Amplíe su infraestructura de TI con la nube privada virtual de Amazon - Enero de 2010 - cloudfront.net
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 http://aws.amazon.com/vpc
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 En qué consiste la nube privada virtual de Amazon La nube privada virtual de Amazon (Virtual Private Cloud, Amazon VPC) es un puente seguro y sin fisuras entre la infraestructura de TI de una empresa y la nube de Amazon Web Services. Amazon VPC permite conectar sus infraestructuras a un conjunto de recursos informáticos aislados de AWS por medio de una conexión de red privada virtual (VPN). Con Amazon VPC, podrá ampliar sus capacidades de gestión y sus servicios de seguridad (por ejemplo, DNS, LDAP, Active Directory, cortafuegos y sistemas de detección de intrusos) con objeto de que incluyan sus recursos de AWS y protejan la información como usted la protege en la actualidad. Amazon VPC se integra en la actualidad con la nube informática elástica de Amazon (Elastic Compute Cloud, Amazon EC2), con el almacenamiento en bloques elásticos de Amazon (Elastic Block Store , Amazon EBS) y con Amazon CloudWatch; se integrará asimismo con otros servicios de AWS en el futuro. Como sucede con la totalidad de Amazon Web Services, no hay contratos de larga duración, ni requisitos de consumo mínimo ni de inversiones por adelantado. Con Amazon VPC, pagará únicamente los recursos que utilice. En gran parte, para administrar los recursos de Amazon VPC, usted seguirá las mismas prácticas y utilizará las mismas herramientas que utiliza en la actualidad para gestionar sus propios recursos locales. Para ayudarle a comprender las similitudes y las diferencias, veamos en primer lugar una descripción general de la tecnología. Amazon VPC se componen de varios objetos que le resultarán conocidos: • Una nube privada virtual (VPC): parte aislada de la nube de AWS. • Subred: segmento del rango de direcciones IP de una VPC donde es posible colocar grupos de recursos aislados. • Conexión de VPN: enlace entre su Amazon VPC y su centro de datos, red corporativa o instalaciones anejas. • Puerta de enlace de VPN: el extremo de Amazon VPC en una conexión de VPN. • Puerta de enlace del cliente: el extremo que ocupa usted en una conexión de VPN. • Enrutador: conecta las subredes entres sí y dirige el tráfico entre la puerta de enlace de la VPN y las subredes. Amazon VPC le proporciona una conexión de nube y VPN. Dentro de esta nube, es posible definir hasta 20 subredes conforme a la notación CIDR convencional; las subredes se conectan en una topología de estrella con un único enrutador virtual entre ellas, y pueden variar en tamaño de /18 a /28. (Si desea más información acerca de la notación CIDR, consulte http://en.wikipedia.org/wiki/CIDR; encontrará información de las redes en estrella en http://en.wikipedia.org/wiki/Star_network). Usted define el rango de direcciones IPv4 de su nube (todavía no se admite IPv6). Puede ser parte del rango interno o público que ya utilice, de cualquier otro rango público de su propiedad, o de un rango privado. AWS no realiza ninguna traducción de direcciones entre su·∙red corporativa e instancias de Amazon EC2 en una Amazon VPC. Los recursos que coloque dentro de la nube están disponibles directamente para su red interna una vez que defina la ruta y actualice sus directrices de seguridad. Ninguno de los recursos se anuncia en Internet, aunque puede anunciarlos por medio de las reglas correspondientes en el enrutador para conectar su red corporativa con su proveedor de servicios de Internet. La conexión de VPN utiliza el modo de túnel IPsec (estándar en la industria) con IKE-‐PSK, AES-‐128, HMAC-‐SHA-‐1, PFS, para autenticar a las puertas de enlace entre sí y para proteger los datos que estén en tránsito frente a posibles intercepciones y manipulaciones. IPsec añade una carga mínima al tráfico (el cifrado y el encapsulamiento añaden aproximadamente un 7% de uso adicional de la red). La mayoría de las tarjetas de interfaz de red delegan ahora las 2
