VIRTUALIZACION DE REDES by ohospina

These materials are ÂŠ 2019 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.

Virtualización de redes Segunda edición especial de VMware

Jonathan Morin y Shinie Shaw

Virtualización de redes For Dummies®, 2.ª edición especial de VMware Publicado por John Wiley & Sons, Inc. 111 River St., Hoboken, NJ 07030-5774

www.wiley.com

Copyright © 2019 por John Wiley & Sons, Inc., Hoboken, New Jersey Ninguna parte de esta publicación puede reproducirse, almacenarse en un sistema de recuperación o transmitirse de ninguna forma ni por ningún medio, ya sea electrónico, mecánico, de fotocopiado, grabación, escaneo o de otro tipo, excepto según lo permitido por los Artículos 107 o 108 de la Ley de Derechos de Autor de Estados Unidos de 1976, sin el permiso previo por escrito del editor. Las solicitudes al editor para obtener permiso deben dirigirse al Departamento de Permisos, John Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, (201) 748-6011, fax (201) 748-6008 o en línea en http://www.wiley.com/go/permissions. Marcas registradas: Wiley, For Dummies, el logotipo de Dummies Man, The Dummies Way, Dummies.com, Making Everything Easier y la imagen comercial relacionada son marcas comerciales o marcas comerciales registradas de John Wiley & Sons, Inc. y/o sus filiales en Estados Unidos y otros países, y no pueden usarse sin permiso por escrito. VMware, vSphere y vRealize son marcas comerciales registradas y VMware NSX, VMware vRealize Operations y vRealize Automation son marcas comerciales de VMware, Inc. El resto de las marcas comerciales son propiedad de sus respectivos dueños. John Wiley & Sons, Inc., no está asociado con ningún producto o proveedor mencionado en este libro. LÍMITE DE RESPONSABILIDAD/RENUNCIA DE GARANTÍA: EL EDITOR Y EL AUTOR NO HACEN NINGUNA DECLARACIÓN NI OTORGAN GARANTÍA ALGUNA CON RESPECTO A LA EXACTITUD O EXHAUSTIVIDAD DE LOS CONTENIDOS DE ESTE TRABAJO Y SE DESLIGAN ESPECÍFICAMENTE DE TODAS LAS GARANTÍAS, INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE IDONEIDAD PARA UN PROPÓSITO PARTICULAR. NO SE PUEDE CREAR O EXTENDER NINGUNA GARANTÍA POR VENTAS O MATERIALES PROMOCIONALES. LOS CONSEJOS Y LAS ESTRATEGIAS CONTENIDAS EN EL PRESENTE DOCUMENTO PUEDEN NO SER ADECUADOS PARA CADA SITUACIÓN. ESTE TRABAJO SE VENDE CON LA COMPRENSIÓN DE QUE EL EDITOR NO SE INVOLUCRA EN LA PRESTACIÓN DE SERVICIOS JURÍDICOS, CONTABLES U OTROS SERVICIOS PROFESIONALES. SI SE NECESITA AYUDA PROFESIONAL, SE DEBEN SOLICITAR LOS SERVICIOS DE UNA PERSONA PROFESIONAL COMPETENTE. NI EL EDITOR NI EL AUTOR SERÁN RESPONSABLES POR LOS DAÑOS QUE SURGIEREN DE ESTA PUBLICACIÓN. EL HECHO DE QUE EN ESTE TRABAJO SE MENCIONE A UNA ORGANIZACIÓN O SITIO WEB COMO CITA Y/O FUENTE POTENCIAL DE INFORMACIÓN ADICIONAL NO SIGNIFICA QUE EL AUTOR O EL EDITOR REFRENDE LA INFORMACIÓN QUE LA ORGANIZACIÓN O SITIO WEB PUEDA PROVEER O LAS RECOMENDACIONES QUE PUEDA HACER. ADEMÁS, LOS LECTORES DEBEN TENER EN CUENTA QUE LOS SITIOS WEB DE INTERNET QUE SE MENCIONAN EN ESTE TRABAJO PUEDEN HABER CAMBIADO O DESAPARECIDO ENTRE LA ESCRITURA Y LA LECTURA DE ESTE TRABAJO.

ISBN 978-1-119-59701-8 (pbk); ISBN 978-1-119-59700-1 (ebk) Fabricado en los Estados Unidos de América 10 9 8 7 6 5 4 3 2 1 Para obtener información general sobre nuestros otros productos y servicios, o sobre cómo crear un libro personalizado para principiantes para su empresa u organización, comuníquese con nuestro Departamento de Desarrollo Comercial en Estados Unidos al 877-409-4177, escríbanos a info@dummies.biz o visite www.wiley.com/go/custompub. Para obtener información sobre la concesión de licencias de la marca For Dummies para productos o servicios, póngase en contacto con BrandedRights&Licenses@Wiley.com.

Agradecimientos del editor Algunas de las personas que ayudaron a publicar este libro se mencionan a continuación: Editor de desarrollo: Becky Whitney Editor de proyecto: Elizabeth Kuball Editor de adquisiciones: Katie Mohr Director editorial: Rev Mengle

Representante de desarrollo de negocios: Karen Hattan Editor de producción: Magesh Elangovan

Índice INTRODUCCIÓN.............................................................................................. 1 Acerca de este libro.............................................................................................1 Suposiciones básicas..........................................................................................1 Íconos utilizados en este libro...........................................................................2 Adónde ir a partir de aquí..................................................................................2 CAPÍTULO 1:

La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual................... 3 El negocio precisa velocidad.............................................................................4 Los requisitos de seguridad se elevan............................................................5 Las aplicaciones y los datos están en múltiples nubes................................6 Las arquitecturas de red basadas en hardware no pueden seguir la marcha del SDDC............................................................................................7 El aprovisionamiento de la red física es lento por naturaleza.............7 La ubicación y la movilidad de las cargas de trabajo son limitadas....8 Las limitaciones y los callejones sin salida del hardware generan complejidad y rigidez...................................................................9 Los procesos de configuración son manuales, lentos y proclives a errores.......................................................................................10 Los gastos operativos (OpEx) y los gastos de capital (CapEx) son demasiado altos..................................................................................10 No se pueden aprovechar los recursos de la nube híbrida................12 Las defensas de las redes no son adecuadas.......................................12

CAPÍTULO 2:

Ya es hora de virtualizar la red....................................... 15 ¿Cómo funciona la virtualización de redes?.................................................15 La virtualización de redes y las redes definidas por software..................20 Los dispositivos virtuales en comparación con la integración en la capa virtual.........................................................................................................21 ¿Por qué es el momento apropiado para la virtualización de redes?.....22 Cómo satisfacer las demandas de un negocio dinámico....................23 Cómo incrementar la flexibilidad mediante la abstracción del hardware.......................................................................................................23 Cómo incrementar la seguridad por medio de la microsegmentación....................................................................................24 Cómo establecer una plataforma para el centro de datos definido por software.................................................................................25 Un replanteamiento de la red.........................................................................25

Índice

iii

CAPÍTULO 3:

La transformación de la red.............................................. 27 Las funcionalidades clave de una red virtualizada.....................................27 Las redes superpuestas.............................................................................28 Una breve introducción sobre VXLAN y GENEVE..................................29 Las funciones de una red virtual....................................................................32 El gran beneficio................................................................................................32 Le presentamos VMware NSX Data Center: Cómo llevar la virtualización de redes al SDDC..................................................................................33 ¿Cómo funciona?...............................................................................................33 Arquitectura de NSX Data Center............................................................34 Integración con la infraestructura de red existente.............................34 El trabajo en red se simplifica...................................................................34 Cómo aprovechar un ecosistema de trabajo en red y capacidades de seguridad más amplias.................................................35 Lo que hace: Capacidades clave de NSX Data Center................................35 Todo en el software....................................................................................35 Servicios esenciales de aislamiento, segmentación y seguridad avanzada.......................................................................................................36 Rendimiento y escala..................................................................................38 Visibilidad de red sin comparación..........................................................38 Beneficios principales de NSX Data Center..................................................39 Beneficios funcionales...............................................................................39 Beneficios económicos..............................................................................40

CAPÍTULO 4:

Casos de uso de la virtualización de redes............ 43 Cómo asegurar el centro de datos................................................................44 Microsegmentación: Cómo limitar el movimiento lateral dentro del centro de datos........................................................................44 Crecimiento del tráfico este-oeste dentro del centro de datos.........45 Visibilidad......................................................................................................46 Sensibilidad al contexto.............................................................................47 Aislamiento...................................................................................................48 Segmentación..............................................................................................49 Automatización............................................................................................50 Inserción de servicios: e introspección de visitas..................................51 Entornos de usuario seguros Microsegmentación para VDI..............51 Cómo automatizar los procesos de TI...........................................................52 La automatización de la TI.........................................................................52 La nube del desarrollador.........................................................................52 Infraestructura multiusuario.....................................................................53 Aplicaciones nativas de la nube...............................................................54

Virtualización de redes For Dummies, 2.ª edición especial de VMware

El trabajo en red multinube.............................................................................54 Recuperación ante desastres...................................................................55 Agrupación en múltiples sitios y extensión del centro de datos.......55 Seguridad coherente entre nubes...........................................................56 CAPÍTULO 5:

Cómo poner en práctica la virtualización de redes.............................................................................................. 57 Investigar las áreas de inversión en operaciones.......................................58 Las personas y el proceso.........................................................................58 Los procesos y las herramientas..............................................................59 Algunos ejemplos..............................................................................................61 Gestión del aprovisionamiento y de la configuración.........................61 Gestión de incidentes y de capacidad.....................................................62 Microsegmentación....................................................................................63 Cómo desarrollar la mentalidad correcta....................................................64 Con la mirada en el panorama general........................................................64

CAPÍTULO 6:

Las (aproximadamente) 10 maneras de empezar con la virtualización de redes.................... 67 Ponerse al día con lo básico............................................................................68 Una incursión más profunda..........................................................................68 Prueba de manejo de NSX Data Center en laboratorios prácticos.........70 Cómo lograr visibilidad.....................................................................................70 Descubra cómo implementar NSX Data Center en su entorno...............71 Cómo implementar NSX Data Center en su infraestructura de red existente..............................................................................................................72 Cómo integrarse con sus socios del ecosistema de servicios de red.....73

Índice

Introducción

ienvenido a Virtualización de redes For Dummies, su guía hacia un nuevo y muy mejorado enfoque hacia el trabajo en red.

Antes de que nos metamos de lleno en la virtualización de redes, permítanos describir brevemente algunos de los temas que trataremos en estas páginas. Todos los requisitos que se enumeran a continuación son razón suficiente para abandonar la red cableada del pasado y mudarse al flexible mundo de la virtualización de redes, el cual describiremos en profundidad en el capítulo 1:

»» La red precisa moverse a la misma velocidad que el negocio. »» La seguridad de red precisa moverse más rápido que los ciberdelincuentes.

»» Las aplicaciones precisan contar con la flexibilidad de ejecutarse en cualquier entorno.

Así que, ¿cómo se llega a ese punto? El primer paso es sumergirse en los conceptos de este nuevo enfoque al centro de datos. De eso se trata este libro.

Acerca de este libro No deje que el pequeño tamaño de este libro lo engañe. Está lleno de información que puede ayudarle a comprender y sacar provecho de la virtualización de redes. En palabras simples, explicamos qué es la virtualización de redes, por qué resulta ser un tema tan candente, cómo iniciarse en el tema y los pasos que puede seguir para aprovechar al máximo el dinero que invierte en TI.

Suposiciones básicas Al escribir este libro, hemos dado por supuestas ciertas cosas sobre usted, el lector. Suponemos que:

»» Usted trabaja en TI, en la nube, en la segmentación de cauce de aplicaciones (pipeline) o en una actividad que involucra cierto grado de trabajo en red.

Introducción

»» Está familiarizado con la terminología del trabajo en red. »» Comprende el concepto de virtualización.

