¿Qué es un VRA?

IBM Cloud® Virtual Router Appliance (VRA) le permite a un cliente de IBM Cloud® direccionar de forma selectiva tráfico de red público y privado a través de un direccionador de empresa completo con cortafuegos, reforma de tráfico, direccionamiento basado en políticas, VPN y un host de otras funciones. Todas las características de VRA están gestionadas por el cliente. VRA proporciona a un cliente un IBM Cloud un grado de control que normalmente está reservado para las redes locales.

¿Qué es un dispositivo de pasarela?

Con un elemento fijo de dispositivo de pasarela, puede utilizar el portal web o la API para seleccionar los segmentos de red (VLAN) para direccionar un VRA. Puede cambiar las selecciones VLAN en cualquier momento. El dispositivo de pasarela también maneja la alta disponibilidad de VRA, configurando un segundo VRA como sustituto por si el primero falla.

A veces veo referencias a término cómo "Vyatta" y "vRouter". ¿Cuál es la relación con VRA?

Vyatta era un software de código abierto para routers basados en PC que pasó a ser de código cerrado. A día de hoy, "Vyatta" y "Vyatta OS" describen adaptaciones de software comercial derivadas de ese proyecto de código cerrado. IBM VRA incorpora elementos de Vyatta OS, junto con importantes mejoras de características y servicio disponibles exclusivamente a través de IBM Cloud.

"vRouter" fue un intento efímero de cambiar la imagen corporativa de Vyatta por parte del entonces propietario. Cuando aparece en la documentación, puede considerarse como sinónimo de Vyatta.

¿Todavía se ofrece soporte a Vyatta 5400?

IBM ya no da soporte a Vyatta 5400 a partir del 31 de marzo de 2019.

¿Qué mejoras tiene IBM Cloud® Virtual Router Appliance (Vyatta 5600) respecto a Vyatta 5400?

Vyatta 5600 ofrece las mejoras siguientes respecto a Vyatta 5400:

• Un rendimiento más rápido, de hasta 10 Gbps por núcleo de CPU
• Mayor rendimiento de más de 3X por sesión VPN IPsec (estándar de cifrado avanzado)
• Mayor capacidad para direccionadores, flujos y conexiones simultáneas
• Soporte a las estándares soportados, incluida la encapsulación de Layer 2 Tunneling Protocol, versión 3 (L2TPv3), Internet Key Exchange, versión 2 (IKEv2), Secure Hash Algorithm 2 (SHA-2) y 802.1Q tunneling (Q-in-Q)

¿Qué pasa con la oferta de AT&T vRouter 5600?

AT&T (anteriormente Brocade) anunció el fin de la vida útil y el fin del soporte de su oferta de Brocade vRouter 5600. Si bien Brocade vRouter 5600 proporciona la capacidad de tecnología subyacente para IBM Cloud® Virtual Router Appliance, este anuncio no se aplica a los clientes de IBM. Los clientes de IBM seguirán recibiendo soporte para poder utilizarlo.

¿Cómo se suministra VRA?

Puede obtener una VRA solicitando una pasarela de red. Puede elegir un centro de datos y un servidor VRA adecuado, así como especificar si desea desplegar un par de VRAs en HA. Los servidores, los sistemas operativos y el elemento fijo de dispositivos de pasarela se suministran de manera automática. Cuando se complete, puede utilizar la interfaz de un dispositivo de pasarela para direccionar VLAN mediante VRA. Puede configurar VRA directamente mediante SSH (Secure Shell) con las contraseñas proporcionadas en la sección Detalles de hardware de la consola de IBM Cloud.

¿Es segura mi contraseña?

Sí. Se asignan contraseñas aleatorias a todos los VRA que son visibles solo para el titular de la cuenta. Las contraseñas se pueden cambiar fácilmente, de igual forma que las claves públicas SSH y las restricciones de acceso IP de administrador.

¿Puedo obtener VRA sin un dispositivo de pasarela?

Sí, pero solo puede gestionar el tráfico entre las interfaces públicas y privadas de VRA. VLAN y la alta disponibilidad requieren el elemento fijo del dispositivo de pasarela.

