Amplíe su infraestructura de TI con la nube privada virtual de Amazon - Enero de 2010 - cloudfront.net
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Amplíe
su
infraestructura
de
TI
con
la
nube
privada
virtual
de
Amazon
Enero
de
2010
http://aws.amazon.com/vpc
Amplíe
su
infraestructura
de
TI
con
la
nube
privada
virtual
de
Amazon
Enero
de
2010
En
qué
consiste
la
nube
privada
virtual
de
Amazon
La
nube
privada
virtual
de
Amazon
(Virtual
Private
Cloud,
Amazon
VPC)
es
un
puente
seguro
y
sin
fisuras
entre
la
infraestructura
de
TI
de
una
empresa
y
la
nube
de
Amazon
Web
Services.
Amazon
VPC
permite
conectar
sus
infraestructuras
a
un
conjunto
de
recursos
informáticos
aislados
de
AWS
por
medio
de
una
conexión
de
red
privada
virtual
(VPN).
Con
Amazon
VPC,
podrá
ampliar
sus
capacidades
de
gestión
y
sus
servicios
de
seguridad
(por
ejemplo,
DNS,
LDAP,
Active
Directory,
cortafuegos
y
sistemas
de
detección
de
intrusos)
con
objeto
de
que
incluyan
sus
recursos
de
AWS
y
protejan
la
información
como
usted
la
protege
en
la
actualidad.
Amazon
VPC
se
integra
en
la
actualidad
con
la
nube
informática
elástica
de
Amazon
(Elastic
Compute
Cloud,
Amazon
EC2),
con
el
almacenamiento
en
bloques
elásticos
de
Amazon
(Elastic
Block
Store
,
Amazon
EBS)
y
con
Amazon
CloudWatch;
se
integrará
asimismo
con
otros
servicios
de
AWS
en
el
futuro.
Como
sucede
con
la
totalidad
de
Amazon
Web
Services,
no
hay
contratos
de
larga
duración,
ni
requisitos
de
consumo
mínimo
ni
de
inversiones
por
adelantado.
Con
Amazon
VPC,
pagará
únicamente
los
recursos
que
utilice.
En
gran
parte,
para
administrar
los
recursos
de
Amazon
VPC,
usted
seguirá
las
mismas
prácticas
y
utilizará
las
mismas
herramientas
que
utiliza
en
la
actualidad
para
gestionar
sus
propios
recursos
locales.
Para
ayudarle
a
comprender
las
similitudes
y
las
diferencias,
veamos
en
primer
lugar
una
descripción
general
de
la
tecnología.
Amazon
VPC
se
componen
de
varios
objetos
que
le
resultarán
conocidos:
• Una
nube
privada
virtual
(VPC):
parte
aislada
de
la
nube
de
AWS.
• Subred:
segmento
del
rango
de
direcciones
IP
de
una
VPC
donde
es
posible
colocar
grupos
de
recursos
aislados.
• Conexión
de
VPN:
enlace
entre
su
Amazon
VPC
y
su
centro
de
datos,
red
corporativa
o
instalaciones
anejas.
• Puerta
de
enlace
de
VPN:
el
extremo
de
Amazon
VPC
en
una
conexión
de
VPN.
• Puerta
de
enlace
del
cliente:
el
extremo
que
ocupa
usted
en
una
conexión
de
VPN.
• Enrutador:
conecta
las
subredes
entres
sí
y
dirige
el
tráfico
entre
la
puerta
de
enlace
de
la
VPN
y
las
subredes.
Amazon
VPC
le
proporciona
una
conexión
de
nube
y
VPN.
Dentro
de
esta
nube,
es
posible
definir
hasta
20
subredes
conforme
a
la
notación
CIDR
convencional;
las
subredes
se
conectan
en
una
topología
de
estrella
con
un
único
enrutador
virtual
entre
ellas,
y
pueden
variar
en
tamaño
de
/18
a
/28.
(Si
desea
más
información
acerca
de
la
notación
CIDR,
consulte
http://en.wikipedia.org/wiki/CIDR;
encontrará
información
de
las
redes
en
estrella
en
http://en.wikipedia.org/wiki/Star_network).
