Na nuvem DataLine, nosso cliente recebe não apenas máquinas virtuais separadas, mas um data center virtual com a capacidade de organizar conectividade de rede complexa. E isso geralmente é necessário em projetos de clientes. Por exemplo, em um caso, a máquina virtual precisa ser disponibilizada publicamente na Internet, no outro, para que funcionários individuais tenham acesso a um grupo de máquinas virtuais via VPN, no terceiro, para combinar a nuvem com equipamentos físicos em nosso site ou em outro data center. Hoje falaremos sobre várias maneiras de conectar-se à nossa nuvem e quando usar qual.
Como a internet funciona em sua casa? A Internet é alimentada ao dispositivo de borda, ao roteador, é o firewall atrás do qual está sua rede doméstica. Sobre o mesmo na nuvem. Em 90% dos casos, um roteador virtual
NSX Edge é usado como um dispositivo de borda na nuvem do VMware DataLine. Aqui estão algumas maneiras de organizar a conectividade de recursos na nuvem DataLine:
NAT Se você deseja que a máquina virtual fique visível na Internet,
criamos regras NAT para publicar portas e, no firewall,
restringimos o acesso a elas: https para todos, ssh / rdp para um pool limitado de endereços IP de administrador.
VPN Se você precisar conectar máquinas virtuais na nuvem do DataLine a um escritório ou outro data center por meio de um canal seguro, isso será feito usando uma
VPN site a site . Se um usuário específico precisar de acesso ao canal criptografado de qualquer lugar do mundo, configuramos
a VPN do usuário para o site .
Rede bunda. Acontece que um cliente precisa organizar a conectividade de rede entre máquinas virtuais na nuvem DataLine e equipamentos físicos ou máquinas virtuais em uma nuvem privada em nosso site. Nesse caso, encaminhamos o crossover e a VLAN de nossos equipamentos de rede para o cliente, configuramos o
roteamento entre o NSX Edge no lado da nuvem DataLine e o equipamento de rede (ou outro dispositivo virtual) no lado do cliente.
O mesmo pode ser feito se o equipamento do cliente estiver localizado fora dos data centers do DataLine. Como temos nossa própria
rede de fibra ótica , acabamos de construir o canal a partir do ponto em que estamos mais próximos do cliente.
Em vez do NSX Edge, você pode usar soluções de terceiros - ASAv ou CSR da Cisco, FortiGate, Check Point virtual, MicroTik e outros. Os aplicativos hospedados na nuvem DataLine serão conectados via
Internet direta . O canal da Internet se conecta diretamente à organização do cliente na nuvem.
É extremamente raro que os clientes usem esse esquema sem dispositivo para conectar diretamente máquinas virtuais à Internet. As máquinas virtuais nesse caso recebem endereços IP brancos.
LAN direta (L2 para a nuvem). Este método é usado quando a rede interna é finalizada no lado do cliente - em equipamento físico ou em dispositivo virtual. Por exemplo, um cliente instala um firewall físico em um rack em nosso site e conecta nosso canal da Internet a ele. Além disso, o esquema é semelhante à rede anal, somente aqui as máquinas virtuais são conectadas diretamente à rede interna, e não através do aplicativo.
LAN direta (L2 da nuvem). Essa opção é para casos em que o cliente, por exemplo, mantém bancos de dados em servidores físicos e o aplicativo está na nuvem. Eles precisam permanecer na mesma rede. Para fazer isso, a rede interna da nuvem é encaminhada para o equipamento físico do cliente.
Em projetos reais, uma combinação de todas essas opções é frequentemente usada. Aqui estão alguns exemplos.
Exemplo 1A infraestrutura do cliente é distribuída entre:
- escritório
- nuvem privada e servidores físicos no site DataLine - esse segmento hospeda o produtivo;
- recursos na nuvem pública do DataLine, na qual as bancas de teste e de desenvolvimento funcionam.
Do escritório do cliente à Linha de Dados, nossas ópticas são estabelecidas.
Entre o NSX Edge na nuvem pública, os Check Points virtuais no segmento privado e o roteador físico da Cisco no canal para o site do cliente, uma
rede de encaixe é configurada. Assim, o cliente do escritório tem acesso aos seus produtos, testes e desenvolvedores.
Em uma nuvem privada, os Check Points virtuais são conectados usando o esquema da
Internet direta .
As regras NAT são configuradas no Check Point e, por meio delas, as máquinas virtuais são publicadas na Internet. Para conectar máquinas virtuais a servidores físicos,
é organizada uma
junção no nível L2 .
A nuvem pública usa o NSX Edge, que também possui regras NAT configuradas. Para teste e desenvolvimento, uma
VPN de usuário para site para desenvolvedores também é configurada.
Exemplo 2Toda a infraestrutura do cliente está localizada em uma nuvem pública. O firewall externo está conectado via
Internet direta . No próprio firewall, as
regras NAT são definidas na direção do Web Application Firewall. A partir dele, as solicitações são enviadas ao balanceador, que as espalha pelos servidores da web. Uma
VPN site a site está configurada para acessar a infraestrutura do escritório.
