Información sobre los puntos finales de Link y Satellite

Abra puntos finales de Satellite en el plano de control de Satellite para controlar y auditar el tráfico de red entre la ubicación y los servicios de IBM Cloud Satellite®, los servidores o las apps que se ejecutan fuera de la ubicación.

Con los puntos finales de Satellite Link, puede permitir que cualquier cliente que se ejecute en su ubicación de Satellite se conecte a un servicio, un servidor o una app que se ejecute fuera de la ubicación o puede permitir que un cliente que esté conectado a la red privada de IBM Cloud se conecte a un servicio, un servidor o una app que se ejecute en su ubicación.

Para establecer la conexión, hay que especificar el nombre de dominio completo (FQDN) o la dirección IP del recurso de destino, el puerto, el protocolo de conexión y los métodos de autenticación en el punto final. El punto final se registra con el componente Satellite Link del plano de control de Satellite de la ubicación. Para ayudarle a mantener la seguridad de la empresa y la conformidad de auditoría, Satellite Link también proporciona controles integrados para restringir el acceso de cliente a puntos finales y para registrar y auditar el tráfico que fluye sobre puntos finales.

Arquitectura

Puede crear dos tipos de puntos finales, en función de su caso de uso: un punto final de nube o un punto final de ubicación.

Punto final de nube: El recurso de destino se ejecuta fuera de la ubicación de Satellite. Un punto final de nube le permite conectarse de forma segura a un servicio, un servidor o una app que se ejecuta fuera de la ubicación de un cliente dentro de la ubicación de Satellite.
Punto final de ubicación: El recurso de destino se ejecuta en la ubicación de Satellite. Un punto final de ubicación le permite conectarse de forma segura a un servidor, un servicio o una app que se ejecuta en su ubicación de Satellite desde un cliente que está conectado a la red privada IBM Cloud.

El servidor de túnel y el conector proxy de tráfico de red a través de una conexión TLS segura entre los servicios en la nube y los recursos en su ubicación Satellite. Este túnel de enlace sirve como ruta de comunicación a través de internet que utiliza el protocolo TCP y el puerto 443, y cifra las cargas útiles a través de TLS. Se crean tres túneles entre el servidor de túneles en IBM Cloud y el conector en los nodos del plano de control de la ubicación. Esta redundancia da soporte a las tres zonas de disponibilidad de la ubicación y ayuda a garantizar la comunicación en caso de error de zona único. No obstante, los tres túneles se coordinan para que el cliente que utiliza un punto final de enlace vea una única conexión. Para obtener más información sobre los componentes de Satellite Link, consulte el apartado sobre la Arquitectura de Satellite.

Punto final de nube

De forma predeterminada, los clientes de origen de la ubicación de Satellite no pueden acceder a los recursos de destino que se ejecutan fuera de la ubicación porque la dirección IP del recurso de destino no se puede direccionar desde la ubicación. Revise el diagrama de arquitectura y los pasos siguientes, que muestran cómo Satellite Link permite la comunicación entre ubicaciones de Satellite y servicios que se ejecutan fuera de las ubicaciones a través de puntos finales de Satellite.

Tráfico de red a través de Satellite Enlace. — Flujo de tráfico de red desde un origen en la ubicación IBM Cloud Satellite a un recurso de destino en IBM Cloud a través de Satellite Enlace

Cuando crea un punto final para su recurso de destino, se abre un puerto para el conector Satellite Link en sus nodos del plano de control Satellite. Las solicitudes procedentes de orígenes de la ubicación de Satellite se realizan al nombre de host y puerto del conector de Satellite, como por ejemplo nae4dce0eb35957baff66-edfc0a8ba65085c5081eced6816c5b9c-c000.us-east.satellite.appdomain.cloud:30819. Este nombre de host y puerto de Link se correlacionan con el dominio y el puerto del recurso de destino.
El conector Satellite Link reenvía la solicitud al servidor de túneles Satellite Link en el plano de gestión Satellite a través de una conexión TLS segura.
El servidor de túnel de Satellite Link resuelve la solicitud en la dirección IP y el puerto del destino y reenvía la solicitud al recurso de destino.

Punto final de ubicación

De forma predeterminada, los clientes de origen que están conectados a la red privada de IBM Cloud no pueden acceder a los recursos de destino que se ejecutan en la ubicación de Satellite porque la dirección IP del recurso de destino no resulta direccionable desde fuera de la ubicación. Revise el diagrama de arquitectura y los pasos siguientes, donde se muestra cómo Satellite Link permite la comunicación procedente de servicios que están conectados a la red privada IBM Cloud con las ubicaciones a través de puntos finales de Satellite.

