Unité 3.1 : Topologie et segmentation du centre de données virtuel
Introduction
La première décision réelle dans toute architecture IONOS n'est pas quel serveur construire, mais quel réseau chaque niveau se trouve, car sur cette plateforme le LAN sur lequel une ressource vit est la chose principale qui détermine si elle est accessible depuis internet. Un LAN à l'intérieur d'un centre de données virtuel est privé jusqu'à ce que vous le connectiez explicitement à internet, donc l'exposition est quelque chose que vous ajoutez délibérément plutôt que quelque chose que vous supprimez plus tard. Cette unité fixe la topologie dans laquelle chaque construction ultérieure du module s'intègre : un LAN public de périphérie, un LAN d'application privé, et un LAN de données privé. Elle commence avec les décisions d'adressage et de segmentation, et se termine par la construction de cette forme à trois LAN dans le Data Center Designer pour la première charge de travail réglementée de FinCorp.
1. Le réseau par défaut privé et la disposition en trois niveaux
Un LAN devient public uniquement lorsqu'un élément d'accès à Internet est attaché à celui-ci ; sans cette connexion, le réseau est privé. Ce comportement unique est ce qui rend le chemin le plus facile pour le privé par défaut : laissez un niveau sur un LAN non connecté et il est déjà inaccessible depuis l'extérieur du VDC. La disposition en trois niveaux découle directement de cela :
- Un bord public LAN ne transporte que le point d'entrée orienté vers Internet (le niveau 7 Load Balancer dans l'Unité 3.3, ainsi que tout bord d'urgence IP dans l'Unité 3.5).
- Un niveau d'application privé LAN transporte le calcul sans état ou le pool Kubernetes Node.
- Un niveau de données privé LAN transporte les bases de données gérées, le cache et le stockage partagé, et n'est accessible qu'à travers l'équilibreur de charge interne de niveau 4 dans l'Unité 3.4.
La raison pour laquelle cette stratification est un contrôle, plutôt qu'une commodité, est liée à l'endroit où le filtrage de la plateforme est lié. Les pare-feu au niveau des cartes réseau et les Network Security Groups sont attachés aux cartes réseau des serveurs au niveau du VDC uniquement ; ils ne s'appliquent pas au Managed Application Load Balancer, au Managed Network Load Balancer, ou à l'abstraction Managed Kubernetes Cluster. Puisque vous ne pouvez pas envelopper les équilibreurs de charge gérés dans un groupe de sécurité, vous ne pouvez pas vous appuyer sur une règle de pare-feu pour compenser le placement d'une base de données sur un chemin public. La topologie elle-même doit assurer l'isolement. La segmentation est donc la décision porteuse de charge, et la division en trois LAN est le minimum qui l'exprime clairement. L'Unité 3.2 ajoute ensuite des règles de pare-feu et de groupe de sécurité réseau comme une deuxième couche à l'intérieur de cette topologie, et non comme substitut à celle-ci.
Pour FinCorp, la société financière allemande qui exécute sa charge de travail sous GDPR et les attentes de la BSI, ceci est le shell dans lequel l'application réglementée est intégrée. L'histoire de conformité est matériellement plus facile à établir lorsque le niveau des données est incapable, sur le plan architectural, d'accepter une connexion entrante de l'extérieur du VDC, car l'argument repose sur la topologie plutôt que sur la correction d'une liste de règles.
2. LAN Addressage : le /24, la plage réservée et la passerelle
Chaque LAN utilise par défaut un sous-réseau /24, qui est l'unité d'adressage que vous planifiez. Dans ce /24, l'espace d'adresse n'est pas entièrement à votre disposition pour l'assigner :
- Les adresses .2 à .9 sont réservées pour les services gérés au sein du LAN /24. N'attribuez pas ces adresses à vos propres machines virtuelles.
- Les adresses .10 à .255 sont la plage à partir de laquelle les adresses IP VM sont attribuées.
Les réseaux LAN privés tirent leurs adresses des plages RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). L'unité de transmission maximale sur le LAN est de 1500 octets ; la planification en fonction de cette MTU évite les surprises de fragmentation lorsque vous exécutez plus tard des tunnels chiffrés sur la même infrastructure dans l'unité 3.6.
La décision statique-contre-DHCP est prise par niveau et par rôle. Le niveau application peut tolérer le DHCP car ses membres sont interchangeables et sans état. Le niveau données et tout Node que d'autres ressources adressent par IP devraient avoir une adresse statique, car un point de terminaison de base de données ou une cible d'équilibrage de charge qui change lors d'un renouvellement de bail est une panne en attente. La garde pratique est de maintenir les adresses attribuées par DHCP et les adresses attribuées de manière statique dans des parties non chevauchantes de la plage .10-.255 afin qu'un bail ne collide jamais avec une adresse fixe.
Le trafic interne entre les réseaux LAN dans le même centre de données virtuel se déplace à une vitesse allant jusqu'à 6000 Mbps, et le chemin du pare-feu de la carte réseau est conçu pour une débit de 6 Gbps, donc la limite de segmentation n'est pas un goulet d'étranglement pour le trafic est-ouest entre les niveaux application et données.
