Atualização para um servidor VPN HA
É possível mudar os tipos de servidor VPN depois de criar um servidor VPN. Por exemplo, é possível fazer upgrade de um servidor VPN independente (implementação piloto) para um servidor High Availability (HA) VPN (implementação de produção). Também é possível desanexar uma sub-rede para fazer downgrade de um servidor HA VPN para uma implementação independente, ou mudar uma sub-rede VPN após o seu servidor VPN ser provisionado.
Atualização para um servidor VPN HA no console
Para mudar o tipo de servidor VPN, siga estas etapas:
-
No seu navegador, abra o console IBM Cloud e faça login na sua conta.
-
Selecione o
Menu de navegação Menu e clique em Infraestrutura > Rede > VPNs.
-
Na página VPNs para VPC, clique na guia Servidores de cliente para site. Em seguida, clique no nome do servidor VPN que você deseja modificar.
-
Na seção Subnets, execute uma das ações:
- Para fazer upgrade para um servidor HA VPN, clique em Incluir + para incluir uma segunda sub-rede em uma zona diferente.
- Para mudar para um servidor VPN autônomo, clique no ícone
para remover uma das duas sub-redes existentes.
- Para usar uma sub-rede diferente, clique no ícone Editar da sub-rede
.
Consulte o seguinte exemplo:
Seção de sub-redes -
Revise o resumo de custo, em seguida, clique em Salvar para salvar suas mudanças.
Atualização para um servidor VPN HA a partir da CLI
Antes de iniciar, configure o seu ambiente da CLI.
Para fazer upgrade para um servidor VPN HA na CLI, digite o seguinte comando:
ibmcloud is vpn-server-update VPN_SERVER_ID [--vpc VPC] [--subnet SUBNET]
[--client-ip-pool CLIENT_IP_POOL] [--cert CERT]
[--client-auth-methods certificate | username | certificate,username | username,certificate]
[--client-ca CLIENT_CA] [--client-crl CLIENT_CRL] [--client-dns CLIENT_DNS]
[--client-idle-timeout CLIENT_IDLE_TIMEOUT] [--enable-split-tunnel false | true]
[--port PORT] [--protocol udp | tcp] [--name NEW_NAME] [--output JSON] [-q, --quiet]
Em que:
- VPN_SERVER_ID - ID ou nome do servidor VPN.
- --vpc - ID ou nome da VPC. Esta opção é necessária somente para especificar o recurso exclusivo por nome dentro dessa VPC.
- --subnet - IDs separados por vírgula ou nomes das sub-redes para provisionar esse servidor VPN. Use duas sub-redes em zonas diferentes para alta disponibilidade. É possível configurar, no máximo, duas sub-redes.
- --client-ip-pool - O conjunto de endereços IPv4 do cliente VPN, expresso em formato CIDR. A solicitação não deve sobrepor-se a prefixos de endereço existentes na VPC ou qualquer um dos intervalos de endereço reservados:
127.0.0.0/8
(endereços de loopback IPv4),161.26.0.0/16
(serviços IBM),166.8.0.0/14
(Terminais de serviço de nuvem),169.254.0.0/16
(endereços link-locais IPv4),224.0.0.0/4
(endereços multicast IPv4). O comprimento de prefixo do CIDR do conjunto de endereços IP do cliente deve ser entre/9
(8.388.608 endereços) e/22
(1.024 endereços). Recomenda-se um bloco de CIDR que contenha o dobro do número necessário de endereços IP para permitir o estabelecimento do número máximo de conexões simultâneas. - --cert - O CRN da instância de certificado para esse servidor VPN.
- --client-auth-methods - Métodos de autenticação de cliente separados por vírgula. Um dos:
certificate
username
certificate,username
username,certificate
- --client-ca - O CRN da instância de certificado a ser usada para a autoridade de certificação (CA) do cliente VPN.
- --client-crl - CRL | @CRL-file. O conteúdo da lista de revogação de certificado, codificado em formato PEM.
-
- -client-dns- Lista separada por vírgula de endereços de servidor DNS fornecidos aos clientes VPN conectados a esse servidor VPN. No máximo, dois servidores DNS podem ser configurados.
