Centralizar la comunicación mediante una arquitectura VPC Transit Hub and Spoke - Segunda parte
Esta guía de aprendizaje puede incurrir en costes. Utilice Estimador de costes para generar una estimación del coste basada en el uso previsto.
Una nube privada virtual (VPC) proporciona aislamiento de red y seguridad en IBM Cloud. Una VPC puede ser un bloque de construcción que encapsula una división corporativa (marketing, desarrollo, contabilidad, ...) o una colección de microservicios propiedad de un equipo DevSecOps. Las VPC se pueden conectar a una empresa local y entre sí. Esto puede crear la necesidad de direccionar el tráfico a través de dispositivos de pasarela de cortafuegos centralizados. Esta guía de aprendizaje le guiará a través de la implementación de una arquitectura de concentrador y de radio representada en esta vista de alto nivel:
Esta es la segunda parte de una guía de aprendizaje de dos partes. Esta parte se centrará en el direccionamiento de todo el tráfico entre VPC a través de un cortafuegos-direccionador de concentrador de tránsito. Se describe e implementa un direccionador de cortafuegos escalable utilizando un equilibrador de carga de red. El DNS privado se utiliza para la identificación de microservicios y la identificación de instancia de servicio de IBM Cloud utilizando una pasarela de punto final privado virtual (VPE).
Esta guía de aprendizaje es autónoma, por lo que no es necesario ejecutar los pasos de la parte uno. Si no está familiarizado con VPC, el diseño de IP de red y la planificación en IBM Cloud, Transit Gateway, IBM Cloud® Direct Link o el direccionamiento asimétrico consideran leer a través de la parte uno.
El modelo de concentrador y radio da soporte a una serie de escenarios diferentes:
- El concentrador puede ser el repositorio para los microservicios compartidos utilizados por los radios y la empresa.
- El concentrador puede ser un punto central de cortafuegos de tráfico-direccionador y direccionamiento entre la empresa y la nube.
- El concentrador puede supervisar todo o parte del tráfico de radio <-> radio, radio <-> tránsito o radio <-> empresa.
- El concentrador puede contener los recursos de VPN que comparten los radios.
- El concentrador puede ser el repositorio para recursos de nube compartida, como bases de datos, a las que se accede a través de pasarelas de punto final privado virtual(VPE) controladas con grupos de seguridad de VPC y listas de control de acceso de subred, compartidas por radios y empresas
Existe un repositorioGitHub complementario que divide la conectividad en varias capas incrementales. En la guía de aprendizaje las capas delgadas permiten la introducción de retos de tamaño de mordida y soluciones.
Se estudiará lo siguiente:
- Enrutamiento de entrada y salida de VPC.
- Funciones de red virtual en combinación con equilibradores de carga de red para dar soporte a una alta disponibilidad y escalabilidad.
- Pasarelas VPE.
- Resolución DNS.
Una arquitectura en capas introducirá recursos y demostrará conectividad. Cada capa añadirá conectividad y recursos adicionales. Las capas se implementan en Terraform. Será posible cambiar parámetros, como el número de zonas, cambiando una variable de Terraform. Un enfoque por capas permite que la guía de aprendizaje presente pequeños problemas y demuestre una solución en el contexto de una arquitectura completa.
Objetivos
- Comprenda los conceptos detrás de un concentrador basado en VPC y un modelo de radio para gestionar todo el tráfico de VPC a VPC.
- Comprender el direccionamiento de entrada y salida de VPC.
- Identifique y, opcionalmente, resuelva problemas de direccionamiento asimétrico.
- Comprenda el uso de un equilibrador de carga de red para un direccionador de cortafuegos escalable y de alta disponibilidad.
- Utilice las reglas de direccionamiento y reenvío de servicios DNS para crear un sistema de resolución de nombres de sonido arquitectónico.
