IBM Cloud Docs
Configuración del acceso a una aplicación a través de Cloud Internet Services (CIS)

Configuración del acceso a una aplicación a través de Cloud Internet Services (CIS)

En esta guía de aprendizaje, utiliza IBM Cloud Internet Services (CIS) para acceder a una aplicación desplegada en una VSI en una arquitectura desplegable de VPC landing zone a través de Internet. Configure la infraestructura necesaria y aprenda a configurar CIS para acceder a la aplicación desplegada en la arquitectura desplegable.

CIS proporciona el equilibrador de carga global, almacenamiento en memoria caché, cortafuegos de aplicaciones web y reglas de página para proteger las aplicaciones y mejorar su fiabilidad y rendimiento.

Objetivo

  • Asigne el acceso necesario para que un operador acceda al entorno de VPC, incluido el despliegue de la aplicación en las VSI ubicadas en la VPC de carga de trabajo.
  • Exponga la aplicación a Internet a través de un equilibrador de carga de VPC para que cualquiera pueda acceder a las apps. El equilibrador de carga puede distribuir el tráfico entre varias instancias de servidor de aplicaciones que se ejecutan en la VPC (en las VSI de carga de trabajo) y reenviando el tráfico sólo a las instancias que funcionan correctamente.
  • Utilice IBM Cloud Secrets Manager para gestionar el certificado TLS (Transport Layer Security) para todas las solicitudes HTTPS entrantes.
  • Configure Cloud Internet Services (CIS) para acceder a la aplicación. IBM Cloud Internet Services, basado en Cloudflare, proporciona un servicio de Internet rápido, de alto rendimiento, fiable y seguro en IBM Cloud.
  • Utilización de un equilibrador de carga global entre regiones para implementar la alta disponibilidad, aumentar la resistencia y reducir la latencia.

Antes de empezar

  • Despliegue una instancia de una arquitectura desplegable de VPC landing zone. Para obtener más información, consulte Despliegue de una arquitectura desplegable de zona de destino.
  • Asegúrese de que la arquitectura desplegable de la zona de destino tenga un servidor virtual (VSI) en funcionamiento.
  • Cree una instancia de Cloud Internet Services (CIS) y configúrela con un nombre de dominio activo. Puede utilizar el módulo Terraform CIS para crear y configurar la instancia.

Asignar acceso de operador

Puesto que el acceso de red a la topología de VPC landing zone está bloqueado, debe asignar acceso de operador a las VSI a través de la VPC de gestión.

  1. Revise las opciones para asignar acceso de operador.

  2. Complete uno de los métodos siguientes:

En esta guía de aprendizaje, expone una de las VSI en la VPC de gestión como un " jump-box". Puede acceder a la VPC de carga de trabajo y desplegar la aplicación en las VSI de carga de trabajo ubicadas en la VPC de carga de trabajo.

Asigne acceso de operador a cada VSI en la que esté desplegando la aplicación.

Despliegue la aplicación en la VSI de carga de trabajo

  1. Acceda a la VSI de carga de trabajo (por ejemplo, <your_prefix>-workload-server-001) a través de la VPC de gestión.

    1. Acceda a la ACL de la VPC de carga de trabajo y cree una regla de entrada y salida para habilitar la comunicación SSH (puerto 22) para la VPC de gestión.
    2. De forma similar, cree una regla de entrada y salida para habilitar SSH en la ACL de la VPC de gestión para la VPC de carga de trabajo.
    3. Copie la clave SSH (utilizada para iniciar sesión en la VSI de gestión) del sistema en el servidor de gestión.
    4. Inicie sesión en el servidor de gestión y realice SSH en la VSI de carga de trabajo utilizando su IP reservada y la clave SSH que ha copiado anteriormente.
    5. Verifique que ha iniciado la sesión en la VSI de carga de trabajo.

  2. Despliegue la aplicación.

    Para obtener más información sobre cómo desplegar la aplicación, consulte Instalar y configurar un servidor web en las instancias de servidor virtual en Desplegar cargas de trabajo aisladas en varias ubicaciones y zonas. Esta guía de aprendizaje hace referencia a nginx, pero despliega un servidor Apache en la VSI de carga de trabajo en el puerto 80.

    1. Ejecute los mandatos siguientes para instalar el servidor Apache:

      apt-get update

      apt-get install apache2 --yes

    2. Ejecute el mandato siguiente para verificar la instalación:

      curl http://localhost:80

  3. Repita estos pasos para desplegar la aplicación en otras VSI de carga de trabajo.

Crear certificados en Secrets Manager

  1. IBM Cloud Secrets Manager se utiliza para solicitar o importar y, a continuación, gestionar el certificado del dominio. Siga los pasos de Proteger con HTTPS para crear y autorizar una instancia de Secrets Manager.

  2. Añada la entidad emisora de certificados y el proveedor de DNS:

    1. Abra el servicio Secrets Manager y seleccione Public Certificates en los motores de secretos.
    2. Configure la entidad emisora de certificados con el motor de la entidad emisora de certificados Let's Encrypt.
    3. En Proveedor de DNS, seleccione la instancia de CIS.

  3. Solicite un certificado público en Secrets Manager, tal como se explica en Alternativa 1: Proxy, el tráfico fluye a través de CIS.