Cuando crea un punto final para un recurso que se ejecuta en la ubicación de Satellite, se abre un puerto en el servidor de túnel de Satellite Link y se añade en la configuración de punto final. Las solicitudes procedentes de orígenes que están conectados a la red privada de IBM Cloud se envían al nombre de host del servidor de túnel de Satellite Link y a este puerto, por ejemplo c-01.us-east.link.satellite.cloud.ibm.com:30819. Este nombre de host y puerto de Link se correlacionan con el dominio y el puerto del recurso de destino.
El servidor de túnel de Satellite Link resuelve la solicitud al puerto de punto final y nombre de host del conector de Satellite Link y reenvía la solicitud al conector de Satellite Link sobre una conexión TLS segura.
El conector de Satellite Link resuelve la solicitud en la dirección IP y el puerto del destino y reenvía la solicitud al recurso de destino.

¿Qué ocurre si Satellite Link deja de estar disponible?: Las cargas de trabajo de su ubicación siguen ejecutándose de forma independiente incluso si la conectividad de la ubicación con IBM Cloud no está disponible. Sin embargo, si las aplicaciones utilizan un punto final de Link para comunicarse con IBM Cloud, la comunicación entre dichas apps y IBM Cloud se interrumpe. Además, los cambios solicitados en la ubicación de Satellite, como por ejemplo añadir hosts o solicitudes de control de acceso a los servicios de IBM a través de Cloud Identity and Access Management, se interrumpen. Una vez restablecida la conectividad, los registros y eventos se envían a sus instancias de IBM Cloud Logs. Tenga en cuenta que Satellite Link depende de la conectividad subyacente de la red local de los hosts para supervisar y mantener los servicios gestionados para su ubicación de Satellite.

Requisitos y seguridad de la red externa

La infraestructura de su ubicación de Satellite forma parte de la red local (hosts locales) o de la red de otro proveedor de nube, pero se gestiona de forma remota mediante acceso seguro desde IBM Cloud. Consulte las siguientes preguntas frecuentes sobre seguridad de la red de Satellite Link. Para obtener más información sobre todas las opciones de seguridad para IBM Cloud Satellite, consulte Seguridad y conformidad para Satellite.

¿Tengo que permitir un tráfico de entrada único para puertos abiertos a Internet utilizando cortafuegos hacia mi ubicación?

No. Satellite Link utiliza puertos de seguridad web estándar para originar la comunicación cifrada desde su ubicación a IBM Cloud para la gestión de ubicaciones. Satellite crea entradas de DNS públicas exclusivas para cada ubicación y asigna puertos dentro del rango 32768 - 52768 para TCP de forma que IBM Cloud pueda resolver las direcciones de destino de forma predecible. Los canales de comunicación sobre puntos finales de Link entre la ubicación de Satellite y IBM Cloud se permiten a través de las existentes políticas de cortafuegos de salida existentes para hosts.

Si IBM es propietario del túnel de Link, ¿cómo puedo comprobar que nuestros datos son inaccesibles? La política de seguridad de mi organización no permite túneles desde nuestras redes.

Satellite Link utiliza un modelo de confianza cero; IBM Cloud no tiene acceso a las cargas de trabajo de forma predeterminada. Cualquier gestión de la infraestructura en la ubicación que inicien los ingenieros de fiabilidad del sitio de IBM sobre Satellite Link está aislado de las cargas de trabajo y las conexiones de red que utilizan las cargas de trabajo, como por ejemplo los puntos finales de Link. Para obtener más información sobre qué tipos de acceso tiene IBM Cloud en la ubicación de Satellite, consulte Acceso operativo de IBM. Para cualquier otra conexión en su ubicación que necesiten sus aplicaciones, puede utilizar Satellite Link para crear comunicaciones de capa 4 configurando un punto final para cada recurso de destino en su ubicación. Todas las conexiones a través de sus puntos finales siempre están bajo su control, incluyendo los puntos finales completamente inhabilitadores.

¿Cómo consigo que mis datos sean seguros en tránsito?

Los puntos finales de enlace entre la ubicación y IBM Cloud están protegidos a través de dos niveles de cifrado: cifrado de alta seguridad desde el conector de la ubicación a IBM Cloud proporcionado por IBM, y una capa de cifrado adicional opcional entre los recursos de origen y de destino.

Todos los datos que se transportan a través de Satellite Link se cifran mediante estándares de TLS 1.3. Este nivel de cifrado lo gestiona IBM.

Cuando cree un punto final, puede proporcionar opcionalmente otro nivel de cifrado especificando protocolos de cifrado de datos para la conexión de punto final entre el origen de cliente y el recurso de destino. Por ejemplo, aunque el tráfico no está cifrado en el lado de origen, puede especificar el cifrado TLS para la conexión que va a través de Internet. Puede proporcionar sus propios certificados firmados para garantizar la seguridad interna y la capacidad de auditoría operativa sin exponer ningún contenido de datos. IBM solo transporta la conexión cifrada y los recursos deben configurarse para los protocolos de cifrado de datos que especifique.

