Consejo sobre IBM SmartCloud Enterprise: desarrolle múltiples VPN y VLAN

Recursos y capacidades de VPN y VLNA en IBM SmartCloud Enterprise 2.0

El Release 2.0 de IBM SmartCloud Enterprise introduce varios recursos nuevos. Dos de estos recursos son la capacidad de la cuenta IBM SmartCloud Enterprise para contar con múltiples túneles de red privada virtual (VPN) en un centro de datos IBM SmartCloud Enterprise, y múltiples redes de área local virtual (VLAN) en cada centro de datos. Los autores evalúan los detalles de estos nuevos recursos.

Vea más consejos sobre SmartCloud Enterprise

Andrew Jones, Senior Solution Architect, IBM

Andrew R. Jones photoAndrew R. Jones es Arquitecto sénior de soluciones con más de 22 años de experiencia en IBM. Durante los últimos 16 años, se ha concentrado en clientes y asociados de negocios quienes habilitan soluciones middleware de IBM en el área de computación en nube, telecomunicaciones, tecnologías inalámbricas y computadoras en red. Andrew es Inventor maestro de IBM y Arquitecto de TI certificado.



Mitchell DeKeyrel, Technical Solution Architect, IBM

author photoMitchell DeKeyrel es Arquitecto de soluciones técnicas con más de 13 años de experiencia en IBM; dedicó 5 años a la administración de infraestructuras y sistemas en grandes entornos de laboratorios, como también en centros de datos de producción. Fue Arquitecto en jefe de aplicaciones para IBM CIO Enterprise Content Management Solution y dedicó 7 años trabajando para la oficina IBM CIO. Trabajó en el negocio para comprender e interpretar los requisitos del usuario final, y en la configuración del plan de trabajo para las modificaciones de la aplicación ECM basadas en las tendencias de la industria. Mitchell trabajó con expertos en la materia en el espacio ECM para identificar oportunidades de integración con otras aplicaciones estratégicas y con productos IBM. En la actualidad, Mitchell trabaja en Cloud Service Enablement para la división GTS de IBM.



Matthew Lobbes, Senior IT Architect, IBM

Matt Lobbes es Arquitecto sénior de TI con más de 15 años de experiencia en IBM. Matt es Arquitecto de TI certificado en la división GTS de IBM que se especializa en el desarrollo de productos y servicios. En el último año y medio, ha sido líder en el área técnica de entrega para IBM SmartCloud Enterprise.



James Ling, Senior IT Architect, IBM

James Ling es Arquitecto sénior de TI con más de 6 años de experiencia en IBM y 20 años en la industria. James es Arquitecto de TI certificado en la división GTS de IBM y se centra en redes. En los últimos dos años, ha sido líder en redes para IBM SmartCloud Enterprise.



14-08-2012

Este artículo describe dos recursos nuevos de la versión 2.0 de IBM SmartCloud Enterprise:

  • Múltiples túneles de red privada virtual (VPN) en un centro de datos IBM SmartCloud Enterprise.
  • Múltiples redes de área local virtual (VLAN) en cada centro de datos.

Cada uno de estos recursos se evalúa detalladamente.

Es importante comprender que este recurso del entorno IBM SmartCloud Enterprise tiene implicaciones de seguridad que el consumidor debe comprender en su totalidad. Las capacidades de VPN y VLAN de IBM SmartCloud Enterprise son opciones que brindan un servicio de extensión de transporte y, a pesar de que ofrece la seguridad adicional del cifrado del tráfico de red en Internet, no está destinado a funcionar como un sistema de seguridad completo.

Por ejemplo, estos recursos no brindan capacidades de firewall, las cuales pueden ser necesarias para un cliente, y no cifran los datos de red entre las instancias de IBM SmartCloud Enterprise.

El objetivo de este artículo es describir los recursos y las capacidades de VPN y VLAN. Es responsabilidad del cliente comprender completamente la arquitectura que se implementa en la nube y todos los requisitos de seguridad de dicha implementación. Los clientes deben tener cuidado de no exponer datos que se deben proteger (como información corporativa confidencial, información del cliente, números de tarjetas de crédito, direcciones, etc.).

