Conexión a la red

El entorno de la Nube Híbrida de Equinix permite crear redes virtuales y capacidades para permitir la comunicación entre las máquinas virtuales y los servicios necesarios en la Nube, incluyendo los siguientes componentes.

Tipos de red

Red aislada - Las redes internas están disponibles en el VDC de origen (Dedicado, Flex o Bajo Demanda), sin enrutamiento externo a otros servicios o VDC.
Red enrutada - Las redes enrutadas están disponibles en el VDC (Dedicada, Flex o Bajo Demanda) con enrutamiento por defecto entre los VDC y la comunicación externa con la nube si se preconfiguran mediante reglas de cortafuegos y políticas de enrutamiento BGP en los dispositivos periféricos del usuario.

Pasarelas Edge

Los routers internos utilizados en la comunicación de redes se enrutan entre los VDC o las redes externas de la nube. Esta capacidad está preconfigurada por Equinix y conectada a un VRF-TierO (Virtual Routing and Forwarding) dedicado al usuario en alta disponibilidad, con enrutamiento BGP para la comunicación Cloud externa. Su configuración se realiza a partir de un estudio técnico de Firewall o Managed Solutions L3, cuando se contrata junto con la oferta Equinix Hybrid Cloud.

Además de los productos Network Hardware L3 disponibles en la cartera estándar de Equinix, puede optar por la conexión de Edge Gateways y VRF-TierO a través de un entorno existente, si su equipo cumple los requisitos previos de conexión y compatibilidad con el protocolo BGP.

Cortafuegos, NAT y redes externas

El Edge Gateway (Tier-1) proporciona por defecto las funciones de cortafuegos de puerta de enlace (Norte-Sur -capa 7) y NAT (Traducción de direcciones de red), que funcionan en el borde del VDC. Esto permite o deniega la comunicación entre sus Centros de Datos virtuales, y la comunicación externa de la Nube.

Las redes pueden clasificarse como puertos entrantes o salientes para redes enrutadas internas. Equinix los preconfigura basándose en el estudio técnico del producto de conectividad contratado, y se utilizan cuando se activa el servicio Nat. Esto enmascara el acceso de una red enrutada interna a la entrada o salida de la conexión.

nota

A pesar de la función nativa de cortafuegos L4 en la solución de nube híbrida en la capa Tier-1, no sustituye la necesidad de un cortafuegos de borde con soporte de enrutamiento BGP, con comunicación disponible con VRF-TierO y soporte para funciones de seguridad de capa-7, si se contratan.

Creación y edición de reglas de cortafuegos

En la página principal del portal de la nube híbrida, vaya a Networking → Edge Gateways, a continuación haga clic en el Edge Gateway asociado al VDC deseado. Confirme el tipo de servicio externo conectado al Edge de Nube Híbrida (Managed Solutions o Managed Firewall).

En la siguiente pantalla, seleccione Servicios → Cortafuegos y revise la regla predeterminada. Añada o gestione nuevas reglas utilizando el botón EDITAR REGLAS.

A través del menú Security, puede crear grupos de seguridad, IP y servicios para simplificar la gestión de reglas.

Microsegmentación - VDC-Grupo (Fin de ventas)

nota

Esta función entró en Fin de Ventas en 29 may 2024. Sólo está disponible para los clientes que estaban activos antes de esta fecha. Los clientes que contrataron Nube Híbrida después de esta fecha no pueden utilizar esta característica.

El grupo de centros de datos virtuales (VDC-Group) permite agrupar los VDC y habilita la funcionalidad de cortafuegos distribuido para la microsegmentación. Esto proporciona una segmentación de las máquinas virtuales basada en nombres y atributos y admite el uso compartido de redes entre clústeres Dedicados, Flex y Bajo Demanda.

