Opciones de conectividad para IBM Cloud

Los recursos de nube dispersos son recursos en más de una ubicación, o incluso en más de una subred o VLAN. Estos tipos de recursos requieren una función de direccionamiento para comunicarse entre ellos, incluso dentro del contexto de una red privada. En este documento se describe una opción de comunicación de tenencia de "aislamiento múltiple", que a menudo se denomina VRF de cliente. Se implementa como una VPN de MPLS Layer-3 (RFC 4364) en toda la red troncal global de IBM Cloud®.

En general, la plataforma IBM Cloud ofrece dos opciones para el direccionamiento a través de nuestra red privada, lo que proporciona conectividad entre pods y centros de datos:

1. Aislamiento múltiple: Una red lógica dedicada por arrendatario, que no permite la interacción con las redes lógicas de otros arrendatarios.

2. Tenencia compartida: Una red lógica común, compartida por todos los arrendatarios que utilizan este modelo, con la separación proporcionada por las Listas de control de acceso (ACL) automatizadas, y habilitadas con la expansión de VLAN. Esta opción no se describe en este documento.

El término "VRF de cliente" se utiliza para describir la conectividad de red de aislamiento múltiple.

Visión general de VRF: Tecnología de aislamiento múltiple

VRF permite que en un direccionador existan varias instancias de una tabla de direccionamiento y que trabajen simultáneamente. Con VRF, la red VRF de cada arrendatario está segmentada dentro de su tabla de direccionamiento. Esta segmentación permite solapamientos de direcciones IP, y no crea ninguna interacción o interferencia con otros VRF de arrendatario. IBM Cloud utiliza una gran parte de la red 10.0.0.0/8, que puede solaparse con muchas redes remotas, por ejemplo redes desplegadas en los centros de datos del cliente.

Mediante VRF, los arrendatarios de IBM Cloud pueden utilizar direcciones IP remotas que normalmente no se pueden solapar en la tabla Global. IBM sigue reservando las siguientes direcciones RFC 1918, direcciones locales de enlace y direcciones de multidifusión, a las que no se puede direccionar desde este servicio VRF:

• 10.0.0.0/14
• 10.200.0.0/14
• 10.198.0.0/15
• 169.254.0.0/16
• 224.0.0.0/4
• 166.9.0.0/16 (utilizado por el servicio de punto final privado)
• Cualquier rango de IP asignado a sus VLAN en la plataforma IBM.

IBM está avanzando con un despliegue de próxima generación en la nube para habilitar Virtual Private Cloud (VPC) en nuestras zonas de disponibilidad (AZ). Esta nueva función de VPC habilita la funcionalidad BYoIP (Bring-Your-Own-IP) en las AZ habilitadas para VPC, que están en Dallas, Washington DC, Londres, Frankfurt, Tokio y Sídney.

Por ejemplo, cada arrendatario de la red troncal que utiliza VRF puede tener un solo VRF de cliente por cada Direct Link, lo que proporciona conectividad entre todos los servidores del arrendatario, sin importar de su ubicación. Sin embargo, un arrendatario de IBM Cloud puede tener más de una cuenta de Direct Link conectada a un único direccionador de interconexión.

• Los servidores de un arrendatario en cualquier VLAN, en cualquier pod, en cualquier centro de datos de todo el mundo puede llegar a todos los demás servidores de ese arrendatario de forma global.
• El VRF de cliente de cada arrendatario está conectado a la red de servicios compartidos comunes, para proporcionar accesibilidad privada para estos servidores para que utilicen DNS, almacenamiento compartido, supervisión, parches, etc.
• El cliente de VRF es un servicio de conectividad que proporciona aislamiento entre los arrendatarios. Cualquier control adicional necesario dentro de una tenencia debe suministrarse por separado utilizando una pasarela, grupos de seguridad o controles basados en host.

Ventajas de pasarse a VRF

Pasarse a VRF incluye las siguientes ventajas principales:

• tecnologías de separación de aislamiento múltiple de eficacia probada en el sector y ampliamente aceptadas. Muchos clientes de nube encuentran el enfoque de VPN de nivel 3 más agradable que las ACL para sus auditores y los responsables de la conformidad.
• Los clientes de IBM Cloud pueden ampliar o migrar el alcance de su red de forma significativa, debido a la adición de nuevos sitios o aplicaciones en toda la red de IBM.
• Las tablas de direccionamiento específicas de arrendatarios acotan la apertura de la superposición de direcciones IP, sin el riesgo de solapamiento con las subredes de otros arrendatarios u otras partes de la red que no son aplicables.

En comparación con el modelo anterior de ACL, hay menos intercambios a tener en cuenta.

• La conversión a un VRF de cliente requiere una ventana de mantenimiento, lo que provoca una interrupción breve de los flujos de tráfico de la red troncal.
• El acceso remoto utilizando los servicios VPN gestionados (SSL, IPsec) está limitado a sólo la VPN de SSL en un centro de datos; no obstante, la ACL compartida en el servicio troncal permite el acceso global desde cualquier punto de entrada de cualquier servicio.
• La expansión de VLAN es una característica del modelo de arrendamiento compartido y no está disponible en un VRF; estará disponible tras la conversión al VRF cliente.
• El servicio gestionado por VPN de IPsec en el acceso remoto de la infraestructura clásica de IBM Cloud no está disponible.

Muchos clientes de IBM Cloud operan actualmente con un modelo de arrendamiento compartido en la red de IBM Cloud. Durante la conversión, su tenencia compartida se convierte para utilizar un VRF de cliente, generalmente con una nueva suscripción de Direct Link.

Para obtener información específica sobre cómo iniciar una conversión VRF para su cuenta, consulte las instrucciones de conversión para su oferta de IBM Cloud (por ejemplo, IBM Cloud instrucciones de conversión de puntos finales de servicio).