![Cerrar [x]](http://dw1.s81c.com/i/c.gif){kind=small}
Este artículo describe cómo una instancia en IBM SmartCloud Enterprise puede ser suministrada para abarcar o hacer un puente a la red de área local virtual de cara a Internet y a la red de área local virtual privada en el entorno de la nube. Examina un caso de uso típico que puede aprovechar esta nueva posibilidad para suministrar aislamiento a nivel de red adicional y seguridad para despliegues en un entorno de nube pública.
Es importante entender que este dispositivo del entorno de IBM Cloud tiene implicaciones de seguridad que necesitan ser completamente entendidas por el usuario. La meta de este artículo es describir los dispositivos abarcados y sus posibilidades. Es su responsabilidad entender completamente la arquitectura que está siendo desplegada en la nube y todos los requisitos de seguridad de esa implementación. Asegúrese de no exponer datos que necesitan ser protegidos (tales como información corporativa confidencial, información del cliente, números de tarjeta de crédito, direcciones, etc.).
IBM SmartCloud Enterprise es una oferta de Infraestructura como un Servicio (IaaS) que proporciona un entorno de nube de servidor virtual de clase empresarial. De forma predeterminada, las instancias de máquina virtual son suministradas con direcciones de red TCP/IP que son accesibles mediante Internet.
Opcionalmente, las empresas pueden registrarse para una red privada virtual (VPN). La VPN opcional proporciona un canal de comunicación de punto a punto con Seguridad de Protocolo de Internet (con base en IPSec) entre la red de la empresa y uno de los centros de datos de IBM Cloud. La comunicación de red en VPN sigue viajando sobre el Internet público, pero es cifrada antes de dejar la red de la empresa o la red de IBM Cloud y descifrada al ser recibida en cualquier parte, permitiendo así la comunicación segura de datos.
Cuando la VPN es establecida en el entorno de IBM Cloud para la cuenta empresarial, una red de área local virtual (VLAN) privada es también suministrada para la cuenta. Esta VLAN proporciona una capa adicional de aislamiento de red para instancias que son suministradas en ella. Los usuarios en la cuenta empresarial que tengan la opción de VPN pueden suministrar nuevas instancias en la VLAN de cara a Internet pública o en la VLAN de cara a la VPN privada.
Las instancias en el entorno de IBM Cloud durante mucho tiempo han podido ser suministradas con una dirección IP primaria y hasta con dos secundarias; sin embargo, las direcciones IP primarias y secundarias tienen que estar en la misma VLAN (ya sea todas en la VLAN pública o todas en la VLAN privada). Con el Release 1.4, no sólo ha sido eliminado el límite de dos direcciones IP secundarias, sino también la limitación de que todas las direcciones tengan que estar en la misma VLAN.
Ahora, al suministrar una nueva instancia, los usuarios pueden seleccionar una dirección IP primaria de las agrupaciones de direcciones de VLAN pública o de VLAN privada, tanto reservadas como no reservadas, y una o más direcciones IP secundarias que sean direcciones IP reservadas en la VLAN pública o en la VLAN privada.
Para crear una instancia que abarque o que haga un puente a las VLANs privadas y públicas, primero decida si la dirección IP primaria para la instancia residirá en la VLAN pública o privada. Como se muestra en la Figura 1, esto es realizado al seleccionar la VLAN apropiada (tal como la VLAN pública) del menú desplegable de VLAN en la Etapa 2 del proceso Añadir instancia.
Figura 1. Configurando la dirección IP primaria
Elegir en qué VLAN reside la dirección IP primaria es importante, ya que esa será la única interfaz de red disponible para la instancia cuando la instancia sea inicialmente suministrada. Una vez que la VLAN ha sido elegida, el menú desplegable de la dirección IP primaria será llenado desde la agrupación correcta de direcciones IP generadas por el sistema o reservadas para la VLAN seleccionada.
Después de que la dirección IP primaria es seleccionada, seleccione el enlace Añadir IP del campo de entrada Virtual IP. Como se muestra en la Figura 2, al asignar las direcciones IP virtuales (o secundarias), primero seleccione la VLAN (tal como Private VLAN Ehningen) distinta a la seleccionada en la etapa anterior y después seleccione la dirección IP reservada apropiada.
Figura 2. Configurando la dirección IP secundaria
Nota: sólo las direcciones IP reservadas pueden ser asignadas como direcciones IP secundarias.
Una vez que el proceso de suministro está completo para esta instancia, la instancia es accesible mediante la dirección IP primaria únicamente.
Usando el método de acceso apropiado para la instancia (tal como para Linux® o RDP para Microsoft® Windows®), la siguiente etapa es habilitar las interfaces IP secundarias. El proceso para hacer esto depende del sistema operativo de la instancia (ifup para Linux o Panel de Control para Microsoft Windows).