Íconos utilizados en este libro Para que resulte aún más fácil dirigirse a la información de mayor utilidad, estos íconos resaltan el texto clave: Preste atención especial a estos puntos claves “para llevar a casa”. RECUERDE

Lea estos segmentos adicionales si necesita obtener una explicación más técnica. ASPECTOS TÉCNICOS

Siga el blanco para obtener consejos que pueden ayudarle a ahorrar tiempo y esfuerzo. SUGERENCIA

Adónde ir a partir de aquí Este libro fue escrito como guía de referencia, así que puede leerlo de principio a fin o ir directamente a los temas que más le interesan. Cualquiera sea la opción que elija, no se equivocará. Ambos caminos lo llevarán al mismo resultado: una mejor comprensión de la virtualización de redes y de cómo esta puede ayudarle a incrementar la seguridad, la agilidad y la flexibilidad multinube de sus redes.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

EN ESTE CAPÍTULO

»» Exploraremos los desafíos del trabajo en red en el presente »» Justificaremos la virtualización de redes »» Presentaremos la red de nube virtual

Capítulo

La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual

or qué debería preocuparse por la virtualización de redes? Existe más de una respuesta a esta pregunta. Este capítulo explora numerosos desafíos actuales que apuntan a una única necesidad dominante: Hay que estar a la altura de las circunstancias en materia de trabajo en red y de seguridad. Los motivos son:

»» Para seguir siendo competitivas, las empresas necesitan la agilidad de la nube.

»» Las arquitecturas de red heredadas limitan la agilidad del

negocio, no controlan las amenazas de seguridad y elevan los costos.

»» El hardware dedicado a cada función de la red impide un enfoque diferente.

La virtualización de redes implica reescribir las reglas sobre cómo se brindan los servicios, desde el centro de datos definido por software

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual

(SDDC), pasando por la nube y hasta la periferia. Este enfoque hace que las redes dejen de ser estáticas, rígidas e ineficientes para ser dinámicas, ágiles y optimizadas. En este nuevo mundo, la virtualización permite que la inteligencia de la infraestructura pase del hardware al software. Con el SDDC, los elementos de la infraestructura del centro de datos —incluidos el procesamiento, el trabajo en red y el almacenamiento— se virtualizan y se agrupan en conjuntos de recursos. Los recursos se implementan de manera automática, con una intervención humana escasa o nula. Todo es flexible, automatizado y controlado por software. La red de nube virtual expande estos conceptos más allá del centro de datos hacia cualquier lugar en donde se alojen las aplicaciones y la información. Con el SDDC habilitado por la virtualización de red, puede olvidarse de pasar días o semanas aprovisionando la infraestructura de soporte para una nueva aplicación. Puede implementar o actualizar aplicaciones en minutos, para lograr un tiempo acelerado de creación de valor. Este libro se centra particularmente en la forma en la que la virtualización de redes posibilita el SDDC y, a la vez, explica brevemente que esto constituye el fundamento para la red en la nube virtual: un modelo de trabajo en red que expande la virtualización de redes a través de nubes, aplicaciones y extremos. Según el informe “2018 State of the Cloud” (Situación de la nube 2018) de RightScale, se espera que el 81 por ciento de las empresas cuenten con una estrategia multinube y que las organizaciones empleen un promedio de cinco nubes. A fin de lograr esta estrategia, resulta esencial adoptar un enfoque definido por software. Es un marco de trabajo muy necesario para lograr mayor agilidad y una entrega de servicios con mayor grado de respuesta por parte de las operaciones y el desarrollo de TI; todo esto a un costo menor. Es la clave para comenzar a dominar el futuro multinube.

El negocio precisa velocidad El inicio del capítulo muestra todas las buenas noticias sobre la virtualización de redes. Esta es la clave: Las arquitecturas de red basadas en hardware no pueden igualar la velocidad y la agilidad del SDDC. Organizaciones de todos los tamaños están viviendo un rápido aumento en la velocidad de los cambios. Todo se necesita para ayer: las innovaciones modernas y la entrega de características, las respuestas competitivas, los proyectos críticos para la organización. Esta nueva realidad acarrea grandes consecuencias para la red.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Cuando una empresa quiere sorprender a sus clientes con una nueva aplicación, lanzar una promoción o tomar un nuevo camino hacia el mercado, necesita que los servicios de TI de soporte actúen de inmediato, no semanas después, ni siquiera días después. En el mundo actual, o usted corre detrás de eso o se lo pierde. Estamos en la era de la asombrosa reducción de oportunidades. Cuando la empresa le solicita servicios esenciales a la organización de TI, quiere escuchar: “Nosotros nos hacemos cargo. Lo tendrá listo y funcionando enseguida”. Y, cada vez más, la empresa ni siquiera desea tener que pedirlo.

Los requisitos de seguridad se elevan Hace mucho tiempo, el joven Bob Dylan le daba este consejo al mundo: “No se necesita un meteorólogo para saber hacia dónde sopla el viento”. Actualmente, se podría decir casi lo mismo sobre la seguridad de las redes. En las empresas de hoy, un viento poderoso está soplando y sirve como alerta de seguridad. Todos saben que necesitamos hacer más para evitar fallas costosas que ponen información sensible al alcance de los ciberdelincuentes. Ninguna empresa es inmune a esta amenaza. Solo piense en las fallas de seguridad que llegaron a ser titulares de periódicos en los últimos años: fallas que pusieron de rodillas a gigantes corporativos. Las principales marcas, desde el negocio de la salud y la banca de inversión hasta los vendedores minoristas y el negocio del entretenimiento, resultaron perjudicadas en su imagen por decepcionar a sus clientes. Todas las empresas están hoy inmersas en la misma y costosa batalla de defender la información crítica. Es como un gran juego de guerra. Una empresa fortifica su centro de datos con un nuevo y resistente muro de firewall y los ciberdelincuentes se escabullen a través de una puerta trasera desconocida —como por ejemplo una simple vulnerabilidad en el sistema de un cliente— y corren libremente dentro del centro de datos. La estrategia tradicional para la defensa del perímetro debe ser actualizada para incluir una protección mucho mayor dentro del centro de datos. Observe estas conclusiones provenientes de investigaciones:

»» Según el informe 2018 de CSIS, “Economic Impact of Cybercrime — No Slowing Down” (El impacto económico de la ciberdelincuencia: nada lo detiene), las pérdidas por seguridad aumentan año tras año a pesar de que la inversión en seguridad es mayor año a año.

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual

»» En un comunicado de prensa de Gartner de agosto de 2017, Sid Deshpande, analista de investigación principal de Gartner, dijo: “… mejorar la seguridad no tiene que ver con gastar en nuevas tecnologías. Como hemos visto en la reciente oleada de incidentes a nivel mundial, hacer lo básico de la forma correcta jamás fue tan importante como lo es hoy. Las organizaciones pueden mejorar su posición de seguridad en forma significativa ocupándose de la seguridad básica y de los elementos de higiene relacionados con los riesgos tales como... la segmentación de la red interna...”.

Observaciones como esta resaltan la necesidad de transformar la red mediante la virtualización con seguridad integrada.

Las aplicaciones y los datos están en múltiples nubes Ya no existe una respuesta sencilla para saber dónde se ejecutan las aplicaciones y dónde se alojan sus datos. Para muchas organizaciones, algunas aplicaciones comienzan en la nube, donde algunos desarrolladores comienzan a codificar y a ensayar. Muchas organizaciones se encuentran con que ciertas aplicaciones funcionan mejor en el centro de datos privado, tanto por la eficiencia de costo como por el control privado. Muchas otras organizaciones incluso han llevado sus aplicaciones en cualquiera de las siguientes direcciones: desde el centro de datos privado hacia la nube pública para delegar la gestión, y de la nube pública al centro de datos privado para controlar los costos de la nube pública o para aprovechar los nuevos modelos de consumo de la nube privada. Hoy las organizaciones se han dado cuenta de que necesitan depender de entornos múltiples. El auge de la virtualización de servidores ha hecho posible un gran número de cosas en materia de movilidad de las aplicaciones, pero siempre hubo una trampa: la red. Es como una piedra en el zapato, para utilizar palabras más comunes. La configuración de la red está ligada al hardware, de manera que incluso si las aplicaciones pueden moverse con relativa facilidad, las conexiones de red cableadas las retienen. Los servicios de trabajo en red tienden a variar mucho entre centros de datos o nubes. Esto significa que se necesita realizar mucha personalización para hacer que las aplicaciones trabajen en distintos entornos de red. Ese es un obstáculo importante para la movilidad de las aplicaciones, y otro motivo para utilizar la virtualización a fin de transformar la red.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Las arquitecturas de red basadas en hardware no pueden seguir la marcha del SDDC El SDDC es la arquitectura más ágil y con mayor respuesta para el centro de datos moderno. Se materializa trasladando la inteligencia al software de todos los elementos de la infraestructura. Entonces, hagamos un balance de la situación actual:

»» La mayoría de los centros de datos actualmente aprovechan la virtualización de servidores en favor de una eficiencia de procesamiento óptima. ¡Listo!

»» Muchos centros de datos actualmente optimizan sus entornos de almacenamiento mediante la virtualización. ¡Listo!

»» Las organizaciones han virtualizado sus entornos de red dentro del centro de datos y entre nubes. ¡Se hizo un gran avance! Pero el potencial de lo que aún se puede hacer es enorme.

A pesar de que los negocios están sacando provecho de la virtualización de servidores y de almacenamiento, aún enfrentan el desafío de la infraestructura de red heredada que gira en torno a enfoques centrados en hardware y aprovisionados en forma manual que existen desde la primera generación de centros de datos. En las secciones siguientes, recorremos algunos de los desafíos específicos que presentan las arquitecturas heredadas.

El aprovisionamiento de la red física es lento por naturaleza Aunque algunos procesos de aprovisionamiento de red pueden ser programados mediante scripts (y existen ciertos modelos de redes definidas por software [SDN] que prometen hacer esto realidad) con sistemas basados en hardware, no hay una vinculación automática con la virtualización del procesamiento o del almacenamiento. En consecuencia, no hay una forma automática de aprovisionar el trabajo en red mientras el procesamiento y el almacenamiento asociados se crean, se mueven, se capturan en pantalla, se borran o se clonan. Así, el aprovisionamiento de la red sigue siendo lento a pesar de la utilización de herramientas automatizadas.

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual

Mientras tanto, lo que más le importa a la empresa —tener las aplicaciones nuevas listas para la acción— queda sujeto a frecuentes demoras provocadas por los procesos manuales, lentos y proclives a errores, que se utilizan para aprovisionar los servicios de red. Todo esto resulta un poco irónico cuando damos un paso atrás para contemplar el panorama general: las limitaciones de las redes heredadas condicionan el mundo dinámico de hoy al empleo de hardware dedicado y rígido. La infraestructura de almacenamiento y de servidores que debería readaptarse velozmente debe aguardar a que la red se ponga al día. El aprovisionamiento se torna un gran juego de tire y afloje.

La ubicación y la movilidad de las cargas de trabajo son limitadas En los veloces entornos comerciales de hoy, las aplicaciones necesitan tener piernas. Deben moverse libremente de un lugar a otro. Esto puede significar la necesidad de replicarse en un centro de datos de respaldo y recuperación, reubicarse de una parte del centro de datos corporativos a otra, o migrar dentro y fuera de un entorno en la nube. La virtualización de servidores y del almacenamiento posibilita este tipo de movilidad. Sin embargo, se debe tener en cuenta otro problema: la red. Cuando hablamos de la movilidad de las aplicaciones, los actuales silos de las redes cableadas les quitan a las aplicaciones los zapatos que precisan para correr. Las cargas de trabajo, incluso las que están en las máquinas virtuales, están atadas al hardware y a topologías de red físicas. Para complicar las cosas, los diversos centros de datos cuentan con diferentes enfoques hacia los servicios de redes. Por lo tanto, puede que cueste mucho esfuerzo configurar una aplicación que se ejecuta en un centro de datos A para que tenga un desempeño óptimo en el centro de datos B. Todo esto limita la ubicación de la carga de trabajo y la movilidad de las aplicaciones y hace que el cambio no sea solo difícil, sino también arriesgado. Siempre es más fácil (y rápido) dejar las cosas tal y como están.

ASPECTOS TÉCNICOS

El enfoque actual hacia el trabajo en red —centrado en el hardware— restringe la movilidad de la carga de trabajo a las subredes físicas individuales y a las zonas de disponibilidad. Para alcanzar los recursos de procesamiento disponibles en el centro de datos, los operadores de su red pueden verse forzados a realizar una por una las configuraciones de los conmutadores (switches), los ruteadores (routers), las reglas de los firewalls, los servicios de balanceo de carga y así sucesivamente. Este

Virtualización de redes For Dummies, 2.ª edición especial de VMware

proceso no solamente es lento y complejo, sino que además con el tiempo alcanzará límites de escalabilidad, ya sea en las limitaciones de la memoria de contenido direccionable ternaria (TCAM) con respecto a cuántas direcciones MAC e IP pueden retener los sistemas, o en las limitaciones arquitectónicas de modelos como las redes de área local virtual (VLAN), las cuales aún se utilizan en demasiadas ocasiones como mecanismo de segmentación a pesar de las soluciones alternativas y la limitación de escala de 4096.

