IBM Cloud® Introducción al entorno de infraestructura de la nube privada virtual (VPC)
Un entorno de infraestructura como servicio ( IaaS ) consta de muchos componentes, principalmente computación, almacenamiento y red de una región específica (como EE. UU.) y una ubicación de sitio designada (también denominada zona), que es un sitio de centro de datos.
Despliegue y gestión
IBM Cloud Las ofertas de infraestructura de VPC, como los servidores virtuales o físicos, se implementan a través de la consola de infraestructura de VPC de IBM Cloud.
De forma alternativa, los despliegues se pueden realizar y gestionar mediante:
- IBM Cloud CLI
- Llamadas a la API de IBM Cloud VPC Infrastructure que utilizan una clave de API de IBM Cloud
- Terraform Provider for IBM Cloud mediante una clave de API de IBM Cloud
Para obtener más información, consulte Gestión de la infraestructura de VPC (IAM).
Ubicaciones - zonas de disponibilidad
Con zonas de disponibilidad en Norteamérica y Sudamérica, Europa, Asia y Australia, puede suministrar recursos de nube donde (y cuando) los necesite. Hay muchas regiones disponibles en todo el mundo, con múltiples zonas de disponibilidad en cada región. Cada zona de disponibilidad está conectada a la red privada global de IBM Cloud, realizando transferencias de datos de forma más rápida y eficiente en todo el mundo.
Para obtener más información sobre las zonas de disponibilidad de IBM Cloud, los centros de datos y los puntos de presencia ( PoPs ), consulte el mapa de regiones globales, zonas de disponibilidad y centros de datos.
Recursos de cálculo
Se pueden implementar dos tipos de recursos informáticos en un entorno de infraestructura VPC de IBM Cloud:
- Instancias de servidor virtual (VSI) de Intel
- Intel Bare Metal Servers
Estos recursos informáticos se ofrecen en diferentes perfiles que definen combinaciones de CPU y RAM.
Para obtener más información, consulte Infraestructura certificada para SAP.
Redes
La red de la infraestructura de IBM Cloud VPC es robusta, segura y flexible; está alimentada por lo último en hardware de red, con las mejores prestaciones de red. Permite el aislamiento definible y la creación de una red dentro de la nube.
| Red de infraestructuras de IBM Cloud VPC |
|---|
| Global |
| Región |
| VPC |
| Zona de disponibilidad (con prefijo de dirección) |
| Subred |
Cada IBM Cloud® Virtual Private Cloud se crea para una región y abarca varias zonas de disponibilidad.
Cuando despliega una VPC en una zona de disponibilidad, se utiliza un prefijo de dirección para esa zona especificada.
Cada zona VPC (y el prefijo de dirección) contiene una o más subredes. Puede definir cada subred manualmente seleccionando el rango de IP y la máscara de subred, o puede elegir el número de direcciones IP que necesita. Un recurso informático recién creado se implementa en esta subred y también se puede conectar a otras subredes.
Conectividad de red
La Visión general de la red de IBM Cloud® Virtual Private Cloud muestra la conectividad del entorno. Los problemas relacionados con la conectividad de red pueden provocar retrasos en el proyecto si no están correctamente planificados, independientemente de cómo tenga previsto utilizar el sistema.
En general, un VPC ( IBM Cloud ) tiene una red de alta disponibilidad y gran ancho de banda que está conectada a todos los recursos informáticos, ya sean servidores bare metal o servidores físicos, que, en el caso de VSI, sirven a un hipervisor. Cada servidor físico (host), que sirve a un hipervisor, divide la red en interfaces de red virtuales ( vNICs ) que están conectadas al servidor virtual.
Según el perfil del servidor virtual, el ancho de banda total disponible de red para el servidor virtual está en el rango de 4 Gbps a 64 Gbps. Es importante tener en cuenta que cada vNIC tiene un rendimiento máximo de 16 Gbps, por lo que para lograr el máximo rendimiento, se deben conectar hasta 4 vNICs adicionales al servidor virtual (es decir, un servidor virtual puede tener un máximo de 5 vNICs conectados).
Si necesita conectarse a su servidor virtual o bare metal a través de la Internet pública (también conocido como entrante a un servidor), puede solicitar una IP flotante y adjuntarla al servidor ( vNIC, ), en otras palabras: puede adjuntar una IP flotante por servidor.
Si desea conectarse a la Internet pública desde su servidor (también conocido como salida desde un servidor), debe adjuntar un Public Gateway a la VPC. Esta pasarela proporciona acceso a Internet para una subred entera.
