Sobre intervalos de endereços públicos
O Public Address Ranges for VPC está disponível apenas para fins de avaliação e teste para usuários com acesso especial.
Um intervalo de endereços públicos é um conjunto contíguo de IPs públicos que você pode reservar e vincular a uma VPC em uma zona de disponibilidade.
Os IPs no intervalo podem ser roteados para um dispositivo de função de rede virtual (VNF) na VPC configurando o roteamento de entrada pública para rotear o intervalo de IPs de destino para um próximo salto de dispositivo de VNF. O tráfego de resposta do dispositivo VNF retém o IP de origem à medida que sai, garantindo que o tráfego não seja descartado.
Para obter mais informações sobre como configurar o roteamento de entrada, consulte Sobre tabelas de roteamento e rotas.
Principais recursos e benefícios
Os principais benefícios a seguir destacam como o serviço Public Address Ranges for VPC oferece suporte a redes dimensionáveis, seguras e altamente disponíveis.
- Intervalo de IP contíguo
- Um intervalo de endereços públicos oferece um conjunto contínuo de IPs públicos fornecidos pelo IBM para políticas de segurança e roteamento escalonáveis e gerenciáveis.
- Gerenciamento de recursos
- Os intervalos de endereços públicos podem simplificar o controle de acesso e a segurança, permitindo que uma única rota de entrada pública inspecione o tráfego de vários endpoints e proteja os aplicativos corporativos na VPC.
- Escalabilidade
- Quando precisar de mais IPs públicos, você poderá reservar um prefixo maior sem precisar gerenciar manualmente os endereços individuais.
- Alta disponibilidade
- Em regiões com zonas de disponibilidade, você pode criar intervalos de IP públicos redundantes por zona para distribuir endereços IP para alta disponibilidade. Esses intervalos de endereços públicos são regionais e podem ser movidos entre VPCs na mesma zona de disponibilidade ou em zonas diferentes.
Considerações de planejamento
Analise as considerações a seguir antes de criar um intervalo de endereços públicos:
-
Certifique-se de que você tenha as permissões de IAM apropriadas.
-
Revisar as limitações de alcance do endereço público.
-
Você pode vincular vários intervalos de endereços públicos a uma VPC.
-
Não é possível dividir os intervalos de endereços públicos em subintervalos e vinculá-los a várias VPCs ou zonas.
-
Não é possível alterar o tamanho do intervalo de endereços depois que ele é reservado. Certifique-se de reservar um intervalo de endereços públicos com tamanho suficiente para atender às suas necessidades.
Não há garantia de que os IPs em diferentes intervalos de endereços públicos sejam contíguos.
-
Você pode limitar o uso de um intervalo de endereços públicos a recursos específicos dentro da VPC configurando ACLs de rede, grupos de segurança ou uma combinação de ambos.
-
Você pode reservar um intervalo de endereços públicos com os seguintes tamanhos de prefixo. Para obter mais informações, consulte as cotas de intervalo de endereços públicos e os limites de serviço.
/28= 16 endereços/29= 8 endereços/30= 4 endereços/31= 2 endereços/32= 1 endereço
-
Se houver uma sobreposição entre um intervalo de endereços públicos e o prefixo de endereços privados em uma VPC, o prefixo de endereços privados terá precedência.
-
Quando um intervalo de endereços públicos é vinculado a uma zona em uma VPC, o tráfego originado de qualquer servidor virtual ou servidor bare metal nessa zona da VPC e usando um IP de origem do intervalo de endereços públicos pode se comunicar com os destinos públicos e privados. Para limitar isso, você pode:
- Configure grupos de segurança para limitar quais recursos podem enviar ou receber tráfego com endereços IP do intervalo de endereços públicos.
- Configure as ACLs de rede para permitir ou negar o tráfego no nível da sub-rede.
- Configure as rotas de saída da VPC para direcionar explicitamente o tráfego de saída e evitar caminhos não intencionais.
Ao configurar esses controles de tráfego de rede, lembre-se de que alguns usuários podem não ter as permissões de IAM necessárias para proteger os recursos adequadamente.