Las limitaciones y los callejones sin salida del hardware generan complejidad y rigidez El enfoque de caja negra cerrada que se emplea actualmente en el trabajo en red —que incluye sistemas operativos personalizados, circuitos integrados específicos de la aplicación (ASIC), interfaces de línea de comando (CLI) y software de administración dedicado— complica las operaciones y limita la agilidad. Este enfoque anticuado no tiene en cuenta la naturaleza dinámica de las aplicaciones de hoy y lo deja a usted cautivo..., y no solamente de su proveedor: lo deja cautivo dentro de las complejidades de su arquitectura de red actual, limitando la capacidad de su equipo de TI de adaptarse e innovar; lo cual le pone límites, a su vez, al negocio mismo, ya que el negocio no puede ir más rápido que la TI. Según el informe de Gartner “Look Beyond Network Vendors for Network Innovation” (Busque más allá de los proveedores de red para la innovación de la red) del año 2018, Gartner observa que a medida que sus clientes atraviesan una transformación digital, sus equipos de red “deben proveer infraestructura de red de centros de datos rápidamente y a pedido”. Además, Gartner observa que la red de centro de datos es uno de los mayores desafíos para sus clientes, basándose en más de 3.000 consultas y encuestas de audiencia realizadas en 2017. Aquí tenemos algunas conclusiones bastante reveladoras dentro del mismo informe:

»» Es normal que los pedidos del centro de datos tarden días en cumplirse.

»» El número de puertos activos soportados por cada equivalente de tiempo completo (FTE) de la red del área local (LAN) se ha vuelto menos eficiente con el paso del tiempo, en más de un 10 por ciento: de 3412 puertos por FTE en 2013 a solo 2933 puertos por FTE en 2016.

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual

Los procesos de configuración son manuales, lentos y proclives a errores Diariamente, las redes físicas obligan a su equipo de redes a desarrollar muchas tareas manuales y repetitivas, muchas de las cuales es preferible no realizarlas o requieren aprobación debido a lo que implicaría un error. Si una línea de negocios o un departamento solicita una nueva aplicación o un nuevo servicio, hay que generar las VLAN necesarias, mapear las VLAN a través de los conmutadores y vínculos superiores, crear grupos de puertos, actualizar los perfiles de servicios y así sucesivamente. Algunos modelos de SDN tal vez sirvan en estos casos al admitir hardware controlado por programas, pero esto aún lo deja con mucho trabajo pesado por hacer. Por ejemplo, necesitará construir múltiples pilas de red física idénticas para dar soporte a sus equipos de desarrollo, ensayo y producción, y aun así no logrará la capacidad de implementar su red (basada en hardware) de una en una con sus funciones de procesamiento y almacenamiento virtualizadas. Esto implica pagar un precio muy alto. Tal como lo indicó Andrew Lerner, un director de investigación en Gartner, “La gestión de configuración y modificación de todo el equipamiento del trabajo en red sigue siendo mayoritariamente un proceso manual y muy laborioso. Estas prácticas de red poco óptimas producen paradas de producción, reducen la seguridad, degradan el rendimiento de las aplicaciones y despilfarran recursos humanos y económicos”. Claramente, existe una vía más segura para avanzar: la automatización de la red. Como señaló Network World en un artículo del 2018, “la automatización de la red está ayudando a las empresas a ampliarse y a reducir sus costos exponencialmente, permitiéndoles el ancho de banda que necesitan para enfocarse en la estrategia y la innovación”.

Los gastos operativos (OpEx) y los gastos de capital (CapEx) son demasiado altos Las limitaciones de las arquitecturas de red heredadas están haciendo subir los costos de los centros de datos, tanto en términos de gastos operativos (OpEx) como de gastos de capital (CapEx).

OpEx El uso intensivo de procesos manuales eleva los costos de las operaciones de red. Piense simplemente en todas las tareas manuales y trabajosas que requiere la configuración, el aprovisionamiento y la gestión de

Virtualización de redes For Dummies, 2.ª edición especial de VMware

una red física. Ahora, multiplique el esfuerzo de esas tareas por todos los entornos a los que necesita dar soporte: desarrollo, ensayo, montaje y producción; redes de departamentos distintos; distintos entornos de aplicaciones; sitios primarios y de recuperación; y la lista continúa. Tareas que pueden completarse en cuestión de minutos utilizando procesos automatizados (incluso en forma instantánea con la implementación automática de redes) terminan consumiendo horas, días o semanas en un mundo manual. Y luego tenemos los costos ocultos que aparecen con los errores de configuración introducidos manualmente. Un solo error puede provocar un problema o un corte de servicio crítico que afecte al negocio. Considere estas observaciones:

»» Los estudios realizados por el Instituto Ponemon señalan

sistemáticamente que el error humano es una de las causas raíz principales de los cortes no planificados (Instituto Ponemon, “Cost of Data Center Outages 2010, 2013, 2016” [Cortes de los centros de datos 2010, 2013, 2016]).

»» El impacto económico de un corte no planificado en un centro

de datos puede ser enorme. El Instituto Ponemon descubrió que el costo de un corte se incrementó de $ 690 000 en 2013 a $ 740 000 en 2016, y que se ha incrementado en un 38 por ciento desde este estudio realizado en 2010.

CapEx En cuanto al capital, las arquitecturas de red heredadas exigen que su organización invierta en soluciones autónomas para muchas de las funciones de seguridad y de trabajo en red que son fundamentales para las operaciones del centro de datos. Estas funciones incluyen el ruteo, los firewalls y el balanceo de cargas. Proveer estas funciones en todos los lugares donde se necesitan es sumamente costoso. También está el problema de la necesidad de aprovisionamiento excesivo de hardware para estar seguros de que se pueden satisfacer los picos de demanda, además de la necesidad de implementar configuraciones activas-pasivas. En efecto, debe adquirir el doble de hardware a los fines de tenerlos disponibles y, en algunos casos, mucho más. Además, está el costo de las actualizaciones a gran escala. Para aprovechar las últimas innovaciones en tecnología de redes, los operadores de red a menudo tienen que arrancar y reemplazar el equipamiento heredado, lo que obliga a las organizaciones a un ciclo de renovación de tres a cinco años. Las arquitecturas de red heredadas basadas en hardware

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual

también precisan aprovisionamiento en exceso para responder ante los picos de uso. La incapacidad de las redes basadas en hardware de escalar en forma automática según las demandas tiene como producto esta ineficiencia. Y el costo del trabajo en red sigue subiendo. Las arquitecturas de red heredadas también pueden provocar otras ineficiencias. A menudo, los diseñadores de redes deben reservar partes de una red para un uso específico a fin de responder a requerimientos de conformidad o de seguridad especiales. Junto con la necesidad de aprovisionamiento excesivo, las ineficiencias se sobredimensionan, llevando a grandes filas de “servidores oscuros” (y los recursos de red asociados a ellos) que se conservan “por las dudas” sin tener ningún fin útil. El resultado tiene la apariencia de un disco duro horriblemente fragmentado.

No se pueden aprovechar los recursos de la nube híbrida El modelo de nube pública ha demostrado que las aplicaciones y los servicios pueden ser aprovisionados a pedido. Las empresas de todas partes quisieran disfrutar del mismo grado de velocidad y agilidad. Con eso en mente, algunos ejecutivos visionarios pensaron en utilizar las nubes híbridas para toda clase de usos, desde el almacenamiento de datos y recuperación ante desastres hasta el desarrollo y el ensayo de software. Sin embargo, una vez más, está la trampa asociada con la red: En su búsqueda de mudarse a la nube, las empresas se enfrentan a los obstáculos que representan el hardware de red y la topología física específicos del proveedor. Estas limitaciones que acompañan a las arquitecturas de los centros de datos heredadas pueden dificultar la implementación de las nubes híbridas. Las nubes híbridas dependen de que el centro de datos in situ se extienda ininterrumpidamente hacia un recurso en la nube pública. Y ¿cómo puede lograr esto si no puede controlar la red de nube pública para reflejar sus sistemas de trabajo en red basados en hardware?

Las defensas de las redes no son adecuadas Muchos de los ciberataques ampliamente publicitados en los años recientes tienen una característica en común: una vez que ingresó dentro del perímetro del centro de datos, el código dañino se trasladó de un servidor al otro, y la información sensible se recolectó en cada uno de

Virtualización de redes For Dummies, 2.ª edición especial de VMware

ellos y se envió a los ciberdelincuentes. Estos casos resaltan una debilidad de los centros de datos actuales: tienen escasos controles de seguridad de red que eviten que los ataques se propaguen dentro del centro de datos. Los firewalls perimetrales son bastante efectivos para detener muchos de los ataques, pero no los detienen a todos. Como se apreció en los últimos ataques, las amenazas todavía se infiltran dentro del centro de datos a través de puntos de acceso legítimos. Una vez adentro, se diseminan como una enfermedad viral mortal. Este problema ha sido difícil de resolver a causa de las realidades de las arquitecturas de red físicas. En pocas palabras, con los sistemas de red heredados resulta muy costoso proveer firewalls para el tráfico entre todas las cargas de trabajo dentro del centro de datos. Eso hace difícil evitar que un ataque se propague lateralmente de un servidor a otro utilizando el tráfico este-oeste. Hasta aquí, hemos observado que: RECUERDE

»» Para seguir siendo competitivas, las empresas necesitan

moverse con velocidad, pero sus redes no tienen la agilidad que necesitan.

»» Las arquitecturas de red anticuadas están trabando el avance hacia el SDDC y la red en la nube virtual.

»» Las arquitecturas de red heredadas limitan la agilidad del

negocio, no controlan las amenazas de seguridad y elevan los costos.

Estas temáticas apuntan a una sola necesidad dominante: Es hora de abandonar el pasado cableado e ingresar a la era de la red virtualizada.

CAPÍTULO 1 La próxima evolución del trabajo en redes: El surgimiento de la red de nube virtual

EN ESTE CAPÍTULO

»» Se explican los fundamentos de la virtualización de redes »» Se destacan las ventajas de este nuevo enfoque »» Se describen las características principales de una red virtualizada

Capítulo

Ya es hora de virtualizar la red

n este capítulo, nos sumergimos en el concepto de la virtualización de redes: de qué se trata, en qué se diferencia de otros tipos de enfoques hacia el trabajo en red y por qué es el momento justo para este nuevo enfoque. Para poner las cosas en perspectiva, comencemos con un poco del contexto de la virtualización de redes, la situación de las redes hoy y cómo es que llegamos a este punto.

¿Cómo funciona la virtualización de redes? La virtualización de redes hace posible la creación, el aprovisionamiento y la gestión de redes totalmente mediante programas de software, a la vez que se siguen aprovechando las redes físicas subyacentes como panel de conexión de redireccionamiento de paquetes. Los servicios de seguridad y de redes en software se distribuyen a una capa virtual (hipervisores, dentro del centro de datos) y se “adjuntan” a cargas de trabajo individuales, tales como sus máquinas virtuales (VM) o contenedores, siguiendo las políticas de red y de seguridad definidas para cada aplicación conectada. Cuando una carga de trabajo se traslada a otro host, sus servicios de red y de seguridad se trasladan con ella. Y cuando se crean nuevas cargas de trabajo para escalar una aplicación, las políticas necesarias se aplican en forma dinámica a ellas también.

