Introduzione

Questa è la parte più importante in quanto permette la gestione delle comunicazioni del vostro public cloud, internamente e verso il www.

Come per i volumi, si consiglia la preventiva messa in opera della parte di rete ed in seguito procedere al deployment delle istanze per una gestione più granulare e specifica del vostro sistema.

Di seguito il percorso per configurare una nuova rete privata; mettere in comunicazione 2 istanze virtuali su reti private comunicanti via router ed infine esporre un servizio in WAN (semplice ping).

Prerequisiti

Accesso come administrator al progetto di public cloud su public.cloudfire.it

Creazione nuova rete privata.


La situazione di partenza è simile alla seguente:

Rete privata di default da cui le istanze possono navigare tramite un router di default. 



Nella sezione "Networks" > "+CREATE NETWORK" si apre il menù in cui definisco il nome della nuova rete.

Nello stesso sotto-menù definisco la subnet es:

 

In questo modo indico gli indirizzi della subnet, lasciando vuoto il gateway (che in automatico sarà considerato il primo ip della subnet).

E' anche possibile disabilitarlo con il check-box sottostante.

La sezione "Subnet Details" permette di definire un range DHCP sulla rete in questione (in formato: Ip_Iniziale,Ip_Finale);

i DNS da utilizzare;

eventuali rotte statiche.


Cliccare "CREATE".

Questa è la situazione con la nuova rete.

La cancellazione della rete avviene cliccando il pulsante "DELETE NETWORK" ed è possibile soltanto se non ci sono porte di rete associate.


Creazione Router


Per creare un nuovo router portarsi nella sezione "Routers" > "+CREATE ROUTER"

Qui si assegna il nome al router e la rete esterna (sempre la rete pubblica Cloudfire).

Cliccare quindi "CREATE ROUTER"

Le opzioni disponibili nel menù a tendina sulla destra sono solo 3:

La cancellazione (possibile se non vi sono componenti attivi associati);

EDIT, utile per rinominare il router;

e "CLEAR GATEWAY", che permette di rimuovere la comunicazione con la rete esterna, utile se si vuole una comunicazione isolata intra LAN private.

Cliccando invece sul nome del Router troviamo il menù che comprende "Overview", Pannello per la definizione di "Static Routes" e "Interfaces", dove definirò le interfacce relative alle subnet private.

Cliccando "+ADD INTERFACE" si indica la subnet a cui l'interfaccia verrà agganciata ed eventualmente l'ip che gli si vuole attribuire.

Per la rete in questione non specifico l'IP in quanto il router darà il primo IP della rete creata in precedenza (in quanto libero), oppure se nei passaggi precedenti è stato definito un ip specifico, prenderà quello.

Eseguo le stesse operazioni per quello che riguarda la seconda rete in questione.

In questo caso specifico l'ip (192.168.168.250) che voglio venga assegnato al router, in quanto quello di default è già impegnato dall'altro.

NB: in automatico viene creata una seconda interfaccia, prendendo l'ip dal pool DHCP per garantire la ridondanza del link, gestita in autonomia dal router stesso.

Creazione Porte di rete


Per le istanze che metterò in comunicazione voglio definire porte di rete statiche. Questa operazione può essere evitata in quanto durante la creazione dell'istanza si può selezionare la rete su cui si vuole lavorare e ricevere l'ip dal DHCP. Questa assegnazione non è da parificare a un comune lease DHCP in quanto è solo un metodo per distribuire in modo efficiente gli ip e permettere la propagazione di parametri di rete (e nel caso del router l'attuazione del meccanismo di ridondanza). Questo lease non scade!

Portandosi in "Networks" e cliccando sul nome della rete su cui si vuole definire la porta, si arriva a un menù simile a quello relativo al router: "Overview", "Subnets" e "Ports".

Ci interessa proprio quest'ultima schermata, che riassume tutte le Porte presenti sulla rete presa in considerazione.

Clicco "+CREATE PORT".

Qui definisco il nome;

Specifico il tipo: nel mio caso FIXED IP, che definisco sotto. In alternativa si può scegliere la subnet, lasciando il compito al lease DHCP. Oppure non specificare rimanendo con una porta Layer2;

Si può infatti definire un MAC Address nel campo sottostante.

Ci occuperemo in seguito della definizione dei "Security Groups" > "CREATE".

Eseguo le stesse operazioni per ottenere "portaServer2" sull'altra rete privata con IP=192.168.168.250.

Floating IP, Ip pubblici


Gli ip pubblici a disposizione sono limitati dal piano complessivo del progetto.

Con il progetto "pulito" andiamo a recuperare un Floating IP per i nostri scopi.