Protocolos de cifrado

Todas las comunicaciones en Satellite Link están cifradas por IBM. Cuando cree un punto final, puede especificar opcionalmente un protocolo de cifrado de datos adicional para la conexión de punto final entre el origen de cliente y el recurso de destino. Por ejemplo, aunque el tráfico no está cifrado en el lado de origen, puede especificar su propio cifrado TLS adicional para la conexión que va a través de Internet. Tenga en cuenta que sus recursos deben estar configurados para los protocolos de cifrado de datos que especifique.

Consulte la información siguiente sobre cómo Satellite Link maneja cada tipo de protocolo de conexión.

Si utiliza la consola de Satellite para crear un punto final, el protocolo de destino se hereda del protocolo de origen que seleccione. Para especificar un protocolo de destino, utilice la CLI para crear un punto final e incluya la opción --dest-protocol en el mandato ibmcloud sat endpoint create.

TCP y TLS

Si el recurso de destino no requiere solicitudes con una cabecera específica de nombre de host HTTP o HTTPS, o si puede aceptar solicitudes directas a su dirección IP en lugar de su nombre de host, utilice los protocolos TCP o TLS. Satellite Link utiliza el mismo protocolo que la solicitud para transferir el paquete de solicitud al destino.

HTTP and HTTPS

Si el recurso de destino está configurado para escuchar una cabecera de nombre de host HTTP o HTTPS específica, utilice los protocolos HTTP o HTTPS. Mediante la correlación de cabeceras HTTP y HTTPS, Satellite Link puede direccionar correctamente las solicitudes de varios recursos de destino a través de los puertos TCP 80 (HTTP) y 443 (HTTPS).

Punto final de nube: Las solicitudes de origen desde su ubicación de Satellite al recurso de destino que se ejecuta fuera de la ubicación contienen una cabecera HTTP, como por ejemplo linkconnector_hostname:port. Cuando la solicitud se envía desde el conector de Satellite Link al servidor de túnel de Satellite Link, el servidor de túnel de Satellite Link cambia la cabecera HTTP de la solicitud por el nombre y el puerto de host de destino, como por ejemplo dest_hostname:dest_port. A continuación, el túnel de Satellite Link utiliza el nombre de host y el puerto del destino para reenviar la solicitud al recurso de destino correcto.
Punto final de ubicación: Las solicitudes de origen de los clientes que se ejecutan fuera de la ubicación en el recurso de destino en la ubicación de Satellite contienen una cabecera HTTP, como por ejemplo linkserver_hostname:endpoint_port. El servidor de túnel de Satellite Link cambia la cabecera HTTP de la solicitud por el nombre y el puerto de host de destino, como por ejemplo dest_hostname:dest_port, y envía la solicitud al conector de Satellite Link. A continuación, el conector de Satellite Link utiliza el nombre de host y el puerto del destino para enviar la solicitud al recurso de destino correcto.

Túnel HTTP

Si desea que las conexiones de TLS pasen de forma ininterrumpida desde el origen al recurso de destino, como por ejemplo para pasar un certificado al destino para la autenticación mutua, utilice el protocolo de túnel HTTP.

El origen del cliente realiza una solicitud de conexión HTTP al componente de conector o servidor de túnel de Satellite Link, en función de si el destino se ejecuta fuera de la ubicación o dentro de la ubicación de Satellite. A continuación, el componente Link establece la conexión con el recurso de destino. Una vez establecida la conexión inicial, el componente Link envía por proxy la conexión TCP entre el origen y el destino de forma ininterrumpida.

El componente Satellite Link no participa en la terminación de TLS para el tráfico cifrado, por lo que el recurso de destino debe terminar la conexión TLS. Por ejemplo, si el recurso de destino requiere autenticación mutua, el protocolo de túnel HTTP permite que el origen del cliente pase el certificado de autenticación necesario directamente al destino.

Autenticación de certificados del lado del servidor para TLS y HTTPS

Si selecciona los protocolos TLS o HTTPS, puede requerir opcionalmente la verificación del lado del servidor del certificado del destino. El certificado debe ser válido para el nombre de host del destino y debe estar firmado por una entidad emisora de certificados de confianza.

Si el recurso de destino tiene un certificado, no es necesario que proporcione el certificado al crear el punto final. Sin embargo, si está probando el acceso a un recurso de destino que todavía está en desarrollo y aún no tiene un certificado de confianza, puede cargar un certificado autofirmado para su verificación. Este archivo ssl.crt debe contener el certificado público codificado en base 64 para el nombre de host del recurso y no debe contener la clave de certificado ssl.key privada. Para crear un certificado autofirmado con fines de prueba utilizando OpenSSL,, consulte este tutorial sobre certificados SSL autofirmados.