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 funciones de cifrado en un procesador especializado, de forma que la puerta de enlace de su cliente no debería resultar afectada. Los recursos que defina en Amazon VPC le pertenecen exclusivamente a usted. Es imposible acceder a ellos desde fuera de la conexión de VPN, y no tienen conexión directa a Internet. Si sus recursos de Amazon VPC necesitan comunicarse externamente, el tráfico atraviesa en primer lugar la VPN y luego la infraestructura existente; el tráfico de retorno sigue la vía inversa. Esto permite aplicar las mismas directrices de inspección y prácticas de administración que ya utiliza en la actualidad. Igual que con las instancias públicas de Amazon EC2, es posible supervisar el funcionamiento de las instancias que se ejecutan dentro de su VPC por medio de Amazon CloudWatch. Este servicio Web permite visualizar la utilización de recursos, el funcionamiento operativo y los patrones de demanda en general (incluido el uso de CPU, las operaciones de lectura y escritura en disco y el tráfico de red). La información aparece en la consola de gestión de AWS, y también está disponible por medio de API. Con el uso de unos scripts sencillos, podrá integrar Amazon CloudWatch en las herramientas de gestión que ya utilice. El servicio conserva datos históricos de las dos últimas semanas, incluso aunque se haya terminado una instancia. Si desea conservar más de dos semanas mientras estén en ejecución las instancias, o más de dos semanas después de terminar una instancia, existe una herramienta de línea de comandos que permite guardar datos en Amazon S3 o en Amazon SimpleDB. En una versión que saldrá en el futuro, Amazon VPC admitirá el equilibrado de cargas elásticas y el ajuste automático de las dimensiones de las instancias de Amazon EC2. (En la versión inicial de Amazon VPC no están disponibles las funciones de equilibrado de cargas elásticas ni de ajuste automático de las dimensiones de Amazon CloudWatch.) Situaciones en las que utilizar Amazon VPC ¿Qué se puede hacer con Amazon VPC? Imagínese un centro de datos que ajusta automáticamente sus dimensiones en función de la demanda, que no despilfarra dinero mientras está inactivo, que no requiere·∙mantenimiento y que permite a su entidad ofrecer nuevas soluciones a medida que las necesita·∙el negocio. Amazon VPC puede aportar estas cualidades a la infraestructura que usted ya tiene, sin necesidad de sacrificar la seguridad ni cambiar las prácticas de gestión. Para ayudarle a poner en marcha el sistema, hemos descrito algunos casos que usted puede adoptar hoy mismo. Los supuestos descritos aquí son básicamente variaciones de un mismo tema. Estas ideas de implementación aprovechan la capacidad que tiene Amazon VPC para separar lógicamente los recursos, al tiempo que permite que se comuniquen entre sí y con otros recursos presentes en la red corporativa. De aquí puede sacar ideas para utilizar Amazon VPC conforme a sus requisitos específicos. Recuerde asimismo que los recursos de Amazon VPC se comportan como instancias de Amazon EC2. Los servidores físicos que usted posea pueden apagarse, y al volver a encenderse reanudarán su funcionamiento en el estado anterior. Una vez terminadas, las instancias de servidores de Amazon EC2 no pueden reanudarse (aunque sí pueden reiniciarse si fuera necesario). Puede utilizar instancias reservadas con Amazon VPC y se aplicará la tarifa horaria con descuento que esté en vigor, aunque con la versión beta no podemos garantizar la disponibilidad de la instancia. En algunos de los supuestos que se describen a continuación, explicamos cómo puede guardar instantáneas de instancias de servidores en ejecución y reiniciar a partir de dichas instantáneas si fuera necesario. Construir un entorno de pruebas Los entornos de software están en continua evolución; nuevas versiones, nuevas funciones, parches y actualizaciones. A menudo, los cambios de software tienen que implementarse con rapidez, con poco tiempo para probar cómo podrían afectar al entorno de producción instaurado. En un mundo ideal, usted dispondría de laboratorios de pruebas que 3
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 reflejarían su entorno de producción, donde instalaría y ejercitaría las actualizaciones de software con una carga de trabajo típica. Una vez que la actualización o la nueva versión reciba el visto bueno, podrá incorporarla a la producción con más seguridad. Amazon VPC puede ayudarle a preparar·∙un laboratorio de pruebas económico y funcional. Los laboratorios de pruebas internos requieren utilizar equipos que no se utilizan la mayor parte del tiempo. A menudo, los equipos de pruebas que están sin utilizar se incorporan a los equipos de producción, y el laboratorio acaba desapareciendo por mucho que se intente evitarlo. Si prepara un laboratorio en Amazon VPC, no necesitará utilizar presupuesto adicional para comprar más equipos, y podrá modificar fácilmente el laboratorio para que esté actualizado respecto al entorno de producción. Amazon EC2 ofrece imágenes de equipos de Amazon (Amazon Machine Images, AMI) preconfiguradas que podrá adaptar a medida de su entorno. Una vez creada la imagen inicial, podrá agrupar las imágenes personalizadas