Implementar NetScaler BLX™ en AWS

Terminología de AWS

Esta sección describe la lista de términos y frases de AWS de uso común. Para obtener más información, consulta el Glosario de AWS.

Término	Definición
Imagen de máquina de Amazon (AMI)	Una imagen de máquina que proporciona la información necesaria para iniciar una instancia, que es un servidor virtual en la nube.
Elastic Block Store	Proporciona volúmenes de almacenamiento en bloque persistentes para usar con instancias de Amazon EC2 en la nube de AWS.
Simple Storage Service (S3)	Almacenamiento para Internet. Está diseñado para facilitar la computación a escala web a los desarrolladores.
Elastic Compute Cloud (EC2)	Un servicio web que proporciona capacidad de computación segura y redimensionable en la nube. Está diseñado para facilitar la computación en la nube a escala web a los desarrolladores.
Elastic Load Balancing (ELB)	Distribuye el tráfico de aplicaciones entrante entre varias instancias de EC2 en varias zonas de disponibilidad. Esto aumenta la tolerancia a fallos de tus aplicaciones.
Interfaz de red elástica (ENI)	Una interfaz de red virtual que puedes adjuntar a una instancia en una Virtual Private Cloud (VPC).
Dirección IP elástica (EIP)	Una dirección IPv4 pública y estática que has asignado en Amazon EC2 o Amazon VPC y que luego has adjuntado a una instancia. Las direcciones IP elásticas están asociadas a tu cuenta, no a una instancia específica. Son elásticas porque puedes asignarlas, adjuntarlas, desadjuntarlas y liberarlas fácilmente a medida que cambian tus necesidades.
Tipo de instancia	Amazon EC2 proporciona una amplia selección de tipos de instancia optimizados para adaptarse a diferentes casos de uso. Los tipos de instancia comprenden diversas combinaciones de CPU, memoria, almacenamiento y capacidad de red, y te ofrecen la flexibilidad de elegir la combinación adecuada de recursos para tus aplicaciones.
Identity and Access Management (IAM)	Una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Puedes usar un rol de IAM para permitir que las aplicaciones que se ejecutan en una instancia de EC2 accedan de forma segura a tus recursos de AWS.
Puerta de enlace a Internet	Conecta una red a Internet. Puedes enrutar el tráfico de direcciones IP fuera de tu VPC a la puerta de enlace a Internet.
Par de claves	Un conjunto de credenciales de seguridad que usas para probar tu identidad electrónicamente. Un par de claves consta de una clave privada y una clave pública.
Tablas de enrutamiento	Un conjunto de reglas de enrutamiento que controla el tráfico que sale de cualquier subred asociada a la tabla de enrutamiento. Puedes asociar varias subredes a una única tabla de enrutamiento, pero una subred solo puede asociarse a una tabla de enrutamiento a la vez.
Grupos de seguridad	Un conjunto con nombre de conexiones de red entrantes permitidas para una instancia.
Subredes	Un segmento del rango de direcciones IP de una VPC al que se pueden adjuntar instancias de EC2. Puedes crear subredes para agrupar instancias según las necesidades de seguridad y operativas.
Virtual Private Cloud (VPC)	Un servicio web para aprovisionar una sección lógicamente aislada de la nube de AWS donde puedes iniciar recursos de AWS en una red virtual que defines.
Auto Scaling	Un servicio web para iniciar o terminar instancias de Amazon EC2 automáticamente según políticas, programaciones y comprobaciones de estado definidas por el usuario.

Término

Definición

Imagen de máquina de Amazon (AMI)

Una imagen de máquina que proporciona la información necesaria para iniciar una instancia, que es un servidor virtual en la nube.

Elastic Block Store

Proporciona volúmenes de almacenamiento en bloque persistentes para usar con instancias de Amazon EC2 en la nube de AWS.

Simple Storage Service (S3)

Almacenamiento para Internet. Está diseñado para facilitar la computación a escala web a los desarrolladores.

