为 IBM Cloud 安装配置站点间 VPN
您可以配置站点之间的 IP 复制。
关于此任务
IBM Spectrum Virtualize for Public Cloud 软件必须能够在本地服务器和 IBM Cloud™ 中的虚拟服务器之间来回 ping 通。您可以使用因特网协议安全性 (IPSec) 来保护此 VPN。IBM Cloud 上的 IPSec 需要网络地址转换 (NAT),这不兼容 IP 复制。如果在 IBM Cloud 网络中需要 IPsec,那么使用 Vyatta 软件设备,该设备提供虚拟路由器和虚拟防火墙。
过程
- 在 IBM Cloud 门户网站上,通过选择门户网站 > 网络 > 网关设备来订购 Vyatta 设备。
-
将设备与想要保护的 VLAN 相关联。
- 浏览至客户门户网站中的“网关设备详细信息”屏幕。
- 单击关联 VLAN 并选择相应的 VLAN。
- 单击关联以关联 VLAN。
- 在关联的 VLAN 的状态显示中,确保将指定的 VLAN 设置为已路由。
-
使用以下命令登录 Vyatta 设备:
ssh user_name@device_ip- user_name
- 网关设备的用户名。
- device_ip
- 设备的公共或专用 IP 地址。
-
针对 VLAN 中的所有子网设置虚拟接口 (VIF)。
此步骤是必需的,以便子网可相互访问。您可以从 IBM Cloud 门户网站的 VLAN 网络选项下获取这些子网的列表。
-
对于每个子网地址,请输入以下命令:
set interfaces bonding bonded_interface vif vlan_num address nnn.nnn.nnn.nnn/nnn- bonded_interface
- 链路聚集控制协议 (LACP) 绑定接口的名称。为专用接口和公共接口分别输入一组 set 命令。
- vlan_num
- 所管理的 VLAN 的编号。
- nnn.nnn.nnn.nnn/nnn
- 网关 IP 地址和掩码。
-
对于每个 VIF,请输入以下命令:
set interfaces bonding bonded_interface vif vlan_num vlan vlan_num- bonded_interface
- 链路聚集控制协议 (LACP) 绑定接口的名称。为专用接口和公共接口分别输入一组 set 命令。
- vlan_num
- 所管理的 VLAN 的编号。
以下示例显示针对专用接口 (dp0bond0) 和公共接口 (dp0bond1) 的命令:set interfaces bonding dp0bond0 vif 990 address dhcp set interfaces bonding dp0bond0 vif 990 address 10.93.4.65/26 set interfaces bonding dp0bond0 vif 990 address 10.93.135.193/26 set interfaces bonding dp0bond0 vif 990 vlan 990 set interfaces bonding dp0bond1 vif 962 address dhcp set interfaces bonding dp0bond1 vif 962 address 169.60.16.11/28 set interfaces bonding dp0bond1 vif 962 vlan 962注: 在接口联机并建立网关后,可通过因特网访问公共网络。为增强安全性,请配置防火墙规则以限制与公共网络之间的流量。 -
对于每个子网地址,请输入以下命令:
- 在 Vyatta 设备中配置 IPSec。
-
本地数据中心管理员必须配置 VPN 的内部部署端以匹配先前的规范。
在内部部署系统和云中系统之间任何介入的防火墙上,必须打开 IP 复制端口。如果设置与使用 IBM Spectrum Virtualize 构建的其他系统的 IP 复制,请注意此产品的 TCP/IP 需求。在该产品的文档中搜索“系统的 TCP/IP 需求”。表 1包含应用于 IP 伙伴关系的此信息的摘要。最后一列“服务类型”与此上下文不相关。
表 1. IP 伙伴关系的 TCP/IP 端口和服务的摘要 服务者 流量方向 协议 端口 服务类型 IP 伙伴关系管理 IP 通信 入站 TCP 3260 可选 IP 伙伴关系管理 IP 通信 出站 TCP 3260 可选 IP 伙伴关系数据路径连接 入站 TCP 3265 可选 IP 伙伴关系数据路径连接 出站 TCP 3265 可选