Cortafuegos de nube híbrida
Network Edge funciona con Equinix Fabric para proporcionar una rampa de acceso a la nube virtual que se puede poner en marcha en cuestión de minutos. Esto proporciona acceso híbrido multicloud de baja latencia para una gran variedad de aplicaciones. Si las aplicaciones son de varios niveles o sensibles a la latencia y necesitan acceder a los recursos de la empresa, se pueden implementar utilizando un dispositivo de seguridad virtual desplegado en Network Edge en un único punto de control.
Arquitectura
La topología híbrida multi-nube en este escenario de arquitectura de referencia tiene un nivel web desplegado en un proveedor de nube y un nivel de base de datos desplegado con otro proveedor de nube en la misma región. El único componente de la aplicación accesible al público es el nivel web. Todos los demás componentes deben estar protegidos, incluida la infraestructura empresarial que también proporciona servicios a la aplicación y debe estar cerca de los demás componentes debido a los requisitos de latencia.
Esta solución reduce el número de dispositivos desplegados y crea un único punto de control de seguridad entre todos los niveles de aplicación. Para las empresas, se reduce la complejidad de la red, lo que disminuye los costes de la conectividad entre nubes y mejora la seguridad.
La comunicación de red entre los niveles de la aplicación se proporciona mediante interconexiones privadas directas de capa 2 a través de Equinix Fabric, y el dispositivo Network Edge proporciona servicios de enrutamiento y seguridad de capa 3. El dispositivo Network Edge es una función de red virtual (VNF) alojada en la plataforma de virtualización de funciones de red (NFV) Network Edge.
Componentes de Equinix
- Equinix Fabric - Equinix Fabric es una plataforma de conmutación que proporciona conectividad privada a una amplia selección de proveedores que son participantes en el Fabric. Los circuitos virtuales se aprovisionan en el Fabric utilizando redes definidas por software para establecer la conectividad con los proveedores que están conectados al Fabric. Las conexiones virtuales pueden crearse utilizando el Portal del Cliente o las API.
- Equinix Network Edge: Network Edge es una plataforma NFV compatible con ETSI que aloja VNF (enrutadores, cortafuegos y SD-WAN) de varios proveedores, como Cisco, Juniper, Palo Alto, Fortinet, Versa, Aruba y Check Point. Las VNF se pueden implementar en tiempo real y, una vez implementadas, puede empezar a crear conexiones virtuales con proveedores en Fabric.
Componentes de la aplicación
- Interconexión privada - Las interconexiones privadas del proveedor de servicios en la nube (CSP) son conexiones de socio o alojadas de Capa 2 que se conectan al Equinix Fabric. Las conexiones de socio o alojadas proporcionan un conmutador intermedio entre un dispositivo y el enrutador del CSP con el que realiza la interconexión. Una vez establecida la interconexión privada de Capa 2, puede configurar el peering de Capa 3 con la pasarela CSP. Las interconexiones privadas evitan Internet.
- Nivel web de nube pública - El nivel web de nube pública aloja los servidores web que se exponen en la Internet pública para la conectividad de los usuarios. Este nivel también proporciona servicios de Internet proporcionados por el proveedor de la nube pública o por un proveedor de servicios de Internet que esté en el Fabric.
- Nivel de base de datos de nube pública - El nivel de base de datos de nube pública aloja los servicios PaaS de base de datos que están interconectados con el nivel web. Este nivel está protegido por el dispositivo de seguridad virtual, ya que el tráfico entre el nivel web y el nivel de base de datos debe atravesar el punto de control de seguridad.
- Infraestructura empresarial - La infraestructura empresarial aloja servicios privados para la aplicación. Esta infraestructura puede estar alojada en un centro de datos Equinix, proporcionada por Equinix Metal, o alojada en otra ubicación. El único requisito es que Equinix Fabric pueda llegar a la infraestructura.
Recomendaciones
Estas recomendaciones proporcionan un punto de partida. Los requisitos del cliente pueden diferir de esta lista.
- Elección de la ubicación - Este ejemplo de arquitectura muestra conexiones entre la misma región. Dependiendo de la región de despliegue, la latencia variará, lo que es una consideración importante a la hora de diseñar aplicaciones con estrictos requisitos de latencia. Sin embargo, algunas aplicaciones pueden requerir conectividad interregional. En esos casos, utilice el alcance global de Equinix Fabric para crear esas conexiones.
- Alta disponibilidad - Esta arquitectura muestra un despliegue de un solo hilo sin tolerancia a fallos. Equinix recomienda que los clientes desplieguen el nivel de tolerancia a fallos necesario para sus requisitos empresariales. Network Edge puede desplegarse con dispositivos redundantes o, en el caso de algunos proveedores, los dispositivos pueden desplegarse como un par de alta disponibilidad.
- Direccionamiento de red - Para las conexiones a servicios privados a través de una interfaz virtual privada, los clientes pueden utilizar un direccionamiento IP privado. Para algunos servicios públicos, es posible que se requieran direcciones IP públicas propias del cliente y NAT para el dispositivo Network Edge. Dado que cada CSP es diferente en lo que respecta a los requisitos de direccionamiento público, es necesario investigar antes de intentar crear conexiones públicas. Para el nivel web, los clientes pueden aportar sus propias direcciones IP que cumplan los requisitos de publicidad en Internet o utilizar el direccionamiento asignado por el proveedor.
Consideraciones
A la hora de implantar esta arquitectura, hay que tener en cuenta los siguientes factores.
Rendimiento
Además de la latencia, es importante el ancho de banda entre los componentes y el rendimiento de los dispositivos. Los circuitos virtuales deben tener el tamaño adecuado y los dispositivos deben soportar el rendimiento deseado.
Seguridad
Las interconexiones privadas en Fabric con el proveedor de servicios en la nube no están cifradas. Las aplicaciones que requieren cifrado deben cifrar en la capa de aplicación o en la capa de red, donde se pueden crear túneles IPSEC entre el dispositivo Network Edge y una puerta de enlace en la nube. Los túneles IPSEC implican una sobrecarga, lo que también afecta a la selección del dispositivo. Esta solución implementa un dispositivo de seguridad virtual en un único punto de control que intersecta todos los flujos de tráfico entre los niveles de la aplicación.
Costes de Equinix
- Instancia del dispositivo - El coste del dispositivo virtual (no incluye el coste de la licencia).
- Licencia para el dispositivo virtual - Los clientes pueden adquirir una licencia de suscripción para algunos proveedores. Traiga su propia licencia (BYOL) está disponible para todos los proveedores.
- Circuitos virtuales - Los cargos mensuales recurrentes se basan en el tamaño de los circuitos. Las conexiones entre metros a través del Equinix Fabric, conllevan un recargo adicional por la conexión remota.
Costes de los CSP
- Tasas de salida - Cobradas por algunos proveedores de servicios en función de la cantidad de datos que se transmiten a través de la interconexión privada. Estas tarifas varían según el proveedor. El uso de una interconexión privada reduce las tarifas de salida en comparación con Internet.
- Cargos por puerto fijo: algunos proveedores cobran estos cargos en función del tamaño del circuito, además de los cargos por salida. Tanto los gastos de salida como los de puerto fijo se tienen en cuenta en el diseño de la aplicación.
Al implementar un dispositivo de seguridad virtual en Network Edge, los clientes pueden consolidar conexiones híbridas multinube en un único punto de control de seguridad, al tiempo que maximizan el rendimiento de las aplicaciones y mejoran la seguridad.
Temas relacionados