Elastic Compute Cloud (EC2)

Un servicio web que proporciona capacidad de computación segura y redimensionable en la nube. Está diseñado para facilitar la computación en la nube a escala web a los desarrolladores.

Elastic Load Balancing (ELB)

Distribuye el tráfico de aplicaciones entrante entre varias instancias de EC2 en varias zonas de disponibilidad. Esto aumenta la tolerancia a fallos de tus aplicaciones.

Interfaz de red elástica (ENI)

Una interfaz de red virtual que puedes adjuntar a una instancia en una Virtual Private Cloud (VPC).

Dirección IP elástica (EIP)

Una dirección IPv4 pública y estática que has asignado en Amazon EC2 o Amazon VPC y que luego has adjuntado a una instancia. Las direcciones IP elásticas están asociadas a tu cuenta, no a una instancia específica. Son elásticas porque puedes asignarlas, adjuntarlas, desadjuntarlas y liberarlas fácilmente a medida que cambian tus necesidades.

Tipo de instancia

Amazon EC2 proporciona una amplia selección de tipos de instancia optimizados para adaptarse a diferentes casos de uso. Los tipos de instancia comprenden diversas combinaciones de CPU, memoria, almacenamiento y capacidad de red, y te ofrecen la flexibilidad de elegir la combinación adecuada de recursos para tus aplicaciones.

Identity and Access Management (IAM)

Una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Puedes usar un rol de IAM para permitir que las aplicaciones que se ejecutan en una instancia de EC2 accedan de forma segura a tus recursos de AWS.

Puerta de enlace a Internet

Conecta una red a Internet. Puedes enrutar el tráfico de direcciones IP fuera de tu VPC a la puerta de enlace a Internet.

Par de claves

Un conjunto de credenciales de seguridad que usas para probar tu identidad electrónicamente. Un par de claves consta de una clave privada y una clave pública.

Tablas de enrutamiento

Un conjunto de reglas de enrutamiento que controla el tráfico que sale de cualquier subred asociada a la tabla de enrutamiento. Puedes asociar varias subredes a una única tabla de enrutamiento, pero una subred solo puede asociarse a una tabla de enrutamiento a la vez.

Grupos de seguridad

Un conjunto con nombre de conexiones de red entrantes permitidas para una instancia.

Subredes

Un segmento del rango de direcciones IP de una VPC al que se pueden adjuntar instancias de EC2. Puedes crear subredes para agrupar instancias según las necesidades de seguridad y operativas.

Virtual Private Cloud (VPC)

Un servicio web para aprovisionar una sección lógicamente aislada de la nube de AWS donde puedes iniciar recursos de AWS en una red virtual que defines.

Auto Scaling

Un servicio web para iniciar o terminar instancias de Amazon EC2 automáticamente según políticas, programaciones y comprobaciones de estado definidas por el usuario.

CloudFormation

Un servicio para escribir o cambiar plantillas que crean y eliminan recursos de AWS relacionados juntos como una unidad.

Cómo funciona NetScaler BLX en AWS

NetScaler BLX es un paquete de software ligero que se ejecuta de forma nativa en sistemas Linux. Puedes instalar BLX en cualquier AMI de Linux compatible con BLX y disponible en el marketplace de AWS. Para obtener más información sobre las distribuciones de Linux compatibles, consulta Distribuciones de Linux compatibles.

BLX se ejecuta como un proceso de Linux en una instancia de Linux EC2 dentro de una VPC de AWS. La instancia de AMI de Linux requiere un mínimo de 2 CPU virtuales y 2 GB de memoria. Una instancia de EC2 iniciada dentro de una VPC de AWS puede tener varias interfaces o varias direcciones IP por interfaz. Cada instancia de BLX requiere al menos tres subredes IP:

Una subred de administración (NSIP)

Una subred orientada al cliente (VIP)

Una subred orientada al back-end (SNIP)

Nota:

Recomendamos tres interfaces de red para una implementación estándar de BLX en AWS.