CAPÍTULO 2 Ya es hora de virtualizar la red

De la misma manera en la que una VM o un contenedor son modelos de software que presentan servicios lógicos para una aplicación, una red virtual es también un modelo de software que presenta servicios de red (conmutación, ruteado, firewall, balanceo de cargas, redes privadas virtuales [VPN], y más) para las cargas de trabajo conectadas. Estos servicios de red y de seguridad se proveen mediante software y requieren únicamente el redireccionamiento de paquetes del protocolo de internet (IP) proveniente de la red física subyacente. Estas mismas cargas de trabajo se conectan a través de la red lógica, que se implementa mediante el trabajo en red por superposición. Todo esto permite que la red en su totalidad se cree mediante software (consulte la Figura 2-1). Aplicación

Aplicación

Carga de trabajo

Máquina virtual

Red virtual

Entorno x86 Máquina virtual

Máquina virtual

Carga de trabajo

Servicios de red L2, L3, L4-L7

Hipervisor de servidor Requisito: x86

Desvinculado

Red virtual

Plataforma de virtualización de redes Requisito: Transporte IP

Procesamiento físico y memoria

Red física

FIGURA 2-1: Virtualización del procesamiento y de las redes

La virtualización de redes coordina los conmutadores virtuales en todos los diferentes entornos (por ejemplo: hipervisores, nubes) junto con los servicios de red (por ejemplo: firewall, balanceo de carga) para proveer de forma eficaz una plataforma de trabajo en red y permitir la creación de redes virtuales dinámicas (consulte la Figura 2-2)

Redes virtuales

Internet

Netw

ork

VIrtu

aliza

tion

Laye

Red física existente

FIGURA 2-2: La plataforma de virtualización de redes.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Otra ventaja de la virtualización de redes es que los recursos y los servicios de la red pueden aprovisionarse mediante varias interfaces. Un conjunto de opciones utiliza las interfaces de usuario nativas: la interfaz de usuario gráfica (GUI) y la interfaz de líneas de comando (CLI) nativas. Otro enfoque aprovecha la interfaz de programación de aplicaciones (API) para programar (scripting) o elaborar herramientas locales. Los marcos de aplicación nuevos, como Kubernetes, se integran con la virtualización de redes, de manera que los servicios de red se crean como nuevas aplicaciones, pods y contenedores. Otra manera de aprovisionar redes virtuales es emplear una plataforma de gestión en la nube (CMP), como la OpenStack o la VMware vRealize Automation, a fin de solicitar una red virtual y los servicios de seguridad adecuados para las nuevas cargas de trabajo. En cada caso, el controlador distribuye los servicios de red necesarios a los conmutadores virtuales correspondientes y los adjunta de manera lógica a las cargas de trabajo correspondientes (consulte la Figura 2-3).

Controlador de clúster VM

Conm utado r Hipe virtual rviso r

Red física existente

Servicios de red distribuidos (L2 L3 ACL cortafuegos QoS…)

Servicios de red distribuidos (L2 L3 ACL cortafuegos QoS…) Plataforma de administración de nube FIGURA 2-3: Aprovisionamiento de una red virtual.

Este enfoque no solo permite que se asocien redes virtuales distintas a cargas de trabajo distintas dentro del mismo entorno (por ejemplo: clúster, pod, hipervisor, instancia de aplicación, nube privada virtual [VPN]), sino que permite también la creación de todo: desde redes virtuales compuestas de tan solo dos nodos hasta modelos muy avanzados

CAPÍTULO 2 Ya es hora de virtualizar la red

que igualan a las complejas topologías de red multisegmento que se utilizan para proveer aplicaciones multinivel. Para las cargas de trabajo conectadas, una red virtual luce y opera como una red física tradicional (consulte la Figura 2-4). Las cargas de trabajo “ven” los mismos servicios de red de capa 2, capa 3 y capa 4 a 7 que verían en una configuración física tradicional. Es solo que estos servicios de red ahora son instancias lógicas de módulos de software distribuidos que se ejecutan en programas dentro del host local y se aplican a la interfaz del conmutador virtual.

tual

r vir

ado mut

Con

Conm utado r virtu al Hipe rviso r

Servicios de red distribuidos (L2 L3 ACL cortafuegos QoS…) Red física existente Servicios de red distribuidos (L2 L3 ACL cortafuegos QoS…) FIGURA 2-4: La red virtual, desde la perspectiva (lógica) de la carga de trabajo.

Para la red física, una red virtual luce y opera como una red física tradicional (consulte la Figura 2-5). La red física “ve” los mismos marcos de red de capa 2 que vería en una red física tradicional. La carga de trabajo virtualizada envía un marco de red de capa 2 estándar que se encapsula en el hipervisor fuente con una IP, un protocolo de datagrama de usuario (UDP) y encabezados de superposición de red lógica adicionales (por ejemplo, red de área local expandible virtual [VXLAN] o encapsulamiento de virtualización de red genérico [GENEVE]). La red física envía el marco como marco de red de capa 2 estándar, y el entorno de destino (por ejemplo: un hipervisor, una plataforma contenedora, una nube) desencapsula los encabezados y entrega el marco de capa 2 original a la carga de trabajo de destino (por ejemplo, una VM o un contenedor).

Virtualización de redes For Dummies, 2.ª edición especial de VMware

tual

r vir

ado mut

Con

Conm utado r virtu al Hipe rviso r

OL,

in A

s nte AN, iste sin VL x e a o, os físic cad g Red simplifi rtafue o P c I e ión las d g nex e co sin re d l e

Pan

FIGURA 2-5: La red virtual, desde la perspectiva (física) de la red.

La capacidad de aplicar y hacer cumplir los servicios de seguridad en la interfaz virtual del conmutador virtual también elimina el “hairpinning” o “salir para volver a ingresar” (consulte el Capítulo 3) en situaciones donde el tráfico este-oeste entre dos extremos dentro del mismo host físico, pero en diferentes subredes, debe atravesar la red para obtener servicios esenciales, tales como el ruteado y el firewall.

¿QUÉ DIFERENCIA EXISTE ENTRE UNA RED VIRTUAL Y UNA RED DE ÁREA LOCAL VIRTUAL? Si trabaja con redes, ya conoce todo acerca de las redes de área local virtual, o VLAN. Hace tiempo que están entre nosotros. Entonces, ¿por qué no basta con las VLAN? Analicemos las diferencias entre las VLAN y las redes virtuales. El enfoque de las VLAN divide la red de área local o LAN en múltiples redes virtuales. Los grupos de puertos se aíslan unos de otros como si estuvieran en redes físicas distintas. El enfoque de VLAN es como cortar un gran pastel de red en muchas redes del tamaño de un bocado. Al mirar hacia el futuro, a medida que su red crece, (Sigue en la página siguiente)

CAPÍTULO 2 Ya es hora de virtualizar la red

(Continuación)

con el tiempo podría llegar a un callejón sin salida: el límite máximo de 4096 VLAN dentro de una sola LAN. Los problemas con las VLAN no acaban ahí. Otra gran limitación es que las VLAN no permiten guardar, tomar capturas, eliminar, clonar o mover redes. Y entonces nos encontramos con el problema de seguridad inherente a las VLAN: no le permiten controlar el tráfico entre dos sistemas dentro de la misma VLAN. Esto significa que un ataque a un sistema puede saltar a otro sistema.

• Las VLAN no proveen un enfoque holístico en la virtualización de redes. Esto significa que

• Se necesita configuración en cada circuito físico y virtual para extender la VLAN.

Solucionan solo la segmentación de las redes de capa 2, lo cual tiene consecuencias de innecesaria complejidad para otros servicios de red, tales como el ruteado, el firewall y el balanceo de carga. La virtualización de la red es mucho más que las VLAN, y hace posible la creación de redes completas dentro del software, incluida la conmutación, el ruteado, el firewall y el balanceo de carga, y lo hace mucho más cerca de la aplicación y orquestando el proceso por defecto. Este enfoque provee una flexibilidad mucho mayor que la que era posible en el pasado. Con todos los servicios de red y de seguridad que se administran con software y que se adjuntan a la aplicación, los procesos trabajosos de gestión y configuración se pueden simplificar y automatizar, y se pueden crear redes automáticamente para satisfacer las demandas de carga de trabajo.

La virtualización de redes y las redes definidas por software La virtualización de redes puede parecerse a las redes definidas por software (SDN), pero ¿cuál es la diferencia? Veamos los dos conceptos. El término redes definidas por software significa diferentes cosas para distintas personas, pero todo comenzó con el objetivo de hacer que la red fuera más ágil mediante la definición de elementos de red dentro del

Virtualización de redes For Dummies, 2.ª edición especial de VMware

software. En este aspecto, la virtualización de redes y el SDN son similares. La forma en la que se manifiesta el SDN varía ampliamente. En algunos casos, el objetivo es administrar las configuraciones de los dispositivos de la red física. En otros, se trata de lograr la orquestación más amplia de los servicios de red vinculando múltiples sistemas mediante API (algunos en software y otros en hardware). En muchos casos, el hardware sigue siendo la fuerza impulsora de la red, lo cual nos aparta del objetivo original. La virtualización de redes tiene una definición más específica y desvincula los servicios de red del hardware subyacente. Los componentes de la red y sus funciones se replican mediante software. Los principios de la virtualización se aplican a la infraestructura de la red física para crear una reserva flexible de capacidad de transporte que puede asignarse, utilizarse y readaptarse según la demanda. Con los recursos de red desvinculados de la infraestructura física, básicamente no es necesario tocar el hardware subyacente cuando se agregan o actualizan aplicaciones, independientemente de los servicios de red que estas demanden. Los extremos pueden trasladarse de un dominio lógico a otro sin que se deba realizar ninguna reconfiguración de la red o cablear conexiones de dominio. La virtualización de red se implementa en una capa virtual dentro del dominio de procesamiento (cerca de la aplicación) en lugar de hacerlo en los conmutadores de la red. Como observamos anteriormente, la red física, que aún continúa siendo fundamental, funciona como un panel de conexión de redireccionamiento de paquetes, pero no precisa que se le hagan modificaciones con cada cambio en la aplicación.

RECUERDE

El SDN originalmente compartía el mismo objetivo que la virtualización de redes (lograr que la red fuera más ágil), pero el SDN es un término más amplio que abarca varias definiciones, muchas de las cuales están atadas a arquitecturas de hardware, y muchas de las cuales no virtualizan completamente la red.

Los dispositivos virtuales en comparación con la integración en la capa virtual Muchos proveedores de servicios de red y de seguridad se han dado cuenta de que los servicios que se ofrecían tradicionalmente con un dispositivo físico deben estar más próximos a la aplicación para que sean más ágiles y efectivos. A tal fin, estos proveedores también brindan hoy opciones virtualizadas. Se habla de ellas como dispositivos virtuales.

CAPÍTULO 2 Ya es hora de virtualizar la red

Los dispositivos virtuales están diseñados, por lo general, para proveer la funcionalidad de una sola función de red, tales como un ruteador, un acelerador de red de área amplia (WAN), o un firewall de red, pero en el factor de forma de una VM dedicada. A pesar de que cubren necesidades específicas, los dispositivos virtuales tienen características que difieren de las de un enfoque de virtualización de redes más amplio. Por empezar, los dispositivos virtuales se ejecutan como invitados encima de un hipervisor, lo cual limita su rendimiento. También presentan el desafío de la expansión del dispositivo virtual. Debido al rendimiento limitado de los dispositivos, tal vez se necesiten implementar decenas, centenares e incluso miles de dispositivos virtuales para alcanzar la escala del centro de datos en su totalidad. Esto representa un obstáculo de gasto de capital (CapEx), así como otros desafíos operativos. El valor real de la virtualización de redes surge de la integración de todas las funciones de red en una capa de red virtual integral que incluye un mecanismo de orquestación (o un controlador) e integración profunda con la capa de procesamiento virtual (por ejemplo: el hipervisor, la orquestación del contenedor o la nube). Este enfoque más sofisticado permite que la red y la gama total de sus funciones sigan a las VM mientras se trasladan de un servidor a otro. No es necesario reconfigurar ninguna conexión de red porque se realizan mediante software. Básicamente, la red puede ir a cualquier lugar que esté virtualizado. Existen otras ventajas en el enfoque intrínsecamente virtual con respecto a la virtualización de las redes. Hablamos de ellos en el Capítulo 3. Por el momento, solo digamos que este nuevo enfoque hacia las redes hace que su centro de datos, y la gestión de sus aplicaciones fuera del centro de datos, sea mucho más ágil. Es como ir de las conexiones cableadas a las inalámbricas en su red domiciliaria. Usted queda libre de limitaciones tradicionales.

¿Por qué es el momento apropiado para la virtualización de redes? La gente ha hablado de la virtualización de las redes por años. Es hora de empezar el trayecto: satisfacer las necesidades de las aplicaciones de hoy.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Aquí le mencionamos algunos de los motivos por los cuales es el momento apropiado para la virtualización de redes.