Usted
define
el
rango
de
direcciones
IPv4
de
su
nube
(todavía
no
se
admite
IPv6).
Puede
ser
parte
del
rango
interno
o
público
que
ya
utilice,
de
cualquier
otro
rango
público
de
su
propiedad,
o
de
un
rango
privado.
AWS
no
realiza
ninguna
traducción
de
direcciones
entre
su·∙red
corporativa
e
instancias
de
Amazon
EC2
en
una
Amazon
VPC.
Los
recursos
que
coloque
dentro
de
la
nube
están
disponibles
directamente
para
su
red
interna
una
vez
que
defina
la
ruta
y
actualice
sus
directrices
de
seguridad.
Ninguno
de
los
recursos
se
anuncia
en
Internet,
aunque
puede
anunciarlos
por
medio
de
las
reglas
correspondientes
en
el
enrutador
para
conectar
su
red
corporativa
con
su
proveedor
de
servicios
de
Internet.
La
conexión
de
VPN
utiliza
el
modo
de
túnel
IPsec
(estándar
en
la
industria)
con
IKE-‐PSK,
AES-‐128,
HMAC-‐SHA-‐1,
PFS,
para
autenticar
a
las
puertas
de
enlace
entre
sí
y
para
proteger
los
datos
que
estén
en
tránsito
frente
a
posibles
intercepciones
y
manipulaciones.
IPsec
añade
una
carga
mínima
al
tráfico
(el
cifrado
y
el
encapsulamiento
añaden
aproximadamente
un
7%
de
uso
adicional
de
la
red).
La
mayoría
de
las
tarjetas
de
interfaz
de
red
delegan
ahora
las
2
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 funciones de cifrado en un procesador especializado, de forma que la puerta de enlace de su cliente no debería resultar afectada. Los recursos que defina en Amazon VPC le pertenecen exclusivamente a usted. Es imposible acceder a ellos desde fuera de la conexión de VPN, y no tienen conexión directa a Internet. Si sus recursos de Amazon VPC necesitan comunicarse externamente, el tráfico atraviesa en primer lugar la VPN y luego la infraestructura existente; el tráfico de retorno sigue la vía inversa. Esto permite aplicar las mismas directrices de inspección y prácticas de administración que ya utiliza en la actualidad. Igual que con las instancias públicas de Amazon EC2, es posible supervisar el funcionamiento de las instancias que se ejecutan dentro de su VPC por medio de Amazon CloudWatch. Este servicio Web permite visualizar la utilización de recursos, el funcionamiento operativo y los patrones de demanda en general (incluido el uso de CPU, las operaciones de lectura y escritura en disco y el tráfico de red). La información aparece en la consola de gestión de AWS, y también está disponible por medio de API. Con el uso de unos scripts sencillos, podrá integrar Amazon CloudWatch en las herramientas de gestión que ya utilice. El servicio conserva datos históricos de las dos últimas semanas, incluso aunque se haya terminado una instancia. Si desea conservar más de dos semanas mientras estén en ejecución las instancias, o más de dos semanas después de terminar una instancia, existe una herramienta de línea de comandos que permite guardar datos en Amazon S3 o en Amazon SimpleDB. En una versión que saldrá en el futuro, Amazon VPC admitirá el equilibrado de cargas elásticas y el ajuste automático de las dimensiones de las instancias de Amazon EC2. (En la versión inicial de Amazon VPC no están disponibles las funciones de equilibrado de cargas elásticas ni de ajuste automático de las dimensiones de Amazon CloudWatch.) Situaciones en las que utilizar Amazon VPC ¿Qué se puede hacer con Amazon VPC? Imagínese un centro de datos que ajusta automáticamente sus dimensiones en función de la demanda, que no despilfarra dinero mientras está inactivo, que no requiere·∙mantenimiento y que permite a su entidad ofrecer nuevas soluciones a medida que las necesita·∙el negocio. Amazon VPC puede aportar estas cualidades a la infraestructura que usted ya tiene, sin necesidad de sacrificar la seguridad ni cambiar las prácticas de gestión. Para ayudarle a poner en marcha el sistema, hemos descrito algunos casos que usted puede adoptar hoy mismo. Los supuestos descritos aquí son básicamente variaciones de un mismo tema. Estas ideas de implementación aprovechan la capacidad que tiene Amazon VPC para separar lógicamente los recursos, al tiempo que permite que se comuniquen entre sí y con otros recursos presentes en la red corporativa. De