使用 IBM Cloud 控制台创建 VPC 资源
您可以使用 IBM Cloud® Virtual Private Cloud 控制台来创建和配置 IBM Cloud (VPC)。
目标
要创建和配置 VPC 及其他附加资源,请按以下顺序执行以下各节中的步骤:
- 创建 VPC 和子网以定义网络。 创建子网时,如果要允许子网中的所有资源与公用因特网进行通信,请连接公共网关。
- 要限制子网的入站和出站流量,可以配置访问控制表 (ACL)。 缺省情况下,将允许所有流量。
- 创建虚拟服务器实例。 默认情况下,实例会附加一个启动卷。 对于大多数虚拟服务器实例,缺省引导卷大小为 100 GB。 z/OS 虚拟服务器实例的缺省引导卷大小为 250 GB。
- 如果需要更多存储空间,请创建块存储卷,然后将其连接到实例。
- 要定义实例允许的入站和出站流量,请配置其安全组。
- 如果希望实例可从因特网进行访问,请保留并关联浮动 IP 地址。
- 要在多个实例上分发请求,请创建负载均衡器。
- 要使 VPC 能够安全地连接到其他专用网络 (例如,本地网络或其他 VPC),请创建虚拟专用网 (VPN)。
在配置页面输入数据后,可以单击获取示例 API 调用,查看与设置相对应的 API 请求序列。 查看 API 调用是了解 API 并了解操作及其依赖项的好方法。
受众
本教程面向首次创建 VPC 环境和部署实例的软件开发人员和系统管理员。
准备工作
设置帐户以访问 VPC。 确保您的账户已 升级为付费账户。
您可以使用现有 SSH 密钥,上载新的 SSH 密钥,也可以在创建虚拟服务器实例时创建 SSH 密钥。 对于本教程,您可以在创建虚拟服务器时选择现有密钥或创建新密钥。 有关在 IBM Cloud VPC中上载 SSH 密钥或创建 SSH 密钥的更多信息,请参阅 SSH 密钥入门。
如果计划创建 应用程序负载平衡器 并将 HTTP 用于监听器,则需要 SSL 证书。 您可以使用 IBM Secrets Manager 来管理证书。
您可以通过 IAM 授权创建授权。 确保选择 VPC 基础架构服务作为源服务,然后选择 特定资源。 单击 选择属性,然后从列表中选择 资源类型。 选择 Load Balancer for VPC 作为资源类型,然后单击 Next。 对于目标服务,选择 Secrets Manager。 将目标服务实例访问权限设置为所有实例或特定 IBM Cloud Secrets Manager 实例。 分配 Writer 服务访问角色。 有关详细信息,请参阅 在服务之间授予访问权限。
为完成任何可选步骤留出更多时间。
创建 VPC 和子网
要创建 VPC 和子网,请执行以下步骤:
-
打开 IBM Cloud 控制台。
-
单击导航菜单
> 基础设施
> 网络 > VPC,然后单击创建。
-
为 VPC 输入名称,例如
my-vpc
。 -
为 VPC 选择资源组。 使用资源组来组织帐户资源,以进行访问控制和计费。 有关更多信息,请参阅在资源组中组织资源的最佳实践。
-
可选: 输入标签,帮助您组织和查找资源。 以后可以添加更多标记。 有关更多信息,请参阅使用标记。
-
创建 VPC 进程将分配缺省 ACL。 在本教程的稍后部分中,您可以配置 ACL 的规则。
-
选择缺省安全组是否允许入站 SSH 和 ping 流量流至此 VPC 中的虚拟服务器实例。 默认情况下,未选择默认安全组的允许 SSH 和允许 ping 选项。 我们稍后可以为默认安全组配置更多规则。
-
可选: 选择是否要启用 VPC 以访问经典基础架构资源。 有关更多信息,请参阅 设置对经典基础架构的访问权。
仅当创建 VPC 时,才能启用 VPC 以进行经典访问。 此外,任何时候您的帐户中只能有一个经典访问 VPC。
-
可选: 如果您不想将缺省地址前缀分配给 VPC 中的每个区域,请清除 缺省地址前缀 选项。 创建 VPC 后,可以进入其详细信息页面,设置自己的地址前缀。
-
缺省情况下,创建 VPC 进程定义三个子网。 如果需要编辑子网定义的属性,请单击要编辑的子网的 Edit 图标
。 您还可以通过单击减号图标来除去预定义的子网。 如果需要添加子网,请完成以下步骤。
-
单击添加子网,为 VPC 中的新子网输入名称,如
my-subnet
。 -
为子网选择位置。 位置由区域和专区组成。 选择的区域将用作 VPC 的区域。 在此 VPC 中创建的所有额外资源都将在所选区域中创建。
-
为子网选择资源组。
-
以 CIDR 表示法输入子网的 IP 范围,例如:
