Obs : Clientes que utilizam do recurso VPC podem utilizar até 12 VPNs site-to-site e até 25 VPNs client-to-site sem custo adicional.

Nesse manual iremos lhe introduzir a VPC do portal.

Índice

Pré-requisitos

Antes de começar, valide os seguintes processos:

• Criando conta na BRASCLOUD

VPC - Virtual Private Cloud 

Sobre nuvens privadas virtuais 

Virtual Private Cloud é uma parte privada e isolada do Portal. Uma VPC pode ter sua própria topologia de rede virtual que se assemelha a uma rede física tradicional. Você pode iniciar instâncias na rede virtual que podem ter endereços privados no intervalo de sua escolha, por exemplo: 10.0.0.0/16. 

Você pode definir tiers de rede dentro de seu intervalo de rede VPC, o que, permite agrupar tipos semelhantes de instâncias com base no intervalo de endereços IP, por exemplo, se um VPC tiver o intervalo privado 172.16.0.0/16, suas redes convidadas podem ter os intervalos de rede 172.16.1.0/24, 172.16.2.0/24 e assim por diante, conforme exemplo ilustrado.

Principais componentes de uma VPC 

Obs : Clientes que utilizam do recurso VPC podem utilizar até 12 VPNs site-to-site e até 25 VPNs client-to-site sem custo adicional.

Uma VPC é composto pelos seguintes componentes de rede:

• VPC : uma VPC atua como um contêiner para várias redes isoladas que podem se comunicar entre si por meio de seu roteador virtual.
• Tiers de rede : cada tier atua como uma rede isolada com sua própria lista CIDR, onde você pode colocar grupos de recursos, como instâncias. O NIC de cada camada atua como seu gateway.
• Roteador virtual : um roteador virtual é criado e iniciado automaticamente quando você cria uma VPC. O roteador virtual conecta os tiers e direciona o tráfego entre o gateway público, os gateways VPN e as instâncias NAT. Para cada tier, um NIC e um IP correspondentes existem no roteador virtual. O roteador virtual fornece serviços DNS e DHCP por meio de seu IP.
• Gateway privado : todo o tráfego de e para uma rede privada roteado para o VPC por meio do gateway privado. Para obter mais informações.
• Gateway VPN : o lado VPC de uma conexão VPN.
• Conexão VPN Site to Site : Uma conexão VPN baseada em hardware entre seu VPC e seu datacenter, rede doméstica ou instalação de colocação.
• Gateway do cliente : o lado do cliente de uma conexão VPN. 
• Instância NAT : uma instância que fornece tradução de endereço de porta para instâncias de acesso à Internet por meio do gateway público. 
• ACL de rede : um grupo de itens de rede ACL. Os itens da ACL são do que regras numeradas que são avaliadas em ordem, começando com a regra de menor número. Essas regras determinam se o tráfego é permitido dentro ou fora de qualquer camada associada à rede ACL. 

Opções de conectividade para um VPC 

Você pode conectar seu VPC a:

• A Internet através do portal.
• O datacenter corporativo usando uma conexão VPN site to site por meio do gateway VPN.
• Tanto a Internet quanto seu datacenter corporativo usando o gateway público e um gateway VPN.

Considerações sobre a rede VPC 

Considere o seguinte antes de criar um VPC:

• Um tier/ camada pertence a apenas uma VPC.
• Quando uma VPC é criada, um IP SourceNAT é alocado para ele. O IP NAT de origem é liberado apenas quando o VPC é removido.
• Um IP público pode ser usado apenas para uma finalidade de cada vez. Se o IP for um sourceNAT, ele não poderá ser usado para StaticNAT ou encaminhamento de porta.
• As instâncias só podem ter um endereço IP privado que você provisiona. Para se comunicar com a Internet, habilite o NAT para uma instância que você inicia em seu VPC.
• Apenas novas redes podem ser adicionadas a um VPC.
• O serviço de balanceamento de carga pode ser compatível com apenas uma camada dentro do VPC.
• Se um endereço IP for atribuído a uma camada:
• Esse IP não pode ser usado por mais de uma camada por vez no VPC. Por exemplo, se você tiver níveis A e B e um IP público, poderá criar uma regra de encaminhamento de porta usando o IP para A ou B, mas não para ambos.
• Esse IP não pode ser usado para StaticNAT, balanceamento de carga ou regras de encaminhamento de porta para outra rede de convidado dentro do VPC.
• A VPN de acesso remoto não é compatível com redes VPC.

Criando uma VPC:

• Nome : um nome curto para a VPC que você está criando.
• Descrição : uma breve descrição da VPC.

• Super CIDR para redes convidadas : define o intervalo CIDR para todas os tiers (redes convidadas) em uma VPC. Ao criar um tier, certifique-se de que seu CIDR esteja dentro do valor Super CIDR inserido. O CIDR deve ser compatível com RFC1918.

  Dica

  Os blocos de IP livres para uso em redes privadas liberados pela IANA são:

  10.0.0.0 - 10.255.255.255 

  172.16.0.0 - 172.31.255.255

  192.168.0.0 - 192.168.255.255

• Domínio DNS para redes convidadas : Se você deseja atribuir um nome de domínio especial, especifique o sufixo DNS. Este parâmetro é aplicado a todas as camadas do VPC. Isso significa que todas as camadas que você cria no VPC pertencem ao mesmo domínio DNS. Se o parâmetro não for especificado, um nome de domínio DNS será gerado automaticamente.