aquí puede sacar ideas para utilizar Amazon VPC conforme a sus requisitos específicos. Recuerde asimismo que los recursos de Amazon VPC se comportan como instancias de Amazon EC2. Los servidores físicos que usted posea pueden apagarse, y al volver a encenderse reanudarán su funcionamiento en el estado anterior. Una vez terminadas, las instancias de servidores de Amazon EC2 no pueden reanudarse (aunque sí pueden reiniciarse si fuera necesario). Puede utilizar instancias reservadas con Amazon VPC y se aplicará la tarifa horaria con descuento que esté en vigor, aunque con la versión beta no podemos garantizar la disponibilidad de la instancia. En algunos de los supuestos que se describen a continuación, explicamos cómo puede guardar instantáneas de instancias de servidores en ejecución y reiniciar a partir de dichas instantáneas si fuera necesario. Construir un entorno de pruebas Los entornos de software están en continua evolución; nuevas versiones, nuevas funciones, parches y actualizaciones. A menudo, los cambios de software tienen que implementarse con rapidez, con poco tiempo para probar cómo podrían afectar al entorno de producción instaurado. En un mundo ideal, usted dispondría de laboratorios de pruebas que 3
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 reflejarían su entorno de producción, donde instalaría y ejercitaría las actualizaciones de software con una carga de trabajo típica. Una vez que la actualización o la nueva versión reciba el visto bueno, podrá incorporarla a la producción con más seguridad. Amazon VPC puede ayudarle a preparar·∙un laboratorio de pruebas económico y funcional. Los laboratorios de pruebas internos requieren utilizar equipos que no se utilizan la mayor parte del tiempo. A menudo, los equipos de pruebas que están sin utilizar se incorporan a los equipos de producción, y el laboratorio acaba desapareciendo por mucho que se intente evitarlo. Si prepara un laboratorio en Amazon VPC, no necesitará utilizar presupuesto adicional para comprar más equipos, y podrá modificar fácilmente el laboratorio para que esté actualizado respecto al entorno de producción. Amazon EC2 ofrece imágenes de equipos de Amazon (Amazon Machine Images, AMI) preconfiguradas que podrá adaptar a medida de su entorno. Una vez creada la imagen inicial, podrá agrupar las imágenes personalizadas y guardarlas en el servicio de almacenamiento simple de Amazon (Amazon Simple Storage Service, Amazon S3). Cuando llegue la hora de realizar pruebas, podrá iniciar nuevas instancias a partir de las AMI personalizadas. Ahora ya dispone de un laboratorio de pruebas que se parece al entorno de producción, pero que está aislado de éste. El software se instala en estas instancias para realizar las pruebas. Cuando esté satisfecho con las pruebas y se haya asegurado de que el resto de las modificaciones al software existente no afectan al funcionamiento ni muestran un comportamiento inesperado, podrá instalar las actualizaciones en el entorno de producción y repetir las modificaciones realizadas en el entorno de pruebas. Para terminar, las instancias actualizadas se agrupan en una AMI personalizada y se terminan las instancias. Cuando llegue el ciclo siguiente, simplemente hay que repetir este procedimiento. Modelar y establecer un entorno de producción desde el principio Algún día, todo su negocio, o parte de él, requerirá un giro fundamental en la tecnología que utiliza y en la forma en que se utiliza. Aunque puede ser fácil caer en la tentación de hacer borrón y cuenta nueva, no son nada frecuentes las oportunidades de actuar así. Construir un entorno desde el principio al lado de un entorno ya existente resulta arriesgado. Es posible que surjan inesperadamente dependencias desconocidas, y se podrían descubrir y utilizar nuevos servicios antes de que estén listos. Una alternativa mejor sería preparar el entorno desde el principio aparte del entorno ya existente, incorporar únicamente las aplicaciones y los comportamientos que han funcionado de la forma esperada, y trasladar limpiamente a los usuarios una vez que