Ir para o conteúdo principal

Trabalho em rede

O ambiente de nuvem híbrida da Equinix permite a criação de redes virtuais e recursos para permitir a comunicação entre as VMs e os serviços necessários na nuvem, incluindo os seguintes componentes.

Tipos de rede

  • Rede Isolada – As redes internas estão disponíveis no VDC de origem (Dedicado, Flexível ou Sob Demanda), sem roteamento externo para outros serviços ou VDCs.
  • Rede Roteada – Redes roteáveis ​​estão disponíveis no VDC (Dedicado, Flexível ou Sob Demanda) com roteamento padrão entre VDCs e comunicação externa com a Nuvem, se pré-configuradas por meio de regras de firewall e políticas de roteamento BGP nos dispositivos de borda do usuário.

Gateways de borda

Os roteadores internos utilizados na comunicação das redes são roteados entre VDCs ou redes externas na nuvem. Essa funcionalidade é pré-configurada pela Equinix e conectada a um VRF-Tier0 (Virtual Routing and Forwarding) dedicado ao usuário em alta disponibilidade, com roteamento BGP para comunicação externa na nuvem. Sua configuração é realizada com base em um levantamento técnico de Firewall ou Serviços Gerenciados L3, quando contratados juntamente com a oferta de Nuvem Híbrida da Equinix.

Além dos produtos de Hardware de Rede L3 disponíveis no portfólio padrão da Equinix, você pode optar pela conexão de Edge Gateways e VRF-TierO através de um ambiente existente, desde que seu equipamento atenda aos pré-requisitos de suporte e conexão do protocolo BGP.

Firewall, NAT, e Redes Externas

O Edge Gateway (Nível 1) fornece os características de Firewall de Gateway (Norte-Sul - Camada 7) e NAT (Network Address Translated) por padrão, operando na edge do VDC. Isso permite ou nega a comunicação entre seus Data Centers virtuais e a comunicação com a Nuvem externa.

As redes podem ser classificadas como portas de entrada ou de saída para redes roteadas internas. Elas são pré-configuradas pela Equinix com base na pesquisa técnica do produto de conectividade contratado e usadas quando o serviço Nat é ativado. Isso mascara o acesso de uma rede roteada interna na entrada ou saída da conexão.

observação

Apesar do recurso nativo de firewall L4 na solução de cloud híbrida na camada Tier-1, ele não substitui a necessidade de um firewall de borda com suporte a roteamento BGP, com comunicação disponível com VRF-Tier0 e suporte a características de segurança da camada 7, se contratados.

Criar e editar regras de firewall

Na página principal do portal da Nuvem Híbrida, acesse Rede → Gateways de Borda e clique no Gateway de Borda associado ao VDC desejado. Confirme o tipo de serviço externo conectado à borda da Nuvem Híbrida (Serviços Gerenciados ou Firewall Gerenciado).

Na tela seguinte, selecione Serviços → Firewall e revise a regra padrão. Adicione ou gerencie novas regras usando o botão EDITAR REGRAS.

Por meio do menu Segurança, você pode criar grupos de segurança, IPs e serviços para simplificar o gerenciamento de regras.

Microsegmentação – Grupo VDC (Fim das Vendas)

observação

Este recurso entrou em fase final de Vendas em 29 de mai. de 2024 Ele está disponível apenas para clientes que estavam ativos antes dessa data. Clientes que contrataram o serviço de Nuvem Híbrida após essa data não poderão usar este recurso.

O Grupo de Datacenters Virtuais (VDC-Group) permite o agrupamento de VDCs e habilita a funcionalidade de Firewall Distribuído para microsegmentação. Isso proporciona a segmentação de máquinas virtuais com base em nomes e atributos, além de suportar o compartilhar de redes entre clusters Dedicados, Flexíveis e Sob Demanda.

O firewall distribuído está integrado ao kernel do hipervisor, oferecendo visibilidade e controle para cargas de trabalho e redes virtualizadas. É possível criar políticas de controle de acesso com base em objetos como nomes de máquinas virtuais e redes (endereços IP ou conjuntos de IPs). As regras do firewall são aplicadas no nível da vNIC de cada máquina virtual, garantindo um controle de acesso consistente mesmo durante migrações vMotion. Isso suporta um modelo de segurança de microsegmentação, no qual o tráfego leste-oeste pode ser inspecionado até a camada 7.

important

A ativação do VDC-Group pode ser solicitada ao criar um novo ambiente. Para ambientes existentes, abra um chamado de suporte para que a Equinix possa realizar uma avaliação de requisitos e uma análise de impacto antes de habilitar o recurso.

Criando e editando redes com o VDC-Group

Após habilitar o recurso de microsegmentação, uma nova aba chamada Grupo de Data Centers será exibida, mostrando o agrupamento dos VDCs. Para criar uma nova rede, selecione a opção Grupo de Data Centers, onde as redes serão compartilhadas automaticamente entre os VDCs.

Firewall distribuído – Criação e edição de regras

Para criar políticas de segurança no Firewall Distribuído, acesse Rede → Grupos de Data Center no portal da Nuvem Híbrida.

Abra o grupo VDC do seu locatário e selecione Firewall Distribuído → Editar Regras.

Criação e edição de regras NAT

O serviço NAT é opcional e deve ser avaliado com base na topologia do seu ambiente. Casos de uso comuns:

  • Caso de uso 1: O NAT ocorre no firewall de borda externo à Nuvem Híbrida, conectado ao VRF-Tier0. Nesse caso, os recursos de NAT e Rede Externa no EdgeGateway-Tier1 não são necessários.
  • Caso de uso 2: O NAT ocorre no EdgeGateway-Tier1 do VDC usando um intervalo de IPs públicos reservados para o cliente.
  • Caso de uso 3: NAT em cadeia: o firewall externo realiza um NAT para o VRF-Tier0 e, em seguida, o EdgeGateway-Tier1 realiza um segundo NAT para uma rede roteada interna.