Tiers/ camadas:

Os tiers são locais distintos em uma VPC que atuam como redes isoladas, que não têm acesso a outros tiers por padrão. 

• Nome : um nome exclusivo para o tier que você cria.
• Oferta de rede : As seguintes ofertas de rede padrão são listadas:
  • Oferta de Tier VPC - Web
    • Balanceamento de carga geral, incluindo LB interno, App e DB;
  • Oferta de Tier VPC com LB interno
    • Possibilita balanceamento de carga entre as instâncias do tier;
  • Oferta de Tier VPC com LB interno - App
    • Possibilita balanceamento de carga entre as instâncias com a parte web de uma aplicação;

  • Oferta de Tier VPC com LB interno - DB

    • Possibilita balanceamento de carga entre as instâncias com a parte de banco de uma aplicação;

• Máscara de rede : a máscara de rede para a camada que você cria.
• Por exemplo, se o CIDR do VPC for 10.0.0.0/16 e o CIDR da camada de rede for 10.0.1.0/24 e a máscara de rede da camada será 255.255.255.0.

ACLs

Defina a lista de controle de acesso à rede (ACL) no roteador virtual VPC para controlar o tráfego de entrada e saída entre os tiers/ camadas VPC e as camadas e a Internet. 

Por padrão, todo o tráfego de entrada para as redes convidados é bloqueado e todo o tráfego de saída das redes convidados é permitido, uma vez que você adiciona uma regra ACL para o tráfego de saída, então apenas o tráfego de saída especificado nesta regra de ACL é permitido, o resto é bloqueado. 

Para abrir as portas, você deve criar uma nova ACL de rede. 

Sobre listas de rede ACL 

O Network ACL é um grupo de itens de Network ACL. Os itens da ACL de rede nada mais são do que regras numeradas que são avaliadas em ordem, começando com a regra de menor número.  Essas regras determinam se o tráfego é permitido dentro ou fora de qualquer camada associada à rede ACL. 

Você precisa adicionar os itens da ACL da rede à ACL da rede e, em seguida, associar a ACL da rede a uma camada. A ACL de rede está associada a uma VPC e pode ser atribuída a vários tiers de VPC. Um tier está sempre associado a uma rede ACL.

A rede ACL padrão é usada quando nenhuma ACL está associada. O comportamento padrão é que todo o tráfego de entrada é bloqueado e o tráfego de saída é permitido a partir das camadas. A ACL de rede padrão não pode ser removida ou modificada. Tendo ela como configuração os seguintes parâmetros:

Criando lista ACL:

• Número da regra : a ordem em que as regras são avaliadas.
• CIDR : O CIDR atua como o CIDR de origem para as regras de entrada e o CIDR de destino para as regras de saída. Para aceitar o tráfego apenas de ou para os endereços IP dentro de um bloco de endereço específico, insira um CIDR ou uma lista separada por vírgulas de CIDRs. O CIDR é o endereço IP base do tráfego de entrada. Por exemplo, 192.168.0.0/22. Para permitir todos os CIDRs, defina como 0.0.0.0/0.
• Ação : qual ação a ser executada. Permitir(allow) tráfego ou bloquear(deny).
• Protocolo : o protocolo de rede que as origens usam para enviar tráfego para a camada. Os protocolos TCP e UDP são normalmente usados para troca de dados e comunicações com o usuário final. O protocolo ICMP é normalmente usado para enviar mensagens de erro ou dados de monitoramento de rede. O All suporta todos os tráfegos. Usando a outras opções é necessário o número do protocolo.
• Porta inicial , porta final (somente TCP, UDP): uma faixa de portas que são o destino do tráfego de entrada. Se você estiver abrindo uma única porta, use o mesmo número em ambos os campos.
• Número do protocolo : o número do protocolo associado ao IPv4 ou IPv6.
• Tipo ICMP , Código ICMP (apenas ICMP): O tipo de mensagem e código de erro que será enviado.
• Tipo de tráfego : o tipo de tráfego: entrada(ingress) ou saída(egress).

Adquirindo um novo endereço IP para um VPC 

Quando você adquire um endereço IP, todos os endereços são alocados para a VPC, não para as redes de convidados dentro do VPC. Os IPs são associados à rede do convidado apenas quando o primeiro encaminhamento de porta, balanceamento de carga ou regra de NAT estático é criado para o IP ou a rede. O IP não pode ser associado a mais de uma rede ao mesmo tempo.

Habilitando ou desabilitando o NAT estático em um VPC

Uma regra de NAT estática mapeia um endereço IP público para o endereço IP privado de uma instância em um VPC para permitir o tráfego da Internet para ele.

Se as regras de encaminhamento de porta já estiverem em vigor para um endereço IP, você não poderá habilitar o NAT estático para esse IP.

Se uma instância convidada fizer parte de mais de uma rede, as regras de NAT estáticas funcionarão apenas se forem definidas na rede padrão.

Próximos passos:

• Criando e configurando Rede do Tipo Isolada
• Criando e configurando Rede do Tipo VPC