el entorno nuevo se haya sometido a pruebas exhaustivas. Amazon VPC puede simplificar esta transición. Para empezar, utilice las imágenes de equipos estándar de Amazon en la preparación del nuevo entorno. La conexión de VPN permite controlar la forma en que aparecen en el entorno ya existente los recursos "locales" de la VPC. Puede exponerlos a los usuarios internos, autenticarlos con el directorio de usuarios de la empresa, y administrarlos con las herramientas y las prácticas que ya posee. Deberá publicar un calendario de acciones que informe a los usuarios de cuándo se migrarán los datos, y preparar instrucciones que indiquen a los usuarios cómo pasar al nuevo entorno. Dado que la infraestructura ya existente sigue instalada, es fácil revertir el cambio a Amazon VPC, si fuera necesario. Cree redes de sucursales y de unidades de negocio Si tiene sucursales que requieren redes separadas, pero interconectadas entre sí, plantéese la opción de implementar recursos dentro de Amazon VPC y asignar una subred a cada oficina. Las aplicaciones incluidas en una misma subred pueden comunicarse entre sí con libertad. Asimismo, las aplicaciones pueden comunicarse entre subredes por medio del enrutador virtual. Dado que las instancias que se encuentran dentro de Amazon VPC ya cuentan con la protección de la VPN, no es necesario el cortafuegos virtual de grupos de seguridad que sí requieren las instancias de Amazon EC2 expuestas a Internet. Si necesita limitar los flujos dentro de las subredes, o entre las subredes, puede configurar cortafuegos de software o crear asociaciones de seguridad de modo de transporte IPsec en las instancias para definir 4
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 qué servidores están autorizados a comunicarse entre sí. (Nota: esta asociación es independiente de la asociación de seguridad de modo de túnel IPsec que se crea entre la puerta de enlace del cliente y la puerta de enlace de la VPN de Amazon VPC.) También podría utilizar esta misma idea para agrupar las aplicaciones según criterios de funciones de las unidades de negocios. Las aplicaciones específicas de determinadas unidades de negocios pueden instalarse en subredes independientes, una por cada unidad. Como sucede con el supuesto de las sucursales, puede añadir cortafuegos de software o asociaciones de seguridad IPsec si necesita controlar las comunicaciones dentro de las subredes y entre las subredes. En el futuro, Amazon VPC le permitirá definir varias nubes privadas, configurar más de una conexión de VPN y puerta de enlace de cliente, y proporcionar un mecanismo de definición de grupos de seguridad en el enrutador virtual. De esta forma dispondrá de incluso más flexibilidad para controlar el tráfico entre su red y sus nubes, así como el tráfico entre sus nubes. Es cierto que la diferencia entre utilizar Amazon VPC para recursos de sucursales y de unidades de negocios podría parecer poco significativa cuando se compara con la instalación de recursos específicos en cada oficina. En ambos casos, las operaciones de TI necesitarán utilizar herramientas de gestión remota para configurar y mantener los recursos. Las ventajas principales de Amazon VPC respecto a los equipos dedicados derivan de las mismas ventajas que Amazon EC2 ofrece en el resto de los casos: es posible ajustar elásticamente el volumen de recursos para satisfacer la demanda existente, siempre con cuidado de no infraequipar ni sobreequipar los sistemas. Aumentar la capacidad es fácil: active instancias adicionales con ayuda de sus imágenes personalizadas. Cuando llegue la hora de reducir la capacidad, basta con terminar las instancias que no sean necesarias. Si bien las tareas operativas pueden ser las mismas para mantener los activos en ejecución dentro de una sucursal de VPC que para una sucursal que utilice equipos físicos, no será necesario utilizar personal remoto. Disfrutará de los ahorros de costes derivados de los precios de AWS según consumo, y no tendrá que explicar por qué ha invertido en recursos que se utilizan muy por debajo de su capacidad