Cómo satisfacer las demandas de un negocio dinámico En palabras simples, el software es más veloz que el hardware. Es mucho más sencillo implementar servicios, hacer cambios y regresar a versiones previas cuando toda la red se encuentra en software. Los negocios de la actualidad tienen requerimientos que cambian constantemente y eso genera demandas cada vez mayores sobre los equipos de TI para ser capaces de soportar estos cambios. Cuando el entorno de red se ejecuta exclusivamente mediante software, la adaptación a los cambios es mucho más flexible, lo cual posibilita que las organizaciones de TI satisfagan las demandas de forma más eficaz.

Cómo incrementar la flexibilidad mediante la abstracción del hardware La virtualización de redes traslada la inteligencia desde el hardware dedicado hasta el software flexible que incrementa la agilidad del equipo de TI y de la organización. Este concepto es conocido como abstracción. Para explicar este concepto, comencemos con el mundo bien establecido de la virtualización de servidores. Con la virtualización de servidores, una capa de abstracción, o hipervisor, reproduce los atributos del servidor físico (unidad de procesamiento central [CPU]), memoria de acceso aleatoria [RAM], disco y así por el estilo) en el software. La abstracción permite que estos atributos se ensamblen sobre la marcha para producir una VM única. La virtualización de redes funciona de la misma manera. Con la virtualización de redes, el equivalente funcional de un “hipervisor de red” reproduce los servicios de red (tales como conmutación, ruteado, control de acceso, firewall, calidad de servicio [QoS] y balanceado de carga) en el software. Cuando todo está en formato de software, los servicios virtualizados se pueden ensamblar para producir una red virtual única en cuestión de segundos. Este grado de agilidad es uno de los mayores beneficios de un centro de datos definido por software (SDDC), que se extiende a la red en la nube virtual, y que es uno de los argumentos más fuertes de la virtualización de redes.

CAPÍTULO 2 Ya es hora de virtualizar la red

Cómo incrementar la seguridad por medio de la microsegmentación Otro argumento a favor de la virtualización de redes está relacionado con la necesidad de contar con una seguridad más robusta. La virtualización de redes aumenta la seguridad al servir de cimiento para la microsegmentación: el uso de detalladas políticas y controles de red para posibilitar la seguridad de cada aplicación. La microsegmentación le permite envolver cada carga de trabajo con una película protectora de seguridad y prevenir la propagación lateral de las amenazas. Explicamos más sobre este concepto en el Capítulo 4. Con la virtualización de redes, las redes se aíslan por defecto, lo que significa que las cargas de trabajo en dos redes no relacionadas no tienen posibilidad de comunicarse entre sí. El aislamiento es fundamental para la seguridad de las redes, ya sea por motivos de cumplimiento normativo, de contención, o simplemente para evitar que los entornos de desarrollo, ensayo y producción interactúen. Cuando se crean redes virtuales, estas permanecen aisladas unas de otras a menos que usted decida conectarlas. Para hacer posible este aislamiento, dichas redes no precisan de ninguna subred física, ni de VLAN, ni de listas de control de acceso (ACL) ni de ninguna configuración de firewall físico. Las redes virtuales también están aisladas de la red física subyacente. Este aislamiento no solo desvincula las modificaciones dentro de una red virtual para que no afecten a otra, sino que además protege la infraestructura física subyacente contra los ataques que se lancen desde cargas de trabajo ubicadas en cualquier lugar de sus redes virtuales. Una vez más, no se requiere ninguna VLAN, ni ACL, ni reglas de firewall para crear este aislamiento. Simplemente así son las cosas con la virtualización de redes.

UNA MIRADA MÁS PROFUNDA A LA MICROSEGMENTACIÓN Para sumergirse de lleno en el concepto de microsegmentación, descargue una copia de Micro-segmentation For Dummies (Microsegmentación para principiantes) de Wiley en www.vmware. com/go/MicrosegmentationForDummies.com. Este libro conciso, auspiciado por VMware, brinda una mirada detallada a los conceptos, las tecnologías y los beneficios de la microsegmentación con la familia VMware NSX.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Cómo establecer una plataforma para el centro de datos definido por software Como vimos en el Capítulo 1, el SDDC es un marco muy necesario para lograr mayor agilidad de TI y un servicio de entrega de TI con más respuesta, todo esto a un costo menor dentro del centro de datos, y la red en la nube virtual extiende estos conceptos a las aplicaciones en todas partes. La virtualización de redes es una arquitectura transformadora que hace posible la creación y el funcionamiento de redes completas en paralelo encima del hardware de red existente. Esto produce una implementación más rápida de cargas de trabajo, así como una mayor agilidad y seguridad en el contexto de centros de datos, nubes y nodos periféricos cada vez más dinámicos.

Un replanteamiento de la red Aunque aprovecha el hardware de red actual, la virtualización de redes es esencialmente un nuevo enfoque hacia el trabajo en red. Esto significa que usted debe pensar acerca de su red de nuevas formas. En el pasado, las funciones de red giraban en torno al hardware. Hoy, todas ellas cuentan con la flexibilidad del software. Un mundo virtualizado debería permitirle tomar una red entera, con todas sus configuraciones y funciones, y duplicarla en el software.

SUGERENCIA

Debería ser capaz de crear y hacer funcionar su red virtualizada en paralelo con su hardware de red existente. Una red virtual puede crearse, guardarse, eliminarse y restaurarse tal como se haría con las VM, pero, en este caso, se ejecuta con toda la red. En términos más específicos, una red virtualizada le da la capacidad de:

RECUERDE

»» Desvincular la red del hardware subyacente y aplicar principios de virtualización a la infraestructura de red.

»» Crear una reserva flexible de capacidad de transporte que puede asignarse, utilizarse y readaptarse a pedido.

»» Implementar redes en software que estén totalmente aisladas

entre sí y que también lo estén de otros cambios en el centro de datos.

»» Transferir, mover y replicar la red, tal como lo hace con sus recursos de procesamiento y de almacenamiento.

CAPÍTULO 2 Ya es hora de virtualizar la red

»» Poner a disposición una funcionalidad de red uniforme en cualquier lugar de su empresa.

Así que, ¿cómo se llega a ese punto? Tratamos esa parte de la historia en el Capítulo 3, donde exploramos las tecnologías detrás de la transformación de las redes.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

EN ESTE CAPÍTULO

»» Se describe la funcionalidad de una red virtualizada »» Se presentan las tecnologías de virtualización de redes »» Se describen las características principales de una red virtualizada »» Se exploran los beneficios funcionales y económicos

Capítulo

La transformación de la red

n los capítulos anteriores, hemos presentado la virtualización de redes y la hemos descrito de manera rápida. En este capítulo, ahondamos en las tecnologías que se precisarán para llevar los beneficios de la virtualización al entorno de trabajo en red. Comenzaremos presentando los conceptos sobre los que se basa la virtualización de redes y concluiremos con los detalles de VMware NSX Data Center, una plataforma de virtualización de redes multinube y multihipervisor.

Las funcionalidades clave de una red virtualizada Algunas de las funcionalidades clave de una red virtualizada incluyen las redes por superposición, así como las funciones tradicionales con las cuales probablemente está más familiarizado, tales como el ruteado y el balanceo de cargas, las cuales se realizan ahora con software, más cerca de la aplicación.

CAPÍTULO 3 La transformación de la red

Las redes superpuestas La virtualización de redes utiliza tecnologías de superposición (overlay) que se asientan sobre el hardware de la red física y hacen posible una red lógica, tal como se muestra en la Figura 3-1.

Egreso

/24

1.1.1.0

Ingres

L2)

gico (

dor ló

uta Conm

FIGURA 3-1: Redes lógicas mediante el uso de superposición.

Las redes superpuestas hacen posible que se ejecuten redes íntegramente mediante software, abstraídas de la infraestructura de la red física de soporte. En el caso de la red del centro de datos, estas redes superpuestas crean túneles entre los extremos dentro de la capa virtual.

Flujo de paquetes de emisor a receptor Como apuntamos en otra sección, las redes virtuales utilizan la red física subyacente como panel de conexión para redireccionamiento de paquetes y trasladan las decisiones de red más sutiles a las proximidades de la aplicación. Cuando los extremos de una aplicación (por ejemplo, dos máquinas virtuales [VM]) se comunican entre sí, el paquete se encapsula con la dirección del protocolo de internet (IP) del extremo virtual de destino. La red física provee el marco al host de destino o hipervisor, el cual puede quitar el encabezado exterior, y luego la instancia de conmutador virtual local provee el marco al extremo de la aplicación de destino. De esta manera, la comunicación emplea la red física subyacente como un simple panel de conexión de IP; uno que no requiere demasiada complejidad como el protocolo de árbol de expansión (STP) o las listas de control de acceso (ACL), ya que la plataforma de virtualización de redes puede realizar todo esto más cerca de la aplicación. Este enfoque simplifica considerablemente la gestión de la configuración y elimina los cambios en la red física provenientes del proceso de aprovisionamiento de la red, lo cual es un alivio bastante grande.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Tecnologías de superposición Existen diversas tecnologías de superposición, u overlay. Una tecnología estándar en la industria se llama red de área local expansible virtual (VXLAN). La VXLAN brinda un marco para superponer redes virtualizadas de capa 2 sobre redes de capa 3, definiendo tanto un mecanismo de encapsulamiento como un plano de control. Otra tecnología es el encapsulamiento de virtualización de redes genérico (GENEVE), que toma los mismos conceptos pero los hace más extensibles por ser flexible a los mecanismos de plano de control múltiple. Hay otras tecnologías más, incluida la virtualización mediante encapsulamiento de ruteado genérico (NVGRE). El NVGRE es parecido al VXLAN en sus objetivos, pero emplea diferentes enfoques en la creación de la superposición. El NVGRE ha tenido una adopción limitada en comparación con el auge de la VXLAN y del GENEVE.

Una breve introducción sobre VXLAN y GENEVE Esta sección lo introduce a la VXLAN y al GENEVE: en qué se asemejan y en qué se diferencian.

Encapsulamiento Tanto la VXLAN como el GENEVE son tecnologías de superposición que encapsulan los marcos Ethernet originales generados por las cargas de trabajo (virtuales o físicas) que están conectadas al mismo segmento lógico de capa 2 llamado, por lo general, conmutador lógico. Ambas son también tecnologías de encapsulamiento de la capa 2 sobre la capa 3 (L2oL3). El marco Ethernet original generado por una carga de trabajo se encapsula con un encabezado externo, seguido por el protocolo de datagrama del usuario (UDP), la IP y los encabezados de Ethernet para garantizar que sea transportado a través de la infraestructura de la red que interconecta los extremos de la VXLAN o del GENEVE (usualmente el extremo de la aplicación, como por ejemplo una VM o un pod contenedor).

Escalabilidad Ir más allá de la limitación de las 4096 redes de área local virtual (VLAN) en los conmutadores tradicionales se puede lograr aprovechando un identificador de 24 bits denominado VNI (identificador de red VXLAN, o identificador de red virtual en GENEVE), el cual se asocia con cada segmento de capa 2 creado en el espacio lógico. Este valor se transporta dentro del encabezado de superposición y comúnmente está asociado con una subred IP, parecido a lo que sucede con las VLAN tradicionales.

CAPÍTULO 3 La transformación de la red

La comunicación de subred intra IP se produce entre los dispositivos conectados a la misma red virtual (conmutador lógico).

Cómo atravesar la red El desglose de los encabezados de capa 2, capa 3 y capa 4 que está presente en el marco Ethernet original se realiza a fin de inferir el valor del puerto fuente para el encabezado UDP externo. Esto es importante para asegurar el balanceo de carga del tráfico de superposición a través de rutas de iguales costos potencialmente disponibles dentro de la infraestructura de la red de transporte.

Cómo terminar los túneles Las direcciones IP de origen y de destino utilizadas en el encabezado IP externo identifican exclusivamente los hosts que originan y finalizan el encapsulamiento de superposición de los marcos. Esta funcionalidad se halla dentro del extremo del túnel (en el GENEVE) o dentro del extremo del túnel VXLAN (VTEP, en la VXLAN).

