Tempo aproximado para leitura: 00:10:00 min
Dúvida
Em construção...
Ambiente
CLOUD - IAAS - Todos os ambientes
Solução
Este artigo tem como objetivo explicar o funcionamento da conectividade e acessos dentro do T-Cloud IaaS. Confira abaixo em detalhes:
1 - Premissas
No T-Cloud IaaS todo o tráfego de entrada e saída entre o ambiente IaaS e a Internet é bloqueado por padrão. Para liberar o acesso à Internet, você deve efetuar a liberação do acesso sob demanda através da criação de regras de acesso NAT e Políticas de Segurança.
O acesso interno dentro das redes no T-Cloud também é bloqueado por padrão, ou seja, a comunicação entre suas máquinas virtuais dentro de uma mesma rede ou entre diferentes redes é bloqueada. Você deve efetuar a liberação do acesso sob demanda através da criação de Políticas de Segurança.
Apenas as liberações de acesso permissivas devem ser realizadas. As regras de acesso NAT e Políticas de Segurança não seguem necessariamente a ordem apresentada no T-Cloud IaaS.
2 - Recursos de Conectividade
Para estabelecer a comunicação entre suas máquinas virtuais e aplicações (T-Cloud IaaS) com a Internet, é preciso entender o funcionamento de alguns recursos que compõem a camada de conectividade do T-Cloud IaaS.
Confira abaixo detalhes de alguns recursos:
2.1 Rede: A rede (rede privada) é a parte essencial de todas as comunicações, sendo assim, ela é obrigatória para a máquina virtual obter um IP privado para se comunicar dentro do T-Cloud e com a internet utilizando as Políticas de Segurança (liberação da comunicação) e Regras NAT (Mapeamento do IP público para acesso de/para Internet).
2.2 IP Público: O IP Público é um endereço IPv4 utilizado para comunicação através da Internet. No T-Cloud, o IP Público não é vinculado por padrão a uma máquina virtual, você deve criar regras NAT vinculando o IP Público a uma ou mais máquinas virtuais (baseado em portas). É importante pontuar que antes da criação de qualquer regra de acesso, você deve criar primeiro o IP Público através do T-Cloud pois será requisitado o IP Público para regras NAT.
2.3 Regra NAT: As regras NAT são utilizadas para a comunicação entre suas máquinas virtuais e a Internet através de IPs Públicos. No T-Cloud temos três tipos de regras NAT, são elas:
2.3.1 DNAT: A regra DNAT é utilizada para publicar uma aplicação em sua máquina virtual para acesso através da Internet. Ou seja, é um acesso de entrada onde tem origem a Internet (sendo uma origem restrita ou não) com destino o IP Público e Porta externa, em que a regra DNAT faz a tradução para o IP Privado de sua máquina virtual, Porta interna e Protocolo de sua aplicação.
A regra DNAT é composta pelos seguintes campos:
- Origem: A origem sempre será a Internet Podemos escolher restringir para o IP público de uma ou mais origens ou deixar sem restrição, permitindo que qualquer origem da Internet acesse a aplicação.
- Destino externo: Neste campo selecionamos um IP Público criado no T-Cloud IaaS.
- Porta externa: Esta porta é utilizada para publicar a aplicação através da Internet e não precisa ser a mesma que a porta interna pois a regra DNAT faz o roteamento da porta externa para a porta interna.
- Destino interno: Neste campo selecionamos o IP privado de uma máquina virtual onde está instalado sua aplicação.
- Porta interna: A porta interna é a porta configurada para a aplicação instalada em sua máquina virtual.
- Protocolo: O protocolo é definido pela sua aplicação, podendo alternar entre TCP e UDP.
Após a criação de uma regra DNAT, você deve criar uma Política de Segurança do tipo Entrada para permitir que o tráfego originado da Internet consiga acessar a regra DNAT e seja liberado na camada de rede interna através da Política de Segurança.
2.3.2 SNAT: A regra SNAT é uma regra de acesso de saída, tendo origem nas máquinas virtuais do ambiente IaaS com destino a Internet. No T-Cloud, na criação da regra SNAT, selecionamos um IP Público e uma máquina virtual de modo que quando essa máquina virtual se comunicar com a Internet ela é identificada através deste IP Público.
A regra SNAT é composta pelos seguintes campos:
- IP Público: Você deve selecionar um IP Público criado previamente no T-Cloud. Sua máquina virtual será identificada através deste IP Público na internet.
- Máquina Virtual: Você deve selecionar uma ou mais máquinas virtuais que irão utilizar esta regra SNAT.
Após a criação de uma regra SNAT você deve criar uma Política de Segurança do tipo Saída para permitir que o tráfego originado de sua máquina virtual no ambiente IaaS seja liberado na camada de rede interna e consiga acessar a regra SNAT para ter acesso à Internet.