Antes de empezar
Esta guía de aprendizaje requiere:
terraformpara utilizar la infraestructura como código para suministrar recursos,pythonpara ejecutar opcionalmente los mandatos pytest,- La implementación de un direccionador de cortafuegos requerirá que habilite las comprobaciones de suplantación de IP,
Consulte los requisitos previos para ver algunas opciones que incluyen un Dockerfile para crear fácilmente el entorno de requisito previo.
Además:
- Compruebe los permisos de usuario. Asegúrese de que la cuenta de usuario tiene permisos suficientes para crear y gestionar todos los recursos de esta guía de aprendizaje. Consulte la lista de:
Resumen de la primera parte
En la parte uno de esta guía de aprendizaje planificamos cuidadosamente el espacio de direcciones de las VPC de tránsito y de radio. La arquitectura basada en zonas se muestra a continuación:
Este diagrama muestra el flujo de tráfico. Solo el radio de la empresa <-> pasa a través del cortafuegos:
Esto se ha conseguido con el direccionamiento Direct Link, Transit Gateway y VPC. Todas las zonas se configuran de forma similar y el diagrama siguiente muestra los detalles de la zona 1:
El CIDR 10.1.0.0/16 cubre el tránsito y los radios y se pasa a través de Direct Link a la empresa como una ruta anunciada. De forma similar, el CIDR 192.168.0.0/24 cubre la empresa y se pasa a través de Transit Gateway a los radios como una ruta anunciada.
Las rutas de salida en los radios direccionan el tráfico al cortafuegos-direccionador. Rutas de entrada en la empresa de ruta de tránsito <-> tráfico de radio a través del direccionador de cortafuegos.
Suministrar recursos de VPC iniciales que direccionen todo el tráfico interno de VPC a través del cortafuegos-direccionador
A menudo, una empresa utiliza una VPC de tránsito para supervisar el tráfico con el direccionador de cortafuegos. En la primera parte, solo el tráfico de radio <-> de la empresa fluía a través del cortafuegos-direccionador de tránsito. Esta sección trata sobre el direccionamiento de todo el tráfico de VPC a VPC a través del direccionador de cortafuegos.
Este diagrama muestra el flujo de tráfico implementado en este paso:
Todo el tráfico entre VPC fluirá a través del cortafuegos-direccionador:
- enterprise <->.
- empresa <-> tránsito.
- transit <-> spoke.
- spoke <-> en una VPC diferente.
El tráfico dentro de una VPC no fluirá a través del cortafuegos.
Si continúa desde la parte uno, tome nota de la configuración en terraform.tfvars: all_firewall = true.
Aplicar capas
-
El Repositorio deGitHub complementario tiene los archivos de origen para implementar la arquitectura. En un shell de escritorio, clone el repositorio:
git clone https://github.com/IBM-Cloud/vpc-transit cd vpc-transit -
El directorio config_tf contiene variables de configuración que debe configurar.
cp config_tf/template.terraform.tfvars config_tf/terraform.tfvars -
Edite config_tf/terraform.tfvars.
- Realice los cambios necesarios.
- Cambie el valor
all_firwewall = true.
-
Si aún no dispone de una, obtenga una clave de API de plataforma y expórtela para que Terraform pueda utilizarla:
export IBMCLOUD_API_KEY=YourAPIKEy -
Puesto que es importante que cada capa se instale en el orden correcto y algunos pasos de esta guía de aprendizaje instalarán varias capas, se proporciona un mandato de shell ./apply.sh. Lo siguiente mostrará ayuda:
./apply.sh -
Puede aplicar todas las capas configuradas ejecutando
./apply.sh : :. Los dos puntos son abreviados para first (o config_tf) y last (vpe_dns_forwarding_rules_tf). -p imprime las capas:./apply.sh -p : : -
Aplique todas las capas de la primera parte y descritas anteriormente (incluso si continúa desde la primera parte, utilice este mandato para volver a aplicar las capas iniciales con el cambio de configuración
all_firewall = true)../apply.sh : spokes_egress_tf
Si estaba siguiendo en la parte uno, se han añadido algunas rutas de entrada adicionales a la tabla de rutas de entrada de tránsito para evitar el direccionamiento a través del direccionador de cortafuegos. En este paso se han eliminado y la tabla de rutas de entrada de tránsito sólo tiene estas entradas para que todo el tráfico de entrada para una zona se direccione al cortafuegos-direccionador en la misma zona. Las direcciones de Siguiente salto pueden ser diferentes, pero serán la dirección IP de la instancia de direccionador de cortafuegos:
| Zone | Destino | Siguiente salto |
|---|---|---|
| Dallas10.1.0.0/1610.1.15.196 | ||
| Dallas10.2.0.0/1610.2.15.196 | ||
| Dallas10.3.0.0/1610.3.15.196 |
Para observar esto:
- Abra las VPC en IBM Cloud.