y guardarlas en el servicio de almacenamiento simple de Amazon (Amazon Simple Storage Service, Amazon S3). Cuando llegue la hora de realizar pruebas, podrá iniciar nuevas instancias a partir de las AMI personalizadas. Ahora ya dispone de un laboratorio de pruebas que se parece al entorno de producción, pero que está aislado de éste. El software se instala en estas instancias para realizar las pruebas. Cuando esté satisfecho con las pruebas y se haya asegurado de que el resto de las modificaciones al software existente no afectan al funcionamiento ni muestran un comportamiento inesperado, podrá instalar las actualizaciones en el entorno de producción y repetir las modificaciones realizadas en el entorno de pruebas. Para terminar, las instancias actualizadas se agrupan en una AMI personalizada y se terminan las instancias. Cuando llegue el ciclo siguiente, simplemente hay que repetir este procedimiento. Modelar y establecer un entorno de producción desde el principio Algún día, todo su negocio, o parte de él, requerirá un giro fundamental en la tecnología que utiliza y en la forma en que se utiliza. Aunque puede ser fácil caer en la tentación de hacer borrón y cuenta nueva, no son nada frecuentes las oportunidades de actuar así. Construir un entorno desde el principio al lado de un entorno ya existente resulta arriesgado. Es posible que surjan inesperadamente dependencias desconocidas, y se podrían descubrir y utilizar nuevos servicios antes de que estén listos. Una alternativa mejor sería preparar el entorno desde el principio aparte del entorno ya existente, incorporar únicamente las aplicaciones y los comportamientos que han funcionado de la forma esperada, y trasladar limpiamente a los usuarios una vez que el entorno nuevo se haya sometido a pruebas exhaustivas. Amazon VPC puede simplificar esta transición. Para empezar, utilice las imágenes de equipos estándar de Amazon en la preparación del nuevo entorno. La conexión de VPN permite controlar la forma en que aparecen en el entorno ya existente los recursos "locales" de la VPC. Puede exponerlos a los usuarios internos, autenticarlos con el directorio de usuarios de la empresa, y administrarlos con las herramientas y las prácticas que ya posee. Deberá publicar un calendario de acciones que informe a los usuarios de cuándo se migrarán los datos, y preparar instrucciones que indiquen a los usuarios cómo pasar al nuevo entorno. Dado que la infraestructura ya existente sigue instalada, es fácil revertir el cambio a Amazon VPC, si fuera necesario. Cree redes de sucursales y de unidades de negocio Si tiene sucursales que requieren redes separadas, pero interconectadas entre sí, plantéese la opción de implementar recursos dentro de Amazon VPC y asignar una subred a cada oficina. Las aplicaciones incluidas en una misma subred pueden comunicarse entre sí con libertad. Asimismo, las aplicaciones pueden comunicarse entre subredes por medio del enrutador virtual. Dado que las instancias que se encuentran dentro de Amazon VPC ya cuentan con la protección de la VPN, no es necesario el cortafuegos virtual de grupos de seguridad que sí requieren las instancias de Amazon EC2 expuestas a Internet. Si necesita limitar los flujos dentro de las subredes, o entre las subredes, puede configurar cortafuegos de software o crear asociaciones de seguridad de modo de transporte IPsec en las instancias para definir 4
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 qué servidores están autorizados a comunicarse entre sí. (Nota: esta asociación es independiente de la asociación de seguridad de modo de túnel IPsec que se crea entre la puerta de enlace del cliente y la puerta de enlace de la VPN de Amazon VPC.) También podría utilizar esta misma idea para agrupar las aplicaciones según criterios de funciones de las unidades de negocios. Las aplicaciones específicas de determinadas unidades de negocios pueden instalarse en subredes independientes, una por cada unidad. Como sucede con el supuesto de las sucursales, puede añadir cortafuegos de software o asociaciones de seguridad IPsec si necesita controlar las comunicaciones dentro de las subredes y entre las subredes. En el futuro, Amazon VPC le permitirá definir varias nubes privadas, configurar más de una conexión de VPN y puerta de enlace de cliente, y proporcionar un mecanismo de definición de grupos de seguridad en el enrutador virtual. De esta forma dispondrá de incluso más flexibilidad para controlar el tráfico entre su red y sus nubes, así como el tráfico entre sus nubes. Es cierto que la diferencia entre utilizar Amazon VPC para recursos de sucursales y de unidades de negocios