10.240.0.0/24
。 在大多数情况下,可以使用缺省 IP 范围。 如果要指定定制 IP 范围,那么可以使用 IP 范围计算器来选择其他地址前缀或更改地址数。子网在创建后无法调整大小。
-
如果要允许所有连接的资源与公用因特网进行通信,请将公共网关连接到子网。 您还可以在创建子网后连接公共网关。
-
单击创建虚拟私有云。
配置 ACL
可以配置 ACL 以将入站和出站流量限制为流至子网。 缺省情况下,将允许所有流量。
每个子网只能连接到一个 ACL。 但是,每个 ACL 可以连接到多个子网。
要配置 ACL,请按照以下步骤操作:
-
在导航窗格中,单击网络 > 子网。
-
单击已创建的子网。
-
在子网详细信息区域中,单击 ACL 的名称。
-
单击添加规则以配置入站和出站规则,这些规则定义允许进出子网的流量。 对于每个规则,请指定以下信息:
- 选择是允许还是拒绝指定的流量。
- 选择应用规则的协议。
- 对于规则的源和目标,请指定应用规则的 IP 范围和端口。 例如,如果希望允许所有入站流量到达子网中的 IP 范围
192.168.0.0/24
,请将 任何 指定为源,将192.168.0.0/24
指定为目标。 但是,如果要仅允许从169.168.0.0/24
到整个子网的入站流量,请将169.168.0.0/24
指定为源,并将 任何 指定为规则的目标。 - 指定规则的优先级。 先评估数字较小的规则,然后覆盖数字较大的规则。 例如,如果优先级为 2 的规则允许 HTTP 流量,而优先级为 5 的规则拒绝所有流量,那么仍会允许 HTTP 流量。
请参阅 配置规则 以获取示例。
-
完成规则创建后,单击页面开头的“访问控制列表”面包屑。
有关更多信息,请参阅 关于访问控制表。
创建虚拟服务器实例
要在新创建的子网中创建虚拟服务器实例,请使用以下步骤:
-
在导航窗格中单击计算 > 虚拟服务器实例,然后单击创建。
-
对于 位置,选择要在其中创建实例的地理位置,区域和区域。
-
为实例输入名称,例如
my-instance
。 -
为实例选择资源组。
-
可选: 输入标签,帮助您组织和查找资源。 以后可以添加更多标记。 有关更多信息,请参阅使用标记。
-
单击 更改映像 以选择映像 (即操作系统和版本),例如 Debian GNU/Linux,ibm-debian-11-7-minimal-amd64-2。 在“选择映像”页面上,可以选择库存映像,定制映像,目录映像,快照或现有卷。 如果供应实例的地理位置支持该实例,那么您可以选择虚拟服务器的体系结构 ( x86 或 s390x)。
仅适用于 z/OS Wazi aaS 定制映像: 如果使用使用 Wazi Image Builder创建的定制映像,请针对操作系统选择 定制映像,缺省情况下该映像称为
wazi-custom-image
。 -
要设置实例大小,请单击 更改概要文件 以选择包含最适合工作负载的核心,RAM 和网络性能组合的概要文件。 有关更多信息,请参阅 x86-64 实例概要文件 和 s390x 实例概要文件。
仅适用于 z/OS 虚拟服务器实例: z/OS 虚拟服务器实例需要最小概要文件 2 vCPUs x 16 GB RAM (2x16)。 为 RAM 小于 8 GB 的任何 z/OS 库存映像选择概要文件时,可能会迂到
IAR057D
消息。 有关更多信息,请参阅 IAR057D。 -
选择用于访问虚拟服务器实例的现有 SSH 密钥或创建 SSH 密钥。 要创建 SSH 密钥,请单击 创建 SSH 密钥 并命名该密钥。 选择 为我生成密钥对,单击 保存专用密钥,然后单击 保存公用密钥。 此操作完成后,单击 创建。
-
记下引导卷。 已为卷启用_自动删除_功能;如果删除实例,启动卷将自动删除。
-
在 数据卷 区域中,单击 创建 以将 Block Storage 卷附加到实例 (如果需要更多存储器)。 在本教程中,您将创建 Block Storage 卷,然后将其附加到实例。
仅适用于 z/OS Wazi aaS 定制映像: 使用 z/OS Wazi aaS 定制映像创建 z/OS 虚拟服务器实例时,需要通过选择
Import from Snapshot
来添加数据卷。 缺省情况下,快照称为wazi-custom-image-data
。 -
对于 联网 部分中的虚拟私有云,选择您创建的 VPC。
-
在网络接口区域中,可以编辑网络接口,并更改其名称。 如果所选专区和 VPC 中有多个子网,那么可以将其他子网连接到接口。 如果希望实例存在于多个子网中,那么可以创建更多接口。
