Acerca de las redes
IBM Cloud® Virtual Private Cloud (VPC) es una red virtual que está vinculada a su cuenta de cliente. Le proporciona seguridad en la nube con la capacidad de escalar dinámicamente, proporcionando un control muy completo sobre la infraestructura virtual y la segmentación de tráfico de red.
Visión general
Cada VPC se despliega en una sola región. Dentro de esa región, la VPC puede abarcar varias zonas.
Las subredes de la VPC se pueden conectar a la Internet pública a través de una pasarela pública opcional. Puede asignar direcciones IP flotantes a cualquier instancia de servidor virtual para permitir que sea accesible desde Internet, independientemente de si su subred está conectada a una pasarela pública.
Las subredes dentro de VPC ofrecen conectividad privada; pueden comunicarse entre sí mediante un enlace privado a través del direccionador implícito. No es necesario configurar rutas. La figura 1 muestra cómo puede subdividir una nube privada virtual en subredes, y cada subred puede acceder a la Internet pública.
Terminología
Para trabajar con su VPC, revise los conceptos básicos de región y zona, ya que se aplican a su implementación.
Regiones
Una regiónTerritorio geográfico independiente que consta de una o varias zonas. es una abstracción del área geográfica en la que se implementa un VPC. Cada región contiene varias zonasUna ubicación dentro de una región que actúa como dominio de fallo independiente y tiene una latencia reducida con respecto a otras zonas de la región.. Una VPC puede abarcar varias zonas dentro de su región asignada. IBM Cloud proporciona dos niveles de regiones: regiones multizonaUna región repartida en ubicaciones físicas de varias zonas para aumentar la tolerancia a fallos. y regiones multizona de un solo campusRegión formada por varias zonas situadas en un mismo edificio o campus. Dependencias como la alimentación, la refrigeración, la conexión en red y la seguridad física pueden ser compartidas, pero están diseñadas para ofrecer un alto grado de independencia frente a fallos. .
Zonas
Cada zona tiene asignado un prefijo de dirección predeterminado, que especifica el rango de direcciones en el que se pueden crear subredes. Si el esquema de dirección predeterminado no se adapta a sus requisitos, por ejemplo si desea traer su propio rango de direcciones IPv4 públicas, puede personalizar los prefijos de dirección. La asignación de nombres de zonas lógicas a las zonas físicas es relativa a la cuenta, por lo que el intervalo de prefijos de dirección predeterminado para una zona puede diferir entre cuentas. Para obtener más información, consulte Ubicaciones deIBM Cloud para el despliegue de recursos.
Características de las subredes en la VPC
Cada subred consta de un rango de direcciones IP especificado (bloque CIDR). Las subredes están enlazadas a una única zona y no pueden abarcar varias zonas o regiones. Las subredes en la misma VPC están conectadas entre sí.
Direcciones reservadas por el sistema
IBM, se reserva el uso de ciertas direcciones IP para el funcionamiento del VPC. Las siguientes direcciones son las direcciones reservadas (estas direcciones IP asumen que el rango CIDR de la subred es 10.10.10.0/24):
- Primera dirección en el rango de CIDR (
10.10.10.0): dirección de red - Segunda dirección en el rango de CIDR (
10.10.10.1): dirección de pasarela - Tercera dirección en el rango de CIDR (
10.10.10.2): reservado por IBM - Cuarta dirección en el rango de CIDR (
10.10.10.3): reservado por IBM para su uso futuro - Última dirección en el rango CIDR (
10.10.10.255): dirección de difusión de red
Conectividad externa
La conectividad externa se puede lograr mediante una pasarela pública conectada a una subred o mediante una dirección IP flotante que esté conectada a una instancia de servidor virtual. Utilice una pasarela pública para la conversión de direcciones de red de origen (SNAT) y una dirección IP flotante para la conversión de direcciones de red de destino (DNAT).
Esta tabla resume las diferencias entre las opciones:
| Pasarela pública | IP flotante |
|---|---|
| Las instancias pueden iniciar conexiones a Internet, pero no pueden recibir conexiones desde Internet. | Las instancias pueden iniciar o recibir conexiones destinadas o procedentes de Internet |
| Proporciona conectividad para toda una subred | Proporciona conectividad para una sola instancia |
Para obtener conectividad externa segura, utilice el servicio VPN para conectar la VPC a otra red. Para obtener más información sobre las VPN, consulte Utilización de VPN con la VPC.
Utilizar una pasarela pública para la conectividad externa de una subred
Una pasarela pública permite que una subred y todas sus instancias de servidor virtual se conecten a Internet. Las subredes son privadas de forma predeterminada. Después de que se conecte una subred a la pasarela pública, todas las instancias de dicha subred se pueden conectar a internet. Aunque cada zona solo tiene una pasarela pública, la pasarela pública se puede conectar a varias subredes.
Las pasarelas públicas utilizan un NAT muchos-a-uno, lo que significa que miles de instancias con direcciones privadas utilizan una única dirección IP pública para comunicarse con la Internet pública.
La figura siguiente resume el ámbito actual de los servicios de pasarela.
| SNAT | DNAT | ACL | VPN |
|---|---|---|---|
| Los casos pueden tener acceso a Internet solo de salida. | Permitir la conectividad entrante desde Internet a una IP privada. | Proporcionar acceso entrante restringido desde Internet a instancias o subredes. | La VPN de sitio a sitio gestiona clientes de cualquier tamaño y ubicaciones únicas o múltiples. |
| Todas las subredes comparten el punto final público de salida. | Proporciona acceso limitado a un único servidor privado. | Restringir el acceso entrante desde Internet, en función del servicio, el protocolo o el puerto. | El alto rendimiento (hasta 10 Gbps) ofrece a los clientes la posibilidad de transferir archivos de datos de gran tamaño de forma segura y rápida. |
| Protege instancias; no se puede iniciar el acceso a instancias a través del punto final público. | El servicio DNAT puede ampliarse o reducirse, según las necesidades. | Las ACL sin estado permiten un control granular del tráfico. | Cree conexiones seguras con el cifrado estándar del sector. |
Solo puede crear una pasarela pública por zona. Sin embargo, esa pasarela pública se puede conectar a varias subredes de la zona.
Utilización de una dirección IP flotante para la conectividad externa de una instancia de servidor virtual
Las direcciones IP flotantes son direcciones IP que proporciona el sistema y son accesibles desde la Internet pública.
Puede reservar una dirección IP flotante de la agrupación de direcciones disponibles que proporciona IBM, y puede asociarla con una interfaz de red de cualquier instancia de la misma zona. Esa interfaz también tiene una dirección IP privada. Cada dirección IP flotante solo se puede asociar a una interfaz.
Notas
- Cuando se asocia una dirección IP flotante con una instancia, la instancia se elimina de la NAT de muchas a 1 de la pasarela pública.
- Actualmente, la IP flotante solo da soporte a direcciones IPv4.