Conceptos de respaldo

IBM SmartCloud Enterprise es una oferta de infraestructura como servicio (IaaS) que ofrece un entorno en nube de servidor virtual de clase empresarial. De manera predeterminada, las instancias de máquina virtual están provistas de direcciones de red IP a las cuales se puede acceder a través de Internet.

De manera opcional, las empresas se pueden inscribir a una red privada virtual (VPN). La VPN opcional brinda un canal de comunicación punto a punto, basado en la Internet Protocol Security (IPSec), entre la red de la empresa y uno de los centros de datos IBM SmartCloud Enterprise. La comunicación en red por la VPN todavía se trasmite a través de Internet público pero se cifra antes de salir de la red de la empresa o de la red de IBM SmartCloud Enterprise, y se descifra al recibirla en cualquiera de los extremos, lo que permite una comunicación de datos segura.

De manera predeterminada, cuando se establece la VPN en el entorno IBM SmartCloud Enterprise para la cuenta de la empresa, también se proporciona una red de área local virtual privada (VLAN) exclusiva para la cuenta. Esta VLAN proporciona una capa adicional de aislamiento de red para las instancias que se ofrecen con ella. Los usuarios de la cuenta empresarial que tienen la opción de VPN pueden proveer nuevas instancias a la VLAN con conexión a Internet público o a la VLAN privada con conexión a VPN.

La capacidad para que una instancia se extienda entre la VLAN pública y la privada fue introducida en IBM SmartCloud Enterprise Release 1.4. Para obtener más información sobre esta capacidad, consulte el artículo "Consejo sobre IBM SmartCloud Enterprise: Extensión de redes de área local virtual."


Glosario de la VPN de IBM SmartCloud Enterprise

Con frecuencia, la terminología puede ser confusa al describir cuestiones técnicas. Para evitar confusiones, se definen algunos términos que se utilizan de manera consistente en todo el artículo, con el fin de comprender mejor las capacidades que se describen.

Los términos importantes

Comencemos con el término Virtual Private Network Environment (VPNE). Un VPNE es un conjunto de tecnologías de virtualización utilizadas para entregar recursos de VPN multitenedores en SmartCloud Enterprise. Cada cuenta IBM SmartCloud Enterprise se puede suscribir a un VPNE opcional para cada ubicación de un centro de datos IBM SmartCloud Enterprise. Actualmente, hay seis centros de datos IBM SmartCloud Enterprise. Todas las instancias virtuales dentro del mismo centro de datos y del mismo VPNE se pueden comunicar libremente con las demás. Un cliente puede tener un VPNE por centro de datos IBM SmartCloud Enterprise.

Cada VPNE del cliente puede contener múltiples túneles de VPN. Un túnel de VPN es una ruta de comunicación cifrada entre el punto final de un cliente exclusivo ubicado en la red de la empresa del cliente y el concentrador de VPN del centro de datos IBM SmartCloud Enterprise (dispositivo de red para administrar divisiones lógicas de múltiples VPN). El túnel de VPN de un cliente es parte del VPNE del cliente. Un cliente puede tener hasta 5 túneles de VPN por centro de datos IBM SmartCloud Enterprise.

Una red de área local virtual privada (VLAN) es una agrupación lógica de interfaces de red asociadas con las instancias de IBM SmartCloud Enterprise de un cliente. Estas interfaces agrupadas comparten el mismo dominio de transmisión (una división lógica de una red de computadora en la que todos los nodos se pueden comunicar con los demás mediante la transmisión en la capa del enlace de datos). Las instancias del cliente con interfaces de red de trabajo en la misma VLAN comparten la misma subred IP y se pueden comunicar libremente entre sí. Un cliente puede tener hasta 5 VLAN privadas por centro de datos IBM SmartCloud Enterprise. Además, en IBM SmartCloud Enterprise, un cliente puede optar por crear VLAN privadas sin una VPN. Esta opción se examina en más detalle.