每个接口的最大网络带宽为 16 Gbps。 如果为此实例选择的概要文件具有大于 16 Gbps 的最大网络带宽,那么您可能想要创建更多接口以优化网络性能。 有关更多信息,请参阅 管理网络接口。
您还可以选择要连接到每个接口的安全组。 缺省情况下,会连接 VPC 的缺省安全组。 缺省安全组允许入站 SSH 和 ping 流量、所有出站流量以及组中实例之间的所有流量。 其他所有流量都会被阻塞;可以配置规则以允许更多流量。 如果您稍后编辑了缺省安全组的规则,那么这些更新的规则将应用于组中的所有当前和未来实例。
-
可选: 在“高级选项”部分中,可以输入 用户数据 以在实例启动时运行常见配置任务。 例如,可为 Linux 映像指定 cloud-init 伪指令或 shell 脚本。 有关更多信息,请参阅用户数据。
-
元数据设置默认为禁用。 启用元数据服务后,实例将收集实例配置信息和用户数据。 有关更多信息,请参阅 关于 VPC 的实例元数据。 IBM Cloud® Hyper Protect Virtual Server for IBM Cloud® Virtual Private Cloud 实例和 z/OS 虚拟服务器实例不支持元数据。
-
缺省情况下,添加到专用主机 设置处于禁用状态。 有关专用主机的更多信息,请参阅 创建专用主机和组。
-
缺省情况下,添加到布置组 设置处于禁用状态。 有关更多信息,请参阅 关于布置组。
-
缺省情况下,已启用 主机故障自动重新启动 设置。 要禁用主机故障自动重新启动,请单击切换开关。 有关更多信息,请参阅 主机故障恢复策略。
-
单击创建虚拟服务器实例。 实例的状态从开始的“待处理”变为“已停止”,再变为“正在运行”。 您可能需要刷新页面来查看状态的更改。
创建并连接块存储卷
如果需要更多存储空间,可以创建块存储卷并将其连接到虚拟服务器实例。
要创建并连接 Block Storage 卷,请执行以下步骤:
- 在导航窗格中,单击存储 > 块存储卷。
- 单击新建卷,并指定以下信息。
- 名称:为块存储卷输入名称,例如
data-volume-1
。 - 资源组:为块存储卷选择资源组。 可以使用资源组来组织帐户资源,以进行访问控制和计费。 有关更多信息,请参阅在资源组中组织资源的最佳实践。
- 标签 可选: 输入标签以帮助您组织和查找资源。 以后可以添加更多标记。 有关更多信息,请参阅使用标记。
- 位置:为块存储卷选择位置。 位置由区域和专区组成,例如美国南部 1。
- 大小:指定 10 GB 到 2000 GB 之间的卷大小。
- IOPS:选择其中一个 IOPS 层,或者单击“定制”以根据卷大小输入 IOPS 值。
- 加密: 接受缺省 提供者管理的 加密选项。
- 名称:为块存储卷输入名称,例如
- 单击创建块存储卷。
- 在块存储卷列表中,找到已创建的卷。 当状态为“可用”时,单击 "...",然后选择 连接到实例。
- 选择要将卷连接到的实例,然后单击连接。
- 仅适用于 z/OS 虚拟服务器实例: 要验证新连接的 Block Storage 卷及其分配的地址,您可以通过向您发送的带有受影响设备地址的广播消息来查找 z/OS 虚拟服务器实例控制台上的信息。
为实例配置安全组
可以配置安全组,以定义针对实例允许的入站和出站流量。 例如,在根据公司的安全策略为子网配置 ACL 规则之后,根据其工作负载,您可以进一步限制特定实例的流量。
要配置安全组,请按照以下步骤操作:
-
在导航窗格中,单击计算 > 虚拟服务器实例。
-
单击实例以查看其详细信息。
-
在网络接口部分,单击安全组名称。
-
在“安全组详细信息”页面的 规则 选项卡上,单击 创建 以配置入站和出站规则,这些规则定义允许进出实例的流量类型。 对于每个规则,请指定以下信息:
- 选择将应用规则的协议和端口。
- 指定用于所允许流量的 CIDR 块或 IP 地址。 或者,可以在同一 VPC 中指定安全组,以允许连接到所选安全组的所有实例的进出流量。
提示:
- 系统将对所有规则求值,而不考虑这些规则的添加顺序。
- 规则是有状态的,这意味着会自动允许响应所允许流量的返回流量。 例如,创建了规则以允许端口 80 上的入站 TCP 流量。 该规则还会允许将端口 80 上的出站 TCP 流量返回给发起主机,而无需额外的规则。
- 对于 Windows 映像,请确保与实例关联的安全组允许入站和出站远程桌面协议流量 (TCP 端口 3389)。