Para os casos de uso 2 e 3, adicione novas regras NAT (DNAT e SNAT) através de Serviços → NAT e, em seguida, clique em NOVO.

Gateways de borda - Topologia de alto nível

A seguir, uma topologia de alto nível para ajudar a esclarecer as conexões internas e externas com a Nuvem Híbrida.

  • Gateway Tier-0 – Esses roteadores VRF-Edge são responsáveis ​​pela conexão BGP com o ambiente externo da Nuvem Híbrida e pelo roteamento interno entre os VDCs. Sua configuração é feita pela Equinix com base no levantamento técnico dos serviços e soluções de conectividade contratados.
  • Gateway de Nível 1 – Classificado como Gateway de Borda no Portal de Nuvem Híbrida, é responsável pela conexão e roteamento de redes, DHCP, Firewall de Gateway e serviços NAT de VDC. Inicialmente configurado pela equipe de habilitação da Equinix, sua configuração é baseada no levantamento técnico dos serviços e soluções de conectividade contratados.
  • Segmento – Este segmento é classificado como Rede no Portal de Nuvem Híbrida, com as opções Rede Interna ou Rede Roteada. Sua criação e configuração podem ser realizadas pelo usuário e, posteriormente, liberadas por meio de políticas de roteamento e regras de firewall disponíveis na borda da nuvem.

Criar e editar redes virtuais

Algumas redes virtuais são criadas pela equipe de capacitação da Equinix por padrão, com base no levantamento técnico do produto de conectividade ou serviço profissional contratado com a solução. No entanto, novas redes podem ser criadas e roteadas a qualquer momento para atender a novas demandas.

Na página inicial do Portal de Nuvem Híbrida da Equinix, acesse Rede | Redes e clique em Novo.

New Organization VDC Network
ScopeSelect the desired VDC and click Next.In this case we can choose to create networks in the Dedicated, Flex or On-Demand Virtual Datacenter.
Network TypeSelect the type of network you want, opting for a routed or isolated connectionEach VDC can contain up to two routers in the routed connection model, one dedicated for connecting to external networks and the Internet and the other specifically for connecting to the Equinix services network, delivering products such as “Backup”, “Intelligent Data” and others.
GeneralEnter a name, CIDR Gateway and Description.For example: LAN01, 192.168.110.1/24
Static IP PoolsEnter a pool of IPs available for automatic allocation when creating new VMsFor example: 192.168.10.100-192.168.110.100
DNSEnter the primary, secondary and Suffix DNS addressesFor example: 8.8.8.8, 8.8.4.4, domain.local
Ready to completeReview options and confirm the creation of the new virtual network.

:::observação Por padrão, as redes são roteadas internamente entre os VDCs. No entanto, as políticas de roteamento BGP e as regras de firewall devem ser revisadas para permitir o acesso externo e à internet. Essa configuração adicional pode ser solicitada à nossa equipe de suporte quando o firewall de borda do usuário for gerenciado, ou pode ser configurada pelo próprio usuário quando o firewall não for gerenciado. Opcionalmente, clientes com firewall não gerenciado também podem contratar horas de suporte técnico para configurar e redefinir as políticas de roteamento e firewall. :::

Criar e editar regras de firewall

  1. Na página inicial do Portal de Nuvem Híbrida da Equinix, clique em Rede | Gateways de Borda.

  2. Selecione o Edge Gateway relacionado ao VDC desejado, com base também no tipo de serviço externo associado à borda da Nuvem Híbrida (Serviços Gerenciados ou Firewall Gerenciado).

  3. Na tela seguinte, clique no menu Serviços -> Firewall e verifique a regra de ambiente padrão. Clique em EDITAR REGRAS para adicionar e gerenciar novas regras.

  4. No menu Segurança, crie grupos de segurança, IPs e serviços para facilitar o gerenciamento de regras.

    Security GroupsCreate security groups and add the networks used by the VMs in the VDC. For example: SC-LAN-ONDEMAND (Will encompass all VMs connected to that network).
    IP SetsCreate IP groups to identify networks external to the VDC.
    Application Port ProfilesCreate services to identify the applications and ports used.

Criar e editar regras NAT

O serviço NAT é opcional e seu uso deve ser considerado com base na topologia do ambiente. Alguns casos de uso estão listados a seguir:

  • Caso de Uso 1 – Os endereços podem ser traduzidos diretamente no firewall de borda externo à Nuvem Híbrida, que está conectado ao VRF-Tier0. Ele entrega a comunicação traduzida para as redes roteadas internas. Nesse cenário, os recursos de NAT e de rede externa do EdgeGateway-Tier1 do VDC não são necessários.
  • Caso de uso 2 – A rede VDC externa pode conter um intervalo de IPs públicos reservados para o usuário. Nesse caso, o NAT pode ocorrer diretamente na camada EdgeGateway do VDC, mascarando uma rede roteada interna.
  • Caso de uso 3 – Este caso de uso ocorre quando um NAT está vinculado a outro NAT. Ou seja, uma rede pública conectada a um firewall externo à Nuvem Híbrida e ao VRF-Tier0. Ela realiza um NAT para outra rede externa com IPs privados no EdgeGateway-Tier1 do VDC, que realiza um segundo NAT para uma rede roteada interna.

Nos casos de uso 2 e 3 listados acima, você pode adicionar novas regras NAT (DNAT e SNAT) através de Serviços -> NAT, selecionando NOVO.

Esta página foi útil?