Consejo de IBM SmartCloud Enterprise: Abarcar redes de área local virtuales

Suministrar y configurar una instancia que abarque una VLAN pública y privada

El release 1.4 de IBM SmartCloud Enterprise ofrece varios nuevos dispositivos; uno de estos es la habilidad de una instancia para tener direcciones TCP/IP primarias y secundarias en distintas redes de área local virtuales (VLANs). Este dispositivo habilita la habilidad de suministrar y configurar una instancia que abarca la VLAN pública de cara a Internet y la VLAN privada de una cuenta empresarial por una red privada virtual (VPN) opcional. Este artículo describe esos dispositivos.

Ver más consejos de SmartCloud Enterprise

Dominique Vernier, IT Architect, IBM

Dominique Vernier photoEn años recientes, Dominique Vernier se enfocó en tecnologías de Java y en la arquitectura de la nube. También ha estado trabajando en tecnologías de la información durante bastante tiempo, donde adquirió un amplio conocimiento en tecnologías y productos tales como mensajería, bases de datos, SOA, EAI, cliente/servidor, C/C++ e infraestructuras existentes. Dominique también tiene un amplio conocimiento en áreas de industrias tales como telecomunicaciones, CRM, logística y seguros. Es el autor/co-autor de cuatro patentes relacionadas con motores y gestión de recursos. Actualmente, Dominique está a cargo de las soluciones de IBM SmartCloud Enterprise en el Equipo Global de IBM GTS.


Nivel de autor contribuyente en developerWorks

Andrew Jones, Senior Solution Architect, IBM

Andrew R. Jones photoAndrew R. Jones es un Arquitecto de Soluciones Sénior con más de 22 años de experiencia en IBM. Durante los últimos 16 años, se ha enfocado en la habilitación del cliente y del asociado de negocios para soluciones de middleware de IBM en la computación en nube, telecomunicaciones, tecnologías inalámbricas y computadores en red. Andrew es un Inventor Maestro y un Arquitecto de TI Certificado de IBM.



19-03-2012

Este artículo describe cómo una instancia en IBM SmartCloud Enterprise puede ser suministrada para abarcar o hacer un puente a la red de área local virtual de cara a Internet y a la red de área local virtual privada en el entorno de la nube. Examina un caso de uso típico que puede aprovechar esta nueva posibilidad para suministrar aislamiento a nivel de red adicional y seguridad para despliegues en un entorno de nube pública.

Es importante entender que este dispositivo del entorno de IBM Cloud tiene implicaciones de seguridad que necesitan ser completamente entendidas por el usuario. La meta de este artículo es describir los dispositivos abarcados y sus posibilidades. Es su responsabilidad entender completamente la arquitectura que está siendo desplegada en la nube y todos los requisitos de seguridad de esa implementación. Asegúrese de no exponer datos que necesitan ser protegidos (tales como información corporativa confidencial, información del cliente, números de tarjeta de crédito, direcciones, etc.).

Conceptos de segundo plano

IBM SmartCloud Enterprise es una oferta de Infraestructura como un Servicio (IaaS) que proporciona un entorno de nube de servidor virtual de clase empresarial. De forma predeterminada, las instancias de máquina virtual son suministradas con direcciones de red TCP/IP que son accesibles mediante Internet.

Opcionalmente, las empresas pueden registrarse para una red privada virtual (VPN). La VPN opcional proporciona un canal de comunicación de punto a punto con Seguridad de Protocolo de Internet (con base en IPSec) entre la red de la empresa y uno de los centros de datos de IBM Cloud. La comunicación de red en VPN sigue viajando sobre el Internet público, pero es cifrada antes de dejar la red de la empresa o la red de IBM Cloud y descifrada al ser recibida en cualquier parte, permitiendo así la comunicación segura de datos.

Direcciones IP secundarias

Todas las direcciones IP secundarias en una instancia recientemente suministrada están inhabilitadas de forma predeterminada. Los propietarios de las instancias deben habilitar todas las direcciones IP secundarias mediante las herramientas de red del sistema operativo de la instancia. Para obtener más información sobre la habilitación de las direcciones IP secundarias en instancias de Linux, consulte el tema "Activando IPs Secundarias" de la sección "Trabajando con sus instancias de Linux" de la Guía de Usuario de IBM SmartCloud Enterprise. Para obtener más información sobre la habilitación de las direcciones IP secundarias en instancias de Windows, consulte el tema "Gestionando valores de adaptador de red" de la sección "Trabajando con sus instancias de Windows" de la Guía de Usuario de IBM SmartCloud Enterprise.

Cuando la VPN es establecida en el entorno de IBM Cloud para la cuenta empresarial, una red de área local virtual (VLAN) privada es también suministrada para la cuenta. Esta VLAN proporciona una capa adicional de aislamiento de red para instancias que son suministradas en ella. Los usuarios en la cuenta empresarial que tengan la opción de VPN pueden suministrar nuevas instancias en la VLAN de cara a Internet pública o en la VLAN de cara a la VPN privada.

