Acerca de las interfaces de red virtual
Una interfaz de red virtual (VNI) es una abstracción lógica de una interfaz de red en una subred. Se puede conectar a un recurso de destino, proporcionando dicho recurso con conectividad de red. Como recurso de nivel superior con un CRN, el ciclo
de vida de una VNI es independiente del recurso de destino al que está conectada (a menos que auto_delete
esté establecido en true
). Además, tiene su propio conjunto de permisos de IAM.
Una VNI tiene las propiedades siguientes que definen las políticas de red:
- IP primaria e IP secundarias
- Grupos de seguridad
- Suplantación de identidad IP
- NAT de infraestructura
- Filtrado de estado de protocolo
Estas políticas se conservan cuando la VNI se desconecta de un destino y se conecta a un destino diferente. Los permisos para cambiar las propiedades se establecen en la VNI, y no en el destino de la VNI.
Las IP flotantes y los recopiladores de registros de flujo son recursos que puede adjuntar a una VNI. Estos recursos conectados permanecen conectados a la VNI cuando la VNI cambia la conexión de un destino a otro. Además:
- Las referencias a las IP flotantes conectadas a una VNI se pueden recuperar como una colección hijo de la VNI.
- Un recopilador de registros de flujo conectado a una VNI se puede recuperar listando los recopiladores de registros de flujo, filtrando por
target.id
y, a continuación, especificando elid
de la VNI.
No todos los recursos de destino soportados dan soporte a todas las políticas de VNI. Para obtener más información, consulte Limitaciones conocidas.
Ventajas y prestaciones clave
Las características principales de la interfaz de red virtual son:
- La capacidad de asignar varias direcciones IP IPv4 privadas secundarias desde una subred de VPC.
- La opción de definir y aplicar grupos de seguridad y políticas de IAM exclusivas para darle más control sobre la seguridad de red.
- Escalabilidad y flexibilidad para soluciones de alta disponibilidad.
- Existencia sin estar conectado a un servidor, y la opción de pasar de una instancia o recurso a otra, reduciendo el tiempo de migración tras error.
- La posibilidad de adjuntar IP flotantes, IP reservadas primarias/secundarias y grupos de seguridad.
Consideraciones sobre la planificación
Revise las siguientes consideraciones antes de crear una VNI:
-
La creación de recursos con interfaces de red hijo seguirá estando soportada, pero las nuevas características de red, como las direcciones IP secundarias, sólo están soportadas en las interfaces de red virtuales.
-
Todas las direcciones IP de una interfaz de red virtual deben estar en la misma subred.
-
Aunque una instancia o un servidor nativo no permite una combinación de tipos de interfaz, una subred permite una combinación de instancias y servidores nativos, algunos con interfaces de red hijo y otros con interfaces de red virtual.
-
Debe configurar la dirección IP primaria al crear una interfaz de red virtual. Puede configurar direcciones IP reservadas adicionales (secundarias) al crear la interfaz de red virtual, o puede añadir posteriormente direcciones IP secundarias individualmente. Todas las direcciones IP secundarias deben estar en la misma subred que la dirección IP primaria.
-
La NAT de infraestructura convierte la dirección de destino de la dirección IP pública asignada a través de la IP flotante a la dirección IP privada de la instancia de servidor virtual. Puede configurar una dirección IP flotante en una interfaz de red virtual que tenga habilitado NAT de infraestructura. Una interfaz de red virtual configurada de esta forma puede ser utilizada por una instancia o un servidor nativo.
-
Para una interfaz de red virtual que permite la suplantación de IP y tiene la infraestructura NAT inhabilitada, puede configurar varias direcciones IP flotantes. Una interfaz de red virtual configurada de esta forma sólo puede ser utilizada por un servidor nativo.