- 如果 z/OS 虚拟服务器实例是使用 z/OS 开发和测试库存映像创建的,那么在向 z/OS 虚拟服务器实例的安全组添加其他端口时,可以引用 保留配置 表。
-
可选: 要查看连接到安全组的接口,请单击 连接的资源 选项卡并查看“连接的接口”部分。
-
完成规则创建后,单击页面开头的安全组面包屑。
有关安全组的更多信息,请参阅 关于安全组。
预留浮动 IP 地址(可选)
如果希望实例可从因特网进行访问,请保留并关联浮动 IP 地址。
实例必须正在运行,然后才能关联浮动 IP 地址。 实例启动并运行可能需要几分钟时间。
要预留和关联浮动 IP 地址,请按以下步骤操作:
- 在导航窗格中,单击计算 > 虚拟服务器实例。
- 单击实例以查看其详细信息。
- 在网络接口部分中,对于要与浮动 IP 地址关联的接口,单击保留。
稍后可以将此浮动 IP 地址重新分配给同一区域中的另一个实例。 要重新分配此浮动 IP 地址,可以在“网络> 浮动 IP”页面上找到浮动 IP 地址,单击其溢出菜单 (...),然后单击 取消关联。 接着,单击关联,以选择要与该浮动 IP 地址关联的实例和网络接口。
创建公共网关(可选)
如果希望可从因特网访问多个实例,请创建公共网关并连接虚拟服务器实例。
创建公共网关
- 转至 IBM Cloud 控制台 并登录到您的帐户。
- 选择导航菜单
,然后单击基础架构
> 网络 > 公共网关。 此时将显示 VPC 仪表板的公共网关。
- 单击 创建 以转至 创建公共网关 菜单。
公共网关仅提供虚拟服务器实例出站连接,而浮动 IP 地址提供虚拟服务器实例出站和入站连接。 浮动 IP 地址向入站活动公开因特网上的服务。
有关如何创建公共网关的更多信息,请参阅 创建公共网关。
连接到实例
使用创建的浮动 IP 地址 ping 实例,确保其正常运行:
ping <public-ip-address>
连接到 Linux 映像
因为你使用 SSH 公钥创建了实例,所以现在可以使用私钥直接连接到实例:
ssh -i <path-to-private-key-file> root@<public-ip-address>
缺省情况下,在 Fedora Core 操作系统中已禁用用户登录 "root"。 用户登录 "core" 可用于登录到 Fedora Core 操作系统实例。
有关连接到实例的更多信息,请参阅 连接到 Linux 实例。
要连接到 Windows 映像,请使用其解密密码进行登录。 有关更多信息,请参阅连接到 Windows 实例。
要连接到 z/OS 虚拟服务器实例,请参阅 连接到 z/OS 虚拟服务器实例。
现在,您可以通过连接到 VNC 或串行控制台来访问 IBM Cloud® 虚拟服务器实例,这是在不使用安全 Shell 的情况下与实例进行交互的快捷方式。 但是,不支持在 IBM Cloud UI 上使用 VNC 控制台访问 z/OS 虚拟服务器实例。 有关此功能的更多信息,请参阅 使用 VNC 或串行控制台访问虚拟服务器实例。
监视实例
您可以监视实例随时间变化的 CPU、卷、内存和网络使用情况。 度量值会在系统中保留两周。
要监视实例,请执行以下步骤:
- 单击导航窗格中的虚拟服务器实例。
- 单击实例的名称。
- 单击导航窗格中的监视。
由于监控数据存储在 IBM Cloud Monitoring 中,因此必须对账户中的 IBM Cloud Monitoring 实例进行身份验证。 有关详细信息,请参阅 IBM Cloud Monitoring。
创建负载平衡器(可选)
您可以创建两种不同类型的 IBM Cloud 负载均衡器: 应用程序负载均衡器和网络负载均衡器。 有关创建 IBM Cloud 负载均衡器的更多信息,请参阅 负载均衡器概述。
创建 VPN 网关 (可选)
可以创建虚拟专用网 (VPN),以便 VPC 可以安全地连接到其他专用网络,例如内部部署网络或其他 VPC。 有关更多信息,请参阅 创建 VPN 网关。
查看与 VPC 关联的资源
您可以通过访问资源视图来快速查看与 VPC 关联的资源: 在导航中,单击 VPC 布局。 如果为您的帐户配置了多个 VPC,那么可以选择您感兴趣的 VPC。 对于每个 VPC,您可以看到相关联的子网,并且在每个子网中可以看到正在运行,已停止和已失败的实例数。 您还可以查看每个子网中可用的 IP 地址数。 从实例和关联 IP 地址的列表中,您可以单击特定实例以查看其详细信息。
祝贺您!
您使用 IBM Cloud 控制台成功创建并配置了 VPC。 现在,可以通过添加更多实例、子网和其他资源来继续开发 VPC。