Um de nossos clientes que lida com dados confidenciais de clientes precisava de uma infraestrutura de nuvem segura para seus aplicativos da Web e bancos de dados. Implementamos um gateway NAT em uma VPC para permitir que as instâncias em sub-redes privadas acessassem a Internet para atualizações e chamadas de API, bloqueando o tráfego de entrada. Essa solução fornece acesso à Internet para instâncias privadas sem expô-las diretamente à Internet pública, aumentando a segurança. Veja o que fizemos:
Este diagrama ilustra uma configuração típica de VPC dividida em três seções principais: VPC, sub-rede pública e sub-rede privada. Primeiro, temos a caixa verde externa, a VPC, que isola os recursos dentro dela de outras redes. Os usuários acessam o servidor da Web por meio da Internet pública usando um endereço IP estático atribuído via NAT 1:1. O servidor da Web processa as solicitações e, se necessário, comunica-se com o servidor de banco de dados. O servidor da Web se comunica com o servidor de banco de dados por meio do servidor roteador. O servidor roteador usa o NAT personalizado para rotear com segurança o tráfego entre as sub-redes pública e privada. O servidor de banco de dados, localizado na sub-rede privada, recebe solicitações do servidor da Web por meio do site VLAN. O isolamento da sub-rede privada garante que o servidor de banco de dados não seja exposto diretamente à Internet, aumentando a segurança. Neste tutorial, examinaremos as etapas para configurar essa arquitetura, garantindo uma comunicação segura e eficiente entre as sub-redes privada e pública. Criaremos uma VPC com uma sub-rede pública e uma privada, configuraremos o gateway NAT e instalaremos o VLAN.
Tutorial
Neste tutorial, criaremos um Gateway NAT em uma VPC, exatamente como no diagrama que acabamos de ver. Se você já tem uma conta Linode, pode passar para a etapa 1. Se não tiver uma conta da Linode, use este link para se registrar e obter US$ 100 em créditos gratuitos para seguir as etapas seguintes. No Linode Dashboard, vamos criar um VPC com duas sub-redes: uma sub-rede pública e uma sub-rede privada. Na sub-rede privada, adicionaremos um banco de dados e, na sub-rede privada, adicionaremos duas instâncias: uma que atuará como servidor da Web e outra que atuará como servidor de roteador (NAT personalizado).
Etapa 1: criar uma VPC
A primeira etapa para criar um gateway NAT em uma VPC é criar a VPC para isolar logicamente nossos recursos. Lembre-se de que essa é a caixa verde do diagrama que vimos. As sub-redes privadas e públicas viverão dentro dessa VPC.
Para fazer isso, no Linode Cloud Manager, clique em VPC no painel esquerdo e, em seguida, clique em Criar VPC.
Etapa 2: Configurar a sub-rede pública
Em seguida, precisamos adicionar uma sub-rede pública na VPC que conterá o servidor do roteador (NAT personalizado) e o servidor da Web. Lembre-se de que esse é o quadrado azul do diagrama que examinamos.
Na parte inferior da tela, onde está escrito Subnets, adicione um rótulo para a sub-rede pública. Essa sub-rede hospedará o servidor do roteador (NAT personalizado) e o servidor da Web.
Em seguida, clique em Create VPC para provisionar a VPC.
Você verá a sub-rede pública criada com o ID de sub-rede e o intervalo de IP correspondentes.
Etapa 3: Implantar o servidor do roteador e o servidor da Web
Em seguida, precisamos implantar duas instâncias do Linode na sub-rede pública. Uma instância do Linode atuará como nosso servidor de roteador (NAT personalizado), que tratará das operações de NAT para gerenciar o tráfego entre as sub-redes pública e privada. O outro servidor atuará como servidor da Web para lidar com o tráfego de entrada da Internet e encaminhar as solicitações necessárias para a sub-rede privada. Primeiro, criaremos o servidor do roteador. No Cloud Manager, clique em Linodes no painel esquerdo e, em seguida, clique em Create Linode (Criar Linode). Escolha a mesma região que você escolheu quando criou a VPC e, em seguida, selecione a opção Dedicated 8 GB CPU (CPU dedicada de 8 GB).
Em seguida, role para baixo e atribua a VPC que você criou na Etapa 1 e, em seguida, escolha a sub-rede pública no menu suspenso.
Clique em Create Linode para concluir o provisionamento dessa instância.
Agora, vamos criar o servidor da Web usando o mesmo processo descrito acima. Clique em Create Linode, selecione a região que você escolheu para a VPC e atribua a VPC a essa instância. Agora você verá o servidor da Web e o servidor do roteador listados na VPC sob a sub-rede pública.
Etapa 4: criar uma sub-rede privada
Em seguida, precisamos criar a sub-rede privada dentro da VPC para hospedar o servidor de banco de dados, que não terá acesso direto à Internet pública. Agora estamos construindo a caixa roxa.
Em sua VPC, clique em Create Subnet (Criar sub-rede) e, em seguida, insira um rótulo e atribua o intervalo de IPs privados. Essa sub-rede mantém seu banco de dados protegido contra ameaças externas.