Cómo medir VPN y VLAN

Tantos las capacidades VLAN como VPN de IBM SmartCloud Enterprise son componentes opcionales de la oferta y, como tales, tienen cargos adicionales. Debido a que el precio puede variar, consulte la lista de cargos más actual en la página de productos de IBM SmartCloud Enterprise.

Un cliente puede solicitar un VPNE por centro de datos IBM SmartCloud Enterprise. Existe un cargo por única vez por cada VPNE que incluirá el primer túnel de VPN. Para la compra de un VPNE se necesita al menos una VLAN en el centro de datos de IBM SmartCloud Enterprise.

La configuración de la VLAN privada implica un cargo por única vez. Además de los cargos de configuración por única vez, existe un cargo por hora por cada VPNE. Un cliente puede optar por solicitar túneles de VPN adicionales o VLAN privadas por cada centro de datos con un máximo de 5 en total de cada uno. Cada VLAN privada adicional implica un cargo adicional por única vez.

Con el paso del tiempo, es posible que necesite realizar cambios en su VPNE. En este momento, se aplica un cargo cuando se realiza un cambio en un VPNE (por centro de datos). Un cambio puede incluir uno o más de los siguientes cambios:

  • Modificaciones en el VPNE, los túneles de VPN o las VLAN privadas
  • Agregado o cambio de VPNE
  • Agregado o cambio de túneles de VPN
  • Agregado o cambio de VLAN privadas

Formularios VPN y VLAN

Para proveer una VPN o una VLAN en IBM SmartCloud Enterprise, el cliente debe completar y enviar los formularios correspondientes para estos servicios opcionales. Estos formularios se pueden encontrar en el foro de soporte técnico IBM SmartCloud Enterprise Community Support Forum en la sección archivo.

Estos formularios se utilizan para solicitar las opciones de VPN y VLAN, y para proporcionar la información necesaria para establecer estos servicios correctamente. Es muy importante proporcionar toda la información necesaria y que esta sea correcta para la red de su empresa. Cualquier información que falte o sea incorrecta en estos formularios causará demoras para establecer los servicios de red solicitados.

En las siguientes secciones, las capturas de pantalla de los formularios muestran cómo completarlos. Una vez que complete los formularios, debe enviarlos por correo electrónico a devtest@us.ibm.com. Nota, para enviar una solicitud de VPNE, también debe enviar un formulario "Órden de servicios adicionales", que puede encontrar en el foro de soporte técnico de IBM SmartCloud Enterprise.


Visión general de las capacidades de configuración de VPN/VLAN

Antes de pasar a los casos de uso de la red, describamos las capacidades de IBM SmartCloud Enterprise Release 2.0 para los servicios opcionales de VPN y VLAN mediante una lista de limitaciones asociadas y configuraciones soportadas. IBM SmartCloud Enterprise 2.0 soporta las siguientes configuraciones:

  • Un VPNE por centro de datos
  • Entre uno (obligatorio) y cinco túneles de VPN por VPNE (por centro de datos)
  • Entre una (obligatoria) y cinco VLAN privadas por VPNE (por centro de datos)
  • Múltiples túneles de VPN a una VLAN privada
  • Un túnel de VPN a múltiples VLAN privadas
  • Múltiples túneles de VPN a múltiples VLAN privadas
  • Hasta un total de cinco VLAN privadas con o sin un VPNE

Las limitaciones de estas configuraciones son las siguientes:

