站点到站点 虚拟专用网络 (VPN) 几十年来一直用于连接分布式网络。 这篇文章描述了如何使用 专有网络 VPN 网关 将本地(企业)网络连接到 IBM 云 VPC 在交通轴辐式架构中:
每个辐条都可以由不同的业务部门或团队运营。 该团队可以允许企业访问 VPC 资源,例如运行应用程序的虚拟服务实例或 VPC RedHat OpenShift IBM Cloud 集群. 民营企业接入 支持 VPE 的服务和数据库一样,也可以通过 VPN 网关。 通过这种方式,您可以享受云资源的易用性和弹性,并通过 VPN 安全访问资源,按需付费。
这 通过 VPC Transit Hub and Spoke 架构集中通信 教程是几个月前发布的。 同伴 GitHub 仓库 被修改为可选地支持 策略模式 VPC VPN 网关 取代 IBM 直接链接 模拟。
多区域区域 (MZR) 设计
中转枢纽设计与 IBM 多区域区域 (MZR) 集成,VPN 网关是区域特定的。 经过仔细研究,实现了如下所示的区域架构。 它只显示两个区域,但可以扩展到三个:
笔记:
- VPN 网关连接到每个区域。 企业 CIDR 块连接到特定的云区域 VPN 网关。 请注意,企业 CIDR 块很窄:192.168.0.0/24。 云 CIDR 块很宽,覆盖整个云(所有 VPC 和所有区域):10.0.0.0/8。
- 表示企业区的 VPC 地址前缀添加到中转 VPC。 怎么看 虚拟地址前缀 在本教程中允许分支将流量路由到企业。
- VPC 入口路由表被添加到中转 VPC 中,如此处所述 例子. 它将自动通过 VPN 网关设备将所有入口流量从分支路由到企业。
按照配套中的步骤操作 GitHub 仓库 在 TLDR 部分。 编辑时 config_tf/terraform.tfvars file
,确保配置了以下变量:
config_tf/terraform.tfvars
:
enterprise_phantom_address_prefixes_in_transit = true
vpn = true
firewall = false
还要考虑设置 make_redis = 真 允许为传输配置 Redis 实例并与之关联 虚拟专用端点网关 连接。 如果已配置,甚至可以从企业访问分支中的私有 Redis 实例。 私有 DNS 配置和转发的详细信息包含在 本教程第 2 部分的这一部分.
应用所有层后,运行测试(如果需要,请参阅 GitHub 存储库 README.md 中关于配置 Python 的特别说明)。 所有测试都应该通过:
python install -r requirements.txt
pytest
关于企业到公交跨区路由的说明
初始设计适用于企业 <> 辐条。 同一区域内的企业 <> 中转也有效。 但是解决enterprise<>transit跨域路由失败需要额外配置:
如果没有额外的跨区域 VPN 网关连接,则中转 VPC 到跨区域企业的默认路由表中没有返回 VPC 路由表条目(见红线)。 VPN 网关连接会自动将路由添加到中转 VPC 中的默认路由表,但仅限于包含 VPN 网关的区域。 在上图中,worker 10.2.0.4 没有返回 192.168.0.4 的路由。
中转 VPC 区域的额外跨区域连接解决了这个问题,如蓝线所示。
结论
站点到站点 VPN 可能正是您将企业连接到多区域区域中的 IBM Cloud VPC 所需的技术。 使用本文中描述的步骤,您可以最大限度地减少将企业完全连接到云所需的 VPN 网关数量。 享受与 VPC 资源(如虚拟服务器实例)和目录资源的专用连接,这些资源可以通过虚拟专用端点网关访问。
标签