3. Adresses publiques réservées IPv4 et le modèle IPv6
Un bord public nécessite une adresse stable. Une adresse IPv4 réservée est liée à une région : elle ne peut être utilisée que dans le centre de données où elle a été réservée, et bien que différentes adresses IP d'un bloc réservé puissent servir différents réseaux, cela ne peut se faire qu'à l'intérieur de la même région. Réserver un IP nécessite le privilège Réserver des blocs IP, donc seuls les propriétaires de contrats, les administrateurs ou les utilisateurs ayant reçu ce privilège peuvent le faire ; tous les autres n'ont qu'un accès en lecture seule à la gestion de IP. Un bloc d'adresses IPv4 réservées est facturé 5,00 EUR par 30 jours par adresse. Les adresses IP ne peuvent pas être rendues individuellement, seulement par bloc et uniquement lorsque aucune adresse de ce bloc n'est en cours d'utilisation, et si vous rendez une adresse IP statique, vous ne pouvez pas réserver à nouveau la même adresse par la suite.
Vous réservez l'adresse IP publique avant de créer la chose qui la consomme. L'équilibreur de charge de couche 7 dans l'unité 3.3, la passerelle VPN Gateway et NAT dans l'unité 3.6, et le bord IP-failover dans l'unité 3.5 attendent toutes qu'une adresse IPv4 publique réservée existe déjà ; la mise à disposition du consommateur en premier et la recherche d'une adresse par la suite constituent le rétravail le plus courant à éviter dans la console.
Le modèle IPv6 suit une allocation hiérarchique plutôt qu'une réservation par adresse. Un centre de données virtuel reçoit un /56 public, chaque IPv6 activé LAN prend un /64 (choisi dans ce /56 ou attribué automatiquement), et chaque carte réseau reçoit un /80. Un centre de données virtuel peut avoir jusqu'à 256 réseaux locaux IPv6 activés, et la plateforme prend en charge le fonctionnement en double pile. Une limite compte à l'étape de la topologie : les services de réseau gérés (Application Load Balancer, Network Load Balancer, passerelle NAT, IP Failover et Managed Kubernetes) sont uniquement IPv4, donc une conception IPv6-orientée toujours termine son bord géré sur IPv4.
DCD Parcours de mise en œuvre
Vous allez créer la topologie à trois LAN de FinCorp : un LAN public de bordure, un LAN d'application privé, et un LAN de données privé, avec une carte réseau sur chaque niveau et un IPv4 public réservé prêt pour la bordure. Cela met en œuvre la décision de segmentation de la Section 1 avant que tout calcul, sécurité ou équilibrage de charge ne soit ajouté au-dessus.
Objectif de construction : Construire la topologie à trois LAN avec des cartes réseau et un IP public réservé.
Étapes (dans le Data Center Designer) :
- Ouvrez le VDC FinCorp créé dans l'Unité 2.1 (réutilisez-le ; ne créez pas une nouvelle région). La région est déjà fixée et les réservations de IP seront liées à celle-ci.
- Allez dans Menu > Services réseau > Gestion de IP et sélectionnez Réserver des blocs de IP. Réservez un bloc de IPv4 public dans la même région que le VDC. Vous ne pouvez pas choisir une adresse spécifique ; vous en recevez une (ou plusieurs) du pool. Il s'agit de l'adresse de bordure future, réservée en premier.
- Dans l'Espace de travail, placez le serveur de l'application et le serveur de données. Chaque serveur reçoit une carte réseau que vous allez attribuer à un LAN dans les prochaines étapes.
- Créez le LAN d'application privé : faites glisser un LAN sur l'espace de travail (ou connectez la carte réseau du serveur d'application à un nouveau LAN) et laissez-le non connecté à Internet pour qu'il reste privé. Conservez le réglage par défaut /24.
- Créez le LAN de données privé de la même manière, en tant que deuxième LAN privé, et attachez la carte réseau du serveur de données à celui-ci. Ne le connectez pas à Internet.
- Créez le LAN public de bordure en attachant l'élément d'accès à Internet à un nouveau LAN. Il s'agit du seul LAN qui fait face à Internet ; réservez-le pour l'équilibrage de charge et la carte réseau de basculement de IP construits dans les unités suivantes.
- Sur chaque carte réseau, définissez l'adressage par niveau : une adresse statique de la plage .10-.255 pour la carte réseau du niveau de données (afin que le point de terminaison de la base de données soit stable), DHCP acceptable pour la carte réseau d'application interchangeable. Conservez la plage .2-.9 libre pour les services gérés.
- Mettez en œuvre les modifications. La forme à trois LAN existe maintenant avec le IP public réservé et les niveaux segmentés.
Erreurs courantes :
- Réserver le IP public après avoir construit le consommateur. Réservez-le en premier ; l'équilibrage de charge, la passerelle ou le groupe de basculement s'attend à ce qu'il existe.
