Los recursos de cómputo en un cloud residen dentro de una VPC (Virtual Private Cloud) o Nube Privada Virtual, esta te permite aislarlos de Internet y de otros clientes en una nube pública como Kuasar.
Para lograr este objetivo, una VPC debe proveer múltiples servicios asociados al networking como los que vamos a ver a continuación.
CIDR #
Ya que conocemos el propósito de una VPC, podemos decir que el aislamiento se logra estableciendo inicialmente un CIDR (Classless Inter-Domain Routing), en español “Enrutamiento entre dominios sin clases”, lo cual se define mediante un prefijo y una máscara red, e.g. 172.16.0.0/16, esto significa que todos los recursos creados dentro de la VPC deberán tener una IP asociada al CIDR establecido por el usuario.
Con el CIDR definido, el siguiente requerimiento es desplegar un router virtual que sirve de gateway entre la VPC y el mundo exterior, por lo que se convierte en un elemento crítico de tu nube.
Kuasar automáticamente despliega los virtual routers en alta disponibilidad cuando creas una VPC.
Subredes Públicas #
Las subredes son segmentos de red contenidos dentro del CIDR con el que fue creado la VPC. Una subred es una forma lógica para aislar instancias y permitir o denegar tráfico entre ellas mediante las listas de control de acceso (ACLs).
Las subredes públicas son ideales para publicar tus servicios en Internet, lo puedes hacer mediante NAT estático, o como recomendamos, mediante balanceadores públicos.
Subredes Privadas #
Estas subredes son ideales para servicios privados como bases de datos o aplicaciones que quieras mantener fuera del directo alcance de Internet.
Las subredes privadas sólo pueden ser accedidas por las subredes públicas y sólo si las listas de control de acceso así lo permiten, para acceder directamente a los recursos disponibles en una subred privada deberás usar uno de los 2 tipos de VPN (Virtual Private Network) que te ofrecemos, VPN de Acceso Remoto o mediante una VPN Sitio a VPC (s2v).
De acuerdo a lo anterior, a las subredes privadas no se le pueden asignar IP públicas para configurar balanceadores públicos, ni redireccionamiento de puertos (Port-Forwading) ni NAT estático. Si requieres balancear servicios en una subred privada, te recomendamos usar nuestros balanceadores privados.
DNS #
Los recursos dentro de tu VPC necesitan un servicio de resolución de nombres para poder navegar adecuadamente en Internet. A través del router vitual te brindamos el servicio de DNS no sólo para sitios públicos si no de manera automática para tu dominio interno de red que defines al momento de crear tu VPC, e.g. mycompany.cloud y así configurar tus aplicaciones para que se conecten a nombres y no a IPs.
Nat de Origen #
Cuando creas una VPC, se despliegan automáticamente 2 routers virtuales en alta disponibilidad y Kuasar les asigna una IP pública para que a través de la técnica de Nat de Origen (Source Nat) le permitan a las instancias conexión a Internet usando esta IP como origen.
Esta IP pública asignada a los routers virtuales es la misma para establecer los túneles en las VPN Sitio a VPC y VPNs de Acceso Remoto.
Nat estático #
Kuasar te permite asignar una IP pública a una instancia de tu VPC, con la técnica de NAT estático. Debido a que cada proyecto sólo tiene 3 IP públicas disponibles por defecto, se recomienda está configuración sólo cuando sea estrictamente necesaria. El NAT estático sólo se permiten para subredes públicas. Es importante que revises bien tu ACLs para no exponer puertos críticos en Internet.
NICs #
Las NICs son tarjetas de red atachadas a las instancias, cada instancia tiene al menos una NIC la cual debe tener una IP principal y podría tener una o más IP secundarias si el usuario desea configurarlas.
Puedes crear nuevas NICs en la plataforma de Kuasar, una instancia puede tener múltiples NICs, cada una atachada a una subred diferente.
ACLs #
Las listas de control de acceso o ACLs funcionan como un firewall TCP/IP con estado, lo que significa que debes configurar la regla sólo en el sentido donde se inicia la conexión.
Cada regla te permite definir el sentido del tráfico (ingreso o egreso), el CIDR de origen y los protocolos de la capa 3 del modelo OSI (como ICMP) o de la capa 4 (como TCP, UDP o por número de protocolo según la definición de la IANA). Aunque es posible permitir todo el tráfico, no es una buena práctica de seguridad.
Las ACL se asignan a las subredes privadas y públicas y aplican para todas las instancias de la subred. Una misma ACL se puede aplicar para múltiples subredes.