El cortafuegos distribuido está integrado en el núcleo del hipervisor y ofrece visibilidad y control para las cargas de trabajo y las redes virtualizadas. Puede crear políticas de control de acceso basadas en objetos como nombres de máquinas virtuales y redes (direcciones IP o conjuntos de IP). Las reglas del cortafuegos se aplican en el nivel vNIC de cada VM, garantizando un control de acceso coherente incluso durante las migraciones vMotion. Esto admite un modelo de seguridad de microsegmentación en el que el tráfico Este-Oeste puede inspeccionarse hasta la Capa 7.

important

La activación de VDC-Group puede solicitarse al crear un nuevo entorno. Para los entornos existentes, abra un ticket de soporte para que Equinix pueda realizar una evaluación de los requisitos y un análisis del impacto antes de activar la función.

Creación y edición de redes con VDC-Group

Tras activar la función de microsegmentación, aparecerá una nueva pestaña llamada Data Center Group, que mostrará la agrupación de los VDC. Para crear una nueva red, seleccione la opción Grupo de centros de datos, donde las redes se compartirán automáticamente entre los VDC.

Cortafuegos distribuido - Creación y edición de reglas

Para crear políticas de seguridad en el cortafuegos distribuido, vaya a Redes → Grupos de centros de datos en el portal de la nube híbrida.

Abra el grupo VDC de su inquilino y, a continuación, seleccione Cortafuegos distribuido → Editar reglas.

Creación y edición de reglas NAT

El servicio NAT es opcional y debe considerarse en función de la topología de su entorno. Casos de uso habituales:

Caso de uso 1: NAT se produce en el cortafuegos de borde externo fuera de Nube Híbrida, conectado a VRF-Tier0. En este caso, las funciones NAT y Red externa en EdgeGateway-Tier1 no son necesarias.
Caso práctico 2: NAT se produce en el EdgeGateway-Tier1 del VDC utilizando un rango de IP públicas reservadas para el cliente.
Caso de uso 3: NAT encadenado: el cortafuegos externo realiza un NAT hacia VRF-Tier0 y, a continuación, EdgeGateway-Tier1 realiza un segundo NAT hacia una red enrutada interna.

Para los casos de uso 2 y 3, añada nuevas reglas NAT (DNAT y SNAT) a través de Servicios → NAT, y después haga clic en NUEVO.

Edge Gateways - Topología de alto nivel

A continuación se muestra una topología de alto nivel para ayudar a aclarar las conexiones internas y externas a la Nube Híbrida.

Tier-0 Gateway - Estos routers VRF-Edge son responsables del enlace BGP con el entorno externo a la nube híbrida y del enrutamiento interno entre los VDC. Equinix los configura basándose en el estudio técnico de los servicios contratados y las soluciones de conectividad.
Gateway Tier-1 - Clasificado como Edge Gateway en el Portal de Nube Híbrida, es responsable de la conexión y enrutamiento de redes, DHCP, Firewall Gateway y servicios VDC Nat. Configurado inicialmente por el equipo de habilitación de Equinix, se basa en el estudio técnico de los servicios contratados y las soluciones de conectividad.
Segmento - Se clasifica como Red en el Portal de la Nube Híbrida, con las opciones de Red interna o Red enrutada. Su creación y configuración puede ser llevada a cabo por el usuario, y posteriormente despejada a través de políticas de enrutamiento y reglas de cortafuegos disponibles en el Edge de la Nube.

Crear y editar redes virtuales

Algunas redes virtuales son creadas por el equipo de habilitación de Equinix de forma predeterminada, basándose en el estudio técnico del producto de conectividad o servicio profesional contratado con la solución. Sin embargo, se pueden crear y enrutar nuevas redes en cualquier momento para satisfacer nuevas demandas.

En la página de inicio del Equinix Hybrid Cloud Portal, acceda a Networking | Networks, y haga clic en New.