- Seleccione la VPC de tránsito y observe que se muestran los prefijos de dirección.
- Haga clic en Gestionar tablas de enrutamiento
- Pulse la tabla de rutas de entrada de pasarela de tránsito tgw-ingress
Direccionar radio y tránsito al cortafuegos-direccionador
El enrutamiento de todo el tráfico de la nube que se origina en los radios a través del enrutador cortafuegos de la VPC de tránsito en la misma zona que la instancia de origen se realiza mediante estas rutas en la tabla de enrutamiento de salida predeterminada del radio (mostrada para Dallas/us-sur):
| Zone | Destino | Siguiente salto |
|---|---|---|
| Dallas10.0.0.0/810.1.15.196 | ||
| Dallas10.0.0.0/810.2.15.196 | ||
| Dallas10.0.0.0/810.3.15.196 |
De forma similar en la VPC de tránsito: direccione todo el tráfico de nube y de empresa a través del direccionador de cortafuegos en la misma zona que la instancia de origen. Por ejemplo, una instancia de prueba de tránsito 10.1.15.4 (zona de tránsito 1) que intente conectarse con 10.2.0.4 (radio 0, zona 2) se enviará a través del direccionador de cortafuegos en la zona 1: 10.1.15.196.
Rutas en la tabla de enrutamiento de salida por defecto de tránsito (mostrada para Dallas/us-sur):
| Zone | Destino | Siguiente salto |
|---|---|---|
| Dallas10.0.0.0/810.1.15.196 | ||
| Dallas10.0.0.0/810.2.15.196 | ||
| Dallas10.0.0.0/810.3.15.196 | ||
| Dallas192.168.0.0/1610.1.15.196 | ||
| Dallas192.168.0.0/1610.2.15.196 | ||
| Dallas192.168.0.0/1610.3.15.196 |
No direccionar el tráfico de Intra VPC al cortafuegos-direccionador
En este ejemplo, el tráfico Intra-VPC no pasará a través del direccionador de cortafuegos. Por ejemplo, los recursos del radio 0 pueden conectarse directamente a otros recursos del radio 0. Para lograr esto se pueden añadir rutas adicionales más específicas para delegar el tráfico interno. Por ejemplo, en el radio 0, que tiene los rangos CIDR: 10.1.0.0/24, 10.2.0.0/24, 10.3.0.0/24 se pueden delegar las rutas internas.
Rutas en la tabla de enrutamiento de salida por defecto del radio 0 (mostrada para Dallas/us-sur):
| Zone | Destino | Siguiente salto |
|---|---|---|
| Dallas 1 | 10.1.0.0/24 | delegate |
| Dallas 1 | 10.2.0.0/24 | delegate |
| Dallas 1 | 10.3.0.0/24 | delegate |
| Dallas 2 | 10.1.0.0/24 | delegate |
| Dallas 2 | 10.2.0.0/24 | delegate |
| Dallas 2 | 10.3.0.0/24 | delegate |
| Dallas 3 | 10.1.0.0/24 | delegate |
| Dallas 3 | 10.2.0.0/24 | delegate |
| Dallas 3 | 10.3.0.0/24 | delegate |
Se añaden rutas similares al tránsito y a otros radios.