Conectar el equilibrador de carga de VPC público

Ahora que la aplicación se ha desplegado en las VSI de carga de trabajo, configure el equilibrador de carga para permitir el acceso a la app a través de Internet público.

  1. Cree un Application Load Balancer for VPCpúblico.

    1. Siga esta guía de aprendizaje para conectar un equilibrador de carga de VPC público.
    • Para el escucha frontal, utilice el protocolo de escucha HTTPS, puerto 443 y adjunte la instancia de Secrets Manager y los certificados públicos que ha creado en el paso anterior.
    • Siga los pasos de Actualizar la seguridad para permitir el tráfico externo para el puerto 80 y el puerto 443.

  2. Verifique el acceso.

    1. Recupere el nombre de host del equilibrador de carga.
      1. Vaya a Infraestructura de VPC > Equilibradores de carga
      2. Seleccione el equilibrador de carga
    2. Copie el valor de Nombre de host
    3. Pegue https://<hostname> en un navegador y compruebe si la app responde.

Configure un registro DNS en la instancia de CIS

Cree un registro CNAME de DNS para permitir que los clientes busquen el dominio (por ejemplo, example.com) y resuelvan xxx-REGION.lb.appdomain.cloud.

  1. En CIS, abra la página Confiabilidad y elija DNS.

  2. Desplácese a los registros DNS y cree un registro.

    • Tipo: CNAME
    • Nombre: vpc-lb
    • TTL: Automático
    • Nombre de dominio de alias: Nombre de host del equilibrador de carga de VPC.
    • Añadir un registro CNAME de DNS para vpc-lb

  3. Repita estos pasos para añadir un registro DNS para la otra región.

Acceda a la aplicación a través de HTTPS a través de CIS

Para verificar que la aplicación está disponible a través de Internet, vaya a https://vpc-lb.<your_domain> (por ejemplo, https://vpc-lb.example.com) en un navegador.

Creación del equilibrador de carga global

En esta sección, configura CIS para distribuir la carga entre regiones. Configure el equilibrador de carga global en la instancia de CIS para utilizar los nuevos registros CNAME.

Antes de crear el equilibrador de carga global, configure una comprobación de estado para validar la disponibilidad de la aplicación y definir las agrupaciones de origen que apuntan a los equilibradores de carga de VPC.

Configurar comprobación de estado

Una comprobación de estado ayuda a obtener información sobre la disponibilidad de las agrupaciones para que el tráfico se pueda direccionar a las que están en buen estado. Estas comprobaciones envían periódicamente solicitudes HTTPS y supervisan las respuestas.

  1. En el panel de control CIS, vaya a Confiabilidad > Equilibradores de carga global.
  2. Seleccione Comprobaciones de seguridad y pulse Crear.
  3. Establezca Nombre en vpc-lb.
  4. Seleccione HTTPS para Tipo de supervisor.
  5. Deje Puerto establecido en el valor predeterminado.
  6. Establezca Vía de acceso en /.
  7. Pulse Crear.

Definición de agrupaciones de origen

Una agrupación es un grupo de VSI de origen o equilibradores de carga a los que se direcciona de forma inteligente el tráfico cuando se conecta a un equilibrador de carga global. Puede definir agrupaciones basadas en ubicación y configurar CIS para redirigir a los usuarios al equilibrador de carga de VPC más cercano basándose en la ubicación geográfica de las solicitudes de usuario.

  1. Seleccione Agrupaciones de origen y pulse Crear.
  2. Especifique un nombre para la agrupación: vpc-lb.
  3. Establezca el Nombre de origen en vpc-lb.
  4. Establezca Dirección de origen en los nuevos registros CNAME que ha especificado anteriormente.
  5. Seleccione Comprobación de estado existente y seleccione la comprobación de estado que acaba de crear.
  6. Seleccione una región de comprobación de estado que esté cerca de su ubicación.
  7. Pulse Guardar.
  8. Repita estos pasos para otras regiones.

Espere unos segundos hasta que el estado de salud de la agrupación de origen muestre healthy.

Configurar el equilibrador de carga global

Ahora que las agrupaciones de origen están definidas, puede completar la configuración del equilibrador de carga.

  1. Seleccione Equilibradores de carga y pulse Crear.
  2. Mantenga los valores predeterminados para Habilitar (On) y Proxy (Off).
  3. Especifique el nombre del equilibrador de carga global como vpc-lb-glb. Este nombre forma los caracteres iniciales en el subdominio para acceder a la aplicación (por ejemplo, https://vpc-lb-glb.<your_domain>).
  4. Establezca TTL, Dirección de tráfico, Afinidad de sesión en los valores que funcionan para la aplicación.
  5. Pulse Añadir ruta.
  6. Seleccione Región: Default.
  7. Seleccione la agrupación de origen que acaba de crear.
  8. Pulse Añadir.
  9. Pulse Crear.
  10. Acceda a https://vpc-lb-glb.<your_domain> (por ejemplo, example.com) en un navegador para verificar que el equilibrador de carga global está disponible.

Ampliación de la guía de aprendizaje

Ha accedido a la carga de trabajo desplegada en la zona de destino a través de CIS.

Puede configurar más características como, por ejemplo, WAF, DDoS en CIS para que sea más seguro. Para obtener más información, consulte los temas siguientes: