Como isolar suas instâncias de trabalho usando VPC

Como isolar suas instâncias de trabalho usando VPC

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br

[ad_1]

CloudHub é o componente iPaaS baseado em nuvem da Anypoint Platform. Os aplicativos no MuleSoft Cloudhub são executados por uma ou mais instâncias do Mule, chamadas de trabalhadores. Cada trabalhador é uma instância dedicada do Mule que executa seu aplicativo de integração. Na configuração padrão, todos os trabalhadores baseados em nuvem residem em uma nuvem pública multilocatária, equilibrada por um balanceador de carga compartilhado acessível publicamente.

Anypoint Virtual Private Cloud (VPC) concede a você uma rede logicamente privada e isolada, dedicada para hospedar suas instâncias de trabalho baseadas em nuvem. Por exemplo, a configuração mais comum tem uma rede isolada para seu ambiente de produção e outra para seus ambientes de não produção, que podem ser de desenvolvimento e teste. Você pode usar balanceadores de carga compartilhados ou dedicados para se conectar aos seus workers pela Internet. O balanceador de carga compartilhado está fora do seu VPC e o balanceador de carga dedicado faz parte do seu VPC.

Neste blog, veremos as configurações e recursos do Anypoint VPCs – incluindo a proteção de seus funcionários em nuvem adicionando regras de firewall, associando grupos de negócios / ambientes, configurando servidores DNS, dimensionamento de blocos CIDR e conectividade.

Balanceador de carga compartilhado fora de seu VPC

Balanceador de carga dedicado em seu VPC

Região VPC

Você pode criar seu Anypoint VPC dentro de qualquer uma das regiões CloudHub disponíveis.

As regiões têm até quatro zonas de disponibilidade para alta disponibilidade e recuperação de desastres. As zonas de disponibilidade são distribuídas geograficamente dentro de uma região e espaçadas para melhor isolamento e estabilidade no caso de um desastre natural.

A região recomendada para uso pode variar dependendo de como você se conecta ao Anypoint VPC. Se você estiver usando um túnel VPN, convém escolher a região VPC mais próxima do seu data center.

No entanto, se você estiver fazendo peering com seu AWS VPC privado, precisará criar seu Anypoint VPC na mesma região AWS.

Tamanho do bloco VPC CIDR

Determine o tamanho e o intervalo do bloco Classless Inter-Domain Routing (CIDR) para o VPC. O menor bloco de sub-rede de rede que você pode atribuir para Anypoint VPC é / 24 (fornece 256 endereços IP) e o maior / 16 (fornece 65.536 endereços IP). O VPC não pode ser redimensionado depois que o VPC é configurado e os aplicativos implantados, por isso é importante dimensionar o VPC grande o suficiente para acomodar IPs suficientes para todos os serviços e instâncias (tendo em mente a alta disponibilidade e o tempo de inatividade zero). O espaço de endereço reservado pelos funcionários da MuleSoft não deve entrar em conflito com o espaço de endereço nos data centers do cliente se você quiser conectá-lo ao seu VPC.

Ao criar um Anypoint VPC, o intervalo de endereços IP para a rede deve ser especificado na forma de um bloco CIDR, usando a notação CIDR.

Para calcular o tamanho adequado para seu Anypoint VPC, saiba que o número de endereços IP dedicados não é o mesmo que o número de trabalhadores que você implantou.

Para cada trabalhador implantado no CloudHub, ocorre a seguinte atribuição de IP:

  • Para melhor tolerância a falhas, a sub-rede VPC pode ser dividida em até quatro zonas de disponibilidade.
  • Alguns endereços IP são reservados para infraestrutura.
  • Pelo menos dois endereços IP por trabalhador para executar em implantações com tempo de inatividade zero.

Devido a essa estrutura, o menor bloco de sub-rede de rede que você pode atribuir ao Anypoint VPC é / 24 e o maior é / 16.

É uma boa prática ter VPC diferentes para ambientes de produção e não produção. Dependendo de quantos ambientes de não produção você está configurando no mesmo VPC, considere quantas APIs e suas réplicas você implantará em cada ambiente dentro do VPC, considere dois endereços IP por trabalhador para executar em implantações com tempo de inatividade zero. ajudar a decidir o tamanho do CIDR. A regra prática segura para decidir o tamanho da sua sub-rede Anypoint VPC é calcular 10 vezes o número máximo de aplicativos esperados para implantar por ambiente no VPC.

Associando grupo de negócios e ambientes ao VPC

Coloque o VPC em Anypoint Organization em um grupo de negócios dentro de sua organização principal. Normalmente, crie o VPC em sua organização geral e, em seguida, ele pode ser compartilhado com diferentes grupos de negócios.

Como administrador da organização, você pode criar um Anypoint VPC e compartilhá-lo com qualquer grupo de negócios em sua organização principal.

No entanto, uma vez que o Anypoint VPC é herdado por um grupo de negócios, apenas o administrador desse grupo de negócios pode operar o Anypoint VPC. Por exemplo, um administrador da Organização Anypoint ou proprietário de um grupo de negócios pode criar ou atualizar um Anypoint VPC existente (pertencente ou herdado) para torná-lo o padrão para a região, o ambiente ou ambos.

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br

No entanto, se essa associação já existir, ela será substituída pelo Anypoint VPC solicitado.