Tamaño del marco El encapsulamiento del marco Ethernet original dentro de un paquete UDP aumenta el tamaño del paquete IP. Esto genera uno de los pocos requisitos que se le exigen a la infraestructura de red física: Se recomienda incrementar el tamaño de la unidad de transmisión máxima (MTU) a un mínimo de 1700 bites en todas las interfaces que transportarán tráfico de red superpuesta. La MTU para los vínculos superiores de conmutador virtual de los extremos del túnel que realizan el encapsulamiento VXLAN o GENEVE se incrementa automáticamente cuando el extremo del túnel se prepara para la VXLAN o el GENEVE. La Figura 3-2 describe (en un nivel elevado) los pasos que se requieren para establecer comunicaciones de capa 2 entre los extremos de la aplicación aprovechando la funcionalidad de superposición de, digamos, dos VM que se comunican mediante una VXLAN:

»» La VM1 genera un marco con destino a la parte de la VM2 del mismo segmento lógico de capa 2 (subred IP).

»» El VTEP de origen identifica el VTEP de destino donde está

conectada la VM2 y encapsula el marco antes de enviarlo a la red de transporte.

»» La red de transporte solo precisa habilitar la comunicación IP entre los VTEP de origen y de destino.

»» El VTEP de destino recibe el marco VXLAN, lo desencapsula e identifica al segmento de capa 2 al que pertenece.

»» El marco es enviado a la VM2. 30

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Conmutador virtual

VM1

VM2

Red de transporte Hipervisor (extremo de túnel)

Marco L2

Hipervisor (extremo de túnel)

HDR HDR de Superposición UDP de IP MAC HDR exterior HDR exterior

Marco L2

VM envía un marco L2 estándar

El hipervisor de origen (extremo del túnel) añade sobrecapa, UDP y encabezados IP

La red de transporte físico envía un marco como marco IP estándar

El hipervisor de destino (extremo del túnel) reencapsula los encabezados

Marco L2 original enviado a la VM

FIGURA 3-2: Cómo establecer comunicación de capa 2 entre distintas VM con VXLAN.

LA VIRTUALIZACIÓN DE REDES EN ACCIÓN: UN EJEMPLO Aquí le presentamos uno de los muchos posibles ejemplos de cómo la virtualización de redes hace más fácil la vida para sus administradores de seguridad y de red. La comunicación en una red convencional puede ser ineficiente cuando se aplican servicios tales como el cortafuegos. El tráfico debe ser ruteado fuera del entorno virtual, atravesando el cortafuegos físico, y luego debe ser redireccionado de regreso al entorno virtual. Este proceso se conoce como hairpinning (sujetar con horquillas) o tromboning (tocar el trombón): básicamente, sale para volver a ingresar incluso antes de llegar a destino. Esto añade complejidad y latencia, disminuye el rendimiento y aumenta la inestabilidad, y dificulta que los extremos de la aplicación se trasladen. En cambio, cuando los servicios de red están integrados en una capa de virtualización de red, no existe la necesidad de estos procedimientos. Estos conceptos se ilustran en la siguiente figura. Firewall este-oeste/mismo host Antes de NSX Data Center

Firewall este-oeste/host a host

Antes de NSX Data Center

Firewall virtual distribuido Conmutador de espina

Conmutador tipo hoja A

Conmutador tipo hoja B

Conmutador de espina

Conmutador tipo hoja A

Servidor Blade1

Conmutador virtual

6 circuitos cableados

Conmutador tipo hoja B

Servidor Blade1 Conmutador virtual

0 circuitos cableados

Con NSX Data Center Firewall virtual distribuido

Conmutador de espina

Conmutador tipo hoja A

Conmutador tipo hoja B

Conmutador tipo hoja A

Conmutador tipo hoja B

Servidor Blade1

Servidor Blade2

Servidor Blade1

Servidor Blade2

Conmutador virtual

6 circuitos cableados

2 circuitos cableados

CAPÍTULO 3 La transformación de la red

Las funciones de una red virtual El trabajo en red por superposición es muy poderoso, pero es solo una parte de la virtualización de redes. La superposición básicamente le posibilita tomar decisiones sobre la red utilizando software, dentro de una capa virtual, que ha sido abstraído del hardware físico con todos los beneficios que ello implica. ¿Y luego qué sigue? ¿Cómo son esas decisiones? Ese es el momento en el que las funciones de la red virtual entran en acción. De hecho, muchas de ellas pueden ser beneficiosas sin implementar la superposición de redes. ¿De qué funciones estamos hablando? Bueno, la forma en la que el trabajo en red IP se realiza no está cambiando necesariamente, así que aún va a necesitar un ruteador en el espacio virtual. Como usted está aproximando la red a la aplicación, esta última se beneficiará también de un modelo nuevo de balanceo de carga. Pueden ser funciones centralizadas (piense en un solo ruteador) o funciones distribuidas (como se ha hecho por años con la conmutación virtual distribuida). Finalmente, algo que en verdad ha revolucionado la seguridad es el cortafuegos virtual distribuido. Abordamos cada una de estas funciones a medida que exploramos arquitecturas y casos de uso.

ASPECTOS TÉCNICOS

Funciones de Red Virtual, con F mayúscula, R mayúscula y V mayúscula (o VNF en inglés), es un término fundamental en el campo de la virtualización de funciones de red (NFV). Este campo se ocupa de la virtualización de las funciones de la red física que las redes de los proveedores de servicios y las redes de las empresas de telefonía móvil necesitan. De hecho, es muy similar a la manera en la que las funciones están trasladándose al software dentro del espacio del centro de datos y otros lugares, pero también es diferente en muchas formas. Por lo tanto, vale la pena aclarar que no estamos hablando necesariamente de NFV, aunque estemos considerando el traslado de las funciones al software.

El gran beneficio La virtualización de la red ayuda a que las organizaciones logren grandes avances en velocidad, agilidad y seguridad mediante la automatización y simplificación de muchos de los procesos que conlleva la operación de una red de centro de datos y la gestión y la seguridad de redes dentro de la nube. A continuación presentamos un breve listado de los beneficios más importantes que nos trae este nuevo enfoque al trabajo en red. La virtualización de redes le ayuda a:

Virtualización de redes For Dummies, 2.ª edición especial de VMware

»» Reducir el tiempo de aprovisionamiento de red de semanas a minutos.

»» Lograr una eficiencia operativa mayor mediante la automatización de procesos manuales.

»» Colocar y trasladar cargas de trabajo independientemente de la topología física.

»» Mejorar la seguridad de la red dentro del centro de datos.

Le presentamos VMware NSX Data Center: Cómo llevar la virtualización de redes al SDDC Primero, una definición sencilla: VMware NSX es una familia de productos de trabajo en red de VMware que sirven para producir la virtualización desde el centro de datos a la nube y hasta la periferia. VMware NSX es la plataforma de virtualización de redes para el centro de datos definido por software (SDDC). NSX Data Center reproduce el modelo de red completo en formato de software. Este modelo extremo a extremo posibilita cualquier topología de red, desde las más sencillas hasta las complejas redes multinivel, para que se pueda crear y aprovisionar en segundos. Presenta todas las bondades de la virtualización de redes que hemos abordado hasta el momento y otras más que trataremos más adelante. A la vez que incrementa la agilidad y simplifica el enfoque hacia las redes, NSX Data Center fortalece la seguridad en el interior del centro de datos. Estas ventajas de seguridad son provistas mediante políticas automatizadas detalladas que envuelven cada extremo de la aplicación con controles de seguridad. Se trata de un enfoque totalmente nuevo. Permite contar con una red intrínsecamente segura, ya que previene los ataques que se trasladan de forma lateral dentro del centro de datos y que saltan de una carga de trabajo a la otra con muy pocos controles que bloqueen su propagación o incluso ninguno. Con NSX Data Center, las cargas de trabajo se pueden aislar una de la otra, como si estuvieran cada una en una red propia.

¿Cómo funciona? En esta sección, quitamos la traba y le damos la oportunidad de mirar debajo del capó de VMware NSX Data Center.

CAPÍTULO 3 La transformación de la red

Arquitectura de NSX Data Center El enfoque de NSX hacia la virtualización de redes en el centro de datos le permite tratar a su propia red física como una reserva de capacidad de transporte que se puede consumir y readaptar según la demanda. Las redes virtuales se crean, se aprovisionan y se gestionan mediante software, utilizando su red física como un simple panel de conexión para el redireccionamiento de paquetes. Los servicios de redes virtualizadas se distribuyen a cada extremo de la aplicación independientemente del hardware de red o la topología subyacentes. Esto quiere decir que las cargas de trabajo pueden agregarse o eliminarse sobre la marcha y que todos los servicios de red y de seguridad vinculados a la aplicación se mueven junto con esta a cualquier lugar dentro del centro de datos. Sus aplicaciones actuales operan sin modificaciones. No notan la diferencia entre una red virtual y una conexión de red física.

Integración con la infraestructura de red existente NSX Data Center funciona con su infraestructura de procesamiento y de red existente, y con sus aplicaciones y productos de seguridad actuales. Puede implementar este producto sobre su infraestructura actual sin interrupciones de servicio. Mejor aún, NSX Data Center no tiene un enfoque de “todo o nada”. No es necesario que virtualice toda su red. Usted cuenta con la flexibilidad de virtualizar porciones de su red simplemente añadiendo hipervisores, hosts bare-metal e incluso nubes a la plataforma NSX.

El trabajo en red se simplifica Una vez que NSX Data Center es implementado, se necesita poca interacción con la red física. Ya no necesita lidiar con las configuraciones de la red física o de las VLAN, las ACL, los árboles de expansión, los complejos conjuntos de reglas de los cortafuegos y los intrincados patrones de tráfico “hairpinning”; porque ya no hacen falta cuando la red está virtualizada.

RECUERDE

A medida que implemente las redes virtuales NSX, puede simplificar cada vez más la configuración y el diseño de su red física. La dependencia del proveedor se vuelve una cosa del pasado porque la red física solo necesita proveer un redireccionamiento confiable de paquetes a alta velocidad. Esto significa que puede combinar y mezclar hardware de diferentes líneas de productos y proveedores.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Cómo aprovechar un ecosistema de trabajo en red y capacidades de seguridad más amplias NSX Data Center es extremadamente flexible, altamente extensible y cuenta con un amplio soporte. Una poderosa capacidad de conducción de tráfico, denominada inserción de servicios, le permite vincular cualquier combinación de servicios de red y de seguridad en cualquier orden. Todo se define por las políticas de aplicación que usted establece para cada carga de trabajo. Este alto grado de flexibilidad se aplica no solo a los servicios nativos de NSX Data Center, sino también a una amplia variedad de soluciones de terceros compatibles, incluidas las instancias virtuales y físicas de firewall de avanzada, controladores de entrega de aplicaciones y sistemas de prevención de intrusión. Demos un paso atrás y echemos una mirada a un panorama mayor. La disponibilidad de tantos productos compatibles con NSX desarrollados por socios de VMware es una señal del apoyo de la industria a este nuevo modelo operativo de la plataforma de NSX Data Center. Esto le brinda una mayor confianza al ingresar al mundo de las redes virtualizadas. Usted cuenta con un amplio ecosistema a su lado. Para conocer más detalles, lea el Capítulo 6 y la sección “Cómo integrarse con sus socios del ecosistema de servicios de red”.

Lo que hace: Capacidades clave de NSX Data Center Observemos algunas de las capacidades técnicas principales de VMware NSX Data Center. Al empezar, tenga esto en mente: NSX Data Center virtualiza todas las funciones de red. Además, muchas funciones que se describen y muchas otras que no se incluyen aquí están disponibles mediante otros socios del ecosistema. En este sentido, NSX es como una capa mágica que habilita un espectro de capacidades en todo su entorno.

Todo en el software Aquí presentamos algunas de las características principales de VMware NSX Data Center. RECUERDE

»» Conmutación lógica distribuida: NSX Data Center le permite reproducir por completo la funcionalidad de conmutación de capa 2 y capa 3 en un entorno virtual, desvinculada del hardware subyacente.

CAPÍTULO 3 La transformación de la red

»» Portal NSX: Este portal de capa 2 posibilita la conexión ininte-

rrumpida con las cargas de trabajo físicas y las VLAN heredadas.

»» Ruteado lógico: El ruteado entre conmutadores lógicos provee un ruteado dinámico entre diferentes redes virtuales.