Subredes de cortafuegos
¿Qué pasa con el firewall-router en sí mismo? Esto no se ha mencionado anteriormente pero, en previsión de este cambio, se ha creado un direccionador egress_delegado en la VPC de tránsito que delega el direccionamiento al valor predeterminado para todos los destinos. Sólo está asociado con las subredes de direccionador de cortafuegos, por lo que el direccionador de cortafuegos no se ve afectado por los cambios en la tabla de direccionamiento de salida predeterminada que utilizan las otras subredes. Consulte las tablas de direccionamiento para la VPC de tránsito para obtener más detalles. Visite las VPC en la consola de IBM Cloud. Seleccione la VPC de tránsito y, a continuación, pulse Gestionar tablas de direccionamiento, pulse la tabla de direccionamiento egress-delegado, pulse el separador Subredes y anote las subredes -fw utilizadas para direccionadores de cortafuegos.
Aplicar y probar más cortafuegos
-
Aplique la capa:
./apply.sh all_firewall_tf -
Ejecute la suite de pruebas.
Los resultados esperados son: cross zone transit <-> spoke and spoke <-> spoke será FAILED:
pytest -m "curl and lz1 and (rz1 or rz2)"
Arreglar direccionamiento entre zonas
Como se mencionó anteriormente para que un sistema sea resistente a las anomalías zonales, lo mejor es eliminar el tráfico entre zonas. Si el soporte de zonas cruzadas es necesario, se pueden añadir rutas de salida adicionales. El problema para el tráfico de radio 0 a radio 1 se muestra en este diagrama:
La vía de acceso verde es un ejemplo de direccionamiento de la zona 0 de radio originador 2 10.2.0.4 a la zona 1 de radio 1 10.1.1.4. La ruta de salida coincidente es:
| Zone | Destino | Siguiente salto |
|---|---|---|
| Dallas10.0.0.0/810.2.15.196 |
Moviendo de izquierda a derecha se selecciona el firewall-router en la zona media, zona 2, del diagrama. En la vía de acceso de retorno, se selecciona la zona 1.
Para arreglar esto, es necesario añadir algunas rutas más específicas para forzar a las zonas de número más alto a direccionar a los cortafuegos de número de zona más bajo cuando se especifica un destino de número de zona más bajo. Cuando se hace referencia a una zona de número igual o superior, se sigue direccionando al cortafuegos en la misma zona.
Rutas en la tabla de enrutamiento de salida por defecto de cada radio (mostrada para Dallas/us-sur):
| Zone | Destino | Siguiente salto |
|---|---|---|
| Dallas10.1.0.0/1610.1.15.196 | ||
| Dallas10.1.0.0/1610.1.15.196 | ||
| Dallas10.2.0.0/1610.2.15.196 |
Estas rutas también van a corregir un problema de direccionamiento asimétrico de zona cruzada de radio < -- > de tránsito similar. Considere el trabajador de tránsito 10.1.15.4-> trabajador de radio 10.2.0.4. El tráfico del trabajador de tránsito en la zona 1 elegirá el cortafuegos-direccionador en la zona 1 (misma zona). En el viaje de vuelta en lugar de firewall-router en la zona 2 (misma zona) ahora se utilizará firewall-router en la zona 1.
-
Aplique la capa all_firewall_asym:
./apply.sh all_firewall_asym_tf -
Ejecute la suite de pruebas.
Sus resultados esperados son: todas las pruebas PASADAS, ejecútelas en paralelo (-n 10):
pytest -n 10 -m curl
Todo el tráfico entre VPC se direcciona ahora a través de los direccionadores de cortafuegos.
