IBM Cloud Docs
Acerca de las interfaces de red virtual

Acerca de las interfaces de red virtual

Una interfaz de red virtual (VNI) es una abstracción lógica de una interfaz de red en una subred. Se puede conectar a un recurso de destino, proporcionando dicho recurso con conectividad de red. Como recurso de nivel superior con un CRN, el ciclo de vida de una VNI es independiente del recurso de destino al que está conectada (a menos que auto_delete esté establecido en true). Además, tiene su propio conjunto de permisos de IAM.

Una VNI tiene las propiedades siguientes que definen las políticas de red:

  • IP primaria e IP secundarias
  • Grupos de seguridad
  • Suplantación de identidad IP
  • NAT de infraestructura
  • Filtrado de estado de protocolo

Estas políticas se conservan cuando la VNI se desconecta de un destino y se conecta a un destino diferente. Los permisos para cambiar las propiedades se establecen en la VNI, y no en el destino de la VNI.

Las IP flotantes y los recopiladores de registros de flujo son recursos que puede adjuntar a una VNI. Estos recursos conectados permanecen conectados a la VNI cuando la VNI cambia la conexión de un destino a otro. Además:

  • Las referencias a las IP flotantes conectadas a una VNI se pueden recuperar como una colección hijo de la VNI.
  • Un recopilador de registros de flujo conectado a una VNI se puede recuperar listando los recopiladores de registros de flujo, filtrando por target.id y, a continuación, especificando el id de la VNI.

No todos los recursos de destino soportados dan soporte a todas las políticas de VNI. Para obtener más información, consulte Limitaciones conocidas.

Ventajas y prestaciones clave

Las características principales de la interfaz de red virtual son:

  • La capacidad de asignar varias direcciones IP IPv4 privadas secundarias desde una subred de VPC.
  • La opción de definir y aplicar grupos de seguridad y políticas de IAM exclusivas para darle más control sobre la seguridad de red.
  • Escalabilidad y flexibilidad para soluciones de alta disponibilidad.
  • Existencia sin estar conectado a un servidor, y la opción de pasar de una instancia o recurso a otra, reduciendo el tiempo de migración tras error.
  • La posibilidad de adjuntar IP flotantes, IP reservadas primarias/secundarias y grupos de seguridad.

Consideraciones sobre la planificación

Revise las siguientes consideraciones antes de crear una VNI:

  • La creación de recursos con interfaces de red hijo seguirá estando soportada, pero las nuevas características de red, como las direcciones IP secundarias, sólo están soportadas en las interfaces de red virtuales.

  • Todas las direcciones IP de una interfaz de red virtual deben estar en la misma subred.

  • Aunque una instancia o un servidor nativo no permite una combinación de tipos de interfaz, una subred permite una combinación de instancias y servidores nativos, algunos con interfaces de red hijo y otros con interfaces de red virtual.

  • Debe configurar la dirección IP primaria al crear una interfaz de red virtual. Puede configurar direcciones IP reservadas adicionales (secundarias) al crear la interfaz de red virtual, o puede añadir posteriormente direcciones IP secundarias individualmente. Todas las direcciones IP secundarias deben estar en la misma subred que la dirección IP primaria.

  • La NAT de infraestructura convierte la dirección de destino de la dirección IP pública asignada a través de la IP flotante a la dirección IP privada de la instancia de servidor virtual. Puede configurar una dirección IP flotante en una interfaz de red virtual que tenga habilitado NAT de infraestructura. Una interfaz de red virtual configurada de esta forma puede ser utilizada por una instancia o un servidor nativo.

  • Para una interfaz de red virtual que permite la suplantación de IP y tiene la infraestructura NAT inhabilitada, puede configurar varias direcciones IP flotantes. Una interfaz de red virtual configurada de esta forma sólo puede ser utilizada por un servidor nativo.

  • Si la propiedad auto-delete de una interfaz de red virtual se establece en false, si suprime la instancia de servidor virtual, la interfaz de red virtual permanecerá. A continuación, la interfaz de red virtual se puede conectar a un recurso de destino diferente.

  • Después de que un VNI se desconecte de un destino, puede volver a conectarlo a uno de los siguientes:

    • Un nuevo destino de montaje de compartición (si ip-spoofing está inhabilitado, no hay IP secundarias, la NAT de infraestructura está establecida en true y el filtrado de estado de protocolo no está inhabilitado)
    • Una nueva conexión de red en una instancia (si la NAT de infraestructura se establece en true)
    • Una nueva conexión de red en un servidor nativo (cuando se da soporte a bare metal)

Modalidad de filtrado de estado de protocolo

El filtrado de estado de protocolo supervisa cada conexión de red que fluye a través de una interfaz de red virtual (VNI) y descarta los paquetes que no son válidos basándose en el estado de conexión y el protocolo actuales. Si utiliza rutas ECMP bidireccionales, como por ejemplo rutas configuradas para configuraciones de alta disponibilidad activas/activas en funciones de red virtual (VNF) duales, puede inhabilitar el filtrado para evitar la pérdida de paquetes. La inhabilitación del filtrado permite los paquetes permitidos por las reglas de grupo de seguridad y las ACL de red, pero no obliga a cada una de las conexiones TCP a alinearse con el protocolo TCP RFC 793.