  • Hasta un total de cinco VLAN privadas por sitio como máximo (combinación de versiones asociadas con un VPNE y versiones no asociadas con un VPNE)
  • Hasta cinco túneles de VPN por VPNE como máximo (por centro de datos)
  • Hasta un VPNE por centro de datos como máximo
  • Todas las VLAN privadas en un VPNE podrán comunicarse entre sí
  • Todas las VLAN privadas en un VPNE podrán comunicarse por todos los túneles de VPN en ese VPNE
  • Todas los túneles de VPN en un VPNE podrán comunicarse con todas las VLAN privadas en el VPNE
  • El cliente solo puede proporcionar una subred IP que represente su lado de un túnel de VPN
  • Las subredes IP deben ser únicas en todos los túneles de VPN en todos los VPNE para todos los centros de datos de un cliente en particular
  • Solo la dirección RFC1918 (mejores prácticas actuales para la dirección de la ubicación de Internet privada) está permitida para las VLAN privadas, y la especifica el cliente o será provista por IBM
  • Todas las direcciones RFC1918 utilizadas para las VLAN privadas deben ser únicas para todas las VLAN y los VPNE del cliente
  • Todas las instancias del cliente asociadas con una VLAN privada deben ser desaprovisionadas antes de que se pueda eliminar la VLAN privada

Configuraciones de VPNE

Como ha visto, existen muchas posibilidades de configuración con las opciones de VPN y VLAN de IBM SmartCloud Enterprise. En esta sección, analizaremos estas configuraciones comunes en más detalle:

  • Un VPNE, un túnel de VPN, una VLAN privada (1:1:1)
  • Un VPNE, un túnel de VPN, dos VLAN privadas (1:1:2)
  • Un VPNE, dos túneles de VPN, una VLAN privada (1:2:1)
  • Un VPNE, dos túneles de VPN, dos VLAN privadas (1:2:2)

También analizaremos algunos escenarios de VPNE adicionales.

Un VPNE, un túnel de VPN, una VLAN privada (1:1:1)

En el caso de uso más simple, el cliente A ha solicitado un solo VPNE que se ha establecido entre la red de su empresa y un solo centro de datos IBM SmartCloud Enterprise. En la figura 1, se observa que hay un túnel de VPN y una VLAN privada configurados para el VPNE del cliente.

Figura 1. Un VPNE, un túnel de VPN, una VLAN privada
Un VPNE, un túnel de VPN, una VLAN privada

La comunicación en red entre la red de la empresa y la subred de la instancia (VPNE) suministrada en IBM SmartCloud Enterprise está cifrada al transmitirse por Internet a través del túnel 1 de VPN. Las máquinas dentro de la empresa que están correctamente configuradas para enrutar el tráfico por el túnel de VPN establecido podrán comunicarse con todas las instancias suministradas en VLAN 1 privada por la ruta de comunicación etiquetada como "A". La subred asociada con la VLAN 1 privada (10.10.30.0/24) será una extensión de la red de la empresa del cliente A según lo define la gateway VPN del cliente.

La figura 2 muestra las partes del formulario de VPN de IBM SmartCloud Enterprise que especifica las configuraciones básicas para la figura 1.

Figura 2. Datos del formulario para la configuración 1:1:1
Datos del formulario para la configuración 1:1:1

En este escenario, el cliente incurre en el cargo de configuración por única vez para el VPNE, el cual incluye el túnel de VPN único y un cargo de configuración por única vez para la VLAN privada. También se aplica el cargo por hora por el VPNE que supera la tasa de instancia normal por hora.

Un VPNE, un túnel de VPN, dos VLAN privadas (1:1:2)

Podemos expandir el caso de uso anterior suministrando una segunda VLAN privada para el cliente A. La figura 3 muestra que hay un túnel de VPN y ahora dos VLAN privadas configuradas para el VPNE del cliente.

Figura 3. Un VPNE, un túnel de VPN, dos VLAN privadas
Un VPNE, un túnel de VPN, dos VLAN privadas

La comunicación en red entre la red de la empresa y y las instancias suministradas en IBM SmartCloud Enterprise está cifrada al transmitirse por Internet a través del túnel 1 de VPN. Las máquinas dentro de la empresa que están correctamente configuradas para enrutar el tráfico por el túnel de VPN establecido pueden comunicarse con todas las instancias suministradas en VLAN 1 privada por la ruta de comunicación etiquetada como "A", y VLAN 2 privada por la ruta de comunicación etiquetada como "B". Además, las instancias en VLAN 1 privada pueden comunicarse libremente con instancias en VLAN 2 privada por la ruta "C" como se ilustra en la figura 3. Esta ruta de comunicación ("C") no está cifrada por el túnel de VPN, pero el tráfico es enrutado a través del VPNE entre las VLAN privadas. A pesar de que no está ilustrado, este caso de uso se puede extender para incluir hasta cinco VLAN privadas.

