IBM Cloud 经典网络到VPC迁移—内网连通方案

最近正在做IBM Cloud 经典网络到VPC的迁移方案设计，其中最重要的是内网直接的连通，老客户在IBM Cloud 经典网络的部署如果是部署在IBM的9大Region中，那连通的方式可以用到IBM Cloud上的Transit Gateway。但通常客户都是在30多个单节点的数据中心，例如达拉斯05、香港、新加坡、阿姆斯特等等。目前Transit Gateway还只是覆盖了4个单节点数据中心，所以极大部分数据中心无法跟VPC环境连通，目前可行的方式就是通过Site to Site VPN以及方式来打通经典网络和VPC。本文将会介绍Transit Gateway和两个连通方案。

IBM美国南区，也就是Dallas大区是由3个高可用分区组建，分别是Dallas10\12\13。如果客户的经典网络中都部署在Dallas10，可参考架构如下：

如图所示，通过不同帐户对接VPC和Classic网络。将跨帐户IBM Cloud经典帐户连接到一个或多个传输网关。为此，拥有Transit Gateway的IBM Cloud帐户向IBM Cloud经典帐户请求将其连接到Transit Gateway的权限。在建立连接之前，需要开通VRF和启用Service Endpoint，规划好VPC网段，不能需IBM Cloud经典网络的子网段冲突，经典帐户必须批准请求。可以对多个IBM Cloud经典帐户连接重复此过程。

对于跨账号的连通，需要创建一个Global Routing的VPC。

然后添加一个新连接，把本账号的VPC环境添加进Transit Gateway。

接着添加一个经典网络的连接，可以先到经典网络把账号ID复制下来。

然后在Transit Gateway中新建一个跨账号的经典网络连接。

随后需要到经典网络的账号里，通过网关页面或者通知页面进入后批准连通请求，部署如下图：


如果VPC中的IP地址段定义的是172和192开头的，那么需要在经典网络的每台需要连通的服务器中添加路由规则，示例如下：

route add -net 172.21.80.0/25 gw 10.241.210.1 dev eth0

上面的172为VPC中的子网，gw后面的是经典网络服务器内网子网的网关。至此，VPC和经典网络的服务器在放开ICMP的情况下可以互相ping通。

第二部分，我们来了解下Site to Site VPN的内网连通方案，我们假设客户在经典网络是部署在DAL05中。

DAL05迁移过程中，需要构建两端VPN。首先了解下VPC VPN的注意事项

VPN网关创建在选择的子网关联的资源分区中。由于VPN网关只能连接到该区域的虚拟服务器实例，其他区域的虚拟服务器实例不能使用该VPN网关与其他网络通信。为了实现分区容错，建议每个分区部署1个VPN网关。
确保子网中有足够的空间用于网关。为了保证VPN管理和故障切换功能的正常使用，建议在没有其他VPC资源的子网中创建VPN网关，以保证VPN网关有足够的私有ip。一个VPN网关需要4个私有IP地址，以适应高可用性和滚动升级。由于在一个子网中最多保留5个私有ip，因此可以用于承载一个VPN网关的最小子网大小为16个ip(前缀/28或子网掩码255.255.255.240)。
IBM Cloud VPN Gateway for VPC默认关闭PFS (Perfect Forward Secrecy)功能。一些供应商要求在阶段2中启用PFS，检查您的供应商说明，如果需要PFS，请使用自定义策略。  IBM Cloud
VPN Gateway for VPC只支持每个VPC的一个分区创建一个路由类型的VPN。

VPN VPC创建，通过界面创建VPN网关:
1.从浏览器中打开IBM Cloud控制台并登录到您的帐户。
2.选择界面左上方的菜单图标，在“网络”区域框中选择“VPC基础设施> vpn”。
提示：如果在“VPC基础设施”菜单中，单击“网络”区域框中的“VPN”，打开“为VPC配置的VPN”页面。
3.确保选中“点到点网关> VPN网关”选项卡。
4.在“VPC的VPN”页面，单击“创建”，选择“站点到站点网关”的选框。

指定以下信息:
VPN网关名称—输入VPN网关的名称，如“my-vpn-gateway”。
资源组—选择VPN网关对应的资源组。
标签—可选地，添加标签来标识该VPN网关。
区域—显示VPC所在的区域，以及将要发放VPN网关的区域。
虚拟私有云—为VPN网关选择VPC。
子网—选择需要创建VPN网关的子网。
方式—选择创建基于策略的VPN或基于路由的VPN。
Site to Site迁移的VPN选择：基于策略
可以现在创建VPN连接，或者在配置VPN网关之后创建VPN连接。
VPN连接名称-输入连接的名称，例如my-connection。
对等网关地址—为VPC外部网络指定VPN网关的IP地址。
预共享密钥—指定VPC外部网络的VPN网关的认证密钥。预共享密钥是在对等网关上配置的密钥。密钥通常是类似于密码的复杂字符串，例如：Lsda5D。
为了与大多数对端网关类型兼容，该字符串必须遵循以下规则:

