Criação de um gateway de VPN no console

Para criar um gateway de VPN usando a interface do usuário:

1. No seu navegador, abra o console IBM Cloud e faça login na sua conta.

2. Selecione o de navegação Menu de navegação e clique no de infraestrutura > Rede > VPNs.

3. Assegure-se de selecionar as guias Gateways de site para site> Gateways VPN.

4. Na página VPNs para VPC, clique em Criar e, em seguida, selecione o bloco de gateway Site para site.

5. Especifique as informações a seguir:

   • Nome do gateway VPN - Insira um nome para o gateway VPN, como my-vpn-gateway.
   • Grupo de recursos - Selecione um grupo de recursos para o gateway VPN.
   • Tags - Opcionalmente, inclua tags para identificar este gateway de VPN.
   • Tags de gerenciamento de acesso-Opcionalmente, adiciona tags de gerenciamento de acesso a recursos para ajudar a organizar as relações de controle de acesso. O único formato suportado para as tags de gerenciamento de acesso é key:value. Para obter mais informações, consulte Controlando o acesso aos recursos usando tags.
   • Região- mostra a região em que a VPC está localizada e onde o gateway de VPN será provisionado.
   • Nuvem Privada Virtual - Selecione a VPC para o gateway VPN.
   • Sub-rede - Selecione a sub-rede na qual para criar o gateway VPN. Consulte Considerações de planejamento para obter informações importantes sobre a sub-rede.
   • Modo-Selecione uma VPN baseada em política ou baseada em rota Para obter mais informações sobre os tipos de VPN, consulte Recursos de VPN.

6. Na seção Conexão VPN para VPC, ative o comutador para estabelecer conectividade entre esse gateway e a rede fora de sua VPN. Você também pode adicionar uma conexão VPN depois de provisionar o gateway.

   • Nome de conexão da VPN - Insira um nome para a conexão, como my-connection.

   • Endereço do gateway de peer-Especifique o dispositivo de peer por meio de um endereço IP público ou FQDN do gateway de VPN para a rede fora de sua VPC

   • Modo Estabelecer-Selecione Bidirecional ou Somente Peer

     • O modo bidirecional inicia as negociações do protocolo IKE (ou processos de rechaveamento) de ambos os lados do gateway da VPN.
     • O modo Somente peer permite que o peer inicie negociações de protocolo IKE para essa conexão de gateway de VPN O peer também é responsável por iniciar o processo de rechaveamento após a conexão ser estabelecida..

     Se seu dispositivo peer estiver atrás de um dispositivo NAT e não tiver um endereço IP público, certifique-se de especificar Somente peer.

   • Chave pré-compartilhada - Especifique a chave de autenticação do gateway da VPN para a rede fora da VPC. A chave pré-compartilhada é uma sequência de dígitos hexadecimais ou uma passphrase de caracteres ASCII para impressão. Para ser compatível com a maioria dos tipos de gateway de peer, esta sequência deve seguir estas regras:

     • Pode ser uma combinação de dígitos, caracteres minúsculos ou maiúsculos, ou os seguintes caracteres especiais: - + & ! @ # $ % ^ * ( ) . , :
     • O comprimento da sequência deve ser de 6 a 128 caracteres.
     • Não pode iniciar com 0x ou 0s.

   • Distribuir tráfego (somente VPN baseada em rota)- habilite a distribuição do tráfego entre os Up túneis da conexão do gateway de VPN quando o próximo salto de uma rota VPC for a conexão VPN. Se essa caixa de seleção não estiver marcada, o gateway VPN usará o túnel com o IP público pequeno como o caminho de saída primário e, somente quando o caminho de saída primário estiver desativado, o tráfego passará pelo caminho secundário. Para obter mais informações, consulte Caso de uso 4: distribuição de tráfego para uma VPN baseada em rota.

   • Sub-redes locais (apenas VPN baseada em política) - Especifique uma ou mais sub-redes na VPC que você deseja conectar por meio do túnel VPN.

   • Sub-redes de peer (apenas VPN baseada em política) - Especifique uma ou mais sub-redes na outra rede que você deseja conectar por meio do túnel VPN.

     A sobreposição de intervalo de sub-rede entre sub-redes locais e de peer não é permitida.

7. Na seção Dead peer detection (Detecção de pares mortos ), configure como o gateway VPN envia mensagens para verificar se o gateway par está ativo. Especifique as informações a seguir:

   • Ação - A ação de detecção de peer inativo a ser tomada se um gateway de peer parar de responder. Por exemplo, selecione Reiniciar se você desejar que o gateway renegocie imediatamente a conexão.
   • Intervalo (segundos) - Com que frequência verificar se o gateway de peer está ativo. Por padrão, as mensagens são enviadas a cada 2 segundos.
   • Tempo limite (segundos) - Quanto tempo esperar por uma resposta do gateway de peer. Por padrão, um gateway de peer não será mais considerado ativo se uma resposta não for recebida dentro de 10 segundos.

