Entendendo os terminais de Link e o Satellite

Abra os terminais do Satellite no plano de controle do Satellite para controlar e auditar o tráfego de rede entre a sua localização do IBM Cloud Satellite® e os serviços, servidores ou apps que são executados fora da localização.

Com terminais do Satellite Link, é possível permitir que qualquer cliente executado em sua localização do Satellite se conecte a um serviço, servidor ou app executado fora da localização ou permitir que um cliente conectado à rede privada da IBM Cloud se conecte a um serviço, servidor ou app executado em sua localização.

Para estabelecer a conexão, deve-se especificar o nome completo do domínio (FQDN) do recurso de destino ou o endereço IP, a porta, o protocolo de conexão e quaisquer métodos de autenticação no terminal. O terminal é registrado com o componente Satellite Link do plano de controle do Satellite de sua localização. Para ajudá-lo a manter a conformidade de segurança e auditoria corporativa, o Satellite Link fornece controles integrados de forma adicional, a fim de restringir o acesso do cliente aos terminais e registrar e auditar o tráfego que flui neles.

Arquitetura

É possível criar dois tipos de terminais, dependendo de seu caso de uso: um terminal de nuvem ou um terminal de localização.

Terminal em nuvem: O recurso de destino é executado fora do local do Satellite. Um terminal de nuvem permite que você se conecte de forma segura a um serviço, servidor ou app que é executado fora da localização por meio de um cliente dentro de sua localização do Satellite.
Terminal de localização: O recurso de destino é executado no local do Satellite. Um terminal de localização permite que você se conecte de forma segura a um servidor, serviço ou app que é executado em sua localização do Satellite por meio de um cliente conectado à rede privada da IBM Cloud.

O servidor de túnel e o conector fazem o proxy do tráfego de rede por meio de uma conexão TLS segura entre os serviços de nuvem e os recursos em seu local Satellite. Este túnel de Link serve como um caminho de comunicação pela Internet que usa o protocolo TCP e a porta 443 e criptografa cargas úteis por meio do TLS. Três túneis são criados entre o servidor de túneis em IBM Cloud e o conector nos nós do plano de controle do local. Esta redundância suporta as três zonas de disponibilidade da seu local e ajuda a garantir a comunicação em caso de falha de uma única zona. No entanto, os três túneis são orquestrados juntos para que o cliente que usa um terminal de Link veja uma conexão única. Para obter mais informações sobre os componentes do Satellite Link, consulte a Arquitetura do Satellite.

Terminal em nuvem

Por padrão, os clientes de origem em sua localização do Satellite não podem acessar os recursos de destino que são executados fora da localização porque o endereço IP do recurso de destino não é roteável de dentro da localização. Revise o diagrama e as etapas de arquitetura a seguir, que demonstram como o Satellite Link permite a comunicação de localizações do Satellite com serviços que são executados fora das localizações por meio de terminais do Satellite.

tráfego de rede através do Satellite Link. — Fluxo de tráfego de rede a partir de uma fonte no seu IBM Cloud Satellite localização para um recurso de destino em IBM Cloud através de Satellite Link

Quando você cria um ponto de extremidade para o recurso de destino, uma porta é aberta para o conector Satellite Link nos nós do plano de controle Satellite. As solicitações de origens em sua localização do Satellite são feitas para o nome do host do conector do Satellite Link e a porta, como nae4dce0eb35957baff66-edfc0a8ba65085c5081eced6816c5b9c-c000.us-east.satellite.appdomain.cloud:30819. Esse nome do host e porta do Link são mapeados para o domínio e a porta do recurso de destino.
O conector Satellite Link encaminha a solicitação para o servidor de túnel Satellite Link no plano de gerenciamento Satellite por meio de uma conexão TLS segura.
O servidor de túnel do Satellite Link resolve a solicitação para o endereço IP e a porta do destino e encaminha a solicitação para o recurso de destino.

Terminal de localização

Por padrão, os clientes de origem conectados à rede privada da IBM Cloud não podem acessar os recursos de destino que são executados em sua localização do Satellite porque o endereço IP do recurso de destino não é roteável de fora da localização. Revise o diagrama e as etapas de arquitetura a seguir, que demonstram como o Satellite Link permite a comunicação de serviços que estão conectados à rede privada da IBM Cloud com as localizações por meio de terminais do Satellite.

Ao criar um terminal para um recurso que é executado em sua localização do Satellite, uma porta é aberta no servidor de túnel do Satellite Link e incluída na configuração de terminal. As solicitações de origens conectadas à rede privada da IBM Cloud são feitas para o nome do host do servidor de túnel do Satellite Link e esta porta, tal como c-01.us-east.link.satellite.cloud.ibm.com:30819. Esse nome do host e porta do Link são mapeados para o domínio e a porta do recurso de destino.
O servidor de túnel do Satellite Link resolve a solicitação para o nome do host do conector do Satellite Link e a porta do terminal e encaminha a solicitação para o conector do Satellite Link sobre uma conexão TLS segura.
O conector do Satellite Link resolve a solicitação para o endereço IP e a porta do destino e encaminha a solicitação para o recurso de destino.

O que acontece se o Satellite Link ficar indisponível?: Suas cargas de trabalho na localização continuarão a ser executadas de forma independente, mesmo se a conectividade da localização com a IBM Cloud estiver indisponível. No entanto, se algum aplicativo usar um terminal do Link para se comunicar com a IBM Cloud, a comunicação entre esses apps e a IBM Cloud será interrompida. Além disso, quaisquer mudanças solicitadas ao seu local do Satellite, como inclusão de hosts ou solicitações de controle de acesso aos serviços IBM por meio do Cloud Identity and Access Management, são interrompidas. Depois que a conectividade é restaurada, os registros e eventos são enviados para as instâncias do IBM Cloud Logs. Observe que o Satellite Link depende da conectividade subjacente da rede local de seus hosts para monitorar e manter os serviços gerenciados para o local do Satellite.

Requisitos de rede externa e segurança

Sua infraestrutura de localização do Satellite é uma parte de sua rede local (hosts na localização) ou da rede de outro provedor em nuvem, mas é gerenciada remotamente por meio de acesso seguro da IBM Cloud. Revise as perguntas mais frequentes a seguir sobre a segurança da rede do Satellite Link. Para obter mais informações sobre todas as opções de segurança para o IBM Cloud Satellite, consulte Segurança e conformidade para o Satellite.

É necessário permitir qualquer tráfego de entrada exclusivo de portas voltadas à Internet através de firewalls para a minha localização?

No. O Satellite Link usa portas de segurança da web padrão para originar a comunicação criptografada de sua localização para a IBM Cloud para gerenciamento de localização. O Satellite cria entradas de DNS públicas exclusivas para cada local e designa portas da faixa de 32768 - 52768 para TCP para que os endereços de destino possam ser previsivelmente resolvidos pela IBM Cloud. Os canais de comunicação sobre os terminais do Link entre a sua localização do Satellite e a IBM Cloud são permitidos por meio de suas políticas de firewall de saída existentes para hosts.

Se a IBM tem o túnel Link, como posso validar que nossos dados estão inacessíveis? A política de segurança da minha organização não permite túneis de nossas redes.

O Satellite Link usa um modelo de confiança zero; o IBM Cloud não tem acesso às suas cargas de trabalho por padrão. Qualquer gerenciamento de infraestrutura em sua localização que é iniciado pelos engenheiros de confiabilidade de site da IBM no Satellite Link é isolado de suas cargas de trabalho e das conexões de rede, como os terminais de Link, que suas cargas de trabalho usam. Para obter mais informações sobre quais tipos de acesso que a IBM Cloud tem ao seu local do Satellite, consulte Acesso operacional da IBM. Para quaisquer outras conexões à sua localização que seus aplicativos requeiram, é possível usar o Satellite Link para criar comunicações da camada 4 configurando um terminal para cada recurso de destino em sua localização. Todas as conexões poer meio de seus terminais estão sempre sob seu controle, inclusive a desativação completa dos terminais.

Como deixar meus dados seguros em trânsito?

Os terminais de link entre o seu local e a IBM Cloud são garantidos por meio de dois níveis de criptografia: criptografia de alta segurança do conector do local para IBM Cloud que é fornecido pela IBM, e uma camada de criptografia adicional opcional entre os recursos de origem e destino.

Todos os dados que são transportados sobre o Satellite Link são criptografados usando padrões TLS 1.3. Esse nível de criptografia é gerenciado pela IBM.

Ao criar um terminal, é possível fornecer opcionalmente outro nível de criptografia especificando protocolos de criptografia de dados para a conexão de terminal entre os recursos de origem e destino do cliente. Por exemplo, mesmo que o tráfego não seja criptografado no lado de origem, é possível especificar a criptografia TLS para a conexão que passa pela Internet. É possível fornecer seus próprios certificados assinados para garantir a segurança interna e a auditabilidade operacional sem expor nenhum conteúdo de dados. A IBM apenas transporta a conexão criptografada, e seus recursos devem ser configurados para os protocolos de criptografia de dados que você especificar.