可以是数字、大小写字符或以下特殊字符的组合:- + & ! @ # $ % ^ *()。, ： 字符串长度为6 ~ 128个字符。
不能以0x或0s开头。 本地子网(仅适用于策略VPN)—在VPC中指定一个或多个需要通过VPN隧道连接的子网。
对等子网(仅适用于策略VPN)—在另一个网络中指定一个或多个需要通过VPN隧道连接的子网。 不允许本地子网和对端子网的子网范围重叠。
在“无响应的同级检测”区域，配置VPN网关发送消息来检测对等网关是否活跃，指定以下信息:
动作-当对端网关停止响应时，对端检测失效时采取的动作。例如，如果希望网关立即重新协商连接，则选择“重启”。
间隔(秒)—检查对端网关是否活跃的频率。缺省情况下，每2秒发送一次消息。
超时时间(秒)—等待对端网关响应的时间。默认情况下，如果在10秒内没有收到响应，对等网关将不再被认为是活跃的。
在“策略”部分中，指定连接的阶段1和阶段2协商时使用的IKE (Internet Key Exchange)选项和IPsec选项。
如果希望网关自动建立连接，请选择“自动”。如果需要执行特定的安全要求，或者其他网络的VPN网关不支持通过自动协商尝试的安全建议，请选择或创建自定义策略。为该连接指定的IKE和IPsec安全选项必须与对等网关上为VPC外部网络设置的安全选项相同。

本次迁移的VPN策略都选择“自动”

下一步，在单节点数据中心，比如Dal05创建StrongSwan，首先需要找到经典网络各个子网，为每个子网配置一台StrongSwan，安装一台后通过自定义镜像后部署其他的虚机，其他只需要修改配置即可，非常方便。下面我们看一下具体步骤：

(1) yum install strongswan -y
(2) 修改文件/etc/sysctl.conf，并添加下面3行
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
然后执行命令：sysctl -p /etc/sysctl.conf
(3) 配置ipsec本地对等秘钥文件
vi /etc/strongswan/ipsec.secrets
添加一行并保存184.173.112.58 150.239.169.100 : PSK “passw0rd”
184.173.112.58为left，本机外网IP
150.239.169.100为right，对等（VPC VPN）网关IP
PSK为秘钥，必须与对等保持一致
(4) 配置ipsec.conf文件
vi /etc/strongswan/ipsec.conf
将下方内容覆盖原文件内容：

ipsec.conf - strongSwan IPsec configuration file

config setup
# strictcrlpolicy=yes
# uniqueids = no
charondebug=“all”
uniqueids=yes
strictcrlpolicy=no

Add connections here.

conn home-to-vpc
authby=secret
left=%defaultroute
leftid=184.173.112.58
leftsubnet=10.61.52.0/26,10.40.77.0/26
right=150.239.169.100
rightsubnet=10.20.0.0/23,10.30.0.0/23
ike=aes256-sha2_256-modp2048!
esp=aes256-sha2_256!
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
auto=start
每台虚机根据不同IP，需要需要更改leftid为本机IP，leftsubnet为本机内网子网。
(5) 配置完成保存后，需要执行：systemctl restart strongswan
(6) 同子网（非strongswan机器）需要添加到路由，示例如下：
route add -net 10.20.0.0/24 gw 10.61.52.12 dev eth0
此示例中10.20.0.0/24为VPC VPN所在分区的某个子网；10.61.52.12为部署Strongswan机器内网IP
(7) 如果同子网机器有可能重启网络或重启服务器，需要添加静态永久路由，步骤如下：
在 /etc/sysconfig/network-scripts/下，新建文件名为route-interfacename的文件（interfacename为你的网卡名称）
虚机的内网网卡名通常是：eth0
物理机的内网通常做了bond mod4，网卡名使用的是：bond0
新建文件并添加路由内容：
[root@centos7 ~]# vi /etc/sysconfig/network-scripts/route-bond0
10.20.0.0/23 via 10.61.52.12 dev bond0

如果是镜像方式部署虚机，只需要修改秘钥文件和ipsec配置文件的IP，重启strongswan。如果是物理机也可以通过镜像或者初始化脚本安装，物理机支持万兆网卡，性能更佳。VPC VPN也同样会根据本地CIDR和对等CIDR，自动配置路由表（可在路由表中查看）。
两端连通后可以通过VPC VPN页面和strongswan status查看连通情况，在经典网络的部署StrongSwan的服务器和同子网的所有服务器与VPC所有虚机进行互ping测试。