Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2023-01-11 GMT+08:00

Planificación y diseño de la red

Cuando implementa las cargas de trabajo en la nube, debe considerar el aislamiento, la escalabilidad y la conectividad de la red.

  • Aislamiento

    El aislamiento es el requisito básico para la planificación y el diseño de redes. De forma predeterminada, las VPC están aisladas entre sí y no pueden comunicarse entre sí a través de una red privada sin importar si están en la misma región.

    En general, las diferentes cargas de trabajo se encuentran en las diferentes VPC. Los departamentos o entornos diferentes (como desarrollo, pruebas y producción) utilizan diferentes VPC.

    Puede crear varias subredes en una VPC para cargas de trabajo con diferentes requisitos y configurar las ACL de red para garantizar la seguridad entre subredes.

  • Escalabilidad

    Considere la escalabilidad de la red desde los siguientes aspectos, ya que los requisitos de carga de trabajo cambian constantemente con el tiempo:

    • Reserve suficientes direcciones IP para ampliar la capacidad.
    • Cree las VPC para la conectividad.
  • Conectividad

    La conectividad de red está estrechamente relacionada con el aislamiento y la escalabilidad de la red. Debe considerar la conectividad de red entre:

    • Una VPC y el Internet
    • Las VPC en la misma región y en diferentes regiones
    • Un centro de datos local y una VPC

A continuación se describe la planificación y el diseño de redes en términos de planificación de VPC, planificación de subred, conectividad a Internet, conectividad entre VPC y entre un centro de datos local y una VPC.

Planificación de VPC

Cuando planifique las VPC:

  1. Seleccione una región en la que se cree una VPC más cercana a sus servicios. Las VPC son específicas de la región. De forma predeterminada, las VPC no pueden comunicarse entre sí a través de una red privada sin importar si están en la misma región.
  2. Determine el número de las VPC que necesita.
    • Si sus diferentes tipos de cargas de trabajo necesitan estar aisladas unas de otras, despliéguelas en diferentes VPC. Si solo hay un tipo de carga de trabajo, basta con una VPC.
    • Si necesita diferentes entornos para implementar sus cargas de trabajo, por ejemplo, entornos de desarrollo, pruebas y producción, debe crear varias VPC.
    • Si sus recursos tienen requisitos sobre la gestión de permisos, implemente en diferentes VPC para simplificar la gestión de permisos.
  3. Seleccione un bloque CIDR de VPC.
    • Reserve suficientes direcciones IP para las cargas de trabajo para evitar el impacto de la expansión de la carga de trabajo en la red.
    • Evite conflictos de direcciones IP si necesita conectar una VPC a un centro de datos local o conectar dos VPC.
    Tabla 1 Número de direcciones IP

    Bloque CIDR de VPC

    Rango de direcciones IP

    Número máximo de direcciones IP

    10.0.0.0/8-24

    10.0.0.0-10.255.255.255

    2^24-2=16777214

    172.16.0.0/12-24

    172.16.0.0-172.31.255.255

    2^20-2=1048574

    192.168.0.0/16-24

    192.168.0.0-192.168.255.255

    2^16-2=65534

Planificación de subred

Una subred es un rango de direcciones IP en una VPC. Todos los recursos de una VPC deben implementarse en subredes y las subredes de una VPC no pueden superponerse. Una vez creada una subred, su bloque CIDR no se puede modificar.

Las subredes utilizadas para implementar los recursos deben residir dentro del bloque CIDR de VPC, y las máscaras de subred utilizadas para definirlas pueden estar entre la máscara de red de su bloque CIDR de VPC y la máscara de red /29. VPC soporta los siguientes bloques CIDR.

  • 10.0.0.0/8-24
  • 172.16.0.0/12-24
  • 192.168.0.0/16-24

Al planificar subredes:

  • Le recomienda que cree diferentes subredes para diferentes módulos en una VPC. Por ejemplo, puede crear diferentes subredes para los servidores web, de aplicaciones y de bases de datos. Un servidor web está en una subred de acceso público, y los servidores de aplicaciones y de bases de datos están en las subredes de acceso no público. Puede aprovechar las ACL de red para ayudar a controlar el acceso a los servidores de cada subred.
  • Si solo necesita planificar subredes para VPC, y la comunicación entre VPC y centros de datos locales no es necesaria, puede crear subredes dentro de cualquiera de los bloques CIDR enumerados anteriormente.
  • Si su VPC necesita comunicarse con un centro de datos local a través de VPN o Direct Connect, el bloque CIDR de VPC no puede solaparse con el bloque CIDR del centro de datos local. Por lo tanto, al crear una VPC o subred, asegúrese de que su bloque CIDR no se superponga con ningún bloque CIDR en el centro de datos.
  • Al determinar el tamaño de un bloque CIDR de VPC o subred, asegúrese de que el número de direcciones IP disponibles en el bloque CIDR cumpla con los requisitos de su carga de trabajo.

Enrutamiento

Una tabla de ruta contiene un conjunto de rutas que se utilizan para controlar dónde se reenvía el tráfico de subred entrante y saliente dentro de una VPC. Cuando crea una VPC, tiene automáticamente una tabla de rutas predeterminada, que permite la comunicación interna dentro de esa VPC.