8. Na seção Políticas, especifique as opções Troca de chave da Internet (IKE) e Internet Protocol Security (IPsec) a serem usadas para a Fase 1 e a Fase 2 da negociação de conexão.

   • Selecione Automático para que o gateway tente estabelecer automaticamente a conexão.
   • Selecione ou crie políticas personalizadas se precisar impor requisitos de segurança específicos ou se o gateway de VPN da outra rede não for compatível com as propostas de segurança que são tentadas pela negociação automática.

   As opções de segurança IKE e IPsec que você especificar para a conexão deverão ser as mesmas opções que são definidas no gateway de peer para a rede fora de seu VPC.

9. Na seção Opções avançadas, é possível customizar identidades IKE locais e de peer em vez de usar a identidade IKE padrão. Uma identidade IKE peer pode ser especificada no máximo.

   Para gateways VPN baseados em política, é possível configurar uma identidade IKE local no máximo. Para gateways VPN baseados em rota, se você deseja configurar uma identidade IKE local, deve-se fornecer dois. Você pode fornecer valores para os membros ou deixar os campos de entrada vazios.

   • Identidades de IKE locais-Selecione um tipo para a identidade de IKE local, em seguida, insira seu valor. Por exemplo, você pode inserir um único endereço IPv4 de 4 octetos (9.168.3.4), um FQDN (my-vpn.example.com), um nome de host (my-host) ou um ID de chave base64-encoded (MTIzNA==).

     • O modo de rota estática consiste em dois membros no modo ativo / ativo, em que a primeira identidade se aplica ao primeiro membro e a segunda identidade se aplica ao segundo membro. Se você não especificar identidades IKE locais, o tipo será um endereço IPv4 e o valor será o endereço IP público do túnel de conexão VPN do membro.

     • O modo de política consiste em dois membros no modo de espera ativa.. A identidade IKE local se aplica ao membro ativo. Se você não especificar um valor, a identidade IKE local será o endereço IP público do gateway da VPN.

   • Identidade de IKE de peer-Selecione um tipo para a identidade de IKE de peer e, em seguida, insira seu valor Por exemplo, você pode inserir um endereço IPv4 (9.168.3.4), um FQDN (my-vpn.example.com), um nome de host (my-host) ou um ID de chave base64-encoded (MTIzNA==).

     A identidade IKE do par se aplica ao membro ativo. Se você não especificar um valor, use o endereço IPv4 ou o FQDN do gateway de peer.

Criação de um gateway VPN a partir da CLI

Antes de iniciar, configure o seu ambiente da CLI.

Para criar um gateway de VPN na CLI, digite o seguinte comando:

ibmcloud is vpn-gateway-create VPN_GATEWAY_NAME SUBNET
    [--mode policy | route]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

Em que:

VPN_GATEWAY_NAME

O nome do gateway de VPN.

SUBNET

O ID da sub-rede.

--mode

O modo do gateway VPN. Um de: policy, route.

--resource-group-id

O ID do grupo de recursos. Essa opção é mutuamente exclusiva com --resource-group-name.

--resource-group-name

O nome do grupo de recursos. Essa opção é mutuamente exclusiva com --resource-group-id.

--output

Saída no formato JSON.

-q, --quiet

Uma opção que suprime a saída detalhada

Criação de um gateway de VPN com a API

Para criar um gateway de VPN baseado em políticas com a API, siga estas etapas:

1. Configure o seu Ambiente de API com as variáveis direitas.

2. Armazene quaisquer variáveis adicionais a serem usadas nos comandos da API, por exemplo:

   • ResourceGroupId - Localize o ID do grupo de recursos usando o comando get resource groups e, em seguida, preencha a variável:

   export ResourceGroupId=<your_resourcegroup_id>
   

   • SubnetId - Encontre o ID de sub-rede usando o comando get subnet e, em seguida, preencha a variável:

   export SubnetId=<your_subnet_id>
   

3. Quando todas as variáveis forem iniciadas, crie o gateway VPN:

      curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \
        -H "Authorization: $iam_token" \
        -d '{
           "name": "my-new-vpn-gateway",
           "mode": "policy",
           "subnet": {
            "id": "'$SubnetId'"
            },
           "resource_group": {
             "id": "'$ResourceGroupId'"
           }
         }'
   

Como criar um gateway VPN com Terraform

O exemplo a seguir cria um gateway VPN usando o Terraform:

   resource "ibm_is_vpn_gateway" "is_vpn_gateway" {
   name = "my-vpn-gateway"
   subnet = ibm_is_subnet.is_subnet.id
   mode = "route"
   }

Para obter mais informações, consulte o registro do Terraform.