Las siguientes opciones de interconectividad están disponibles:
- Zona a zona de VPC
- VPC a VPC
- VPC a infraestructura clásica
- VPC a IBM Power Systems Infrastructure,
- VPC a centros de datos locales mediante una pasarela VPN de VPC
Cuando una conexión a la Internet pública no es aceptable debido a medidas de seguridad, puede implementar una puerta de enlace IPsec en su VPC para conectarse a su servidor. Para obtener más información, consulte Conectividad con el entorno del sistema SAP - Pasarela VPN de VPC. O bien, puede tener una integración aún más estrecha en su infraestructura troncal mediante un IBM Cloud Direct Link. Para obtener más información, consulte Conectividad al entorno del sistema SAP - IBM Cloud Direct Link.
Los recursos del servidor que se encuentran en la infraestructura clásica de IBM Cloud se pueden conectar mediante pasarelas de tránsito. Estos dispositivos virtuales se utilizan para conectar las subredes VLAN privadas de la infraestructura clásica a las subredes VPC.
Para obtener más información, consulte Acerca de las redes para VPC y Configuración del acceso a la infraestructura clásica.
En la red de infraestructuras clásicas hay requisitos adicionales para habilitar la pasarela de tránsito, asegúrese de revisar la documentación antes de cambiar la configuración y la topología de red de la infraestructura clásica o la infraestructura de VPC.
Se recomienda que el departamento de red se ponga en contacto con el equipo de soporte de IBM Cloud después de determinar el diseño de su entorno y la conectividad necesaria en la capa de aplicación SAP.
Protección de redes
IBM Cloud® ofrece otros mecanismos de protección que pueden proporcionar a su Virtual Servers for VPC una capa de seguridad que puede configurar y adaptar en cualquier momento. Dos principios fundamentales son:
- Listas de control de acceso a la red (ACL): disponibles para utilizar en todas las subredes de todas las zonas. Las ACL se conectan a una subred y proporcionan protección a nivel de subred limitando el tráfico de entrada y salida de una subred.
- Grupos de seguridad: Disponible para su uso por todas las subredes en todas las zonas que están conectadas a un cortafuegos ( vNIC ) de cualquier servidor que proporcione protección a nivel de instancia actuando como cortafuegos para restringir el tráfico entrante y saliente de un cortafuegos ( vNIC ).
Para obtener más información, consulte Seguridad en la VPC.
Subredes para separar el tráfico
Si desea separar diferentes tipos de tráfico de red en su entorno, ya sea por restricciones de seguridad o por consideraciones de rendimiento, puede configurar y conectar varias subredes a su VPC y ponerlas también a disposición de sus recursos informáticos.
Lista de control de acceso a la red
Las Listas de control de acceso a la red (ACL) se utilizan para gestionar las reglas allow y deny a nivel de subred. Las ACL también se utilizan para gestionar el tráfico de red entre subredes. La ACL predeterminada
de una subred abre la subred a todo el tráfico. Si desea medidas de seguridad más estrictas, deberá añadir reglas a la ACL. Cuando añada reglas, tenga en cuenta que servicios necesarios como DNS o las descargas de parches o paquetes del
sistema operativo pueden verse afectados por dichas reglas. Para obtener más información, consulte Seguridad en la VPC.
Grupos de seguridad
Un grupo de seguridad es un conjunto de reglas de cortafuegos solo de permiso. Puede aplicar estas reglas a uno o más servidores de metal desnudo o VSI. También puede crear un grupo de seguridad predeterminado con Secure Shell (SSH) e ICMP (ping) durante la creación de la VPC, lo que permite ICMP y SSH desde cualquier dirección IP. Estas reglas deben restringir las IP o los rangos de IP desde los que planea acceder a la VPC.
Almacenamiento
El almacenamiento en bloque se proporciona con los servidores virtuales y utiliza operaciones de entrada/salida por segundo (IOPS) para determinar las necesidades de almacenamiento. Es ideal para aplicaciones con gran carga de almacenamiento y requisitos elevados de E/S, como un sistema operativo, y software de aplicación y base de datos. Esta opción es el compañero perfecto para las cargas de trabajo de SAP HANA.
Todo el almacenamiento en bloque se selecciona en función de las medidas de capacidad (GB) y rendimiento (IOPS) y se necesita para cumplir con una carga de trabajo específica de SAP.
Los valores de IOPS se miden en función del tamaño de bloque de 16 KB con una combinación de lectura/escritura de 50-50. Para conseguir un rendimiento máximo de E/S, se recomienda ver los perfiles de nivel y personalizados disponibles para el almacenamiento a fin de encontrar la combinación óptima de tamaño e IOPS.
Los volúmenes de almacenamiento difieren en rendimiento, según su nivel de IOPS. Puede seleccionar entre 3, 5 y 10 IOPS/GB (consulte Perfiles de IOPS por niveles). También puede seleccionar un tamaño personalizado (en GB e IOPS) basado en el tamaño del almacenamiento.
Si necesita más almacenamiento del inicialmente previsto en su servidor, puede adjuntar volúmenes adicionales más adelante. Póngase en contacto con el equipo de soporte de IBM Cloud para ver opciones de ampliación si el almacenamiento conectado no es suficiente para su carga de trabajo.