La figura 4 muestra las partes del formulario de VPN de IBM SmartCloud Enterprise que especifica la configuración 1:1:2.

Figura 4. Formulario para la configuración 1:1:2
Formulario para la configuración 1:1:2

En este escenario, el cliente incurre en el cargo de configuración por única vez para el VPNE (el cual incluye el túnel de VPN único) y un cargo por única vez para las dos VLAN privadas. También se aplica el cargo por hora para el VPNE.

Un VPNE, dos túneles de VPN, una VLAN privada (1:2:1)

En este escenario, volvemos a solo una VLAN privada pero agregamos un segundo túnel de VPN al VPNE del cliente A según se ilustra en la figura 5. Este escenario permite que una empresa que cuenta con múltiples centros de datos físicos se conecte con un solo centro de datos IBM SmartCloud Enterprise a través del mismo VPNE mediante la utilización de un túnel de VPN separado para cada centro de datos de la empresa.

Figura 5. Una sola VLAN privada pero se agrega un segundo túnel de VPN al VPNE
Una sola VLAN privada pero se agrega un segundo túnel de VPN al VPNE

En este escenario, la comunicación en red de las dos redes de la empresa utiliza los dos túneles de VPN para comunicarse con el único centro de datos IBM SmartCloud Enterprise. Las máquinas correctamente configuradas en las redes de la empresa del cliente A, ya sea que estén ubicadas en el Sitio 1 o en el Sitio 2, se pueden comunicar de manera segura con las instancias en VLAN 1 privada por las rutas de red "A" y "B".

A pesar de que no está ilustrado, este caso de uso se puede extender para incluir hasta cinco túneles de VPN entre las ubicaciones del cliente A y un solo centro de datos IBM SmartCloud Enterprise. Una cuestión para tener en cuenta es que el tráfico de red entre el Sitio 1 y el Sitio 2 del cliente "A" no está permitido a través del VPNE de IBM SmartCloud Enterprise. El lado del cliente de la red ya debe estar habilitado para la comunicación en red entre los sitios en el caso de que sea un requisito del cliente.

La figura 6 ilustra las partes del formulario de VPN de IBM SmartCloud Enterprise que especifica esta configuración.

Figura 6. Datos del formulario para la configuración 1:2:1
Datos del formulario para la configuración 1:2:1

En este escenario, el cliente incurre en el cargo de configuración por única vez para el VPNE (el cual incluye los dos túneles de VPN) y un cargo por única vez para la VLAN privada. Si se solicita el segundo túnel de VPN como un cambio y este no es suministrado con la solicitud de VPNE inicial, entonces se aplica un cargo adicional por única vez por la solicitud de cambio para agregar el segundo túnel. También se aplica el cargo por hora para el VPNE.

Un VPNE, dos túneles de VPN, dos VLAN privadas (1:2:2)

Cómo es de suponer, el escenario relacionado con el VPNE final que examinamos en detalle tiene dos túneles de VPN y dos VLAN privadas como se ilustra en la Figura 7. Este escenario permite que una empresa que cuenta con múltiples centros de datos físicos se conecte con un solo centro de datos IBM SmartCloud Enterprise a través del mismo VPNE mediante la utilización de un túnel VPN separado para cada centro de datos de la empresa y mediante la definición de múltiples VLAN privadas para proporcionar un aislamiento de red adicional dentro del entorno en nube.