Cortafuegos de alta disponibilidad (HA) de alto rendimiento-Direccionador
Para evitar que un direccionador de cortafuegos se convierta en el cuello de botella de rendimiento o en un único punto de anomalía, es posible añadir un equilibrador de carga de red de VPC para distribuir el tráfico a los direccionadores de cortafuegos zonales para crear un direccionador de cortafuegos de alta disponibilidad. Compruebe la documentación del direccionador de cortafuegos para verificar que da soporte a esta arquitectura.
Este diagrama muestra una sola zona con un equilibrador de carga de red (NLB) configurado en modalidad de ruta frente a dos direccionadores de cortafuegos. Para ver esta construcción es necesario cambiar la configuración y aplicar de nuevo.
-
Cambie estas dos variables en config_tf/terraform.tfvars:
firewall_nlb = true number_of_firewalls_per_zone = 2Este cambio hace que la dirección IP del direccionador de cortafuegos cambie de la instancia de direccionador de cortafuegos utilizada anteriormente a la dirección IP del NLB. El cambio de dirección IP debe aplicarse a una serie de rutas de tabla de rutas de VPC en las VPC de tránsito y de radio. Es mejor aplicar todas las capas aplicadas anteriormente:
-
Aplique todas las capas a través de la capa all_firewall_asym_tf:
./apply.sh : all_firewall_asym_tf
Observe los cambios que se han realizado:
- Abra los Equilibradores de carga para VPC.
- Seleccione el equilibrador de carga de la zona 1 (Dallas 1/us-south-1) que tiene el sufijo fw-z1-s3.
- Anote las IP privadas.
Compare las IP privadas con las de la tabla de rutas de entrada de VPC de tránsito:
- Abra las Nubes privadas virtuales.
- Seleccione la VPC de tránsito.
- Pulse Gestionar tablas de direccionamiento.
- Pulse la tabla de direccionamiento tgw-ingress. Observe que la dirección IP del salto siguiente coincide con una de las IP privadas del NLB
Verifique la resiliencia:
- Ejecute las pruebas de la zona 1 de radio 0:
pytest -k r-spoke0-z1 -m curl - Abra las Instancias de servidor virtual para VPC
- Detenga el tráfico a la instancia de cortafuegos 0 especificando un grupo de seguridad que no permitirá el puerto de entrada 80. Localice la instancia con el sufijo fw-z1-s3-0 y abra la vista de detalles:
- Desplácese hacia abajo y pulse la edición de lápiz junto a la Interfaz de red
- Desmarque la opción x-fw-inall-outall
- Compruebe el x-fw-in22-outall
- Pulse Guardar
- Vuelva a ejecutar el pytest. Indicará anomalías. El NLB tardará unos minutos en detener el direccionamiento del tráfico a la instancia que no responde, momento en el que pasarán todas las pruebas. Continúe esperando y ejecutando pytest hasta que pasen todas las pruebas.
El cortafuegos de NLB ya no es necesario. Elimine el cortafuegos de NLB:
-
Cambie estas dos variables en config_tf/terraform.tfvars:
firewall_nlb = false number_of_firewalls_per_zone = 1 -
Aplique todas las capas a través de la capa all_firewall_asym_tf:
./apply.sh : all_firewall_asym_tf
Nota sobre NLB configurado en modalidad de direccionamiento
La modalidad de ruta de NLB reescribirá las entradas de tabla de ruta-siempre manteniendo la dirección IP de dispositivo de NLB activa en la tabla de ruta durante una migración tras error. Pero esto sólo se hace para las rutas en la VPC de tránsito que contiene el NLB. El radio tiene rutas de salida que se han inicializado con una de las IP de dispositivo de NLB. El salto siguiente de radio no se actualizará en la migración tras error del dispositivo NLB.
Será necesario mantener una ruta de entrada en la VPC de tránsito que será reescrita por el NLB para reflejar el dispositivo activo. La ruta de salida de radio entregará paquetes a la zona correcta de la VPC de tránsito. El direccionamiento dentro de la zona de VPC de tránsito encontrará la regla de entrada coincidente que contendrá el dispositivo activo.