»» Cortafuegos lógico distribuido: NSX Data Center le permite

crear un firewall distribuido integrado a la capa de red virtual y cubrir cada carga de trabajo con funciones de seguridad. Esto se completa con la identificación de aplicaciones de capa 7, así como con firewalls basados en el usuario.

»» Balanceador lógico de carga: El centro de datos provee un

balanceador de carga con todas las funciones y con terminación SSL.

»» VPN lógica: NSX Data Center soporta redes privadas virtuales

(VPN) de sitio a sitio y de acceso remoto en formato de software.

»» API NSX: Esta API con REST (transferencia de estado representativo) permite su integración en cualquier plataforma de gestión en la nube.

»» Integración con plataformas de gestión en la nube: La

integración se habilita con automatización completamente lista a través de plataformas tales como OpenStack o VMware vRealize Automation.

»» Inserción de servicios: NSX Data Center le permite insertar

funciones de servicios de terceros, no solo como una llamada API hacia el norte, sino como un servicio encadenado para cada flujo de paquete.

»» Trabajo en red y seguridad multisitio y multinube: Puede

expandir estos conceptos fuera de un único dominio de centro de datos a múltiples sitios y nubes.

»» Herramientas de planificación, de visibilidad y operativas:

Herramientas como Application Rule Manager le permiten capturar el tráfico y usar esta visibilidad para crear políticas de red, mientras que Traceflow le ayuda a acompañar el recorrido de un paquete, por ejemplo, para fines de depuración.

Servicios esenciales de aislamiento, segmentación y seguridad avanzada Todos los años, las empresas invierten miles de millones de dólares para asegurar los perímetros de sus centros de datos. Y adivine qué sucede. Las filtraciones continúan aumentando. Aunque es una parte

Virtualización de redes For Dummies, 2.ª edición especial de VMware

esencial de la estrategia de seguridad, la protección del perímetro no hace todo lo que usted necesita. Requerimos un nuevo modelo de seguridad del centro de datos. La microsegmentación, un concepto que presentamos en el Capítulo 2, ofrece dicho modelo. NSX Data Center lleva la seguridad al interior del centro de datos con detalladas políticas automatizadas que están atadas a los extremos de la aplicación, tales como las VM. Las políticas de seguridad de la red se aplican mediante controles de cortafuegos integrados a la capa virtual, como lo es el hipervisor, que ya están distribuidos en todo el centro de datos. Como ejemplo, el hipervisor sirve como un lugar ideal para hacer cumplir esas políticas: está cercano a la aplicación y, al mismo tiempo, aislado de ella. Estas políticas de seguridad se mueven junto con las VM y se adaptan dinámicamente a las modificaciones en su centro de datos. Las redes virtuales pueden operar en sus propios espacios de direcciones o tener espacios de direcciones superpuestos o duplicados; todo esto sin que interfieran la una en la otra. Por defecto, las redes virtuales están intrínsecamente aisladas de todas las demás redes virtuales y de la red física subyacente. Cada red virtual es como una isla dentro del mar del centro de datos. Este enfoque le permite aislar con seguridad las redes. Al final, usted obtiene un modelo de seguridad intrínsecamente mejor para su centro de datos. El software dañino que se infiltra a través del cortafuegos ya no puede saltar libremente de un servidor a otro. Por supuesto, nada de esto significa que usted deba abandonar sus soluciones de seguridad de red favoritas. NSX Data Center es una plataforma que le permite llevar las soluciones más avanzadas de la industria en redes y seguridad al interior del SDDC. Gracias a una estrecha integración con la plataforma de NSX Data Center, los productos y las soluciones de otros proveedores se pueden implementar según lo necesite y pueden adaptarse dinámicamente a las condiciones cambiantes dentro de su centro de datos. Estas capacidades de virtualización de redes hacen posibles las tres funciones clave de la microsegmentación: RECUERDE

»» Aislamiento: No hay comunicación entre redes no relacionadas.

»» Segmentación: La comunicación dentro de la red es controlada.

»» Seguridad con servicios avanzados: Es posible gracias a una estrecha integración con soluciones de seguridad de terceros.

CAPÍTULO 3 La transformación de la red

Rendimiento y escala NSX Data Center provee un rendimiento y una escala comprobadas. Como las funciones de red están incrustadas en la capa virtual, NSX Data Center presenta una arquitectura de escalamiento horizontal que permite un escalamiento ininterrumpido de capacidad adicional a la vez que provee una disponibilidad y una confiabilidad sólidas. Aquí tenemos un ejemplo de la escalabilidad extrema de NSX Data Center: En una implementación de la vida real de NSX Data Center, se está utilizando un solo clúster de controladores para proveer más de 10.000 redes virtuales, que a su vez soportan más de 100.000 máquinas virtuales. Esto no es necesario ni tiene sentido para la mayoría de las redes, pero muchas tienen limitaciones de escalabilidad que ahora pueden ser superadas. Dentro del entorno de NSX Data Center: ASPECTOS TÉCNICOS

»» El procesamiento necesario para la ejecución de servicios

distribuidos de red es progresivo según lo que el vSwitch ya esté haciendo para las cargas de trabajo conectadas.

»» El vSwitch es un módulo que está integrado con el núcleo del

hipervisor, junto con todos los servicios de red y seguridad de NSX Data Center.

»» La capacidad de transporte de la red virtual escala en forma

lineal (junto con el extremo de la aplicación o la capacidad de la VM) con la introducción de cada hipervisor/host nuevo, y añade 20 Gbps de capacidad de conmutación y ruteado y 19.6 Gbps de capacidad de cortafuegos.

Visibilidad de red sin comparación NSX Data Center lleva visibilidad a la red a un nivel sin precedentes. Con los enfoques convencionales respecto del trabajo en red, el estado de configuración y el estado de redireccionamiento se propagan a muchos dispositivos de la red sin razón. Esta fragmentación puede nublar su visión y complicar la detección de fallas. En cambio, NSX Data Center brinda información de configuración y de estado para todas las conexiones y servicios en un solo lugar. El estado de conectividad y los registros de todos los componentes y elementos de la red virtual de NSX Data Center (conmutadores lógicos, ruteadores y otros por el estilo) son de fácil acceso, así como lo es el mapeo entre las topologías de red virtual y la red física subyacente. Esto permite una completa visibilidad del tráfico entre los extremos de la aplicación,

Virtualización de redes For Dummies, 2.ª edición especial de VMware

incluso cuando las VM o contenedores que se están comunicando están en el mismo host y el tráfico de la red nunca alcanza la red física.

RECUERDE

Mejor todavía, con NSX Data Center, puede tener acceso a herramientas de detección de fallas modernas tales como Traceflow. Esta función inyecta un paquete sintético dentro de un puerto de un conmutador virtual, y brinda la posibilidad de observar el recorrido que realiza el paquete dentro de la red a medida que atraviesa los sistemas de red física y lógica. Esto permite a sus administradores identificar la ruta completa que toma un paquete y efectuar pruebas para detección de fallas en cualquier punto del recorrido hacia donde se envía el paquete, por ejemplo, por causa de las políticas del cortafuegos. Este grado de visibilidad no es posible si se está operando con hardware de red física tradicional, y definitivamente sería imposible con las redes físicas en situaciones en las que dos VM se comunican en el mismo host.

Beneficios principales de NSX Data Center Nos estamos acercando a la mejor parte. Esta sección se centra en algunas formas en las que su organización puede aprovechar las capacidades de la virtualización de redes con VMware NSX Data Center. Se puede dividir la cuestión en dos campos: beneficios funcionales y beneficios económicos.

Beneficios funcionales Los beneficios funcionales de NSX Data Center se apoyan en los cuatro pilares del SDDC: velocidad, agilidad, seguridad y confiabilidad. Estos beneficios se logran:

»» Con la creación de redes completas en software en tan solo segundos: El centro de datos NSX lo equipa a usetd con una biblioteca de elementos y servicios lógicos de red, tales como conmutadores, ruteadores, cortafuegos, balanceadores de carga, VPN y seguridad de carga de trabajo. Usted puede mezclar y combinar estos componentes para crear topologías de red virtual aisladas en segundos.

»» Reduciendo al mínimo el riesgo y el impacto de las filtracio-

nes de datos: Puede usar NSX Data Center para aislar cargas de trabajo, cada una con sus propias políticas de seguridad. Esta capacidad le ayuda a contener las amenazas y a bloquear el

CAPÍTULO 3 La transformación de la red

movimiento de software dañino dentro de su centro de datos. Una mejor seguridad interna puede ayudarlo a evitar o reducir los costos que producen las filtraciones de información.

»» Con la aceleración de la entrega de servicios de TI y del

tiempo de comercialización: Con la virtualización de redes puede reducir el tiempo necesario para aprovisionar servicios de red y de seguridad multinivel de semanas a minutos. Algunas empresas utilizan NSX Data Center para dar a los equipos de aplicación capacidades de aprovisionamiento de autoservicio total. Mejor aún, las capacidades de automatización y orquestación de NSX Data Center le permiten evitar el riesgo de los errores de configuración manuales.

»» Con la simplificación de los flujos de tráfico: Puede usar el

centro de datos NSX para disminuir la carga del tráfico entre servidores (tráfico este-oeste) en el sobredemandado núcleo. Con una red virtual las VM se comunican entre sí mediante el vSwitch o la estructura de agregación. Esto genera reducciones en los circuitos de tráfico este-oeste y le ayudan a evitar las deficiencias de los patrones intrincados de tráfico. La idea es hacer un mejor uso de sus activos actuales y evitar los costos de incrementar la capacidad básica con más hardware.

»» Incrementando la disponibilidad del servicio: Los centros de

datos de escala de nube tienen pocos cortes de servicio porque poseen estructuras más planas con ruteado multirruta de costos equivalentes entre cualesquier puntos de la red. Las estructuras nervadas simplificadas hacen que los enlaces o los dispositivos individuales sean irrelevantes. La red puede soportar múltiples fallas de dispositivos en simultáneo sin sufrir cortes. Con las capacidades de la virtualización de redes de NSX Data Center, puede lograr el mismo alto nivel de disponibilidad en su propio centro de datos.

Beneficios económicos Los beneficios económicos de la virtualización de redes con NSX Data Center se concretan en el ahorro en gastos de capital y gastos operativos:

»» Reducción del riesgo de filtraciones costosas:

Históricamente, la implementación de cortafuegos para controlar un creciente volumen de tráfico este-oeste dentro del centro de datos ha sido algo prohibitivo para muchas empresas a causa de su costo. Es más, la gran cantidad de dispositivos

Virtualización de redes For Dummies, 2.ª edición especial de VMware

que hacen falta y el esfuerzo que se requiere para implantar y gestionar una compleja matriz de reglas de cortafuegos hacen que este enfoque no sea factible operativamente. Las capacidades de microsegmentación que conlleva la virtualización de redes hacen que esto no solo sea posible de realizar sino, además, posible de pagar. Ahora puede reducir el riesgo de fallas de seguridad entre centros de datos a la vez que evita grandes gastos de capital en hardware y software adicional.

»» Reducción de tiempo y esfuerzo: La virtualización de redes

puede disminuir significativamente el esfuerzo y el tiempo que se invierten en completar las tareas de red. Por lo general, NSX Data Center reduce el esfuerzo necesario de horas a minutos y los ciclos de tiempo de días a minutos. Si tiene en cuenta todas las tareas manuales necesarias para el aprovisionamiento y la gestión de una red física (a lo largo de los entornos de desarrollo, ensayo, prueba y producción) y el hecho de que NSX Data Center puede automatizarlas, usted comenzará a ver una gran cantidad de oportunidades de reducir los costos operativos.

»» Mejoramiento del uso de los activos de los servidores: En las

topologías tradicionales, cada clúster de red tiene su propia capacidad de procesamiento. Los administradores de TI a menudo aprovisionan en exceso las computadoras para evitar la larga reconfiguración de red tan propensa a errores y que hace falta para alcanzar la capacidad disponible en otro clúster. NSX Data Center le ofrece una manera mejor de hacer las cosas. Puede utilizar NSX Data Center para conectar dos o más clústeres de red e implementar cargas de trabajo para la capacidad no utilizada. Al hacer un mejor uso de la capacidad de los servidores existentes, puede evitar la necesidad de comprar servidores físicos nuevos.

»» Mejoramiento de los ahorros de precio/rendimiento:

Muchas empresas están utilizando las capacidades de NSX Data Center y de la virtualización de redes para reemplazar el hardware propio y costoso por infraestructura de bajo costo que se puede adquirir de diferentes proveedores: quien ofrezca la mejor relación entre precio y rendimiento.