Ahora que ambas interfaces de red están habilitadas, la instancia puede comunicarse (enviar y recibir) en la VLAN privada y en la VLAN pública.
La capacidad para tener una instancia con direcciones IP en las VLANs pública y privada puede abrir las posibilidades de la computación en nube. En la Figura 3, cuatro instancias han sido configuradas en una cuenta que tiene la VPN opcional en IBM SmartCloud Enterprise.
Figura 3. Opciones de red en IBM SmartCloud Enterprise
La instancia llamada PrivateOnly está configurada con sólo una dirección IP primaria, la cual es asignada a la VLAN privada asociada con la opción de VPN. Esta instancia es sólo accesible para otras instancias en la VLAN privada o desde la red empresarial mediante la VPN establecida. Todo el tráfico de red de esta instancia, si no es enrutable localmente en la VLAN privada, es enviado en la VPN al gateway de VPN del lado empresarial para un mayor enrutamiento.
La instancia llamada PrivateSpanToPublic está configurada con una dirección IP primaria en la VLAN privada y una dirección IP secundaria en la VLAN pública. Una vez que la dirección IP secundaria es habilitada, la instancia puede comunicarse en la VLAN privada y en la VLAN pública de cara a Internet. Todo el tráfico de red de esta instancia, si no es enrutable localmente en la VLAN privada o en la VLAN pública, es enviado en la VPN al gateway de VPN del lado empresarial para un mayor enrutamiento.
La instancia llamada PublicOnly está configurada con sólo una dirección IP primaria, la cual es asignada a la VLAN pública de cara a Internet. Esta instancia es accesible en internet y para todas las instancias en la VLAN pública.
La instancia llamada PublicSpanToPrivate está configurada con una dirección IP primaria en la VLAN pública de cara a Internet y una dirección IP secundaria en la VLAN privada. Una vez que la dirección IP secundaria es habilitada, la instancia puede comunicarse en la VLAN pública de cara a Internet y en la VLAn privada. Todo el tráfico de red de esta instancia, si no es enrutable localmente en la VLAN privada o en la VLAN pública, es enviado en la VPN al gateway de VPN del lado empresarial para un mayor enrutamiento.
En la Tabla 1, la conectividad de red de estas instancias es descrita con más detalle.
Tabla 1. Conectividad de red entre instancias
| PrivateOnly Primaria: Privada 10.128.0.8 | PublicOnly Primaria: Pública 129.35.213.128 | PrivateSpanToPublic Primaria: Privada 10.128.0.2 | PrivateSpanToPublic Secundaria: Pública 129.35.209.254 | PublicSpanToPrivate Primaria: Pública 129.35.213.127 | PublicSpanToPrivate Secundaria: Privada 10.128.0.6 | |
|---|---|---|---|---|---|---|
| PrivateOnly Primaria: Privada 10.128.0.8 | Accesible | Inaccesible | Accesible | Inaccesible | Inaccesible | Accesible |
| PublicOnly Primaria: Pública 129.35.213.128 | Inaccesible | Accesible | Inaccesible | Accesible | Accesible | Inaccesible |
| PrivateSpanToPublic Primaria: Privada 10.128.0.2 | Accesible | Accesible | Accesible | Accesible | Accesible | Accesible |
| PrivateSpanToPublic Secundaria: Pública 129.35.209.254 | Accesible | Accesible | Accesible | Accesible | Accesible | Accesible |
| PublicSpanToPrivate Primaria: Pública 129.35.213.127 | Accesible | Accesible | Accesible | Accesible | Accesible | Accesible |
| PublicSpanToPrivate Secundaria: Privada 10.128.0.6 | Accesible | Accesible | Accesible | Accesible | Accesible | Accesible |
Si una instancia de la primera columna tiene una interfaz de red que puede hacer sonda de paquetes internet de una dirección de red particular de otra instancia de la primera fila, esa ruta es marcada como Accesible. Si la dirección no es enrutable, la ruta es marcada como Inaccesible.
Con esta nueva posibilidad de crear instancias multi-home que abarquen las VLANs públicas y privadas, ahora es posible crear despliegues de n-capas. Tomemos una implementación básica de 3-capas de un servidor HTTP, servidor de aplicaciones y servidor de base de datos.
En una implementación tradicional, cada uno de estos servidores puede ser aislado lógicamente unos de otros por enrutadores y firewalls que limiten la conectividad de red y el acceso a los servidores. Al aislar el acceso a estos servidores, un nivel más alto de seguridad puede ser impuesto en la infraestructura para prevenir la intrusión basada en red y la negación de ataques de servicio.
Al combinar las posibilidades abarcadas de VLAN de IBM SmartCloud Enterprise y mediante el uso de un firewall (aquellos proporcionados por el sistema operativo de la instancia virtual o una solución de un tercero), una implementación similar puede ser creada en la nube.