Protocolos de criptografia

Toda a comunicação sobre o Satellite Link é criptografada pela IBM. Ao criar um terminal, é possível especificar opcionalmente um protocolo de criptografia de dados adicional para a conexão de terminal entre os recursos de origem e destino do cliente. Por exemplo, mesmo que o tráfego não seja criptografado no lado de origem, é possível especificar sua própria criptografia TLS adicional para a conexão que passa pela Internet. Observe que seus recursos devem ser configurados para os protocolos de criptografia de dados especificados.

Revise as informações a seguir sobre como o Satellite Link trata cada tipo de protocolo de conexão.

Se você usar o console do Satellite para criar um terminal, o protocolo de destino será herdado do protocolo de origem selecionado. Para especificar um protocolo de destino, use o CLI para criar um terminal e inclua a opção --dest-protocol no comando ibmcloud sat endpoint create.

TCP e TLS

Se o seu recurso de destino não exigir solicitações com um cabeçalho de nome de host HTTP ou HTTPS específico, ou puder aceitar solicitações diretas ao seu endereço IP em vez de seu nome de host, use os protocolos TCP ou TLS. O Satellite Link usa o mesmo protocolo da solicitação para transferir o pacote de solicitação para o destino.

HTTP and HTTPS

Se o seu recurso de destino estiver configurado para atender a um cabeçalho de nome do host HTTP ou HTTPS específico, use os protocolos HTTP ou HTTPS. Ao usar o remapeamento de cabeçalho de HTTP e HTTPS, o Satellite Link é capaz de rotear corretamente as solicitações para diversos recursos de destino por meio de portas TCP 80 (HTTP) e 443 (HTTPS).

Terminal em nuvem: As solicitações de origem do seu local do Satellite para seu recurso de destino que executa fora do local contêm um cabeçalho HTTP como linkconnector_hostname:port. Quando a solicitação é enviada do conector do Satellite Link para o servidor de túnel do Satellite Link, o servidor de túnel do Satellite Link muda o cabeçalho de HTTP na solicitação para o nome do host e a porta de destino, como dest_hostname:dest_port. Em seguida, o servidor de túnel do Satellite Link usa o nome do host e a porta do destino para encaminhar a solicitação para o recurso de destino correto.
Terminal de localização: As solicitações de origem de clientes que executam fora do local para o seu recurso de destino em seu local do Satellite contêm um cabeçalho HTTP como linkserver_hostname:endpoint_port. O servidor de túnel do Satellite Link muda o cabeçalho de HTTP na solicitação para o nome do host e a porta de destino, como dest_hostname:dest_port, e envia a solicitação para o conector do Satellite Link. Em seguida, o conector do Satellite Link usa o nome do host e a porta do destino para enviar a solicitação para o recurso de destino correto.

Túnel HTTP

Quando você quiser que as conexões TLS sejam transmitidas de forma ininterrupta da origem para o recurso de destino, como ao transmitir um certificado para o destino para autenticação mútua, use o protocolo de túnel HTTP.

A origem do cliente faz uma solicitação de conexão HTTP para o componente do servidor de túnel ou do conector do Satellite Link, de acordo com o local de execução do destino: fora ou dentro da localização do Satellite. Em seguida, o componente Link faz a conexão com o recurso de destino. Depois que a conexão inicial é estabelecida, o componente Link coloca em proxy a conexão TCP entre a origem e o destino de forma ininterrupta.

O componente Satellite Link não está envolvido na finalização de TLS para o tráfego criptografado, portanto, o recurso de destino deve finalizar a conexão TLS. Por exemplo, se o seu recurso de destino requerer autenticação mútua, o protocolo de túnel HTTP permitirá que sua origem do cliente transmita o certificado de autenticação necessário diretamente para o destino.

Autenticação de certificado do lado do servidor para TLS e HTTPS

Se você selecionar os protocolos TLS ou HTTPS, será possível requerer opcionalmente a verificação do lado do servidor do certificado de destino. O certificado deve ser válido para o nome do host do destino e assinado por uma Autoridade de certificação confiável.

Se o seu recurso de destino tiver um certificado, não será necessário fornecer o certificado ao criar o terminal. No entanto, se você estiver testando o acesso a um recurso de destino que ainda está em desenvolvimento e ainda não tiver um certificado confiável, será possível fazer upload de um certificado autoassinado para verificação. Este arquivo ssl.crt deve conter o certificado público, codificado em Base64, para o nome do host do seu recurso e não deve conter a chave do certificado privado ssl.key. Para criar um certificado autoassinado para fins de teste usando OpenSSL,, consulte este tutorial de certificado SSL autoassinado.

