IBM Cloud Docs
Enlace de redes privadas seguras a través de la red de IBM

Enlace de redes privadas seguras a través de la red de IBM

En esta guía de aprendizaje se describe el uso de la Infraestructura clásica. La mayoría de las cargas de trabajo se pueden implementar utilizando recursos de IBM Cloud® Virtual Private Cloud. Utilice IBM Cloud VPC para crear su propio entorno de cálculo similar al de una nube privada en una infraestructura de nube pública compartida. Una VPC proporciona a una empresa la posibilidad de definir y controlar una red virtual que está aislada lógicamente de todos los demás arrendatarios de nube pública, creando un lugar privado y seguro en la nube pública. En concreto, Direct Link, instancias de servidor virtual, grupos de seguridad, ACL de red y pasarela de tránsito.

Esta guía de aprendizaje puede incurrir en costes. Utilice Estimador de costes para generar una estimación del coste basada en el uso previsto.

A medida que aumenta la necesidad de un alcance global y de las operaciones de tipo 24-7 de la aplicación web, aumenta la necesidad de alojar servicios en varios centros de datos de la nube. Los centros de datos en varias ubicaciones proporcionan resistencia en el caso de que se produzca una anomalía en la región geográfica, y además acercan las cargas de trabajo a los usuarios distribuidos globalmente, reduciendo así la latencia y aumentando el rendimiento. La redIBM Cloud permite a los usuarios enlazar cargas de trabajo alojadas en redes privadas seguras entre centros de datos y ubicaciones.

En esta guía de aprendizaje se muestra la configuración de una conexión IP de direccionamiento privado a través de la red privada de IBM Cloud entre dos redes privadas seguras alojadas en distintos centros de datos. Todos los recursos son propiedad de una cuenta de IBM Cloud. Utiliza la guía de aprendizaje Aislar cargas de trabajo con una red privada segura para desplegar dos redes privadas enlazadas de forma segura a través de la red privada IBM Cloud.

Objetivos

  • Enlace de redes seguras dentro de una cuenta de IBM Cloud IaaS
  • Configuración de reglas de cortafuegos para el acceso de sitio al sitio
  • Configuración del direccionamiento entre sitios

de arquitectura del

  1. Despliegue de redes privadas seguras
  2. Configurar VRF o VLAN Spanning (se prefiere VRF)
  3. Configuración del direccionamiento IP entre redes privadas
  4. Configuración de reglas de cortafuegos para el acceso a sitios remotos

Antes de empezar

Esta guía de aprendizaje se basa en la guía de aprendizaje sobre Aislamiento de cargas de trabajo con una red privada segura. Antes de comenzar es necesario revisar esta guía de aprendizaje y sus requisitos previos.

Configuración de sitios de red privados seguros

La guía de aprendizaje Aislamiento de cargas de trabajo con una red privada segura se utiliza dos veces para implementar redes privadas en dos centros de datos diferentes. No hay ninguna restricción en cuanto a la utilización de dos centros de datos, aparte de tener en cuenta el impacto de la latencia sobre el tráfico o sobre las cargas de trabajo que se comunicarán entre los sitios.

Se puede seguir la guía de aprendizaje Aislamiento de cargas de trabajo con una red privada segura sin cargo alguno para cada centro de datos seleccionado, registrando la siguiente información para pasos posteriores.

Detalles de red para anotar para los pasos siguientes
Elemento Datacenter1 Datacenter2
Centro de datos
Dirección IP pública de VRA DC1 VRA Dirección IP pública Dirección IP pública deDC2 VRA
Dirección IP privada de VRA DC1 VRA Dirección IP privada DC2 VRA Dirección IP privada
Subred privada VRA & CIDR
ID de VLAN privada DC1 ID de VLAN privada DC2 ID de VLAN privada
Dirección IP privada de VSI DC1 VSI Dirección IP privada DC2 VSI Dirección IP privada
Subred de zona APP & CIDR DC1 Zona APP subred/CIDR DC2 Zona APP subred/CIDR
  1. Continúe en la página Detalles de pasarela para cada VRA a través de la página Dispositivos de pasarela.
  2. Localice la sección VLAN de pasarela y pulse en la VLAN de la pasarela de la red Privada para ver los detalles de la VLAN. El nombre debería contener el id bcrxxx, que indica 'backend customer router' (direccionador de cliente de fondo), y tener el formato nnnxx.bcrxxx.xxxx.
  3. El VRA suministrado se verá en la sección Dispositivos. En la sección Subredes, anote la dirección IP y el CIDR de la subred privada de VRA (/26). La subred será de tipo primario con 64 IP. Estos detalles se necesitarán posteriormente para la configuración de direccionamiento.
  4. De nuevo en la página Detalles de pasarela, localice la sección VLAN asociadas y pulse VLAN en la red Privada asociada para crear la red segura y la zona APP.
  5. La VSI suministrada se verá en la sección Dispositivos. En la sección Subredes, anote la dirección IP y el CIDR de subred de VSI (/26), ya que necesitará esta información para la configuración del direccionamiento. Esta VLAN y subred se identifica como la zona APP en ambas configuraciones del cortafuegos VRA y se registra como <APP Zone subnet/CIDR>.

Configurar conectividad de red de fondo

De forma predeterminada, los servidores (y los VRA) en distintas VLAN y centros de datos no pueden comunicarse entre sí a través de la red privada. En estas guías de aprendizaje, en un solo centro de datos se utilizan VRA para enlazar las VLAN y las subredes con direccionamiento IP clásico y cortafuegos para crear una red privada para la comunicación de servidor entre las VLAN. Aunque se pueden comunicar en el mismo centro de datos, en esta configuración los servidores pertenecientes a la misma cuenta de IBM Cloud no se pueden comunicar entre centros de datos.