  • Si no necesita controlar explícitamente cómo cada subred enruta el tráfico entrante y saliente, puede utilizar la tabla de rutas predeterminada.
  • Si necesita controlar explícitamente cómo cada subred enruta el tráfico entrante y saliente en una VPC, puede agregar rutas personalizadas a la tabla de rutas.

Conexión de las VPC

Puede utilizar lo siguiente para conectar dos VPC.

  • Interconexión de VPC

    Puede crear una interconexión de VPC para conectar dos VPC en la misma región. Una interconexión de VPC utiliza direcciones IP privadas para enrutar el tráfico entre dos VPC. Los ECS de cualquiera de las VPC pueden comunicarse entre sí como si estuvieran en la misma VPC.

    Los bloques CIDR de dos VPC conectados por una interconexión de VPC no pueden solaparse. De lo contrario, la interconexión de VPC no tiene efecto.

  • Punto de conexión de VPC

    El servicio de VPCEP proporciona los canales seguros y privados para permitir que sus recursos en una VPC sean accesibles desde otras VPC. Además, puede acceder a los servicios en Huawei Cloud, como OBS, SWR y DNS, a través de los puntos de conexión de VPC a través de la red privada.

    Figura 1 Uso del servicio VPCEP para acceder a los servicios a través de las VPC de una manera unidireccional
  • Cloud Connect

    Cloud Connect le permite crear rápidamente las redes de alta calidad que pueden conectar VPC entre regiones y trabajar con Direct Connect para conectar las VPC y centros de datos locales. Con Cloud Connect, puede crear una red en la nube conectada globalmente con capacidades de comunicación y escalabilidad de clase empresarial.

    Los bloques CIDR de VPC conectados por una conexión en la nube no pueden solaparse. De lo contrario, las comunicaciones de red fallarán.

    Figura 2 Conexión de VPC en todas las regiones

Conexión de una VPC a un centro de datos local

Si su VPC necesita comunicarse con su centro de datos local, puede usar Direct Connect o VPN junto con un L2CG.

  • Direct Connect establece una conexión dedicada y sus datos no se transferirán a través de Internet.
  • La VPN establece un túnel cifrado que transfiere datos a través del Internet.
  • Los conmutadores empresariales solo admiten los gateway de conexión de nivel 2 (L2CG) ahora. Un L2CG es un gateway de túnel virtual que puede trabajar con Direct Connect o VPN para establecer comunicaciones de red entre redes en la nube y en las instalaciones en la capa 2. El gateway le permite migrar cargas de trabajo en los centros de datos o las nubes privadas a la nube sin cambiar las subredes y direcciones IP.
Figura 3 Conexión de una VPC a un centro de datos local

Conexión al Internet

  • Utilice los EIP para permitir que un pequeño número de ECS accedan a Internet.

    Cuando solo unos ECS necesitan acceder a Internet, puede vincular las EIP a estos ECS. Esto les proporcionará acceso al Internet. También puede desvincular dinámicamente las EIP de los ECS y vincularlos a los gateway de NAT y los balanceadores de carga en su lugar, lo que también proporcionará acceso a Internet. El proceso no es complicado. Las EIP diferentes en la misma región pueden compartir un ancho de banda, lo que reduce sus costos de ancho de banda.

    Puede obtener las direcciones de IPv4 y de IPv6 para las comunicaciones privadas o por Internet si habilita las funciones IPv4 e IPv6 de doble pila o EIP de IPv6.
    Figura 4 Doble pila IPv4 e IPv6
  • Utilice un gateway de NAT para permitir que un gran número de ECS accedan a Internet.

    Cuando un gran número de ECS necesita acceder a Internet, puede usar los gateway de NAT para sus ECS. Con los gateway de NAT, no es necesario asignar una EIP a cada ECS. Los gateway de NAT reducen los costos ya que no necesita tantas EIP. Los gateway de NAT ofrecen tanto SNAT como DNAT. SNAT permite que varios ECS en la misma VPC compartan uno o más EIP para acceder a Internet. SNAT evita que las EIP de ECS sean expuestas a Internet. DNAT puede implementar el reenvío de datos por puerto. Asigna puertos de EIP a puertos de ECS para que los ECS de una VPC puedan compartir la misma EIP y el mismo ancho de banda para proporcionar servicios accesibles a Internet.

  • Utilice ELB para si hay un gran número de solicitudes simultáneas.

    En escenarios de alta simultaneidad, como el comercio electrónico, puede utilizar los balanceadores de carga proporcionados por el servicio de ELB para distribuir uniformemente el tráfico entrante entre múltiples ECS, lo que permite que un gran número de usuarios accedan simultáneamente a su sistema o a la aplicación empresarial. ELB se implementa en el modo de clúster. Proporciona tolerancia a fallos para sus aplicaciones al equilibrar automáticamente el tráfico a través de múltiples AZ. ELB se integra profundamente con el servicio Auto Scaling (AS), que permite el ajuste automático basado en el tráfico de servicio y garantiza la estabilidad y fiabilidad del servicio.