IBM Cloud Docs
设置对经典基础架构的访问权

设置对经典基础架构的访问权

经典访问 VPC 的市场结束 (EOM) 公告- 自 2024 年 10 月 31 日起,IBM Cloud控制台(UI)中将不再提供“经典访问”选项。 此外,截至 2024 年 12 月 31 日,如果您的账户中没有任何启用了经典访问的 VPC,则无法创建启用了“经典访问”的 VPC(包括通过 API、CLI、SDK 和 Terraform)。 相反,可以使用 Transit Gateway 将 VPC 连接到 Classic 网络。 如果您的账户已有支持经典访问的 VPC,这些 VPC 将继续工作,不会有任何变化,您可以继续通过 API 和 CLI 在该账户中创建支持经典访问的 VPC。

您可以设置从 VPC 到 IBM Cloud® 经典基础架构 (包括 IBM Cloud Direct Link 连接) 的访问权。 每个区域只有一个 VPC 可与经典资源通信。

将经典网络与 VPC 互连的建议方法是使用 IBM Cloud Transit Gateway。 这允许您将 VPC 连接到本地和跨区域的各种资源。

另外,当您为经典访问设置 VPC 时,经典账户中没有公共接口的每个虚拟服务器实例或裸机服务器都可以向经典访问 VPC 发送和接收数据包。 防火墙,网关,网络 ACL 或安全组可以过滤部分或全部此流量。 作为最佳实践,仅允许应用程序正常运行所需的流量。

对于使用公共接口的经典基础架构上的虚拟服务器实例和裸机实例,必须添加指向已启用经典 VPC 的路径。 此路由必须包含支持经典的 VPC 的子网作为目标。 路由还必须指向将主机的专用接口作为下一个中继段的流量的网关地址。

先决条件

必须为虚拟路由器转发 (VRF) 启用经典帐户。 如果您的账户未启用 VRF,请参阅 启用 VRF 和服务端点 了解有关转换过程的更多信息。

传统访问 VPC 中的所有子网都共享到传统基础设施 VRF 中,该 VRF 使用 10.0.0.0/8 空间中的 IP 地址。 为避免 IP 地址冲突,请勿在经典访问 VPC 中的 10.0.0.0/1410.200.0.0/1410.198.0.0/1510.254.0.0/16 块中使用 IP 地址。 此外,请勿使用经典基础架构子网中的地址。 要查看经典基础架构子网的列表,请参阅 查看所有子网

创建经典访问 VPC

您可以使用 IBM Cloud 控制台,CLI 或 API 来创建经典访问 VPC。

创建 VPC 时,必须将其设置为传统访问:不能更新 VPC 以添加或删除传统访问。

使用 IBM Cloud 控制台创建经典访问 VPC

在“新建虚拟私有云”页面上,选择 经典访问下的 启用对经典资源的访问

使用 CLI 创建经典访问 VPC

创建 VPC 时使用标志 --classic-access,例如:

ibmcloud is vpc-create my-access-vpc --classic-access

使用 API 创建经典访问 VPC

创建 VPC 时传入 classic_access 参数,例如:

curl -X POST "$rias_endpoint/v1/vpcs?version=$api_version&generation=2" \
  -H "Authorization: $iam_token" \
  -d '{
        "name": "my-access-vpc",
        "classic_access": true
      }'

经典访问 VPC 缺省地址前缀

经典 Virtual Servers 在马德里 MZR 中不可用。

创建经典访问 VPC 时,也会在区域的每个区创建默认地址前缀。 与无经典访问的 VPC 不同,经典访问 VPC 的默认地址前缀不在 10.0.0.0/8 范围内,该范围用于本地经典资源的私有 IP 地址。 这可以防止传统访问 VPC 私有地址与传统资源的私有地址相撞。

对于 x86-64 专用主机概要文件,马德里区域仅支持具有实例存储器的专用主机概要文件。 有关更多信息,请参阅 专用主机概要文件

要防止创建地址前缀,可以在使用 API 创建 VPC 时添加 "address_prefix_management": "manual" 参数:

curl -H "Authorization:$iam_token" "$iaas_endpoint/v1/vpcs?generation=2&version=$api_version" -X POST -d '{ "name": "my-access-vpc", "address_prefix_management": "manual", "classic_access": true}'

限制

  • 只有经典基础架构中的专用网络 (也称为后端网络) 才能连接到 VPC。
  • 只有通过 IBM Cloud 供应系统分配给经典基础架构的子网才能连接到 VPC。
  • 每个区域只能启用一个 VPC 进行经典访问。
  • 所有经典访问 VPC 都必须具有不重叠的全局唯一地址前缀。
  • 如果经典基础架构包含从 Direct Link导入的缺省路由,那么 Classic Access VPC 将使用导入的缺省路由。 在此场景中,经典访问 VPC 中的公共网关和浮动 IP 不提供因特网访问。 如果不再通过 Direct Link导入缺省路由,那么公共网关和浮动 IP 将再次提供因特网访问权。