Las VLAN asociadas con VRA solo se pueden comunicar a través de su VRA asociado, según lo determine el cortafuegos de VRA y la configuración de direccionamiento. Los VRA propiedad de una cuenta de IBM Cloud están conectados a través de la red privada y se pueden comunicar.

VLAN no asociadas a las redes privadas seguras creadas por las VRA, están permitiendo la interconexión de estas VLAN "no asociadas" entre centros de datos. Esto incluye las VLAN de VRA Gateway (tránsito) que pertenecen a la misma cuenta de IBM Cloud en distintos centros de datos. Esto permite a los VRAs comunicarse a través de los centros de datos cuando la conectividad de red backend está habilitada. Con la conectividad de VRA a VRA, el cortafuegos VRA y la configuración de direccionamiento permiten conectarse a los servidores dentro de las redes seguras.

Compruebe su cuenta para habilitar la distribución de VRF o VLAN. Solo se puede habilitar uno de ellos y se prefiere VRF. Para determinar si VRF está habilitado, consulte Habilitación de VRF y puntos finales de servicio. Consulte Distribución de VLAN para determinar si la distribución de VLAN está habilitada.

Confirme que los dos VRA ahora se pueden comunicar:

Inicie sesión en el VRA del centro de datos 1 ejecute ping en el VRA del centro de datos 2

SSH vyatta@<DC1 VRA Private IP Address>
ping <DC2 VRA Private IP Address>

Inicie sesión en el VRA del centro de datos 2 ejecute ping en el VRA del centro de datos 1

SSH vyatta@<DC2 VRA Private IP Address>
ping <DC1 VRA Private IP Address>

Configuración del direccionamiento de IP de VRA

Cree el direccionamiento de VRA en cada centro de datos para permitir que las VSI de las zonas APP de ambos centros de datos se comuniquen.

  1. Cree una ruta estática en el centro de datos 1 a la subred privada de la zona APP en el centro de datos 2, en modalidad de edición de VRA.
    ssh vyatta@<DC1 VRA Private IP Address>
conf
set protocols static route <DC2 APP zone subnet/CIDR>  next-hop <DC2 VRA Private IP>
commit
  2. Cree una ruta estática en el centro de datos 2 a la subred privada de la zona APP en el centro de datos 1, en modalidad de edición de VRA.
    ssh vyatta@<DC2 VRA Private IP Address>
conf
set protocols static route <DC1 APP zone subnet/CIDR>  next-hop <DC1 VRA Private IP>
commit
  3. Revise la tabla de direccionamiento de VRA desde la línea de mandatos de VRA. En este momento, las VSI no pueden comunicarse porque no existen reglas de cortafuegos de zona APP para permitir el tráfico entre las dos subredes de la zona APP. Se necesita reglas de cortafuegos para el tráfico iniciado en cualquiera de los lados.
    show ip route

Ahora se verá la nueva ruta para permitir que la zona APP se comunique a través de la red privada de IBM.

Configuración del cortafuegos VRA

Las reglas de cortafuegos de zona APP existentes solo se configuran para permitir el tráfico de entrada y salida de esta subred a los servicios IBM Cloud en la red privada de IBM Cloud y para el acceso a Internet pública a través de NAT. Otras subredes asociadas con las VSI en este VRA, o en otros centros de datos, se bloquean. El paso siguiente consiste en actualizar el grupo de recursos ibmprivate asociado a la regla de cortafuegos APP-TO-INSIDE para permitir el acceso explícito a la subred en el otro centro de datos.

  1. En el modo de comando de edición VRA del centro de datos 1, añada la /CIDR al grupo de recursos ibmprivate
    set resources group address-group ibmprivate address <DC2 APP zone subnet/CIDR>
commit
  2. En el modo de comando de edición VRA del centro de datos 2, añada la /CIDR al grupo de recursos ibmprivate
    set resources group address-group ibmprivate address <DC1 APP zone subnet/CIDR>
commit
  3. Verifique que ahora los VSI de ambos centros de datos se pueden comunicar
    ping <Remote Subnet Gateway IP>
ssh root@<VSI Private IP>
ping <Remote Subnet Gateway IP>
    Si las VSI no pueden comunicarse, siga las instrucciones de la guía de aprendizaje sobre Aislamiento de cargas de trabajo con una red privada segura para supervisar el tráfico en las interfaces y revisar los registros del cortafuegos.

Eliminación de recursos

Pasos que se deben seguir para eliminar los recursos que se crean en esta guía de aprendizaje.

El VRA está en el plan de pago mensual. La cancelación no da derecho a un reembolso. Se recomienda cancelar solo si este VRA no se volverá a necesitar durante el mes siguiente. Si se necesita un clúster de alta disponibilidad VRA dual, este VRA se puede actualizar en la página Detalles de pasarela.

  1. Cancele todos los servidores virtuales o servidores locales
  2. Cancele el VRA

Ampliación de la guía de aprendizaje

Esta guía de aprendizaje se puede utilizar junto con la guía de aprendizaje VPN en una red privada segura para enlazar las dos redes seguras con una red remota de usuario a través de una VPN IPSec. Los enlaces VPN se pueden establecer en ambas redes seguras para aumentar la capacidad de recuperación del acceso a la plataforma IBM Cloud IaaS. Tenga en cuenta que IBM no permite el direccionamiento del tráfico de usuario entre centros de datos de cliente a través de la red privada de IBM. La configuración de direccionamiento para evitar los bucles de red queda fuera del ámbito de esta guía de aprendizaje.

Material relacionado

  1. VRF es obligatorio para todos los clientes que utilicen IBM Cloud® Direct Link. Visión general de Virtual Routing and Forwarding (VRF) en IBM Cloud
  2. La red de IBM Cloud