New Organization VDC Network
Scope	Select the desired VDC and click Next.	In this case we can choose to create networks in the Dedicated, Flex or On-Demand Virtual Datacenter.
Network Type	Select the type of network you want, opting for a routed or isolated connection	Each VDC can contain up to two routers in the routed connection model, one dedicated for connecting to external networks and the Internet and the other specifically for connecting to the Equinix services network, delivering products such as “Backup”, “Intelligent Data” and others.
General	Enter a name, CIDR Gateway and Description.	For example: LAN01, 192.168.110.1/24
Static IP Pools	Enter a pool of IPs available for automatic allocation when creating new VMs	For example: 192.168.10.100-192.168.110.100
DNS	Enter the primary, secondary and Suffix DNS addresses	For example: 8.8.8.8, 8.8.4.4, domain.local
Ready to complete	Review options and confirm the creation of the new virtual network.

:::nota Por defecto, las redes se enrutan internamente entre los VDC. Sin embargo, deben revisarse las políticas de enrutamiento BGP y las reglas del cortafuegos para habilitar el acceso externo y el acceso a Internet. Esta configuración adicional puede ser solicitada a nuestro equipo de soporte cuando el cortafuegos de borde del usuario está gestionado, o puede ser configurada por el propio usuario cuando el cortafuegos no está gestionado. Opcionalmente, los clientes no gestionados también pueden contratar horas técnicas para despejar y crear políticas de enrutamiento y cortafuegos. :::

Crear y editar reglas de cortafuegos

En la página de inicio del Equinix Hybrid Cloud Portal, haga clic en Networking | Edge Gateways.
Seleccione la Edge Gateway relacionada con el VDC deseado, basándose también en el tipo de servicio externo asociado al borde de la nube híbrida (Managed Solutions o Managed Firewall).
En la siguiente pantalla, haga clic en el menú Servicios -> Cortafuegos, y marque la regla de entorno predeterminada. Haga clic en EDITAR REGLAS para añadir y gestionar nuevas reglas.

En el menú Security, cree grupos de seguridad, IPs y servicios para facilitar la gestión de reglas.

Security Groups	Create security groups and add the networks used by the VMs in the VDC. For example: SC-LAN-ONDEMAND (Will encompass all VMs connected to that network).
IP Sets	Create IP groups to identify networks external to the VDC.
Application Port Profiles	Create services to identify the applications and ports used.

Crear y editar reglas NAT

El servicio NAT es opcional y su uso debe considerarse en función de la topología del entorno. A continuación se enumeran algunos casos de uso:

Caso de uso 1 - Las direcciones pueden traducirse directamente en el cortafuegos de borde externo a la nube híbrida, que está conectado a VRF-Tier0. Éste entrega una comunicación traducida a las redes enrutadas internas. En este escenario, las funciones NAT y Red externa del EdgeGateway-TierI del VDC no son necesarias.
Caso práctico 2 - La red externa del VDC puede contener un rango de IP públicas reservadas para el usuario. En este caso, la NAT puede producirse directamente en el EdgeGateway-Tierl del VDC, enmascarando una red interna enrutada.
Caso de uso 3 - Este caso de uso se produce cuando una NAT está conectada a otra NAT. Es decir, una red pública conectada a un cortafuegos externo a la nube híbrida y al VRF-Tier0. Realiza una NAT para otra red externa con IPs privadas en el EdgeGateway-Tierl del VDC, que realiza una segunda NAT a una red interna enrutada.

En los casos de uso 2 y 3 enumerados anteriormente, puede añadir nuevas reglas NAT (DNAT y SNAT) a través de Servicios -> NAT, seleccionando NUEVO.

Tipos de red​

Pasarelas Edge​

Cortafuegos, NAT y redes externas​

Creación y edición de reglas de cortafuegos​

Microsegmentación - VDC-Grupo (Fin de ventas)​

Creación y edición de redes con VDC-Group​

Cortafuegos distribuido - Creación y edición de reglas​

Creación y edición de reglas NAT​

Edge Gateways - Topología de alto nivel​

Crear y editar redes virtuales​

Crear y editar reglas de cortafuegos​

Crear y editar reglas NAT​