Esistono due modi principali per parlare di cloud privato. Uno è la separazione fisica delle risorse su hardware dedicato, l'altro è la separazione virtuale tramite rete isolata.
Quando abbiamo un cloud privato con separazione fisica, in genere affittiamo l'hardware come un utente single tenant e le nostre risorse sono tangibilmente separate da quelle degli altri. Con il Private Cloud con separazione virtuale le nostre risorse si trovano in un ambiente multitenant isolato da altri utenti e dalla rete Internet pubblica a livello di software. A volte si parla di cloud interno, intranet o, più comunemente, di Virtual Private Cloud (VPC).
In definitiva, la caratteristica principale di un cloud privato è la capacità di isolare e proteggere la nostra infrastruttura. Questo garantisce una maggiore sicurezza riducendo in modo significativo la superficie di attacco della nostra rete. I VPC ci permettono di raggiungere questo obiettivo a livello di software, pur rimanendo economicamente vantaggiosi.
Informazioni su VPC, VLAN e VPN
In un VPC, i server sono isolati dalle altre risorse del cloud pubblico e in genere sono confinati in una propria collezione o serie di sottoreti. Un altro modo per ottenere questo confinamento è una rete locale virtuale (VLAN).
Per capire il ruolo di VLAN , immaginate cinque computer desktop in una stanza collegati tra loro con cavi Ethernet per comunicare privatamente tra loro. Una volta si faceva davvero così, ma oggi si eliminano i cavi e si sposta la connettività dal livello fisico a quello di collegamento dati del modello OSI con le VLAN.
Nell'esempio precedente, gli utenti si trovano nella stessa stanza, ma questo non è uno scenario comune. Per consentire agli utenti di accedere alla nostra rete isolata da una postazione esterna, dobbiamo configurare una rete privata virtuale (VPN). Una VPN è il mezzo che consente a un utente di connettersi a una rete privata attraverso Internet pubblica in modo sicuro grazie a un tunnel crittografato.
In sintesi, possiamo utilizzare una VPC o VLAN per creare una rete isolata e una VPN è ciò che utilizziamo per accedere in modo sicuro a questa rete isolata. I termini VPC e VLAN sono talvolta utilizzati in modo intercambiabile, ma possiamo notare che non sono certo la stessa cosa.
È possibile utilizzare un VLAN come VPC?
La risposta breve è sì, possiamo usare una VLAN come VPC. Le VLAN forniscono una separazione di rete che ci permette di ospitare informazioni sensibili in uno spazio sicuro, ma questo richiede una pianificazione e una considerazione aggiuntive. Una delle principali differenze tra le VLAN e una vera VPC si trova osservando i livelli 2 e 3 del modello OSI. Vediamo di approfondire l'argomento.
Il livello 2, il Data Link Layer, comprende la commutazione e il cablaggio Ethernet. Poiché VLAN è essenzialmente un sostituto virtualizzato dei cavi ethernet fisici, è considerato un livello 2 di isolamento. Quando si collega una macchina virtuale a un VLAN, si è effettivamente collegati al proprio switch di rete virtuale isolato.
Il livello 3, il livello di rete, comprende IPv4 e IPv6. I firewall, ad esempio, si trovano al livello 3 (o superiore) per monitorare e filtrare il traffico in base all'indirizzo IP utilizzando elenchi di permessi e blocchi. In genere si tratta di firewall a livello di rete e di sistema operativo. Un vero VPC comprende soluzioni integrate che coprono i livelli 2, 3 e superiori.
Per proteggere le connessioni tra il livello 2 e quello superiore, è necessario utilizzare strumenti aggiuntivi. I firewall a livello di sistema operativo possono essere implementati con iptables o nftables. Potremmo anche aver bisogno di fornire protezioni per il protocollo di risoluzione degli indirizzi (ARP) e per la scoperta dei vicini (ND).
Come possiamo vedere, mentre le VLAN sono sufficienti per isolare le nostre macchine virtuali, abbiamo ancora un po' di lavoro da fare prima di usarle come un vero cloud privato virtuale. Tornando al nostro paragone con il cavo Ethernet, i rischi e le considerazioni sulla sicurezza non sono diversi da quelli di una serie di macchine fisiche collegate a uno switch di rete condiviso.
È possibile utilizzare un VLAN come VPC su Linode?
La risposta breve è di nuovo: sì, possiamo usare un VLAN come VPC su Linode. Linode offre un prodotto VLAN che può essere distribuito direttamente da Cloud Manager e ci permette di ottenere un isolamento di rete sicuro e di livello 2 tra i nostri Linode. Tuttavia, è fondamentale considerare le proprie esigenze e assicurarsi di avere un piano per la configurazione di soluzioni aggiuntive di livello 3.
Iniziate a scoprire alcuni casi d'uso comuni del servizio VLAN di Linode. Le VLAN di Linode possono essere utilizzate gratuitamente con i vostri Linode e sono disponibili in diversi data center in tutto il mondo. Oltre a isolare le risorse in modo sicuro, il trasferimento della rete privata è gratuito. Ciò significa che la comunicazione su VLAN non viene conteggiata nella quota mensile di trasferimento di rete di Linode.
Commenti