Controles de acceso y auditoría

Satellite Link proporciona controles integrados para ayudarle a restringir los clientes que pueden acceder a los puntos finales y auditar los sucesos iniciados por el usuario para puntos finales de enlace.

Restringir el acceso con listas de origen

De forma predeterminada, después de configurar un punto final, cualquier cliente puede conectarse al recurso de destino a través del punto final. Por ejemplo, para un punto final de ubicación, cualquier cliente que esté conectado a la red privada de IBM Cloud puede utilizar el punto final para conectarse al recurso de destino que se ejecuta en la ubicación de Satellite. Para limitar el acceso al recurso de destino, puede especificar una lista de rangos de IP de origen de modo que solo los clientes de confianza puedan acceder al punto final. Tenga en cuenta que actualmente solo puede crear listas de orígenes para puntos finales de tipo location (ubicación) y no puede crear listas de orígenes para puntos finales de tipo cloud (nube).

Auditar sucesos iniciados por el usuario

Después de configurar las listas de fuentes para los puntos finales, puede configurar la auditoría para supervisar los eventos iniciados por el usuario para los puntos finales de enlace. IBM Cloud Satellite se integra con IBM Cloud Logs para recopilar y enviar eventos de auditoría de todos los puntos finales de enlace de su ubicación a su instancia IBM Cloud Logs. Para empezar con la auditoría, consulte Auditoría de sucesos para acciones de punto final.

Casos de uso

Revise la siguiente lista de casos de uso generales y casos de uso de ejemplo para puntos finales de Satellite Link.

¿Puedo utilizar puntos finales de enlace para

conectar recursos dentro de una misma ubicación de Satellite?: No. No se pueden crear puntos finales de enlace entre recursos en una misma ubicación. Los recursos pueden acceder a otros recursos directamente. Por ejemplo, una aplicación que se ejecuta en un clúster de Red Hat OpenShift en Satellite no necesita comunicarse a través de Satellite Link para acceder a una base de datos que existe en la misma ubicación, y en su lugar puede acceder a esa base de datos directamente a través de la red privada de la ubicación.
Exponer aplicaciones o servicios que se ejecutan en un clúster de Red Hat OpenShift en Satellite?: Para ver las opciones disponibles, consulte Exposición de apps en clústeres de Satellite.
Puentear redes dentro de la red pública de IBM Cloud, como por ejemplo expansión de VPC?: No. En su lugar, utilice la solución de puenteo que se recomienda para su configuración de red. Por ejemplo, puede utilizar Virtual Private Network (VPN) for VPC o IBM Cloud® Direct Link.
conectarme a otras nubes públicas?: Sí. Con Satellite Link, se pueden crear puntos finales de cloud para recursos que ejecutan en otras nubes públicas.

Ejemplo: Conectar desde una ubicación de Satellite a un servicio en otro proveedor de nube

Supongamos que desea enviar datos de un servidor que se ejecuta en un host de su ubicación Satellite a un servicio que se ejecuta en Amazon Web Services. El servicio debe ser de acceso público para que el túnel de Satellite Link, que termina en la red de IBM Cloud, pueda acceder al servicio en la red AWS.

Para establecer esta conexión, primero debe crear un punto final de tipo cloud. Especifique el servicio que se ejecuta en AWS como recurso de destino. A continuación, el servidor del host de su ubicación se conecta directamente al nombre de host del conector Satellite Link en los nodos del plano de control de su ubicación. Satellite Link reenvía esta solicitud al punto final de la nube que ha creado para el servicio que se ejecuta en AWS.

Ejemplo: Habilitar y auditar el acceso limitado a una ubicación de Satellite desde IBM Cloud

Supongamos que ejecuta una base de datos en su ubicación de Satellite en lugar de en IBM Cloud, ya que la base de datos tiene requisitos legales para que se ejecute en el centro de datos local en un país específico. Sin embargo, debe conectarse a la base de datos de la ubicación de Satellite desde la red privada de IBM Cloud.

Para establecer esta conexión, primero debe crear un punto final de tipo location. Especifique la base de datos que se ejecuta en la ubicación de Satellite como recurso de destino. A continuación, el cliente de la red privada de IBM Cloud se conecta directamente al nombre de host del servidor de túnel de Satellite Link. Satellite Link reenvía esta solicitud al punto final de ubicación que ha creado para la base de datos en su ubicación.

Por último, para mantener la seguridad de la empresa y la conformidad de auditoría, debe especificar una lista de rangos de IP de origen de forma que solo los clientes de confianza de la nube pública puedan acceder a la base de datos de la ubicación a través del punto final. A continuación, debe configurar una instancia de IBM Cloud Logs para que los registros de auditoría se puedan recopilar automáticamente para todos los puntos finales de la ubicación de Satellite.