total. Aísle de la red corporativa las aplicaciones existentes y las experimentales La mayoría de los supuestos que se describen aquí mencionan el uso de Amazon VPC para nuevas aplicaciones y para aumentar la capacidad del entorno de TI. Todas las organizaciones utilizan además aplicaciones más antiguas que se diseñaron para épocas anteriores. Este tipo de aplicaciones podrían utilizar un sistema operativo del que usted desea prescindir, o una configuración de servidores que no es compatible con sus modelos estándar. En lugar de mantener el equipo usted mismo y administrar las excepciones de directrices correspondientes, plantéese la opción de crear una subred de sistemas anteriores dentro de una VPC y albergar en ella las aplicaciones antiguas. Podrá aislar esta subred del resto de la red corporativa por medio de reglas que usted mismo cree en la puerta de enlace de cliente en su extremo de la conexión VPN o en algún otro lugar de su propia infraestructura de seguridad (quizás el cortafuegos situado detrás de su puerta de enlace). Aunque las imágenes de servidores que se ejecuten en esta subred tendrán direcciones de asignación automática, recuerde que el rango de direcciones lo define usted. Podrá utilizar reglas configuradas en la puerta de enlace y en la infraestructura para limitar qué tráfico puede pasar entre el bloque CIDR de la subred de sistemas antiguos y la red corporativa. La misma lógica se aplica a las aplicaciones experimentales. Quizás desee evaluar un paquete de software que prefiere mantener aislado del entorno de producción mientras examina sus funciones y su comportamiento. Es posible realizar este tipo de evaluaciones en unas cuantas instancias de Amazon EC2 dentro de su VPC. Si todo sale bien, podrá plantearse incorporar estas imágenes a la producción y otorgar acceso a los usuarios autorizados a través de su puerta 5
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 de enlace de cliente. De esta forma se ahorrará los costes de comprar, instalar y mantener equipos adicionales dentro de su propio centro de datos. Establezca un plan de recuperación tras catástrofe y continuidad del negocio A nadie le gusta dedicar tiempo a hacer planes para situaciones desagradables. Pero la verdad es que suceden, y si no se planifica con antelación, las consecuencias pueden ser devastadoras. Los planteamientos tradicionales de la recuperación tras catástrofe suelen incluir copias de seguridad que requieren mano de obra intensiva y equipos caros e inactivos que desperdician su capacidad. En lugar de esta perspectiva, plantéese la posibilidad de incluir a Amazon VPC en su plan de recuperación tras catástrofe. La naturaleza elástica y dinámica de AWS es idónea para las situaciones catastróficas que presentan picos repentinos en los requisitos de recursos. Para empezar, identifique los activos de TI que sean más críticos para su negocio. Como sucede en el supuesto de los laboratorios de pruebas, puede preparar AMI especializadas en Amazon EC2 dentro de su VPC, personalizadas para que dupliquen las funciones de sus activos críticos. Puede utilizar procesos automatizados para hacer copias de seguridad de sus datos de producción en volúmenes de Amazon EBS adicionales. Si por desgracia sucediera una catástrofe, podrá transferir rápidamente su negocio a su VPC: inicie nuevas instancias a partir de sus AMI personalizadas, conecte los volúmenes de datos y dirija el acceso a dichos servidores. Si en la catástrofe solamente se han perdido datos almacenados en los servidores instalados en sus instalaciones, podrá recuperarlos fácilmente desde los volúmenes de datos de Amazon EBS que haya utilizado como almacenamiento para copias de seguridad (aunque los volúmenes de EBS no deberían ser el único mecanismo de copias de seguridad que utilice para sus datos). Si ha sufrido pérdidas también en sus instalaciones físicas, el acceso a sus recursos de Amazon VPC no es posible porque su puerta de enlace de cliente no está disponible. En esta situación, dispondrá de un par de opciones. Si tiene usted varias instalaciones, podemos