podría parecer poco significativa cuando se compara con la instalación de recursos específicos en cada oficina. En ambos casos, las operaciones de TI necesitarán utilizar herramientas de gestión remota para configurar y mantener los recursos. Las ventajas principales de Amazon VPC respecto a los equipos dedicados derivan de las mismas ventajas que Amazon EC2 ofrece en el resto de los casos: es posible ajustar elásticamente el volumen de recursos para satisfacer la demanda existente, siempre con cuidado de no infraequipar ni sobreequipar los sistemas. Aumentar la capacidad es fácil: active instancias adicionales con ayuda de sus imágenes personalizadas. Cuando llegue la hora de reducir la capacidad, basta con terminar las instancias que no sean necesarias. Si bien las tareas operativas pueden ser las mismas para mantener los activos en ejecución dentro de una sucursal de VPC que para una sucursal que utilice equipos físicos, no será necesario utilizar personal remoto. Disfrutará de los ahorros de costes derivados de los precios de AWS según consumo, y no tendrá que explicar por qué ha invertido en recursos que se utilizan muy por debajo de su capacidad total. Aísle de la red corporativa las aplicaciones existentes y las experimentales La mayoría de los supuestos que se describen aquí mencionan el uso de Amazon VPC para nuevas aplicaciones y para aumentar la capacidad del entorno de TI. Todas las organizaciones utilizan además aplicaciones más antiguas que se diseñaron para épocas anteriores. Este tipo de aplicaciones podrían utilizar un sistema operativo del que usted desea prescindir, o una configuración de servidores que no es compatible con sus modelos estándar. En lugar de mantener el equipo usted mismo y administrar las excepciones de directrices correspondientes, plantéese la opción de crear una subred de sistemas anteriores dentro de una VPC y albergar en ella las aplicaciones antiguas. Podrá aislar esta subred del resto de la red corporativa por medio de reglas que usted mismo cree en la puerta de enlace de cliente en su extremo de la conexión VPN o en algún otro lugar de su propia infraestructura de seguridad (quizás el cortafuegos situado detrás de su puerta de enlace). Aunque las imágenes de servidores que se ejecuten en esta subred tendrán direcciones de asignación automática, recuerde que el rango de direcciones lo define usted. Podrá utilizar reglas configuradas en la puerta de enlace y en la infraestructura para limitar qué tráfico puede pasar entre el bloque CIDR de la subred de sistemas antiguos y la red corporativa. La misma lógica se aplica a las aplicaciones experimentales. Quizás desee evaluar un paquete de software que prefiere mantener aislado del entorno de producción mientras examina sus funciones y su comportamiento. Es posible realizar este tipo de evaluaciones en unas cuantas instancias de Amazon EC2 dentro de su VPC. Si todo sale bien, podrá plantearse incorporar estas imágenes a la producción y otorgar acceso a los usuarios autorizados a través de su puerta 5
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 de enlace de cliente. De esta forma se ahorrará los costes de comprar, instalar y mantener equipos adicionales dentro de su propio centro de datos. Establezca un plan de recuperación tras catástrofe y continuidad del negocio A nadie le gusta dedicar tiempo a hacer planes para situaciones desagradables. Pero la verdad es que suceden, y si no se planifica con antelación, las consecuencias pueden ser devastadoras. Los planteamientos tradicionales de la recuperación tras catástrofe suelen incluir copias de seguridad que requieren mano de obra intensiva y equipos caros e inactivos que desperdician su capacidad. En lugar de esta perspectiva, plantéese la posibilidad de incluir a Amazon VPC en su plan de recuperación tras catástrofe. La naturaleza elástica y dinámica de AWS es idónea para las situaciones catastróficas que presentan picos repentinos en los requisitos de recursos. Para empezar, identifique los activos de TI que sean más críticos para su negocio. Como sucede en el supuesto de los laboratorios de pruebas, puede preparar AMI especializadas en Amazon EC2 dentro de su VPC, personalizadas para que dupliquen las funciones de sus activos críticos. Puede utilizar procesos automatizados para hacer copias de seguridad de sus datos de producción en volúmenes de Amazon EBS adicionales. Si por desgracia sucediera una catástrofe, podrá transferir rápidamente su negocio a su VPC: inicie nuevas instancias a partir de sus AMI personalizadas, conecte los volúmenes de datos y dirija el acceso a dichos servidores. Si en la catástrofe solamente