Se nenhuma associação de grupo de negócios for especificada, ou se sua organização não tiver nenhum grupo de negócios, a propriedade do Anypoint VPC permanecerá associada à organização principal. A organização sob a qual o VPC é criado é o proprietário do VPC e o administrador dessa organização é o único que pode compartilhar o Anypoint VPC.

Anypoint VPCs só podem ser compartilhados verticalmente da organização principal para um de seus grupos de negócios ou de um grupo de negócios para um de seus grupos de negócios filho. Você não pode compartilhar um Anypoint VPC criado por um grupo de negócios com outro grupo de negócios que esteja no mesmo nível ou superior na hierarquia.

É recomendável que você crie seu Anypoint VPC em sua organização principal e compartilhe-o com os outros grupos de negócios.

Opcionalmente, selecione um ambiente ao qual vincular o Anypoint VPC. Se você não selecionar um ambiente, todos os aplicativos implantados na região selecionada serão associados a este Anypoint VPC. Não associe o Anypoint VPC a um ambiente de design. Você pode implantar aplicativos no ambiente de design apenas a partir do Design Center, não do Runtime Manager.

Regras de firewall VPC

Configure suas próprias regras de firewall VPC para permitir que intervalos e portas de IP específicos alcancem seus trabalhadores. Antes de implementar regras de firewall ou fazer alterações nas regras existentes, você deve compreender totalmente todas as implicações de segurança.

Por padrão, todo o tráfego para seu VPC é bloqueado, a menos que seja explicitamente permitido em uma regra de firewall. Quando você cria um Anypoint VPC, quatro regras de firewall são criadas por padrão:

  1. Duas regras para permitir conexões de entrada de dentro do Anypoint VPC local por meio das portas 8091 e 8092. Essas regras de firewall permitem que o tráfego de dentro do Anypoint VPC alcance seus trabalhadores por meio das portas 8091 e 8092. Essas são as únicas portas usadas por sua carga dedicada do CloudHub balanceador para proxy de todas as comunicações externas para seus funcionários.
  2. Duas regras para permitir conexões de entrada de qualquer lugar por meio das portas 8081 e 8082. Essas regras permitem que o tráfego de qualquer host alcance seus trabalhadores por meio das portas 8081 e 8082. Essas portas são usadas pelo balanceador de carga compartilhado do CloudHub para enviar solicitações externas para seus trabalhos. Você pode remover essas regras se não quiser que seus trabalhadores internos sejam alcançados pelo balanceador de carga acessível publicamente.

As regras de firewall são de entrada e usam os seguintes parâmetros:

  • Tipo: tipo de protocolo, por exemplo, TCP
  • Fonte: endereço IP de origem
  • Intervalo de portas: as únicas duas portas expostas externamente são 8081 (http.port) e 8082 (https.port). Você pode usar este parâmetro para abrir portas adicionais dentro do VPC.

Adicionar DNS interno e domínios privados ao VPC

Você pode especificar domínios privados personalizados adicionando o endereço IP e o nome de domínio à sua rede. Quando você fornece domínios privados, seu trabalhador os resolve usando seu DNS privado, então você ainda pode usar os nomes de host internos de sua rede privada (certifique-se de que seus aplicativos chamem os recursos de back-end por FQDN). Identifique os aplicativos que precisam de IPs estáticos, pois um VPC fornece apenas dois IPs estáticos.

Conectando seu VPC ao seu data center

Você pode conectar datacenters locais por meio de um túnel VPN seguro ou um AWS VPC privado por meio de peering de VPC ou usando o AWS Direct Connect.

  1. Túnel IPsec

Você pode usar um túnel IPsec com configuração rede-a-rede para conectar seus data centers locais ao Anypoint VPC. Um túnel VPN IPsec é geralmente a solução recomendada para VPC para conectividade local, pois fornece uma maneira padronizada e segura de conexão. Esse método também se integra bem à infraestrutura de TI existente, como roteadores e dispositivos. Para criar uma conexão Anypoint VPN com sua rede, consulte Anypoint VPN.

  1. Peering de VPC

O peering de VPC fornece uma conexão entre dois VPCs. Nesse caso, ele emparelha seu Amazon VPC privado diretamente com o Anypoint VPC. Isso permite rotear o tráfego entre os dois VPCs para que eles possam se comunicar como se estivessem na mesma rede. Para usar o peering de VPC, seus AWS e Anypoint VPCs devem estar localizados na mesma região.

  1. Conexão direta

Este método estabelece uma conexão de rede dedicada de seu data center local usando sua conta da Amazon para seu Anypoint VPC. Isso permite que você crie uma interface virtual hospedada para anexar ao Anypoint VPC. Estabeleça conexões Direct Connect para sua conta AWS ou conta AWS de seu parceiro e os Anypoint VPCs devem estar localizados na mesma região. Gateways Direct Connect não são suportados. A conexão direta requer o uso do Border Gateway Protocol (BGP) para roteamento dinâmico.

Para alta disponibilidade, use várias conexões Direct Connect de diferentes locais do AWS Direct Connect.

Conclusão

Espero que isso ajude você a começar a usar VPCs em nossos ambientes baseados em nuvem, onde as equipes de TI podem hospedar aplicativos para tirar proveito de vários recursos. Isso inclui o uso de um balanceador de carga dedicado, configuração de regras de firewall e configuração de seu servidor DNS privado para roteamento de rede interna de uma plataforma única e unificada. Para obter mais informações sobre VPCs, verifique nossa documentação sobre Anypoint VPC.


[ad_2]

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br
Luiz Presso
Luiz Presso