A continuación se muestra la tabla de rutas de entrada de VPC de tránsito que se ha tratado anteriormente. El salto siguiente se mantendrá actualizado con el dispositivo de NLB activo. Observe que Dallas 3 tiene un cambio escrito por el servicio de modo de ruta NLB para reflejar el dispositivo activo.
| Zone | Destino | Siguiente salto |
|---|---|---|
| Dallas10.0.0.0/810.1.15.196 | ||
| Dallas10.0.0.0/810.2.15.196 | ||
| Dallas10.0.0.0/810.3.15.197 |
El NLB requiere que se cree una autorización de IAM que permita al NLB grabar en la VPC. Esta autorización ha sido creada por el script apply.sh. Consulte Creación de un equilibrador de carga de red con modalidad de direccionamiento para obtener más detalles sobre la configuración que ha realizado el script.
La agrupación de NLB de modalidad de ruta debe estar configurada con Tipo de persistencia de sesión establecido en nulo.
DNS
El servicio IBM Cloud DNS Services se utiliza para convertir nombres en direcciones IP. En este ejemplo, se crea un servicio DNS en la nube. Se crea la zona DNS cloud.example.com y se añade la VPC de tránsito como una red permitida.
Los registros DNS para las instancias de nube se añaden a cloud.example.com. Por ejemplo, se crea un registro A para el trabajador de radio 0 en la zona 1 que tendría el nombre completo spoke0-z1-worker.cloud.example.com.
Consulte sobre el uso compartido de DNS para pasarelas VPE. La VPC de tránsito está habilitada como concentrador DNS. Cada VPC de radio se configura con el enlace de resolución DNS al concentrador de VPC de tránsito. Esto configurará los valores DHCP de la VPC de radio para que los servidores DNS sean los solucionadores personalizados de la VPC de tránsito.
Recursos DNS
Aplique la capa dns_tf para crear una zona DNS de nube y un registro A para cada una de las instancias de prueba en la VPC de tránsito y las VPC de radio. También se crea una instancia DNS para la simulación de empresa.
./apply.sh dns_tf
Inspeccionar el servicio DNS creado:
- Abra la Lista de recursos en la consola de IBM Cloud.
- Expanda la sección Redes y observe los DNS Services.
- Localice y pulse para abrir la instancia con el sufijo transit.
- Pulse en la zona DNS cloud.example.com. Observe los registros A asociados con cada instancia de prueba en el tránsito y los radios.
- Pulse el separador Resolver personalizado de la izquierda y tenga en cuenta que un resolutor reside en cada una de las zonas.
- Pulse la pestaña Reglas de reenvío y observe las reglas de reenvío. Tenga en cuenta que
enterprise.example.comse reenvía a los solucionadores locales.
Inspeccione las VPC de tránsito y radio y observe la configuración de DNS:
- Abra las VPC
- Observe que la VPC de tránsito tiene el indicador
DNS-Hubestablecido. - Observe que cada VPC de radio tiene el indicador
DNS-Sharedestablecido. - Pulse una de las VPC de radio.
- Desplácese hacia abajo hasta Valores de DNS opcionales
- Abra los valores de resolución de DNS twisty y observe que el tipo de resolución de DNS es
delegatedy que los servidores de resolución de DNS están en la VPC de tránsito 10.1.15.x, 10.2.15.y, 10.2.15.z - Abra el enlace de resolución DNS twisty y observe que la VPC del concentrador DNS está establecida en la VPC de tránsito.