Las instancias en el entorno de IBM Cloud durante mucho tiempo han podido ser suministradas con una dirección IP primaria y hasta con dos secundarias; sin embargo, las direcciones IP primarias y secundarias tienen que estar en la misma VLAN (ya sea todas en la VLAN pública o todas en la VLAN privada). Con el Release 1.4, no sólo ha sido eliminado el límite de dos direcciones IP secundarias, sino también la limitación de que todas las direcciones tengan que estar en la misma VLAN.

Ahora, al suministrar una nueva instancia, los usuarios pueden seleccionar una dirección IP primaria de las agrupaciones de direcciones de VLAN pública o de VLAN privada, tanto reservadas como no reservadas, y una o más direcciones IP secundarias que sean direcciones IP reservadas en la VLAN pública o en la VLAN privada.


Abarcando las VLANs

Para crear una instancia que abarque o que haga un puente a las VLANs privadas y públicas, primero decida si la dirección IP primaria para la instancia residirá en la VLAN pública o privada. Como se muestra en la Figura 1, esto es realizado al seleccionar la VLAN apropiada (tal como la VLAN pública) del menú desplegable de VLAN en la Etapa 2 del proceso Añadir instancia.

Figura 1. Configurando la dirección IP primaria
Configurando la dirección IP primaria

Elegir en qué VLAN reside la dirección IP primaria es importante, ya que esa será la única interfaz de red disponible para la instancia cuando la instancia sea inicialmente suministrada. Una vez que la VLAN ha sido elegida, el menú desplegable de la dirección IP primaria será llenado desde la agrupación correcta de direcciones IP generadas por el sistema o reservadas para la VLAN seleccionada.

Después de que la dirección IP primaria es seleccionada, seleccione el enlace Añadir IP del campo de entrada Virtual IP. Como se muestra en la Figura 2, al asignar las direcciones IP virtuales (o secundarias), primero seleccione la VLAN (tal como Private VLAN Ehningen) distinta a la seleccionada en la etapa anterior y después seleccione la dirección IP reservada apropiada.

Figura 2. Configurando la dirección IP secundaria
Configurando la dirección IP secundaria

Nota: sólo las direcciones IP reservadas pueden ser asignadas como direcciones IP secundarias.

Una vez que el proceso de suministro está completo para esta instancia, la instancia es accesible mediante la dirección IP primaria únicamente.

Usando el método de acceso apropiado para la instancia (tal como para Linux® o RDP para Microsoft® Windows®), la siguiente etapa es habilitar las interfaces IP secundarias. El proceso para hacer esto depende del sistema operativo de la instancia (ifup para Linux o Panel de Control para Microsoft Windows).

Ahora que ambas interfaces de red están habilitadas, la instancia puede comunicarse (enviar y recibir) en la VLAN privada y en la VLAN pública.


Conectividad con instancias

La capacidad para tener una instancia con direcciones IP en las VLANs pública y privada puede abrir las posibilidades de la computación en nube. En la Figura 3, cuatro instancias han sido configuradas en una cuenta que tiene la VPN opcional en IBM SmartCloud Enterprise.

Figura 3. Opciones de red en IBM SmartCloud Enterprise
Opciones de red en IBM SmartCloud Enterprise

La instancia llamada PrivateOnly está configurada con sólo una dirección IP primaria, la cual es asignada a la VLAN privada asociada con la opción de VPN. Esta instancia es sólo accesible para otras instancias en la VLAN privada o desde la red empresarial mediante la VPN establecida. Todo el tráfico de red de esta instancia, si no es enrutable localmente en la VLAN privada, es enviado en la VPN al gateway de VPN del lado empresarial para un mayor enrutamiento.

La instancia llamada PrivateSpanToPublic está configurada con una dirección IP primaria en la VLAN privada y una dirección IP secundaria en la VLAN pública. Una vez que la dirección IP secundaria es habilitada, la instancia puede comunicarse en la VLAN privada y en la VLAN pública de cara a Internet. Todo el tráfico de red de esta instancia, si no es enrutable localmente en la VLAN privada o en la VLAN pública, es enviado en la VPN al gateway de VPN del lado empresarial para un mayor enrutamiento.

La instancia llamada PublicOnly está configurada con sólo una dirección IP primaria, la cual es asignada a la VLAN pública de cara a Internet. Esta instancia es accesible en internet y para todas las instancias en la VLAN pública.

La instancia llamada PublicSpanToPrivate está configurada con una dirección IP primaria en la VLAN pública de cara a Internet y una dirección IP secundaria en la VLAN privada. Una vez que la dirección IP secundaria es habilitada, la instancia puede comunicarse en la VLAN pública de cara a Internet y en la VLAn privada. Todo el tráfico de red de esta instancia, si no es enrutable localmente en la VLAN privada o en la VLAN pública, es enviado en la VPN al gateway de VPN del lado empresarial para un mayor enrutamiento.