trabajar con usted para reestablecer rápidamente la conectividad con su VPC desde otra ubicación. En el momento en que la información de enrutamiento vuelva a circular por su red, los usuarios de las instalaciones que no se hayan visto afectadas recuperarán el acceso a su VPC. Si solamente tiene una instalación, no está todo perdido: tendría que trabajar con el lado público de AWS y utilizar instancias de Amazon EC2 que estuvieran accesibles desde Internet. Desde cualquier lugar de Internet, podrá iniciar sesión en su cuenta de AWS y crear un centro de datos provisional completamente alojado en la nube, y utilizar sus AMI personalizadas y sus volúmenes de datos de EBS. Lo único que necesita hacer es iniciar nuevas instancias a partir de las AMI y conectar sus volúmenes de datos. Recuerde que, en este caso, también tendrá que definir grupos de seguridad para proteger las instancias que estén en ejecución, ya que no cuentan con la protección de las directrices de seguridad que suelen definirse en la red corporativa (corpnet). Transmita·∙las aplicaciones en secuencias y cree escritorios virtuales Varios socios de Amazon, como Citrix, AppZero, InstallFree y Nasstar, han creado soluciones de virtualización de clientes y transmisión·∙de aplicaciones en secuencias que pueden albergarse dentro de imágenes de equipos de Amazon EC2. Alojar escritorios virtuales y transmitir aplicaciones cliente en secuencias desde la VPC permite hacer muchas cosas. Por ejemplo, puede ofrecer cursos de formación de personal que requieran determinadas imágenes, permitir a los proveedores que trabajen en sus instalaciones ejecutar escritorios virtuales que sigan los estándares de su empresa, y ofrecer a empleados remotos y a usuarios domésticos conectados a su VPN corporativa el mismo entorno que tienen en la oficina. Si aloja un seminario interno y necesita instalar una serie de PC cliente para que los utilicen los asistentes, puede minimizar costes si alquila ordenadores de cliente ligero y los configura para que ejecuten un escritorio virtual personalizado que se carga desde su VPC. Cualquier proyecto o programa que requiera el uso de PC de escritorio 6
Amplíe su infraestructura de TI con la nube privada virtual de Amazon Enero de 2010 durante un periodo corto de tiempo es buen candidato para escritorios virtuales o transmisión de aplicaciones por secuencias. Por ejemplo, puede utilizar una infraestructura de escritorio virtual (Virtual Desktpo Infrastructure, VDI) para probar aplicaciones cliente nuevas o actualizadas antes de implementarlas. Si su empresa necesita ejecutar una aplicación específica que desea mantener aislada del resto de su entorno, una VDI puede ser un entorno perfecto para realizar todo tipo de pruebas. Tenga en cuenta además las ventajas de que podrá disfrutar si implementa una infraestructura de escritorio virtual para uso persistente. Si traslada la carga de trabajo informático a Amazon VPC, podrá posponer la compra de nuevos PC de escritorio y alargar la vida útil de los equipos cliente que ya posea. Una VDI de administración centralizada facilita la aplicación de parches y actualizaciones en el sistema, además de representar un método simple de implementara nuevas aplicaciones cliente. Además, en las industrias sujetas a normativas estrictas y con empleados que no pueden ser móviles, una VDI puede reducir notablemente los riesgos de pérdidas de datos y de infecciones por malware. Una VDI puede ayudarle a reducir el consumo energético de su empresa, ya que permite cortar el suministro eléctrico en las oficinas de noche y durante los fines de semana; cada mañana, cuando vuelven los usuarios, se volverán a encender los equipos y se reanudarán sus sesiones desde Amazon VPC. Esperemos que este breve documento le haya inspirado alguna idea. Creemos que estos supuestos son una manera excelente de explorar las oportunidades que presenta Amazon VPC. Estaremos encantados de que nos cuente cómo Amazon VPC ha mejorado la capacidad de su empresa a la hora de integrar mejor la TI con el negocio. 7
También puede leer