Etapa 5: Implantar o servidor de banco de dados
Agora, vamos implementar uma instância do Linode na sub-rede privada para servir como nosso servidor de banco de dados. Essa instância só será acessível a partir da sub-rede pública por meio do endereço seguro VLAN. No painel esquerdo do Linode Cloud Manager, clique em Databases (Bancos de dados) e, em seguida, clique em Create Database Cluster (Criar cluster de banco de dados). Digite um rótulo e, em seguida, escolha o mecanismo de banco de dados de sua preferência.
Lembre-se de que esse banco de dados não pode ser acessado diretamente pela Internet pública, como acontece com os outros servidores. Na parte inferior da tela, onde está escrito Add Access Controls (Adicionar controles de acesso), vamos adicionar o intervalo de endereços UP permitido para a sub-rede privada que criamos acima.
Em seguida, clique em Create Database Cluster (Criar cluster de banco de dados). Observe que esse banco de dados pode levar até 30 minutos para ser provisionado.
Etapa 6: Configurar VLAN
Em seguida, precisamos estabelecer um VLAN para permitir a comunicação segura entre as sub-redes pública e privada.
Isso garante que o tráfego entre o servidor da Web e o servidor de banco de dados permaneça privado e seguro. No servidor do roteador, clique na guia Configurações e, em seguida, clique em Editar.
Role para baixo até a seção Networking (Rede). Clique no menu suspenso sob a interface de rede desejada e selecione VLAN. Normalmente, eth1 ou eth2 seriam usadas ao adicionar o primeiro ou o segundo VLAN a uma instância de computação, respectivamente, já que a interface de rede eth0 da instância é normalmente configurada para acessar a Internet pública.
Um menu secundário aparecerá ao lado da interface selecionada para inserir o rótulo do VLANe o endereço IP a ser usado.
Clique no texto do espaço reservado para "Create or select a VLAN" e digite um nome para o VLAN. Em seguida, clique em Save Changes (Salvar alterações). Agora você verá todas as interfaces de rede listadas na guia de configurações.
Etapa 8: Teste a conectividade
Agora, vamos testar a conectividade para verificar se o servidor do roteador está lidando corretamente com as operações de NAT. Também precisamos garantir que o servidor Web possa se comunicar com o servidor de banco de dados pelo site VLAN e que o servidor de banco de dados não esteja diretamente exposto à Internet.
Navegue até o primeiro servidor de roteador que criamos e inicie o console do LISH. Em seguida, faça ping na rede privada do banco de dados usando o endereço IP.
A saída deve exibir os pacotes ICMP transmitidos e recebidos com sucesso dessa instância para o banco de dados na rede privada.
Vantagens dessa arquitetura
Há algumas vantagens importantes no uso dessa arquitetura. Primeiro, você obtém segurança aprimorada. Uma VPC permite o isolamento de recursos em sub-redes distintas (públicas e privadas). Um gateway NAT garante que as instâncias em sub-redes privadas possam acessar a Internet sem expô-las diretamente às ameaças da Internet pública. Ao usar um gateway NAT em uma VPC, somente o tráfego de saída é permitido de instâncias privadas para a Internet, evitando conexões de entrada não solicitadas que poderiam representar riscos à segurança. Colocamos o banco de dados dentro da sub-rede privada, e os itens confidenciais aqui são protegidos da exposição direta à Internet, reduzindo o risco de violações de dados.
Essa arquitetura também aumenta muito a escalabilidade. Os gateways NAT são projetados para gerenciar volumes substanciais de tráfego e podem se ajustar automaticamente às demandas crescentes, eliminando a necessidade de intervenção manual. À medida que a carga de tráfego aumenta, o gateway NAT dimensiona seus recursos para manter o desempenho ideal e garantir a disponibilidade contínua. Essa escalabilidade automatizada é particularmente vantajosa para as plataformas de comércio eletrônico, que frequentemente apresentam padrões de tráfego flutuantes devido a vendas sazonais, promoções e comportamentos variáveis dos clientes. Ao aproveitar os gateways NAT, os desenvolvedores podem garantir que seus aplicativos permaneçam responsivos e confiáveis, mesmo sob alta demanda, proporcionando, em última análise, uma melhor experiência ao usuário e apoiando o crescimento dos negócios.
A criação de um gateway NAT em um VPC usando a Linode oferece uma maneira segura e eficiente de gerenciar o tráfego de rede entre recursos públicos e privados. Ele garante que suas instâncias privadas possam acessar os recursos externos necessários e, ao mesmo tempo, protegê-las da exposição direta à Internet, aumentando a segurança, a escalabilidade e a eficiência da sua infraestrutura de nuvem.
Seguindo as etapas descritas acima e usando o diagrama fornecido como referência, você pode não apenas proteger os dados confidenciais dos seus clientes, mas também otimizar o desempenho da sua rede. Se você é um desenvolvedor que deseja otimizar sua segurança na nuvem e quer criar mais recursos na nuvem, use este link para se candidatar a até US$ 5.000 em créditos Linode.
Comentários