En la Tabla 1, la conectividad de red de estas instancias es descrita con más detalle.

Tabla 1. Conectividad de red entre instancias
PrivateOnly Primaria: Privada 10.128.0.8PublicOnly Primaria: Pública 129.35.213.128PrivateSpanToPublic Primaria: Privada 10.128.0.2PrivateSpanToPublic Secundaria: Pública 129.35.209.254PublicSpanToPrivate Primaria: Pública 129.35.213.127PublicSpanToPrivate Secundaria: Privada 10.128.0.6
PrivateOnly
Primaria: Privada 10.128.0.8
AccesibleInaccesibleAccesibleInaccesibleInaccesibleAccesible
PublicOnly
Primaria: Pública 129.35.213.128
InaccesibleAccesibleInaccesibleAccesibleAccesibleInaccesible
PrivateSpanToPublic
Primaria: Privada 10.128.0.2
AccesibleAccesibleAccesibleAccesibleAccesibleAccesible
PrivateSpanToPublic
Secundaria: Pública 129.35.209.254
AccesibleAccesibleAccesibleAccesibleAccesibleAccesible
PublicSpanToPrivate
Primaria: Pública 129.35.213.127
AccesibleAccesibleAccesibleAccesibleAccesibleAccesible
PublicSpanToPrivate
Secundaria: Privada 10.128.0.6
AccesibleAccesibleAccesibleAccesibleAccesibleAccesible

Si una instancia de la primera columna tiene una interfaz de red que puede hacer sonda de paquetes internet de una dirección de red particular de otra instancia de la primera fila, esa ruta es marcada como Accesible. Si la dirección no es enrutable, la ruta es marcada como Inaccesible.

Caso de uso del mundo real

Con esta nueva posibilidad de crear instancias multi-home que abarquen las VLANs públicas y privadas, ahora es posible crear despliegues de n-capas. Tomemos una implementación básica de 3-capas de un servidor HTTP, servidor de aplicaciones y servidor de base de datos.

En una implementación tradicional, cada uno de estos servidores puede ser aislado lógicamente unos de otros por enrutadores y firewalls que limiten la conectividad de red y el acceso a los servidores. Al aislar el acceso a estos servidores, un nivel más alto de seguridad puede ser impuesto en la infraestructura para prevenir la intrusión basada en red y la negación de ataques de servicio.

Al combinar las posibilidades abarcadas de VLAN de IBM SmartCloud Enterprise y mediante el uso de un firewall (aquellos proporcionados por el sistema operativo de la instancia virtual o una solución de un tercero), una implementación similar puede ser creada en la nube.

Una opción para construir esta implementación de 3 capas en el entorno de IBM Cloud es ilustrada en la Figura 4.

Figura 4. Una implementación de 3 capas en la nube
Una implementación de 3 capas en la nube

En esta implementación, el servidor HTTP es desplegado en una instancia que sólo tiene una dirección IP primaria de VLAN pública. El firewall de la instancia de servidor HTTP puede ser configurado para aceptar tráfico de HTTP (como el puerto 80). Las solicitudes de URLs que se correlacionen a una ruta que necesite ser atendida por el servidor de aplicaciones son reenviadas a la dirección IP secundaria del servidor de aplicaciones en la VLAN pública. El firewall del servidor de aplicaciones debe ser configurado para aceptar únicamente tráfico de red en la VLAN pública de la dirección IP específica del servidor HTTP. Todo el otro tráfico de red en la dirección IP secundaria debe ser bloqueado (como el puerto 22 para acceso de ssh).

Hay varias alternativas para este tipo de implementación en la nube. Por ejemplo, el servidor HTTP puede ser la instancia que abarque entre las VLANs pública y privada. El inconveniente de esta implementación es que la dirección IP anunciada del HTTP estaría en una instancia que directamente abarca las VLANs pública y privada. Si se compromete, ninguna barrera adicional existiría entre esa instancia y otras instancias en la VLAN privada.

En otra implementación, el servidor de base de datos puede residir dentro de la red empresarial. En este caso, el gateway de la VPN empresarial y/o los firewalls necesitarían ser configurados para permitir que el tráfico de red de la base de datos fluya en el túnel de la VPN hacia y desde el servidor de aplicaciones en la nube (por ejemplo, tráfico de JDBC en el puerto 50000).

Normas del firewall

Es crítico que los firewalls sean utilizados en una implementación donde las instancias sean usadas para abarcar las VLANs pública y privada. La configuración apropiada de los firewalls es esencial para asegurar una implementación de n-capas en la nube. Para obtener más información sobre la configuración de los firewalls en el entorno de IBM SmartCloud Enterprise, consulte la Guía de Usuario y la documentación del firewall para los sistemas operativos que está usando.

Recursos

Aprender

Obtener los productos y tecnologías

Comentar

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Cloud computing
ArticleID=806150
ArticleTitle=Consejo de IBM SmartCloud Enterprise: Abarcar redes de área local virtuales
publish-date=03192012