se han perdido datos almacenados en los servidores instalados en sus instalaciones, podrá recuperarlos fácilmente desde los volúmenes de datos de Amazon EBS que haya utilizado como almacenamiento para copias de seguridad (aunque los volúmenes de EBS no deberían ser el único mecanismo de copias de seguridad que utilice para sus datos). Si ha sufrido pérdidas también en sus instalaciones físicas, el acceso a sus recursos de Amazon VPC no es posible porque su puerta de enlace de cliente no está disponible. En esta situación, dispondrá de un par de opciones. Si tiene usted varias instalaciones, podemos trabajar con usted para reestablecer rápidamente la conectividad con su VPC desde otra ubicación. En el momento en que la información de enrutamiento vuelva a circular por su red, los usuarios de las instalaciones que no se hayan visto afectadas recuperarán el acceso a su VPC. Si solamente tiene una instalación, no está todo perdido: tendría que trabajar con el lado público de AWS y utilizar instancias de Amazon EC2 que estuvieran accesibles desde Internet. Desde cualquier lugar de Internet, podrá iniciar sesión en su cuenta de AWS y crear un centro de datos provisional completamente alojado en la nube, y utilizar sus AMI personalizadas y sus volúmenes de datos de EBS. Lo único que necesita hacer es iniciar nuevas instancias a partir de las AMI y conectar sus volúmenes de datos. Recuerde que, en este caso, también tendrá que definir grupos de seguridad para proteger las instancias que estén en ejecución, ya que no cuentan con la protección de las directrices de seguridad que suelen definirse en la red corporativa (corpnet). Transmita·∙las aplicaciones en secuencias y cree escritorios virtuales Varios socios de Amazon, como Citrix, AppZero, InstallFree y Nasstar, han creado soluciones de virtualización de clientes y transmisión·∙de aplicaciones en secuencias que pueden albergarse dentro de imágenes de equipos de Amazon EC2. Alojar escritorios virtuales y transmitir aplicaciones cliente en secuencias desde la VPC permite hacer muchas cosas. Por ejemplo, puede ofrecer cursos de formación de personal que requieran determinadas imágenes, permitir a los proveedores que trabajen en sus instalaciones ejecutar escritorios virtuales que sigan los estándares de su empresa, y ofrecer a empleados remotos y a usuarios domésticos conectados a su VPN corporativa el mismo entorno que tienen en la oficina. Si aloja un seminario interno y necesita instalar una serie de PC cliente para que los utilicen los asistentes, puede minimizar costes si alquila ordenadores de cliente ligero y los configura para que ejecuten un escritorio virtual personalizado que se carga desde su VPC. Cualquier proyecto o programa que requiera el uso de PC de escritorio 6
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 durante un periodo corto de tiempo es buen candidato para escritorios virtuales o transmisión de aplicaciones por secuencias. Por ejemplo, puede utilizar una infraestructura de escritorio virtual (Virtual Desktpo Infrastructure, VDI) para probar aplicaciones cliente nuevas o actualizadas antes de implementarlas. Si su empresa necesita ejecutar una aplicación específica que desea mantener aislada del resto de su entorno, una VDI puede ser un entorno perfecto para realizar todo tipo de pruebas. Tenga en cuenta además las ventajas de que podrá disfrutar si implementa una infraestructura de escritorio virtual para uso persistente. Si traslada la carga de trabajo informático a Amazon VPC, podrá posponer la compra de nuevos PC de escritorio y alargar la vida útil de los equipos cliente que ya posea. Una VDI de administración centralizada facilita la aplicación de parches y actualizaciones en el sistema, además de representar un método simple de implementara nuevas aplicaciones cliente. Además, en las industrias sujetas a normativas estrictas y con empleados que no pueden ser móviles, una VDI puede reducir notablemente los riesgos de pérdidas de datos y de infecciones por malware. Una VDI puede ayudarle a reducir el consumo energético de su empresa, ya que permite cortar el suministro eléctrico en las oficinas de noche y durante los fines de semana; cada mañana, cuando vuelven los usuarios, se volverán a encender los equipos y se reanudarán sus sesiones desde Amazon VPC. Esperemos que este breve documento le haya inspirado alguna idea. Creemos que estos supuestos son una manera excelente de explorar las oportunidades que presenta Amazon VPC. Estaremos encantados de que nos cuente cómo Amazon VPC ha mejorado la capacidad de su empresa a la hora de integrar mejor la TI con el negocio. 7
También puede leer