-
Si la propiedad
auto-delete
de una interfaz de red virtual se establece enfalse
, si suprime la instancia de servidor virtual, la interfaz de red virtual permanecerá. A continuación, la interfaz de red virtual se puede conectar a un recurso de destino diferente. -
Después de que un VNI se desconecte de un destino, puede volver a conectarlo a uno de los siguientes:
- Un nuevo destino de montaje de compartición (si ip-spoofing está inhabilitado, no hay IP secundarias, la NAT de infraestructura está establecida en
true
y el filtrado de estado de protocolo no está inhabilitado) - Una nueva conexión de red en una instancia (si la NAT de infraestructura se establece en
true
) - Una nueva conexión de red en un servidor nativo (cuando se da soporte a bare metal)
- Un nuevo destino de montaje de compartición (si ip-spoofing está inhabilitado, no hay IP secundarias, la NAT de infraestructura está establecida en
Modalidad de filtrado de estado de protocolo
El filtrado de estado de protocolo supervisa cada conexión de red que fluye a través de una interfaz de red virtual (VNI) y descarta los paquetes que no son válidos basándose en el estado de conexión y el protocolo actuales. Si utiliza rutas ECMP bidireccionales, como por ejemplo rutas configuradas para configuraciones de alta disponibilidad activas/activas en funciones de red virtual (VNF) duales, puede inhabilitar el filtrado para evitar la pérdida de paquetes. La inhabilitación del filtrado permite los paquetes permitidos por las reglas de grupo de seguridad y las ACL de red, pero no obliga a cada una de las conexiones TCP a alinearse con el protocolo TCP RFC 793.
Puede elegir una modalidad de filtrado de estado de protocolo (auto
, enable
, disable
) al crear o actualizar una VNI. El valor predeterminado (auto
) habilita o inhabilita el filtrado en función del tipo de recurso de destino de su VNI. Si el tipo de destino es un servidor nativo, el filtrado está inhabilitado; para una instancia de
servidor virtual o un montaje de compartición de archivos, el filtrado está habilitado.
La modalidad de filtrado de estado de protocolo sólo está disponible en una VNI. En las interfaces de red de estilo antiguo, la modalidad es invisible y el comportamiento siempre se establece en auto
.
Iniciación a las interfaces de red virtual
Puede utilizar una VNI para gestionar las direcciones IP y los grupos de seguridad en un recurso independiente con un ciclo de vida que sea independiente del recurso de destino.
-
Asegúrese de que tiene una VPC y una subred conectadas. Para obtener más información, consulte cómo crear recursos de VPC utilizando la consola de IBM Cloud o crear con CLI y API.
-
Revise las consideraciones de planificación y los problemas conocidos y limitaciones.
-
Asegúrese de que tiene los permisos de IAM correctos para crear una VNI.
-
Cree una interfaz de red virtual con una dirección IP privada, una dirección IP pública y grupos de seguridad.
-
Adjunte la VNI a un recurso de destino soportado al suministrar el destino. Actualmente, hay tres tipos de destino soportados:
- Instancia de servidor virtual
- Al suministrar una instancia, conecte la VNI al recurso hijo de conexión de red primaria. Consulte Creación de instancias de servidor virtual.
- Si tiene una instancia de servidor virtual existente con una conexión de red primaria, puede suministrar una conexión de red adicional en la instancia de servidor virtual, adjuntando la VNI a la nueva conexión de red. Consulte Creación de conexiones de red.
- Servidor nativo
- Al suministrar un servidor nativo, conecte la VNI al recurso hijo de conexión de red primaria. Consulte Creación de servidores nativos de Bare Metal Servers en VPC.
- Si tiene un servidor nativo existente con una conexión de red primaria, puede suministrar una conexión de red adicional en el servidor nativo, conectando la VNI a la nueva conexión de red. Consulte Creación de conexiones de red.
- Montaje de compartición de archivos
- Al suministrar un nuevo montaje de compartición de archivos, adjunte la VNI al destino de montaje de compartición de archivos. Consulte Creación de comparticiones de archivos y destinos de montaje y Montar destinos para comparticiones de archivos.
- Instancia de servidor virtual
También es posible crear una VNI en el contexto de suministro de cada uno de estos destinos. En otras palabras, usted no necesita crear un VNI antes de tiempo. Posteriormente, puede suprimir la instancia y conservar la VNI asegurándose de que
--auto-delete
sea false
(conmutador Release automático ). A continuación, puede crear una nueva instancia utilizando la misma VNI.