AWS actualmente solo admite la funcionalidad multi-IP para instancias que se ejecutan dentro de una VPC de AWS. Una instancia de BLX en una VPC se puede usar para equilibrar la carga de servidores que se ejecutan en instancias de EC2. Una VPC de Amazon te permite crear y controlar un entorno de red virtual, incluido tu propio rango de direcciones IP, subredes, tablas de enrutamiento y puertas de enlace de red.

Nota:

Por defecto, puedes crear hasta 5 instancias de VPC por región de AWS para cada cuenta de AWS. Puedes solicitar límites de VPC superiores enviando el formulario de solicitud de Amazon.

La siguiente figura muestra una topología sencilla de una VPC de AWS con un BLX implementado en una AMI de Linux.

La VPC de AWS tiene:

Una única puerta de enlace a Internet para enrutar el tráfico de entrada y salida de la VPC.

Conectividad de red entre la puerta de enlace a Internet y la propia Internet.

Tres subredes, una para administración, otra para clientes y otra para servidores.

Conectividad de red entre la puerta de enlace a Internet y las dos subredes (administración y cliente).

Una instancia BLX independiente instalada en una instancia de Linux que tiene tres ENI conectadas a cada subred.

Requisitos previos

Antes de intentar crear una instancia en AWS, revisa los siguientes puntos:

Asegúrate de que la instancia EC2 cumple los requisitos del sistema de BLX.

Te recomendamos crear un tipo de instancia m5.xlarge o superior para un mejor rendimiento.

Necesitas tres direcciones IP para configurar NSIP, VIP y SNIP.

Nota:
Las direcciones IP configuradas como VIP y SNIP deben tener una dirección IP pública asociada.
Necesitas una cuenta de AWS para iniciar una AMI de Linux en una Nube Privada Virtual (VPC) de AWS. Puedes crear una cuenta de AWS de forma gratuita en aws.amazon.com.
Necesitas una cuenta de usuario de AWS Identity and Access Management (IAM) para controlar de forma segura el acceso a los servicios y recursos de AWS para tus usuarios. Para obtener más información sobre cómo crear una cuenta de usuario de IAM, consulta Creación de usuarios de IAM (Consola).
Puedes usar todas las funcionalidades que ofrece la Consola de administración de AWS desde tu programa de terminal. Para obtener más información, consulta la guía del usuario de AWS CLI. También necesitas la AWS CLI para cambiar el tipo de interfaz de red a SR-IOV.

Para los tipos de instancia con el controlador Elastic Network Adapter (ENA) habilitado (por ejemplo, instancias M5, C5), la versión del firmware debe ser la 13.0 o posterior.

Limitaciones y directrices de uso

Las siguientes limitaciones y directrices de uso se aplican al implementar una instancia de NetScaler BLX en AWS:

Las ENI de tráfico de datos y administración deben estar en subredes diferentes.

Solo la dirección NSIP debe estar presente en la ENI de administración.

Si se usa una instancia NAT por seguridad en lugar de asignar una EIP a la NSIP, se requieren cambios de enrutamiento apropiados a nivel de VPC. Para obtener instrucciones sobre cómo realizar cambios de enrutamiento a nivel de VPC, consulta Escenario 2: VPC con subredes públicas y privadas.

Puedes asignar varias direcciones IP a una ENI. El número máximo de direcciones IP por ENI viene determinado por el tipo de instancia EC2; consulta la sección “Direcciones IP por interfaz de red por tipo de instancia” en Interfaces de red elásticas.

Nota:

Debes asignar las direcciones IP en AWS antes de asignarlas a las ENI. Para obtener más información, consulta Interfaces de red elásticas.

Debido a las limitaciones de AWS, las siguientes características no son compatibles:

ARP gratuito (GARP)
Modo L2
VLAN etiquetada
Enrutamiento dinámico
MAC virtual

Para que RNAT funcione, asegúrate de que la comprobación de Origen/Destino esté deshabilitada. Para obtener más información, consulta “Cambio de la comprobación de origen/destino” en Interfaces de red elásticas.

¿Le ha resultado útil?

NetScaler Secure Deployment Guide