使用单个 VPN 连接访问本地网络和 IBM Cloud VPC

为了确保数据隐私和可靠访问，在网络和资源之间建立安全连接至关重要。然而，由于我们建立了无数的联系，维护它们就变得很麻烦。

幸运的是，您现在可以使用 IBM 的 VPN 产品来优化您的 VPN 连接：客户端到站点 VPN 和站点到站点 VPN。虽然您可以了解有关这些产品的更多信息这里，请随时按照本博客文章中提供的说明使用单个客户端到站点 VPN 连接来连接到您的 IBM Cloud 和本地环境。

下面的图 1 直观地描述了该用例。最终用户连接到他们的 VSI IBM 云 VPC 以及使用单个客户端到站点 VPN 连接到其本地环境中的实例和数据库：

图1

这种优化的架构要求首先在您的 IBM Cloud 帐户中部署 Client-to-Site VPN 服务器和 Site-to-Site VPN 网关。

先决条件

具有 VPC 的 IBM Cloud 帐户以及在 VPC 中部署的至少一个 VSI，用于验证 VPN 连接。
创建 VPN 网关和其他所需资源所需的 IAM 权限、安全组和 ACL。
来自本地位置的对等设备信息以及相关子网 CIDR 信息。
OpenVPN 客户端安装在本地笔记本电脑上，用于验证 VPN 连接。

串联设置两个 VPN 的步骤摘要

首先，我们将创建一个站点到站点 VPN，然后创建一个客户端到站点 VPN。部署后，我们将创建路由并设置身份验证和服务间授权以将 VPN 连接在一起。最后，我们将在笔记本电脑上安装 OpenVPN 并验证与 IBM Cloud 和本地环境的连接。我们将在下面更详细地讨论每个步骤。

创建站点到站点 VPN 网关

在开始此步骤之前，请确保您手头有本地环境中的对等网关和预共享密钥以及您打算使用的任何 IKE 和 IPsec 策略。

单击 创建VPN网关 页面右侧的按钮。这将创建 VPN 连接以将 IBM Cloud 与本地数据中心连接起来。成功创建网关后，它应该在 IBM Cloud 门户上显示为活动状态。此时，连接已准备好设置路由，以将流量从 IBM Cloud 路由到您的本地环境。

有关创建 Site-to-Site VPN 网关的分步指南，请单击这里。

创建站点到站点 VPN 路由

现在 VPN 连接已就位，我们将创建 VPN 路由来定义从 IBM Cloud VPC 到本地路由器的出口路由。导航到 VPC 路由表以创建新路由表或使用现有路由表来创建 VPN 路由。输入所有必填字段。例如：

目标子网： 来自本地的 CIDR
行动： 递送
下一跳类型： VPN 连接
VPN网关： 刚刚创建的VPN网关
VPN 连接： 创建 VPN 网关时提供的连接名称

有关创建和管理路线的详细说明可以找到这里。

重要的： 创建路由后，不要忘记将 VPC 中的源子网附加到路由表。

现在，您应该在 IBM Cloud VPC 和本地环境之间建立了 VPN 连接和路由。该流程在上图 1 中以红色表示。

配置授权和认证

在创建客户端到站点 VPN 连接之前，我们必须生成客户端和服务器证书并将它们存储在 IBM 云秘密管理器。按照步骤这里生成证书并将其导入 Secrets Manager。

要使 VPN 能够访问 Secrets Manager 中的证书，需要按所述建立 VPN Server 和 IBM Cloud Secrets Manager 的服务到服务授权这里。

创建客户端到站点 VPN 服务器

登录 IBM Cloud Catalog，搜索 VPN 并选择 适用于 VPC 的 VPN。选择 客户端到站点服务器 并选择您想要部署网关的位置（以及所有必需的输入参数）。对于本文，我们选择了独立配置。为客户端 IPv4 地址池选择所需的 CIDR 范围，以便可以将此范围内的 IP 分配给客户端连接。输入所有必填字段子网部分。

接下来，配置服务器和客户端身份验证。选择从本文前面的步骤添加到 Secrets Manager 的服务器和客户端证书。为了增加安全性，您可以选择 用户 ID 和密码。最后，您必须确保正确配置安全组规则以允许 VPN 流量进入子网。

虽然在此形式中其余输入参数是可选的，但请选择 全隧道 允许所有流量流经 VPN 接口并进入 VPN 隧道的选项。单击 创建VPN服务器 页面右侧的按钮。