Caso de uso 1: Alta disponibilidad con interfaces de red virtuales
Las interfaces de red virtual reducen el tiempo necesario para conmutar a una instancia de migración tras error. En una instancia de servidor virtual que no utiliza interfaces de red virtual, una migración tras error requiere cambios de direccionamiento que pueden tardar varios minutos en propagarse. En el ejemplo siguiente, tiene una instancia de servidor virtual primaria configurada con una interfaz de red y una instancia de servidor virtual de copia de seguridad que tiene su propia interfaz de red. Si la instancia de servidor virtual primario falla, debe poner la instancia de servidor virtual de copia de seguridad en línea y volver a configurar las rutas para utilizar la interfaz de red de la instancia de copia de seguridad.
{: caption="de interfaces de red
Al utilizar una interfaz de red virtual, puede moverla de una instancia a otra. El ciclo de vida independiente de la interfaz de red virtual significa que mantiene su dirección IP y no tiene que volver a configurar las rutas, lo que reduce el tiempo de migración tras error a segundos.
Caso de uso 2: Direcciones IP secundarias con interfaces de red virtuales
Una instancia de servidor virtual que ejecuta varias instancias de una aplicación se puede segmentar de forma que cada instancia de la aplicación tenga su propia dirección IP.
Para este ejemplo, una sola instancia de servidor virtual ejecuta tres instancias de una aplicación de base de datos SQL. Cada instancia de SQL debe tener su propia dirección IP. Mediante el uso de direcciones IP secundarias en una interfaz de red virtual, puede asignar distintas direcciones IP a cada instancia de aplicación.
{: caption="IP secundariasDirecciones IP secundarias en una " caption-side="bottom"} de red virtual
Soporte para clientes de API antiguos
Por compatibilidad con clientes antiguos, la respuesta de la API proporciona una representación de sólo lectura de cada conexión de red y su interfaz de red virtual asociada como interfaz de red hijo:
- Al recuperar una interfaz de red de instancia, las propiedades se derivan de la forma siguiente:
Propiedad de interfaz de red | Correlacionado desde |
---|---|
allow_ip_spoofing |
virtual_network_interface.allow_ip_spoofing |
created_at |
network_attachment.created_at |
floating_ips |
virtual_network_interface.floating_ips |
href |
network_attachment.href (/network_attachments se sustituye por /network_interfaces ) |
id |
network_attachment.id |
name |
network_attachment.name |
port_speed |
network_attachment.port_speed |
primary_ip |
virtual_network_interface.primary_ip |
resource_type |
"interfaz de red" |
security_groups |
virtual_network_interface.security_groups |
status |
Consulte la tabla "Valores de estado de interfaz de red de instancia" |
subnet |
virtual_network_interface.subnet |
type |
network_attachment.type |
El valor status
se determina de acuerdo con la tabla siguiente:
Conexión de red lifecycle_state |
VNI lifecycle_state |
status |
---|---|---|
deleting |
cualquiera | deleting |
cualquiera | deleting |
deleting |
failed |
cualquiera excepto deleting |
failed |
cualquiera excepto deleting |
failed |
failed |
pending , suspended , updating , waiting |
any except deleting o failed |
pending |
any except deleting o failed |
pending , suspended , updating , waiting |
pending |
stable |
stable |
available |
- Las mismas propiedades se derivan al recuperar una interfaz de red de servidor nativo, además de las propiedades siguientes que son específicas de las interfaces de red de servidor nativo:
Propiedad de interfaz de red | Correlacionado desde |
---|---|
enable_infrastructure_nat |
virtual_network_interface.enable_infrastructure_nat |
mac_address |
virtual_network_interface.mac_address |
interface_type |
network_attachment.interface_type |
allowed_vlans |
network_attachment.allowed_vlans |
vlan |
network_attachment.vlan |
allow_interface_to_float |
network_attachment.allow_interface_to_float |