do qual você deseja fazer upgrade:

    Adicione | json_pp ou | jq após o comando curl para obter uma string JSON legível. jq é uma ferramenta de terceiros licenciada sob a licença MIT. jq pode não vir pré-instalado em todas as imagens de VPC disponíveis quando você cria uma instância. O comando json_pp é um pré-processador JSON que normalmente é instalado por padrão na maioria das distribuições do Linux.

    curl -X GET "$vpc_api_endpoint/v1/vpn_servers?version=$api_version&generation=2" \
         -H "Authorization:$iam_token"
    

    Salve o ID do servidor VPN em uma variável para que seja possível usá-lo mais tarde, por exemplo:

    VpnServer="r006-cb67562d-626c-488d-8c56-35879e238274"
    
  3. Localize as sub-redes que você deseja anexar ao servidor VPN:

    curl -X GET "$vpc_api_endpoint/v1/subnets?version=$api_version&generation=2" \
       -H "Authorization:$iam_token"
    

    Salve o ID das sub-redes em uma variável para que seja possível usá-lo mais tarde, por exemplo:

    SubnetId1="0716-08b770a6-e5e8-4e59-ad0c-9f517914f5a6"
    SubnetId2="0717-aa067949-e947-435f-bdcd-1ec84815513d"
    

    O SubnetId1 e o SubnetId2 devem estar na mesma VPC que o servidor VPN, mas em zonas diferentes.

  4. Obtenha a tag de entidade do servidor VPN:

    curl -X GET -i "$vpc_api_endpoint/v1/vpn_servers/$VpnServer?version=$api_version&generation=2" \
         -H "Authorization:$iam_token"
    

    Salve a tag de entidade do servidor VPN (incluída no cabeçalho de resposta) em uma variável para poder usá-la mais tarde, por exemplo:

    ETag="0366003158c0be829d0727e80325406145eaa682955c1703642eaab2c655d609"
    
  5. Quando todas as variáveis forem iniciadas, faça upgrade do servidor VPN para HA incluindo uma segunda sub-rede:

       curl -X PATCH "$vpc_api_endpoint/v1/vpn_servers/$VpnServer?version=$api_version&generation=2" \
         -H "Authorization: $iam_token" \
         -H "If-Match: $ETag" \
         -d '{
            "subnets": [
               {
                "id": "'$SubnetId1'"
                },
                {
                "id": "'$SubnetId2'"
                }
                ]
          }'