- Attribuer un VM à la plage .2-.9 des services gérés ou à l'espace de passerelle .1/.2, ce qui entre en collision avec l'adressage de la plateforme.
- Connecter le LAN de données à Internet « juste pour tester », ce qui annule toute l'argumentation de segmentation sur laquelle repose l'histoire de conformité.
- Placer un IP-basculement de bordure ou un Load Balancer sur le même LAN public et s'attendre à ce qu'un groupe de sécurité réseau le protège ; les équilibreurs de charge gérés ne peuvent pas être enveloppés dans un groupe de sécurité, donc la sécurité du niveau de données doit provenir du fait qu'il se trouve sur un LAN privé.
- Réserver le IP dans la mauvaise région ; un IPv4 réservé est lié à la région et ne peut pas être utilisé ailleurs.
Étude de cas d'entreprise (FinCorp)
Le service réglementé de FinCorp orienté client est la charge de travail qui ancre ce module. Son exigence est simple : les clients atteignent un point de terminaison public HTTPS, mais les données de compte ne doivent jamais être accessibles depuis internet. La décision de conception est de l'exprimer comme une topologie, et non comme un ensemble de règles. Le bord public LAN transportera plus tard l'équilibrage de charge de la couche 7 sur le IPv4 réservé ; le niveau applicatif exécute la logique métier sur un LAN privé avec des NICs interchangeables attribués par DHCP ; et la base de données relationnelle Cluster est située sur un LAN de données privé avec une adresse statique, accessible uniquement par l'équilibrage de charge interne de la couche 4 construit dans l'unité 3.4. Puisque le LAN de données n'est jamais connecté à internet, FinCorp peut argumenter auprès de ses auditeurs que la base de données ne peut pas accepter de connexion externe par construction, indépendamment de la règle de pare-feu étant correcte un jour donné. Chaque construction ultérieure dans ce module s'attache à cette forme exacte.
Résumé
Le niveau réseau sur lequel se trouve une ressource est le principal contrôle de son exposition sur IONOS, car un LAN est privé jusqu'à ce qu'il soit explicitement connecté à Internet et parce que les équilibreurs de charge gérés et les Kubernetes Cluster ne peuvent pas être entourés d'un pare-feu ou d'un groupe de sécurité. Cela rend la segmentation, exprimée sous la forme d'une topologie à trois niveaux (bordure publique, application privée, données privées), la décision d'isolement la plus importante. L'adressage est planifié autour du /24 par défaut avec la plage de services gérés .2-.9 réservée et les adresses statiques fixées pour tout Node adressé par IP. Un IPv4 public réservé est lié à la région, coûte 5,00 EUR tous les 30 jours, nécessite le privilège de réserve de blocs IP et doit être réservé avant la construction de bordure qui le consomme ; IPv6 est alloué de manière hiérarchique en tant que /56 par VDC, /64 par LAN, /80 par NIC.
Points clés :
- Un LAN est privé jusqu'à ce qu'un élément d'accès à Internet soit attaché, donc privé-par-défaut est le défaut et l'exposition est ajoutée délibérément.
- Les pare-feu NIC et les NSG sont liés aux NIC des serveurs uniquement, et non à l'abstraction ALB/NLB gérée ou aux Kubernetes Cluster, donc la topologie est le véritable contrôle d'isolement.
- Le LAN /24 réserve .2-.9 pour les services gérés et attribue les adresses IP VM à partir de .10-.255 ; l'adressage statique appartient à tout Node adressé par IP, DHCP sur les niveaux interchangeables.
- Un IPv4 réservé est lié à la région, facturé à 5,00 EUR tous les 30 jours, nécessite le privilège de réserve de blocs IP et doit être réservé avant la construction de bordure qui le consomme.
- IPv6 est hiérarchique (/56 par VDC, /64 par LAN, /80 par NIC, jusqu'à 256 réseaux LAN activés IPv6), mais les services de réseau gérés sont uniquement IPv4.
Terminologie importante :
- Bloc IPv4 réservé : une adresse publique statique (ou bloc) liée à la région réservée dans la gestion IP, pouvant être restituée uniquement en tant que bloc entier et uniquement lorsqu'il n'est pas utilisé.
- Plage de services gérés (.2-.9) : les adresses /24 par LAN réservées pour les services gérés par la plateforme, qui ne doivent jamais être attribuées aux machines virtuelles des clients.
- Pile double : exploitation simultanée de IPv4 et IPv6 sur un LAN ; notez que les services de réseau gérés restent uniquement IPv4.
Lecture supplémentaire
- Unité 3.2 : Sécurité réseau : pare-feu et groupes de sécurité (la couche de règles à l'intérieur de cette topologie).
- Unité 3.4 : Équilibrage de charge - Couche 4 (l'équilibreur interne situé devant les données LAN).
- Unité 3.6 : Connectivité hybride (les passerelles qui se connectent aux chemins d'accès et de sortie).