2.3.3 UNAT: O UNAT, também conhecido como U-Turn NAT, é um tipo especial de NAT que é configurado quando usuários internos precisam acessar um servidor interno usando o endereço de IP público do servidor. Nestes casos a origem e destino compartilham do mesmo firewall e ambiente de rede.
No T-Cloud IaaS, o U-Turn é bloqueado por padrão e deve ser liberado sob demanda. Sendo assim, caso você tenha um cenário em que existe a necessidade de uma ou mais máquinas virtuais de um ambiente IaaS se comunicarem com aplicações de outra máquina virtual também no ambiente IaaS através do seu IP público ao invés do IP privado, você precisa criar uma regra de NAT do tipo UNAT.
A regra UNAT é composta pelos seguintes campos:
- Origem: Neste campo devemos selecionar a máquina virtual que vai originar a comunicação com a aplicação destino. Podemos selecionar mais de uma máquina virtual para acessar esta aplicação.
- Destino Externo: Neste campo selecionamos um IP público criado previamente no ambiente IaaS para a publicação da aplicação destino.
- Porta Externa: Neste campo devemos selecionar a porta externa para a aplicação. Não precisa ser a mesma que a porta interna, a regra UNAT faz o roteamento da porta externa para a porta interna da aplicação.
- Destino Interno: Neste campo devemos selecionar a máquina virtual onde está instalado a aplicação destino do acesso.
- Porta Interna: Neste campo devemos selecionar a porta interna da aplicação.
- Protocolo: Neste campo devemos utilizar o protocolo utilizado pela aplicação, tendo as opções TCP e UDP.
- Range de IP flutuante: Após a criação da regra UNAT, é criado o Range de IP flutuante que é atrelado à regra UNAT e é necessário para o roteamento do tráfego do tipo U-turn dentro do T-Cloud. O T-Cloud utiliza um ou mais IPs dentro do Range de IP flutuante no tráfego entre as máquinas virtuais do ambiente para que não ocorra a perda dos pacotes devido às máquinas virtuais estarem no mesmo ambiente de rede.
2.4 - Política de Segurança: As Políticas de Segurança são regras de segurança baseadas em IP, Protocolo, Portas e Direção (Ingress e Egress). Essas regras também são aplicadas em tráfegos de direção (Norte <> Sul) e (Leste <> Oeste). Ou seja, liberamos ou bloqueamos o tráfego entre o ambiente IaaS e a Internet e também o tráfego lateral entre máquinas virtuais dentro de uma mesma rede ou em diferentes redes.
No T-Cloud os ambientes já nascem com Políticas de Segurança padrão em que todo o tráfego de entrada e saída é bloqueado, mesmo entre máquinas virtuais na mesma rede. Essa política padrão não é editável. Por isso, você deve criar regras liberando o acesso sob demanda conforme suas necessidades.
Temos dois tipos de de Políticas de Segurança:
2.4.1 - Entrada (Ingress): As Políticas de Segurança do tipo Entrada são responsáveis pelo tráfego de entrada na comunicação entre duas máquinas virtuais em uma mesma rede, entre máquinas virtuais de diferentes redes ou entre o ambiente IaaS e a Internet através de regras DNAT.
A Política de Segurança do tipo Entrada é composta pelos seguintes campos:
- Origem: A origem pode ser um ou mais IPs privados, uma ou mais redes, ou até IPs Públicos para restringir um acesso originado da internet consumindo uma regra DNAT.
- Destino: O destino pode ser um ou mais IPs privados ou até uma ou mais redes.
- Porta interna: Neste campo você deve selecionar a porta destino do acesso, em que é possível colocar uma porta específica ou até a opção ANY, que libera todas as portas.
- Protocolo: No campo protocolo você pode escolher entre as opções TCP e UDP.
- Label: No campo Label você pode colocar uma descrição para sua política com o objetivo de identificação.
2.4.2 - Saída (Egress): As Políticas de Segurança do tipo Saída são responsáveis pelo tráfego de saída na comunicação entre duas máquinas virtuais em uma mesma rede, entre máquinas virtuais de diferentes redes ou entre o ambiente IaaS e a internet através de regras SNAT.
A Política de Segurança do tipo Saída é composta pelos seguintes campos:
- Origem: A origem pode ser um ou mais IPs privados ou até uma ou mais redes.
- Destino: O destino pode ser um ou mais IPs privados, uma ou mais redes ou até IPs Públicos para restringir o acesso com destino à internet através de regras SNAT.
- Porta interna: Neste campo você deve selecionar a porta destino do acesso, em que você pode colocar uma porta específica ou até a opção ANY, que libera todas as portas.
- Protocolo: No campo protocolo você pode selecionar entre as opções TCP e UDP.
- Label: No campo Label você pode colocar uma descrição para sua política com o objetivo de identificação.
3 - Recursos avançados de rede
3.1 - VPN
A rede privada virtual (VPN) do T-Cloud IaaS utiliza o protocolo IPSec para estabelecer o túnel utilizado para a troca de dados e o protocolo IKE (Internet Key Exchange) para o gerenciamento das chaves que serão usadas para configurar um canal seguro e autenticado entre dois dispositivos.