Puede elegir una modalidad de filtrado de estado de protocolo (auto, enable, disable) al crear o actualizar una VNI. El valor predeterminado (auto) habilita o inhabilita el filtrado en función del tipo de recurso de destino de su VNI. Si el tipo de destino es un servidor nativo, el filtrado está inhabilitado; para una instancia de servidor virtual o un montaje de compartición de archivos, el filtrado está habilitado.

La modalidad de filtrado de estado de protocolo sólo está disponible en una VNI. En las interfaces de red de estilo antiguo, la modalidad es invisible y el comportamiento siempre se establece en auto.

Iniciación a las interfaces de red virtual

Puede utilizar una VNI para gestionar las direcciones IP y los grupos de seguridad en un recurso independiente con un ciclo de vida que sea independiente del recurso de destino.

  1. Asegúrese de que tiene una VPC y una subred conectadas. Para obtener más información, consulte cómo crear recursos de VPC utilizando la consola de IBM Cloud o crear con CLI y API.

  2. Revise las consideraciones de planificación y los problemas conocidos y limitaciones.

  3. Asegúrese de que tiene los permisos de IAM correctos para crear una VNI.

  4. Cree una interfaz de red virtual con una dirección IP privada, una dirección IP pública y grupos de seguridad.

  5. Adjunte la VNI a un recurso de destino soportado al suministrar el destino. Actualmente, hay tres tipos de destino soportados:

También es posible crear una VNI en el contexto de suministro de cada uno de estos destinos. En otras palabras, usted no necesita crear un VNI antes de tiempo. Posteriormente, puede suprimir la instancia y conservar la VNI asegurándose de que --auto-delete sea false (conmutador Release automático ). A continuación, puede crear una nueva instancia utilizando la misma VNI.

Caso de uso 1: Alta disponibilidad con interfaces de red virtuales

Las interfaces de red virtual reducen el tiempo necesario para conmutar a una instancia de migración tras error. En una instancia de servidor virtual que no utiliza interfaces de red virtual, una migración tras error requiere cambios de direccionamiento que pueden tardar varios minutos en propagarse. En el ejemplo siguiente, tiene una instancia de servidor virtual primaria configurada con una interfaz de red y una instancia de servidor virtual de copia de seguridad que tiene su propia interfaz de red. Si la instancia de servidor virtual primario falla, debe poner la instancia de servidor virtual de copia de seguridad en línea y volver a configurar las rutas para utilizar la interfaz de red de la instancia de copia de seguridad.

![Método tradicional de utilización de](images/vni-use-case2.svg "de redFlujo de trabajo tradicional de interfaces de " caption-side="bottom"} de trabajo "){: caption="de interfaces de red

Al utilizar una interfaz de red virtual, puede moverla de una instancia a otra. El ciclo de vida independiente de la interfaz de red virtual significa que mantiene su dirección IP y no tiene que volver a configurar las rutas, lo que reduce el tiempo de migración tras error a segundos.

de
de interfaces de red virtuales*

Caso de uso 2: Direcciones IP secundarias con interfaces de red virtuales

Una instancia de servidor virtual que ejecuta varias instancias de una aplicación se puede segmentar de forma que cada instancia de la aplicación tenga su propia dirección IP.

Para este ejemplo, una sola instancia de servidor virtual ejecuta tres instancias de una aplicación de base de datos SQL. Cada instancia de SQL debe tener su propia dirección IP. Mediante el uso de direcciones IP secundarias en una interfaz de red virtual, puede asignar distintas direcciones IP a cada instancia de aplicación.

Direcciones IP secundarias en una interfaz de red{: caption="IP secundariasDirecciones IP secundarias en una " caption-side="bottom"} de red virtual

Soporte para clientes de API antiguos

Por compatibilidad con clientes antiguos, la respuesta de la API proporciona una representación de sólo lectura de cada conexión de red y su interfaz de red virtual asociada como interfaz de red hijo:

Asignación de propiedades de interfaz de red de instancia
Propiedad de interfaz de red Correlacionado desde
allow_ip_spoofing virtual_network_interface.allow_ip_spoofing
created_at network_attachment.created_at
floating_ips virtual_network_interface.floating_ips
href network_attachment.href (/network_attachments se sustituye por /network_interfaces)
id network_attachment.id
name network_attachment.name
port_speed network_attachment.port_speed
primary_ip virtual_network_interface.primary_ip
resource_type "interfaz de red"
security_groups virtual_network_interface.security_groups
status Consulte la tabla "Valores de estado de interfaz de red de instancia"
subnet virtual_network_interface.subnet
type network_attachment.type

El valor status se determina de acuerdo con la tabla siguiente:

Valores de estado de la interfaz de red de instancia
Conexión de red lifecycle_state VNI lifecycle_state status
deleting cualquiera deleting
cualquiera deleting deleting
failed cualquiera excepto deleting failed
cualquiera excepto deleting failed failed
pending, suspended, updating, waiting any except deleting o failed pending
any except deleting o failed pending, suspended, updating, waiting pending
stable stable available
  • Las mismas propiedades se derivan al recuperar una interfaz de red de servidor nativo, además de las propiedades siguientes que son específicas de las interfaces de red de servidor nativo:
Mapeo de propiedades de interfaz de red de servidor de metal desnudo
Propiedad de interfaz de red Correlacionado desde
enable_infrastructure_nat virtual_network_interface.enable_infrastructure_nat
mac_address virtual_network_interface.mac_address
interface_type network_attachment.interface_type
allowed_vlans network_attachment.allowed_vlans
vlan network_attachment.vlan
allow_interface_to_float network_attachment.allow_interface_to_float