¿Se envía todo el tráfico a través de VRA?

No. El dispositivo de pasarela permite seleccionar los segmentos de red privada y pública (VLAN) que desea direccionar a través de la VRA. Puede cambiar e ignorar las selecciones VLAN en cualquier momento. VRA también le permite definir las reglas que se aplican a las subredes o rangos de IP. Las reglas funcionan solo si las VLAN que contienen dichas subredes se direccionan mediante VRA.

¿Puede VRA o un cortafuegos dedicado impedir nuevas provisiones de servidor?

Sí. Siempre que sea posible, no debería cerrar la red hasta que la haya rellenado con los servidores que tiene pensado utilizar.

El soporte de IBM tiene prohibido por política examinar o alterar la configuración de VRA o de cortafuegos dedicados sin la participación explícita del cliente, por lo que el soporte no puede saber que un VRA es responsable del bloqueo o el fallo de las provisiones del servidor.

Es responsabilidad del cliente asegurarse de que VRA o el cortafuegos están configurados para permitir provisiones de servidor automatizado antes de que se realice el pedido de servidor. Es responsabilidad del cliente resolver las disposiciones que están bloqueadas por un VRA gestionado por un cliente o un cortafuegos. Los retrasos de dicho suministro no están sujetos a SLA o créditos. Los sistemas ordenados pueden devolverse al inventario (después se borran los datos de cliente) si el cliente no responde rápidamente.

Del mismo modo, si un VRA o cortafuegos se ignora después de realizar un pedido, sigue siendo probable que el pedido falle. Es posible que haya una ventana estrecha durante la que se reintenta la automatización. Es mejor que el todo el proceso de suministro proceda sin interferencias en la red.

¿Qué productos de cortafuegos ofrece IBM?

Para ver una comparación detallada de todos los productos de cortafuegos que se ofrecen en IBM Cloud, consulte Explorar cortafuegos.

¿Puede confundir VRA la tarea del soporte al cliente?

Sí, por los motivos anteriores. VRA es una caja negra: entran y salen VLAN, y el servicio de soporte de IBM no sabe lo que hacen los clientes con los paquetes mientras tanto.

El soporte de IBM siempre hace todo lo posible, pero con VRA y el cortafuegos dedicado:

1. La privacidad de cliente supera la conectividad.
2. Nuestro personal de soporte no está equipado para analizar las configuraciones de cortafuegos o VRA muy complejas o mal formadas.

Como primer paso de diagnóstico, el servicio de soporte de IBM le puede solicitar que ponga las VLAN de cortafuegos o VRA en modalidad de omisión. Si, en este estado, las disposiciones que han fallado empiezan a funcionar, es probable que el problema proceda de la configuración del cortafuegos o VRA.

¿Qué efecto tiene VRA en mi rendimiento de red?

Tenga en cuenta que aunque no pueden verlo, una nube pública comparte las redes con otros clientes. El mejor rendimiento de VRA se determina por la capacidad de red disponible en un momento determinado, además de la distancia que deben recorrer los datos.

Dejando a un lado estas variables, VRA puede reenviar 80 Gbps de tráfico sin modificar a través de múltiples interfaces utilizando la fórmula aproximada de que cada 10 Gbps de rendimiento requiere un núcleo de procesador completo (sin incluir hyperthread). Los servidores actuales alcanzan un máximo de 40 Gbps (2 x 10 Gbps públicos + 2 x 10 Gb privados). Como resultado, un servidor con 8 o más núcleos tiene suficiente capacidad de cálculo para manejar múltiples funciones comunes de VRA con un rendimiento de red cercano al óptimo

¿Qué debo hacer si pierdo la contraseña de VRA?

Si puede acceder al sistema, establezca una nueva contraseña ejecutando el mandato siguiente:

set system login user [account] authentication plaintext-password [password]

Si no puede acceder al sistema, puede reiniciar el dispositivo y utilizar la opción de recuperación de contraseña del menú GRUB para restablecer la contraseña del usuario root.