A VPN do T-Cloud IaaS é do tipo Site-to-Site e é baseada no modelo de roteamento (route-based), ou seja, a comunicação entre as redes do Cliente e a TOTVS é baseada no uso de roteamento estático. A conexão pela VPN ocorre em redes públicas (Internet) porém os dados que são trocados no túnel são privados pois são criptografados.
Para saber mais sobre este recurso, consulte o seguinte artigo:
Criar VPN para o ambiente IaaS
3.2 - Balanceador de Carga:
Através do recurso de balanceador de carga do T-Cloud IaaS você pode configurar o balanceamento do tipo TCP e HTTP para suas aplicações, além de poder configurar diversas opções de distribuição de carga para o pool de servidores como (round_robin, weighted_round_robin, least_connection, weighted_least_connection, ip_hash).
Para saber mais sobre este recurso, consulte o seguinte artigo:
4 - Casos de uso
Agora que entendemos as premissas e os recursos de conectividade do T-Cloud, iremos mostrar alguns casos de uso para facilitar sua compreensão. Confira abaixo:
4.1. Liberar o acesso de saída à internet
Para liberar o acesso à internet a partir do ambiente IaaS, você precisa fazer a criação de 3 objetos no portal T-Cloud. São eles: 1 IP Público, 1 Política de Segurança do tipo Saída e 1 Regra NAT do tipo SNAT.
No exemplo abaixo o tráfego parte da máquina virtual IaaS e é liberado na camada de rede interna pela política de segurança e, através da regra SNAT, consegue se comunicar com a internet utilizado um IP Público do T-Cloud.
Para saber como efetuar esta liberação, consulte o seguinte artigo:
Liberar o acesso de saída à internet da VM IaaS
4.2. Liberar o acesso remoto para máquinas virtuais IaaS
Para liberar o acesso remoto para suas máquinas virtuais de sistema operacional Windows e Linux, você precisa fazer a criação de 3 objetos no portal T-Cloud. São eles: 1 IP Público, 1 Regra NAT do tipo DNAT e 1 Política de Segurança do tipo Entrada.
No exemplo abaixo, o tráfego parte de um usuário na internet com destino ao IP Público e porta externa da regra DNAT fazendo o acesso RDP/TS a uma máquina virtual Windows. O tráfego é liberado no firewall pela regra DNAT e, em seguida, liberado na camada de rede interna através da política de segurança chegando à máquina virtual destino. Note que a regra DNAT faz o redirecionamento do IP público para o IP privado da máquina virtual e também faz o redirecionamento da porta externa para a porta interna da aplicação.
Para saber como efetuar esta liberação, consulte os seguintes artigos:
Criar acesso externo RDP para VM com sistema operacional Windows
Criar acesso externo SSH para VM com sistema operacional Linux
4.3. Liberar a comunicação entre máquinas virtuais no ambiente IaaS
Como dito anteriormente, por padrão, todo o acesso interno dentro das redes no T-Cloud é bloqueado. Ou seja, a comunicação entre suas máquinas virtuais dentro de uma mesma rede ou entre diferentes redes é bloqueada. Você deve efetuar a liberação do acesso sob demanda através da criação de Políticas de Segurança.
No exemplo abaixo, representamos a liberação da comunicação entre máquinas virtuais na mesma rede. Para isso, é preciso criar políticas para cada direção que o tráfego vai fluir. Neste caso é necessário criar políticas de segurança (TCP e UDP) para o tráfego de saída e de entrada.
Caso a máquina virtual APP-02 queria acessar a máquina virtual APP-03, o tráfego originado na máquina virtual APP-02 faz uso da política de saída e para chegar até a máquina virtual APP-03, faz uso da política de entrada.
Para saber como efetuar esta liberação, consulte os seguintes artigos:
Liberar comunicação entre as VMs da mesma rede
Liberar comunicação entre as VMs de redes distintas
4.4. Publicar aplicações para acesso através da internet
Para liberar o acesso à suas aplicações para acesso através da internet, você precisa fazer a criação de 3 objetos no portal T-Cloud. São eles: 1 IP Público, 1 Regra NAT do tipo DNAT e 1 Política de Segurança do tipo Entrada.
No exemplo abaixo, o tráfego parte de um usuário na internet com destino ao IP Público e porta externa da regra DNAT fazendo a um Web Service na máquina virtual IaaS. O tráfego é liberado no firewall pela regra DNAT e, em seguida, liberado na camada de rede interna através da política de segurança chegando à máquina virtual destino. Note que a regra DNAT faz o redirecionamento do IP público para o IP privado da máquina virtual e também faz o redirecionamento da porta externa para a porta interna da aplicação.
Para saber como efetuar esta liberação, consulte os seguintes artigos:
Liberar o acesso externo da minha aplicação IaaS para a Internet
Liberar o acesso externo da minha aplicação IaaS para uma origem restrita
0 Comentários