Introdução aos intervalos de endereços públicos
Para começar a usar intervalos de endereços públicos, siga estas etapas:
-
Certifique-se de que você criou uma VPC e todos os recursos necessários (se ainda não estiverem presentes).
-
Vincular, desvincular e mover intervalos de endereços públicos depois de criar um intervalo de endereços públicos.
-
Configure uma tabela de roteamento de entrada para sua VPC adicionando rotas que direcionem o tráfego para o IP do próximo salto do appliance de destino, usando o intervalo de endereços IP públicos como destino. Essas rotas direcionam o tráfego público da Internet para um próximo salto dentro da VPC, como uma instância de Network Functions Virtualization (NFV), um roteador, um firewall ou um balanceador de carga.
O IP do próximo salto deve ser um endereço IP vinculado a uma interface de rede em uma sub-rede na zona da rota para roteamento de entrada.
Funções e ações do IAM
IBM Cloud Identity and Access Management (IAM) controla o acesso a intervalos de endereços públicos para usuários da sua conta. Todos os usuários que acessam esse serviço em sua conta devem receber uma política de acesso com uma função de IAM. Analise as seguintes funções de plataforma e serviço disponíveis e as ações mapeadas para cada uma delas para ajudá-lo a atribuir acesso.
Se estiver usando a CLI ou a API para atribuir acesso, use is.public-address-range para o nome do serviço.
| Função | Descrição |
|---|---|
| Administrador | Como um administrador, é possível executar todas as ações da plataforma com base no recurso ao qual essa função está sendo designada, incluindo a designação de políticas de acesso a outros usuários. |
| Editor | Como um editor, é possível executar todas as ações da plataforma, exceto gerenciar a conta e designar políticas de acesso. |
| Operador | Como um operador, é possível executar ações da plataforma necessárias para configurar e operar instâncias de serviço, como visualizar o painel de um serviço. |
| Visualizador | Como um visualizador, é possível visualizar instâncias de serviço, mas não é possível modificá-las. |
| Ação | Descrição | Funções |
|---|---|---|
is.public-address-range.public-address-range.read |
Ler um intervalo de endereços públicos | Administrador, Editor, Operador, Visualizador |
is.public-address-range.public-address-range.list |
Listar um intervalo de endereços públicos | Administrador, Editor, Operador, Visualizador |
is.public-address-range.public-address-range.create |
Criar um intervalo de endereço público | Administrador, Editor |
is.public-address-range.public-address-range.update |
Modificar um intervalo de endereços públicos | Administrador, Editor |
is.public-address-range.public-address-range.operate
e |
Vincular, desvincular ou mover um intervalo de endereços públicos | Administrador, Editor |
is.public-address-range.public-address-range.delete |
Excluir um intervalo de endereços públicos | Administrador, Editor |
Casos de uso comuns
Os intervalos de endereços públicos ajudam os clientes a simplificar a integração de dispositivos de rede e segurança em sua topologia de rede para executar suas cargas de trabalho em uma VPC. Isso proporciona mais controle sobre o roteamento, a segurança e o gerenciamento de tráfego, permitindo soluções que melhoram o desempenho e a segurança da rede.
Protegendo suas cargas de trabalho na VPC
Para gerenciar o acesso a dados confidenciais de forma eficaz, os firewalls detectam e lidam automaticamente com ameaças usando roteamento baseado em políticas para aumentar a segurança. Você pode definir intervalos de endereços públicos para expor serviços ou aplicativos específicos, permitindo a entrada controlada na VPC. Defina regras de roteamento para endpoints públicos para redirecionar o tráfego de entrada para appliances de terceiros antes que ele chegue ao destino final. Essa abordagem simplifica a implementação de aplicativos de nível de produção com os serviços de rede e segurança necessários em uma VPC.
Implantação de cargas de trabalho altamente disponíveis e resilientes na VPC
Para garantir a resiliência da carga de trabalho, você pode usar intervalos de endereços públicos para manter o acesso consistente aos serviços durante falhas zonais. No caso de uma falha zonal, o tráfego da Internet é redirecionado para um dispositivo de função de rede virtual (VNF) implantado em outra zona para monitoramento e inspeção, mantendo a alta disponibilidade dentro da VPC.