Controles de acesso e auditoria

O Satellite Link fornece controles integrados para ajudá-lo a restringir quais clientes podem acessar os terminais e a auditar os eventos iniciados pelo usuário para terminais do Link.

Restringindo o acesso com listas de origem

Por padrão, depois de configurar um terminal, qualquer cliente pode se conectar ao recurso de destino por meio do terminal. Por exemplo, para um terminal da localização, qualquer cliente que esteja conectado à rede privada IBM Cloud pode usar o terminal para se conectar ao recurso de destino que é executado em sua localização do Satellite. Para limitar o acesso ao recurso de destino, é possível especificar uma lista de intervalos de IP de origem para que somente clientes confiáveis possam acessar o terminal. Observe que atualmente é possível criar listas de origem somente para terminais do tipo location e não é possível criar listas de origem para terminais do tipo cloud.

Eventos iniciados pelo usuário de auditoria

Depois de configurar as listas de origem para os pontos de extremidade, é possível configurar a auditoria para monitorar os eventos iniciados pelo usuário para os pontos de extremidade do Link. O IBM Cloud Satellite integra-se ao IBM Cloud Logs para coletar e enviar eventos de auditoria de todos os pontos de extremidade do Link em seu local para a instância do IBM Cloud Logs. Para saber mais sobre auditoria, consulte Auditando eventos para ações de terminal.

Casos de uso

Revise a lista a seguir de casos de uso geral e casos de uso de exemplo para os terminais do Satellite Link.

É possível usar terminais do Link para

Conectar recursos dentro do mesmo local do Satellite?: Nº Os terminais do Link não podem ser criados entre recursos no mesmo local. Em vez disso, os recursos podem acessar um ao outro diretamente. Por exemplo, um aplicativo executado em um cluster Red Hat OpenShift em Satellite não precisa se comunicar por meio do Satellite Link para acessar um banco de dados que existe no mesmo local e, em vez disso, pode acessar esse banco de dados diretamente por meio da rede privada do local.
Exponha aplicativos ou serviços que são executados em um cluster Red Hat OpenShift em Satellite?: Para ver as opções disponíveis, consulte Expondo aplicativos em clusters do Satellite.
Redes de pontes dentro da rede pública IBM Cloud , como a ampliação VPC?: Nº Em vez disso, use a solução de ponte que é recomendada para sua configuração de rede. Por exemplo, é possível usar um Virtual Private Network (VPN) for VPC ou IBM Cloud® Direct Link.
Conectar-se a outras nuvens públicas?: Sim. Com o Satellite Link, é possível criar terminais de cloud para recursos que são executados em outras nuvens públicas.

Exemplo: Conecte-se de um local do Satellite a um serviço em outro provedor em nuvem

Você deseja enviar dados de um servidor que é executado em um host em sua localização do Satellite para um serviço que é executado na Amazon Web Services. O serviço deve ser publicamente acessível para que o túnel do Satellite Link, que é finalizado na rede da IBM Cloud, possa acessar o serviço na rede da AWS.

Para estabelecer essa conexão, você primeiro cria um terminal cloud. Você especifica o serviço que é executado na AWS como o recurso de destino. Em seguida, o servidor no seu host local se conecta diretamente ao nome do host do conector Satellite Link nos nós do plano de controle do seu local. Satellite O Link encaminha essa solicitação para o endpoint de nuvem que você criou para o serviço que é executado em AWS.

Exemplo: Ativar e auditar o acesso limitado a um local do Satellite por meio da IBM Cloud

Você executa um banco de dados em sua localização do Satellite em vez de na IBM Cloud, porque o banco de dados tem requisitos legais para ser executado em seu data center no local em um país específico. No entanto, ainda é necessário se conectar ao banco de dados em sua localização do Satellite por meio da rede privada da IBM Cloud.

Para estabelecer essa conexão, você primeiro cria um terminal location. Você especifica o banco de dados que é executado em sua localização do Satellite como o recurso de destino. Em seguida, o cliente na rede privada da IBM Cloud conecta-se diretamente ao nome do host do servidor do túnel Satellite Link. O Satellite Link encaminha essa solicitação para o terminal de localização que você criou para o seu banco de dados no local.

Por fim, para manter a conformidade de segurança e auditoria corporativa, você especifica uma lista de intervalos de IP de origem para que somente clientes confiáveis na nuvem pública possam acessar o seu banco de dados na localização por meio do terminal. Em seguida, você configura uma instância do IBM Cloud Logs para que os logs de auditoria possam ser coletados automaticamente para todos os terminais em sua localização do Satellite.