- --client-idle-timeout - Os segundos que um cliente VPN pode ficar inativo antes que esse servidor VPN desconecte-o. Especifique 0 para evitar que o servidor desconecte clientes inativos.
- --enable-split-tunnel - indica se o tunelamento dividido está ativado nesse servidor VPN. Um de: false, true (padrão: false).
- --port - O número da porta a usado para esse servidor VPN.
- --protocol - O protocolo de transporte a ser usado para esse servidor VPN. Um destes: udp, tcp.
- --name - O novo nome do servidor VPN.
- --output - Especifique o formato de saída, somente JSON é suportado. Um dos seguintes: JSON.
- -q, --quiet - Suprimir saída detalhada.
Exemplos de comando
-
Atualize um servidor VPN independente para um servidor HA VPN incluindo uma segunda sub-rede de uma zona diferente:
ibmcloud is vpn-server-update r006-aa88726e-8b34-4f97-992d-027df9c4bb36 --subnet 0716-6ec3e875-abfa-40f4-a7c5-7473f4b2a2e1,0717-61b2f53f-1e95-42a7-94ab-55de8f8cbdd5
Separe os dois IDs ou nomes de sub-rede com uma vírgula.
-
Mude a sub-rede de um servidor VPN ou faça downgrade de duas sub-redes (servidor HA VPN) para um sub-rede (servidor VPN independente). A sub-rede especificada (por exemplo,
0716-6ec3e875-abfa-40f4-a7c5-7473f4b2a2e1
) substitui as sub-redes existentes.ibmcloud is vpn-server-update r006-aa88726e-8b34-4f97-992d-027df9c4bb36 --subnet 0716-6ec3e875-abfa-40f4-a7c5-7473f4b2a2e1
Atualização para um servidor VPN HA com a API
Para fazer upgrade para um servidor VPN HA com a API, siga estas etapas:
-
Configure seu Ambiente de API com as variáveis corretas.
-
Localize o servidor VPN do qual você deseja fazer upgrade:
Adicione
| json_pp
ou| jq
após o comando curl para obter uma string JSON legível.jq
é uma ferramenta de terceiros licenciada sob a licença MIT.jq
pode não vir pré-instalado em todas as imagens de VPC disponíveis quando você cria uma instância. O comandojson_pp
é um pré-processador JSON que normalmente é instalado por padrão na maioria das distribuições do Linux.curl -X GET "$vpc_api_endpoint/v1/vpn_servers?version=$api_version&generation=2" \ -H "Authorization:$iam_token"
Salve o ID do servidor VPN em uma variável para que seja possível usá-lo mais tarde, por exemplo:
VpnServer="r006-cb67562d-626c-488d-8c56-35879e238274"
-
Localize as sub-redes que você deseja anexar ao servidor VPN:
curl -X GET "$vpc_api_endpoint/v1/subnets?version=$api_version&generation=2" \ -H "Authorization:$iam_token"
Salve o ID das sub-redes em uma variável para que seja possível usá-lo mais tarde, por exemplo:
SubnetId1="0716-08b770a6-e5e8-4e59-ad0c-9f517914f5a6" SubnetId2="0717-aa067949-e947-435f-bdcd-1ec84815513d"
O
SubnetId1
e oSubnetId2
devem estar na mesma VPC que o servidor VPN, mas em zonas diferentes. -
Obtenha a tag de entidade do servidor VPN:
curl -X GET -i "$vpc_api_endpoint/v1/vpn_servers/$VpnServer?version=$api_version&generation=2" \ -H "Authorization:$iam_token"
Salve a tag de entidade do servidor VPN (incluída no cabeçalho de resposta) em uma variável para poder usá-la mais tarde, por exemplo:
ETag="0366003158c0be829d0727e80325406145eaa682955c1703642eaab2c655d609"
-
Quando todas as variáveis forem iniciadas, faça upgrade do servidor VPN para HA incluindo uma segunda sub-rede:
curl -X PATCH "$vpc_api_endpoint/v1/vpn_servers/$VpnServer?version=$api_version&generation=2" \ -H "Authorization: $iam_token" \ -H "If-Match: $ETag" \ -d '{ "subnets": [ { "id": "'$SubnetId1'" }, { "id": "'$SubnetId2'" } ] }'