VPN 网关的规划注意事项

在创建 VPN 网关之前，请查看以下注意事项:

• 将在与您选择的子网相关联的专区中创建 VPN 网关。 VPN 网关只能连接到此区域中的虚拟服务器实例。 因此，其他区域中的实例无法使用此 VPN 网关与其他网络进行通信。 为实现区域容错，每个区域部署一个 VPN 网关。
• 确保子网中有足够的空间用于网关。 要确保 VPN 管理和故障转移功能能够正常工作，请在没有任何其他 VPC 资源的子网中创建 VPN 网关。 这保证有足够的可用专用 IP 地址用于网关。 VPN 网关需要四个专用 IP 地址以适应高可用性和滚动升级。 由于子网中最多保留 5 个专用 IP 地址，因此可用于托管 VPN 网关的最小子网大小为 16 个 IP 地址 (前缀 /28 或网络掩码 255.255.255.240)。
• 如果计划在 VPC 路由表中设置缺省路由 (0.0.0.0/0) 以允许来自 VPC 资源的流出流量通过 VPN 网关，并且计划使用基于路由的 VPN，请在与路由表关联的子网不同的子网中创建 VPN 网关。 否则，此缺省路由会导致 VPN 网关的路由冲突，并导致 VPN 连接关闭。
• 默认情况下，IBM Cloud VPNfor VPC 禁用 PFS（完美前向保密）。 某些供应商需要针对阶段 2 启用 PFS。 如果需要 PFS，请检查供应商指示信息并使用定制策略。
• IBM Cloud VPNfor VPC 只支持每个 VPC 每个区域一个基于路由的 VPN。
• 缺省情况下，IBM VPN 网关使用其公共 IP 地址作为 IKE 本地身份，并将同级的公共 IP 地址指定为 IKE 同级身份。 您可以指定本地和对等 IKE 身份，以在创建 VPN 连接时覆盖此缺省行为。 如果对等 VPN 网关位于 NAT 防火墙后面，而且对等的公共 IP 地址与对等 VPN 网关接口无关，则可以调整对等 VPN 网关的配置。 这将确保同级的公共 IP 地址用作 IKE 身份。 您还可以在创建 VPN 连接以使用同级 VPN 网关的实际 IKE 身份时指定同级 IKE 身份。
• 如果您的对等 VPN 网关位于 NAT 设备后面且没有公共 IP，您可以将 FQDN 与 NAT 后的 IP 地址关联起来。 然后，在创建 VPN 连接时，可以使用此 FQDN 代替 IP 地址。 这样，缺省对等 IKE 身份是 FQDN。 如果缺省值与同级 VPN 网关的实际 IKE 身份不匹配，那么可以指定同级 IKE 身份以在创建 VPN 连接时覆盖此缺省值。
• 创建 VPN 连接时，可以选择建立方式 (仅双向或对等)。 请记住，如果对等 VPN 网关在创建 VPN 连接时没有公共 IP 地址，那么必须将 VPN 网关设置为 仅对等 方式。 在这种情况下，对等 VPN 网关负责在连接中断时启动连接。
• 配置 VPN 连接后，不能将对等网关地址类型从 IP 地址更改为 FQDN，或从 FQDN 更改为 IP 地址。
• IBM Cloud VPC支持通过 DNS Services 解析 FQDN。 如果 VPN 网关所在的 VPC 位于专用 DNS 实例的允许网络中，那么可以在 VPN 网关中解析此专用 DNS 中添加的 DNS 记录。