NB.: i router, esposti sulla rete esterna prendono un IP pubblico in automatico che verrà utilizzato da tutte le macchine per la navigazione ma non potrà essere utilizzato per esporre servizi.

Sotto "Network" > "Public IPs" clicco "ALLOCATE IP TO PROJECT" 

Metto una descrizione e procedo con "ALLOCATE IP"

Adesso l'IP assegnato in modo randomico può essere rilasciato (se non necessario) oppure associato a un interfaccia di rete privata. 


Cliccando "ASSOCIATE" si apre infatti la schermata in cui scelgo la porta "172.81.82.10" dal menù a tendina (ovvero portaServer1 nel mio caso).

Confermare con "ASSOCIATE" (sfondo blu).

Ora "server1" (proprietario della porta "portaServer1") è puntabile da WAN via ip pubblico 185.132.70.17 ma non accessibile su nessuna porta.


Definizione Security Groups


Ora dobbiamo definire i Security Groups per permettere la corretta comunicazione fra le macchine e l'esposizione dei servizi in WAN.

"Network" > "Security Groups" > "+CREATE SECURITY GROUP"

Definisco un nome significativo e confermo cliccando "CREATE SECURITY GROUP"

Cliccare quindi "MANAGE RULES" per portarsi nella schermata con la lista delle regole esistenti all'interno dello specifico gruppo.

Di default vi sono 2 regole che permettono tutto il traffico in uscita, IPv4 e IPv6.

Cliccare quindi "+ ADD RULE".

La prima regola che definisco è quella per aprire il "ping" da WAN

Definisco il protocollo nel primo campo;

una descrizione;

la direzione (ingresso o uscita);

e la sorgente: questa può essere rappresentata dal CIDR identificativo della rete (0.0.0.0/0 nel mio caso per indicare "any") oppure un Security Group.

Se si seleziona un security group, tutte le istanze che presentano quel security group applicato potranno seguire questa regola nei confronti delle altre.

Creo una seconda regola per permettere al "server2", nell'altra subnet privata di accedere a tutte le porte TCP di "server1".

NB.: anche per la comunicazione sulla stessa rete, nel security group deve essere presente una regola che espliciti l'accesso dalla subnet stessa (per esempio 192.168.168.0/24).



Questo è come si presenta il mio security group.

Nello stesso modo creo un nuovo security group "Server2" per permettere il traffico nel verso opposto.

Ora non rimane che applicare il Security Group "Server1" all'interfaccia "portaServer1".

"Network" > "Networks" > click sulla rete in questione (PrivateNetwork2) > "Ports"

Click su "EDIT PORT" relativo a "portaServer1"

Sezione "Security Groups"

Rimuovere il gruppo "default" da "Port Security Groups" e aggiungere il gruppo specifico (come nell'immagine).

"UPDATE" per confermare.

Nel caso in cui si stia applicando il security group a porte già in uso da parte di istanze si può procedere in questo modo.

Andando sul menù a tendina dell'istanza ci sono due opzioni per modificare i security groups:

Edit Security Groups permette l'associazione del gruppo direttamente all'istanza.

Mentre l'altro porta alla schermata che comprende tutte le porte, dove eseguire l'assegnazione come nel punto precedente.

IMPORTANTE: I security groups permettono solo di impostare delle ACL. Non è possibile effettuare NAT. Per una gestione completa del traffico si dovrà utilizzare un'appliance di rete a scelta fra quelle disponibili da infrapporre fra il router e le vostre istanze.

Completati tutti i passaggi e create le istanze (in questo caso Server1 e Server2) seguendo eventualmente la guida Creazione/gestione istanze e uso delle "Key Pairs" , e assegnandogli le interfacce definite nei punti precedenti si arriva alla configurazione desiderata (o quasi). 


Questa è la topologia finale.

Dall'esterno:

PING 185.132.70.17 (185.132.70.17) 56(84) bytes of data.
64 bytes from 185.132.70.17: icmp_seq=1 ttl=57 time=11.3 ms
64 bytes from 185.132.70.17: icmp_seq=2 ttl=57 time=11.3 ms

Per la comunicazione intra-server è fondamentale specificare che il default gateway del "Server2" in automatico sarà il 192.168.168.1 (wanTOlan).

Per il "Server1" il default gateway è "Router2".

Affinché la comunicazione fra i due server avvenga è necessario un ultimo accorgimento a scelta fra:

----------------------------------------------------------------------------------------

impostazione statica sull'interfaccia di rete a livello di guest OS  del "Server2"

dell'ip 192.168.168.252 (relativo alla porta di rete "portaServer2")

e del default gateway 192.168.168.250 (Router2)


--------------------------------------------------- Oppure


Rotta statica sul "Router2"

e Rotta statica sul router "wanTOlan"

Sommario


Articoli collegati

There is no content with the specified labels