¿Qué debo hacer si el cortafuegos se bloquea?

La construcción reboot at [time] puede ser útil al probar reglas de cortafuegos potencialmente peligrosas.

Si la regla funciona, utilice el comando reboot cancel para cancelar el reinicio. Si la regla bloquea su acceso, simplemente espere a que se produzca el reinicio programado.

Si no puede acceder al sistema, deberá reiniciar para recuperar el acceso. Tras el rearranque, el sistema lee el archivo de configuración, que permanece sin cambios según las entradas previas descartadas.

Si hay acceso mediante IPMI, siga estos pasos para recuperar el acceso:

1. Inhabilitar la regla errónea ejecutando:

   	set security firewall name [firewall name] rule [rule number] disable
   	commit
   

2. Separe el conjunto de reglas con nombre de la interfaz necesaria ejecutando:

   	delete interfaces dataplane [interface] firewall [type] [firewall name]
   	commit
   

El uso incorrecto de estos mandatos puede borrar la configuración de la interfaz.

¿Por qué querría ejecutar dos dispositivos Vyatta en un par de alta disponibilidad (HA)?

La mayoría de los clientes de cloud desean servicios de HA. Esto significa que la carga de trabajo se aloja en al menos dos máquinas (hardware) separadas o, aún mejor, en dos zonas de disponibilidad distintas (centros de datos de opinión), de modo que si una falla, la otra puede continuar el servicio. Si una máquina falla, se produce una migración tras error a la otra máquina, lo que significa que el servicio se puede seguir ejecutando. Esto es lo que se conoce como un servicio de HA, está casi siempre disponible.

¿Cómo puedo inhabilitar los inicios de sesión como root para VRA?

Para habilitar el acceso como usuario root mediante SSH, ejecute el mandato siguiente:

set service ssh allow-root

Permitir el acceso como usuario root mediante SSH no se considera seguro.

Una alternativa para acceder a un shell root es iniciar sesión como otro usuario y elevar a root localmente con su - o permitir mandatos sudo a los superusuarios. Por ejemplo, para configurar Vyatta como superusuario:

set system login vyatta level superuser

¿Cómo actualizo el firmware?

Es importante mantener el firmware actualizado para asegurarse de que su dispositivo de puerta de enlace de red tenga una compatibilidad y estabilidad óptimas. Usted tiene la función y la responsabilidad del mantenimiento y funcionamiento continuos de sus dispositivos; el soporte técnico IBM Cloud no realiza actualizaciones en su nombre.

Si una versión de firmware está desfasada, puede actualizarla seleccionando el aparato en la lista de dispositivos y haciendo clic en Actualizar firmware en el menú de acciones. También puede inicializar una actualización de firmware durante el proceso de Recarga del SO. Después de iniciar la actualización, se ejecuta una transacción para actualizar automáticamente el firmware de la BIOS y cualquier otra opción de firmware que hayas seleccionado.

No se puede inicializar una actualización de firmware cuando un dispositivo de puerta de enlace está encendido. Asegúrese de que el aparato está apagado antes de inicializar una actualización de firmware.

Si necesita actualizar varios nodos, es una buena práctica actuar en un nodo cada vez. La actualización de un solo nodo minimiza las interrupciones cuando se produce la conmutación por error para la segunda actualización del firmware.

Las actualizaciones de firmware pueden tardar hasta 4 horas en completarse. Si la actualización tarda más de 4 horas, comprueba si hay un caso de asistencia abierto. Si no hay un caso de asistencia abierto, puedes ponerte en contacto con el servicio de asistencia o abrir un caso para obtener ayuda.

¿Puedo actualizar la BIOS por separado de otras actualizaciones de firmware?

Sí, es posible actualizar sólo la BIOS sin problemas. Cuando esa opción está disponible, se ve como una opción en la página del dispositivo en la consola IBM Cloud, junto con otras opciones de actualización, como la tarjeta de red. Para una compatibilidad óptima de los dispositivos, una buena práctica es realizar las actualizaciones recomendadas para la BIOS y la tarjeta de red al mismo tiempo para que ambas utilicen la última versión.