Una opción para construir esta implementación de 3 capas en el entorno de IBM Cloud es ilustrada en la Figura 4.
Figura 4. Una implementación de 3 capas en la nube
En esta implementación, el servidor HTTP es desplegado en una instancia que sólo tiene una dirección IP primaria de VLAN pública. El firewall de la instancia de servidor HTTP puede ser configurado para aceptar tráfico de HTTP (como el puerto 80). Las solicitudes de URLs que se correlacionen a una ruta que necesite ser atendida por el servidor de aplicaciones son reenviadas a la dirección IP secundaria del servidor de aplicaciones en la VLAN pública. El firewall del servidor de aplicaciones debe ser configurado para aceptar únicamente tráfico de red en la VLAN pública de la dirección IP específica del servidor HTTP. Todo el otro tráfico de red en la dirección IP secundaria debe ser bloqueado (como el puerto 22 para acceso de ssh).
Hay varias alternativas para este tipo de implementación en la nube. Por ejemplo, el servidor HTTP puede ser la instancia que abarque entre las VLANs pública y privada. El inconveniente de esta implementación es que la dirección IP anunciada del HTTP estaría en una instancia que directamente abarca las VLANs pública y privada. Si se compromete, ninguna barrera adicional existiría entre esa instancia y otras instancias en la VLAN privada.
En otra implementación, el servidor de base de datos puede residir dentro de la red empresarial. En este caso, el gateway de la VPN empresarial y/o los firewalls necesitarían ser configurados para permitir que el tráfico de red de la base de datos fluya en el túnel de la VPN hacia y desde el servidor de aplicaciones en la nube (por ejemplo, tráfico de JDBC en el puerto 50000).
Es crítico que los firewalls sean utilizados en una implementación donde las instancias sean usadas para abarcar las VLANs pública y privada. La configuración apropiada de los firewalls es esencial para asegurar una implementación de n-capas en la nube. Para obtener más información sobre la configuración de los firewalls en el entorno de IBM SmartCloud Enterprise, consulte la Guía de Usuario y la documentación del firewall para los sistemas operativos que está usando.
Aprender
-
Para obtener más información sobre cómo realizar tareas en IBM Cloud, visite estos recursos:
- Subir y descargar archivos desde una instancia de Windows.
- Instalar un servidor web de IIS en Windows 2008 R2.
- Crear una instancia de IBM Cloud con la línea de comando de Linux.
- Crear una instancia de IBM Cloud con la línea de comandos de Windows.
- Extender su red corporativa con IBM Cloud.
- Aplicaciones de alta disponibilidad en IBM Cloud.
- Parametrizar imágenes de nube para instancias personalizadas al vuelo.
- Enfoques dirigidos a Windows para el suministro de IBM Cloud.
- Desplegar productos usando servicio de implementación rápida.
- Integrar su política de autenticación usando un proxy.
- Configurar Linux Logical Volume Manager.
- Desplegar una topología compleja usando una herramienta de utilidad de implementación.
-
En los recursos para desarrollador de nube de developerWorks, descubra y comparta conocimiento y experiencia de desarrolladores de aplicaciones y servicios que están creando sus proyectos para implementación en la nube.
-
Las siguientes etapas: Descubrir cómo acceder a IBM SmartCloud Enterprise.
Obtener los productos y tecnologías
-
Consulte la sección del tema imágenes de producto disponibles para IBM SmartCloud Enterprise.
Comentar
-
Únase al grupo de computación en nube de developerWorks.
-
Lea todos los excelentes blogs sobre la nube en developerWorks.
-
Únase al comunidad developerWorks, una red profesional y un conjunto unificado de herramientas comunitarias para conectarse, compartir y colaborar.
En años recientes, Dominique Vernier se enfocó en tecnologías de Java y en la arquitectura de la nube. También ha estado trabajando en tecnologías de la información durante bastante tiempo, donde adquirió un amplio conocimiento en tecnologías y productos tales como mensajería, bases de datos, SOA, EAI, cliente/servidor, C/C++ e infraestructuras existentes. Dominique también tiene un amplio conocimiento en áreas de industrias tales como telecomunicaciones, CRM, logística y seguros. Es el autor/co-autor de cuatro patentes relacionadas con motores y gestión de recursos. Actualmente, Dominique está a cargo de las soluciones de IBM SmartCloud Enterprise en el Equipo Global de IBM GTS.
Andrew R. Jones es un Arquitecto de Soluciones Sénior con más de 22 años de experiencia en IBM. Durante los últimos 16 años, se ha enfocado en la habilitación del cliente y del asociado de negocios para soluciones de middleware de IBM en la computación en nube, telecomunicaciones, tecnologías inalámbricas y computadores en red. Andrew es un Inventor Maestro y un Arquitecto de TI Certificado de IBM.