Figura 7. Un VPNE con dos túneles, dos VLAN
Un VPNE con dos túneles, dos VLAN

Como se ilustra, la comunicación en red de las dos redes de la empresa utiliza los dos túneles de VPN para comunicarse con las instancias en las dos VLAN privadas en el único centro de datos IBM SmartCloud Enterprise. Las máquinas correctamente configuradas en las redes de la empresa del cliente A, ya sea que estén ubicadas en el Sitio 1 o en el Sitio 2, se podrán comunicar de manera segura con las instancias en VLAN 1 privada por las rutas de red "A" y "C", y las instancias en VLAN 2 privada por las rutas de red "B" y "D". Además, las instancias en VLAN 1 privada pueden comunicarse libremente con instancias en VLAN 2 privada por la ruta "E" como se ilustra. Esta ruta de comunicación ("E") no está cifrada por el túnel de VPN, pero el tráfico es enrutado a través del VPNE entre las VLAN privadas.

A pesar de que no está ilustrado, este caso de uso se puede extender para incluir hasta cinco túneles de VPN y cinco VLAN privadas. Nuevamente, no se permite el tráfico de red directamente entre el Sitio 1 y el Sitio 2 del cliente "A" a través del VPNE de IBM SmartCloud Enterprise.

La figura 8 ilustra las partes del formulario de VPN de IBM SmartCloud Enterprise que especifica esta configuración.

Figura 8. Datos del formulario para la configuración 1:2:2
Datos del formulario para la configuración 1:2:2

En este escenario, el cliente incurre en el cargo de configuración por única vez para el VPNE (el cual incluye dos túneles de VPN) y un cargo por única vez para cada una de las dos VLAN privadas. Si se solicita el segundo túnel de VPN al momento del VPNE inicial, no se aplica ningún cargo adicional. También se aplica el cargo por hora para el VPNE.

Escenarios de VPNE adicionales

Cada uno de los casos de uso relacionados con el VPNE que se acaban de detallar se pueden extender para incluir hasta un máximo de cinco túneles de VPN y cinco VLAN privadas como se ilustra en la Figura 9.

Figura 9. Un VPNE, cinco túneles de VPN, cinco VLAN privadas
Un VPNE, cinco túneles de VPN, cinco VLAN privadas

Además, cada uno de los escenarios en esta sección fue ilustrado con un solo VPNE, lo que significa que se restringe a un solo centro de datos IBM SmartCloud Enterprise. El cliente puede definir un VPNE para cada uno de los centros de datos IBM SmartCloud Enterprise. En la redacción de este artículo, eso significaría un total de seis centros de datos.


VLAN privadas sin una configuración VPNE

La versión 2.0 de IBM SmartCloud Enterprise soporta la capacidad de definir múltiples VLAN privadas con y sin un VPNE asociado. Ya hemos examinado los casos de uso que definen las VLAN privadas con la opción de VPNE; ahora, analicemos en detalle las VLAN privadas sin la opción de VPNE.

De manera predeterminada, en el entorno IBM SmartCloud Enterprise, cuando un usuario provee una instancia, esta se provee en la VLAN pública con una dirección IP con conexión a Internet. Cualquier persona puede acceder a la instancia directamente por la red (aunque las reglas de firewall pueden impedir o limitar el acceso según lo especifique la instancia del propietario). En IBM SmartCloud Enterprise 2.0, ahora los clientes tienen la opción de solicitar hasta cinco VLAN privadas para habilitar un aislamiento de red adicional para sus instancias. Cinco VLAN privadas es la cantidad total permitida y puede ser una combinación de VLAN privadas asociadas con un VPNE y VLAN privadas que no esten asociadas con un VPNE.

Se diseña un formulario de solicitud separado (Formulario solo de integración de VLAN en nube E) para solicitar VLAN privadas sin un VPNE. La figura 10 muestra el campo clave del formulario donde el cliente ha optado por que IBM asigne las subredes para las VLAN privadas que se solicitan. Al utilizar esta opción, el cliente solo debe especificar la cantidad de VLAN privadas para proveer y la cantidad de direcciones IP disponibles para cada una.

Figura 10. Formulario para solicitar VLAN privadas sin un VPNE
Formulario para solicitar VLAN privadas sin un VPNE

En la Figura 11 el cliente ha optado por especificar la subred para las tres VLAN privadas que se solicitan. En este escenario, el cliente también debe especificar el rango de subred y la máscara de subred para cada VLAN privada solicitada.