Pruebas DNS
Hay un conjunto de pruebas curl DNS que están disponibles en el script pytest. Estas pruebas se realizarán utilizando el nombre DNS del remoto. Hay un buen número así que ejecutar las pruebas en paralelo:
pytest -n 10 -m dns
pasarelas de punto final privado virtual
VPC permite el acceso privado a IBM Cloud Services a través de Virtual Private Endpoint (VPE) for VPC. Las pasarelas VPE permiten un control de acceso de red de grano fino a través de controles IBM Cloud VPC estándar:
Se crea una zona DNS para cada pasarela VPE de VPC. La zona DNS se añade automáticamente al servicio DNS privado asociado con la VPC. Cada VPC de radio tiene una configuración de DNS bound para la VPC de tránsito. Esto permite que
la zona DNS de VPE de radio se comparta con la VPC de tránsito.
-
Cree una instancia de IBM Cloud Databases for PostgreSQL y VPE para el tránsito y cada una de las VPC de radio, aplicando las capas vpe_transit_tf y vpe_voc_tf:
./apply.sh vpe_transit_tf vpe_spokes_tf -
Hay un conjunto de pruebas vpe y vpedns que están disponibles en el script pytest. La prueba vpedns verificará que el nombre DNS de una instancia de Databases for PostgreSQL esté dentro del bloque CIDR privado de la VPC que la contiene. La prueba vpe ejecutará un mandato psql para acceder a la instancia de Databases for PostgreSQL de forma remota. Probar vpe y vpedns de radio 0 zona 1:
- Resultados esperados que pasan todas las pruebas
pytest -m 'vpe or vpedns' -k spoke0-z1
Todas las pruebas de esta guía de aprendizaje deben pasar ahora. Hay bastantes. Ejecútelos en paralelo:
pytest -n 10
Notas de producción y conclusiones
La arquitectura de referencia de VPC para IBM Cloud for Financial Services tiene muchos más detalles sobre la protección de cargas de trabajo en IBM Cloud.
Algunos cambios obvios a realizar:
- Los bloques CIDR fueron elegidos por claridad y facilidad de explicación. Las zonas de disponibilidad en la región multizona podrían ser 10.1.0.0/10, 10.64.0.0/10, 10.128.0.0/10 para conservar el espacio de direcciones. De forma similar, el espacio de direcciones para los nodos de trabajador se podría ampliar a expensas del cortafuegos, el DNS y el espacio de VPE.
- Los grupos de seguridad para cada una de las interfaces de red para las VSI de trabajador, las pasarelas de punto final privado virtual, las ubicaciones DNS y los cortafuegos deben considerarse cuidadosamente.
- Las listas de control de acceso de red para cada subred deben considerarse cuidadosamente.
- Las IP flotantes se han conectado a todas las instancias de prueba para dar soporte a las pruebas de conectividad a través de SSH. Esto no es necesario o deseable en la producción.
- Implementar restricciones basadas en contexto para controlar adicionalmente el acceso a todos los recursos.
En esta guía de aprendizaje ha creado una VPC concentrador y un conjunto de VPC de radio. Ha direccionado todo el tráfico entre VPC a través de un direccionador de cortafuegos de VPC de tránsito. Se ha creado un servicio DNS para el concentrador de VPC de tránsito y cada VPC de radio estaba enlazado DNS a la VPC de tránsito.
Eliminación de recursos
Ejecute terraform destroy en todos los directorios en orden inverso utilizando el mandato ./apply.sh :
./apply.sh -d : :
Ampliación de la guía de aprendizaje
Su arquitectura puede no ser la misma que la presentada, pero probablemente se construirá a partir de los componentes fundamentales discutidos aquí. Ideas para expandir esta guía de aprendizaje:
- Integre el acceso a Internet público entrante utilizando IBM Cloud® Internet Services.
- Añada Flow Logs for VPC capture en el tránsito.
- Coloque cada uno de los radios en una cuenta separada en una empresa.
- Obligue a algunos de los radios al tráfico de radio a través del cortafuegos y a otros no a través del cortafuegos.
- Sustituya las VSI de trabajador por Red Hat OpenShift on IBM Cloud y el equilibrador de carga de VPC.
- Forzar todo el tráfico enlazado a través del cortafuegos en la VPC de tránsito y a través de Pasarelas públicas.