Figura 11. Cómo especificar la subred para las VLAN privadas que se solicitan
Cómo especificar la subred para las VLAN privadas que se solicitan

Una vez que se proveen las VLAN privadas, los clientes pueden seleccionar la VLAN para proveer una nueva instancia a través de las interfaces de pogramación de aplicaciones (API) o del portal de IBM SmartCloud Enterprise. Al proveer instancias en las VLAN privadas, el cliente debe proporcionar al menos una instancia que abarque las VLAN públicas y privadas; en otras palabras, una instancia con una dirección IP primaria en la VLAN privada y una dirección IP secundaria en la VLAN privada. Puede obtener más detalles sobre cómo extender VLAN en este artículo "Consejo sobre IBM SmartCloud Enterprise: Extensión de redes de área local virtual."

Esto hace que la instancia sea de alojamiento múltiple. Tenga en cuenta al hacer eso que, de manera predeterminada, la segunda interfaz no está habilitada en el suministro inicial. La segunda interfaz debe ser habilitada de manera manual a través de un sistema operativo de instancia. Una vez que se provee una instancia de alojamiento múltiple, el cliente debe proteger de manera adecuada la instancia y la VLAN privada especificando las reglas de firewall y de la tabla IP para la instancia.

Como se ve en la Figura 12, la instancia etiquetada como Pública con extensión a privada tiene una dirección IP principal en la VLAN pública y una dirección IP secundaria en la VLAN privada; la instancia etiquetada como Solo privada solo tiene una dirección IP principal en la VLAN privada. La instancia de extensión es necesaria para acceder a la instancia Solo privada.

Figura 12. Extensión a VLAN privada
Extensión a VLAN privada

Con la capacidad VLAN privada de IBM SmartCloud Enterprise, una sola instancia puede abarcar más de dos VLAN (tal como se muestra en la Figura 13).

Figura 13. Extensión a más de dos VLAN
Extensión a más de dos VLAN

Se debe tener la especial precaución de asegurar todas las instancias configuradas para abarcar las VLAN privadas: Según sus requisitos, es posible que desee considerar solamente proveer la instancia de extensión en los momentos en los que se deba hacer instalación, configuración, personalización y mantenimiento sobre las instancias en las VLAN privadas.


Concluyamos con el tema de la seguridad

Cerremos este artículo hablando un poco sobre seguridad. La seguridad es una consideración muy importante que cada cliente debe examinar al implementar recursos en cualquier entorno en nube público. Como lo hemos mostrado, en IBM SmartCloud Enterprise es posible proveer una instancia que abarque la VLAN pública y una VLAN privada. Si un cliente decide hacer esto, este cliente debe tener en cuenta la exposición y debe protegerse muy bien contra los ataques externos mediante la implementación de estrictas reglas de firewall y de la tabla IP o mediante otras medidas de protección. La instancia que abarca la VLAN pública y la VLAN privada expone todas las instancias en la VLAN privada que, a su vez, exponen la red de la empresa del cliente si se accede a esa VLAN privada a través de un túnel de VPN.

Es fundamental que los firewalls basados en hosts y en huéspedes se utilicen en una implementación donde las instancias se utilicen para abarcar las VLAN privadas y públicas. Es esencial la configuración adecuada de los firewalls para las instancias de seguridad implementadas en la nube.

Para obtener más información sobre cómo configurar firewalls en el entorno IBM SmartCloud Enterprise, consulte la Guía de Usuario y la documentación del firewall para los sistemas operativos que está utilizando. Además, en IBM SmartCloud Enterprise 2.0, se agregó una imagen de firewall en el catálogo público de imágenes de IBM SmartCloud Enterprise. Esta imagen proporciona las herramientas para configurar y administrar un firewall que se ejecuta como una instancia en IBM SmartCloud Enterprise.

Recursos

Aprender

Obtener los productos y tecnologías

Comentar

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Cloud computing
ArticleID=829954
ArticleTitle=Consejo sobre IBM SmartCloud Enterprise: desarrolle múltiples VPN y VLAN
publish-date=08142012