Extensión del ciclo de vida del hardware: Puede utilizar NSX Data Center para extraer aún más valor de su infraestructura de red existente. Puede hacerlo así: NSX Data Center descarga un volumen creciente de tráfico este-oeste proveniente del núcleo de la red. Esto le permite expandir la vida útil de su hardware sin necesidad de agregar capacidad costosa.

CAPÍTULO 3 La transformación de la red

Con NSX Data Center, el hardware de red subyacente se convierte en un simple panel de conexión de redireccionamiento IP. En lugar de renovar su equipamiento de red al final del ciclo de amortización contable, puede usarlo por períodos más largos. Con este enfoque, usted pondrá sus manos sobre el hardware solo para agregar capacidad o para reemplazar dispositivos individuales cuando fallen.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

EN ESTE CAPÍTULO

»» Una reevaluación de la seguridad »» El impulso de la automatización »» Cómo entender la red multinube

Capítulo

Casos de uso de la virtualización de redes

a virtualización de redes mejora el statu quo tanto en profundidad, porque produce un gran impacto, como en amplitud, a lo largo de numerosas categorías. En este capítulo, recorreremos algunas de esas categorías y brindaremos algunos ejemplos de cómo se está implementando la virtualización de redes.

RECUERDE

A medida que exploramos estos casos de uso, tenga presente que: Como lo indicamos en el Capítulo 3, la virtualización mediante NSX Data Center no es un enfoque de todo o nada. No es necesario que virtualice toda su red. Puede virtualizar algunas porciones de su red para casos de uso específicos y luego expandir el uso de la virtualización con el pasar del tiempo. Y aquí le dejamos un dato genial: las empresas a menudo logran justificar el costo de NSX Data Center con un solo caso de uso. Mientras tanto, establecen una plataforma estratégica que automatiza la TI y promueve casos de uso y proyectos adicionales con el tiempo. En las secciones siguientes, profundizamos dentro de algunos de los casos de uso más comunes a fin de mostrar de qué manera se puede utilizar la virtualización de redes para acelerar los procesos, fortalecer la seguridad y mantener las aplicaciones funcionando.

CAPÍTULO 4 Casos de uso de la virtualización de redes

Cómo asegurar el centro de datos Como aclaramos en otra parte del libro, la seguridad es una preocupación enorme y en constante aumento para las empresas. La virtualización de redes brinda una capa ideal para la seguridad (próxima pero aislada de las aplicaciones) que admite una nueva arquitectura de infraestructura con seguridad intrínseca, lo cual mitiga dramáticamente los riesgos de filtraciones de información.

Microsegmentación: Cómo limitar el movimiento lateral dentro del centro de datos Los ataques modernos se aprovechan de las debilidades inherentes de las estrategias tradicionales de seguridad de red centradas en el perímetro para infiltrarse dentro de los centros de datos de las empresas. Después de evadir con éxito las defensas perimetrales del centro de datos, un ataque puede trasladarse lateralmente dentro del centro de datos de una carga de trabajo a la otra con pocos controles o ninguno que bloquee su propagación. La microsegmentación de la red del centro de datos restringe el movimiento lateral no autorizado pero, hasta hoy, no ha sido realizable en términos operativos dentro de las redes de los centros de datos a causa de las características de los firewalls tradicionales. Los firewalls tradicionales de filtrado de paquetes de última generación implementan los controles en forma de puntos de bloqueo físicos o virtuales dentro de la red. A medida que el tráfico de la carga de trabajo de la aplicación atraviesa estos puntos de control, los paquetes de red son bloqueados o se les permite atravesar el firewall según las reglas del firewall, las cuales están configuradas en ese punto de control. Hay dos barreras operativas frente a la microsegmentación con el uso de firewalls tradicionales: la capacidad de su rendimiento y la gestión de la seguridad. Lo que es más importante, por lo general estas no aprovechan la virtualización de redes como una nueva capa propicia para implementar y ejecutar la seguridad. Las limitaciones en la capacidad de transporte se pueden superar pero a un costo significativo. Es posible comprar suficientes firewalls físicos o virtuales a fin de proveer la capacidad necesaria para lograr la microsegmentación, pero en la mayoría de organizaciones (si no en todas), comprar la cantidad de firewalls necesaria para una microsegmentación

Virtualización de redes For Dummies, 2.ª edición especial de VMware

eficaz no resulta económicamente posible. Hablamos aquí de un firewall individual por máquina virtual (VM). ¿Cuántas VM tiene su centro de datos? ¿Cientos? ¿Miles? Esto significa que harían falta miles de firewalls para un centro de datos normal. La carga de la gestión de la seguridad también se incrementa exponencialmente junto con el número de cargas de trabajo y la naturaleza crecientemente dinámica de los centros de datos actuales. Si las reglas de los firewalls se deben añadir, eliminar o modificar en forma manual cada vez que se agrega, se traslada o se desactiva una VM, la tasa de modificaciones desborda rápidamente al equipo operativo de TI. Esta es la barrera que ha significado la muerte de la mayoría de los planes mejor elaborados de los equipos de seguridad que tenían la intención de lograr una microsegmentación integral o una estrategia de confianza a nivel de la unidad de privilegios mínimos dentro del centro de datos. (Hablaremos del concepto de los privilegios mínimos más adelante en este capítulo). El centro de datos definido por software (SDDC) saca provecho de una plataforma de virtualización de redes para ofrecer muchas ventajas significativas que no poseen los enfoques de seguridad de red tradicional. Estas ventajas incluyen el aprovisionamiento automatizado, procesos automatizados de traslado/adición/modificación de cargas de trabajo, cumplimiento distribuido de reglas de seguridad en cada interfaz visual, y rendimiento de firewall de escalamiento horizontal dentro del núcleo, distribuido a todos los hipervisores e integrado a la plataforma.

Crecimiento del tráfico este-oeste dentro del centro de datos En la última década, las aplicaciones se implementaron en forma creciente sobre infraestructuras de servidores multinivel, y las comunicaciones de servidor a servidor este-oeste hoy representan una porción del tráfico del centro de datos significativamente mayor que las comunicaciones norte-sur de cliente a servidor y que las comunicaciones por Internet. De hecho, el tráfico dentro del centro de datos hoy representa tanto como el 80 por ciento de todo el tráfico de la red. Estas infraestructuras de aplicación multinivel se diseñan por lo general con pocos controles, o ninguno, que restrinjan las comunicaciones entre los sistemas. Los delincuentes han modificado sus estrategias de ataque para sacar ventaja de este cambio de paradigma en el tráfico del centro de datos, así como del hecho de que las estrategias de defensa centradas en el

CAPÍTULO 4 Casos de uso de la virtualización de redes

perímetro que prevalecen actualmente ofrecen pocos controles o ninguno sobre las comunicaciones de red dentro del centro de datos. Asimismo, los equipos de seguridad deben expandir sus estrategias de defensa dentro del centro de datos —donde en verdad se da la vasta mayoría del tráfico, que se encuentra desprotegido— en lugar de concentrarse casi exclusivamente en las defensas perimetrales.

Visibilidad El crecimiento del tráfico este-oeste dentro del centro de datos y el surgimiento de la virtualización de servidores son dos tendencias que han contribuido a una alarmante falta de visibilidad y de contexto dentro del centro de datos. En su mayor parte, las comunicaciones de servidores este-oeste en el centro de datos no pasan a través de un firewall y, por lo tanto, no son inspeccionadas. A todos los fines y propósitos, este tráfico resulta invisible para los equipos de seguridad de la red. Cuando se fuerza al tráfico este-oeste a pasar a través de un firewall (por medio de técnicas tales como salir y volver a ingresar [hairpinning] para crear una línea de retorno al tráfico a través de un punto de bloqueo de un firewall), el resultado es una ruta de comunicación compleja e ineficiente que perjudica el rendimiento de la red en todo el centro de datos. La innovación en la virtualización de los servidores va mucho más adelantada que los modelos de red y de seguridad subyacentes en los centros de datos tradicionales. La implementación de cargas de trabajo virtuales múltiples en un solo host físico configurado con tarjetas de interfaz de red (NIC) múltiples es una práctica común en los entornos de servidores virtuales. Sin conmutadores virtuales, el tráfico que va hacia las VM individuales y regresa de ellas no se puede identificar fácilmente. Esto puede provocar problemas significativos para los equipos de red que intentan identificar problemas y hallar fallas, y es tierra fértil para un delincuente. La capa de red virtual se ubica en una situación privilegiada para observar todo el tráfico dentro del centro de datos, incluso al nivel de las cargas de trabajo virtualizadas individuales (por ejemplo, las VM y los contenedores). Este grado de visibilidad y contexto permite la microsegmentación basada en atributos que son exclusivos de cada carga de trabajo, tales como el sistema operativo, el nivel de parchado, los servicios que ejecutan y muchas otras propiedades. Esta capacidad, a su vez, permite tomar decisiones de políticas de red y de seguridad más inteligentes que se pueden definir con una comprensión del propósito específico de cada carga de trabajo individual dentro del centro de datos.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Por ejemplo, las políticas exclusivas se pueden definir específicamente para el nivel de red de una aplicación de pedidos, o para un sistema de recursos humanos de una empresa, basándose en las necesidades de cada carga de trabajo individual en lugar de hacerlo en las limitaciones de la topología de red subyacente. NSX Data Center lleva las cosas un paso más adelante. No solo provee visibilidad en el tráfico de red por defecto, sino que además ofrece herramientas para depurar (por ejemplo, el Traceflow) y armar estrategias de microsegmentación basándose en esa visibilidad (por ejemplo, el Application Rule Manager), lo cual permite implementar políticas con unos pocos clics.

Sensibilidad al contexto Las políticas de red tradicionales se han basado necesariamente en los modelos de infraestructura, tales como las direcciones de protocolo de internet (IP) y los puertos de protocolo de control de transmisión (TCP) que son un resultado atribuible más a una infraestructura estática que al contexto de la aplicación. Al llevar la seguridad más cerca de la aplicación mediante la integración con los hipervisores de virtualización y las plataformas en la nube, la virtualización de redes permite políticas de seguridad que, de hecho, están basadas en el contexto de la aplicación. Esto no solo resulta intrínsecamente más seguro (porque va al meollo de la política en lugar de a un artefacto de la infraestructura), sino también más sencillo de administrar (porque ya no hay que gestionar una cantidad de capas de abstracciones a fin de comprender una política). Aquí tenemos algunos ejemplos de contextos de aplicación que podrían gustarle como fundamento para una política de seguridad:

»» Contexto de la carga de trabajo: ¿En qué sistema operativo se está ejecutando la aplicación? ¿De qué forma etiquetó usted esta carga de trabajo con las etiquetas internas?

»» Contextos del usuario: ¿Quién accede a este servidor?

¿Deberían poder acceder? ¿Qué rol tienen según su esquema de directorio activo?

»» Comportamiento de la aplicación: ¿Qué está haciendo la

aplicación? ¿Es una consulta SQL, una autenticación o es tráfico web? Esto se identifica mejor en la capa 7, luego del puerto de la capa 8, lo cual puede requerir solo un cálculo estimativo, pero, por supuesto, será utilizado para despistarlo en caso de un ataque malintencionado.

CAPÍTULO 4 Casos de uso de la virtualización de redes

»» Terceros: ¿Qué tienen que decir los sistemas de otros provee-

dores sobre esta aplicación, más allá del contexto enriquecido que la plataforma de virtualización de redes, la plataforma en la nube o el hipervisor ya conocen?

Aislamiento El aislamiento es fundamental para la seguridad de las redes, ya sea por motivos de cumplimiento normativo, de contención, o simplemente para hacer que los entornos de desarrollo, ensayo y producción actúen por separado. El ruteado, las listas de control de acceso (ACL) y/o las reglas de los firewalls de los dispositivos físicos, todo ello mantenido y configurado manualmente, se han utilizado tradicionalmente para establecer y hacer respetar el aislamiento en las redes de los centros de datos.

ASPECTOS TÉCNICOS

Forrester Research describe su modelo Zero Trust de seguridad y aislamiento de la información, en el cual los controles de seguridad perimetrales se extienden a todo el centro de datos. Este modelo exige que las organizaciones protejan los recursos de información externa e interna y ejecuten estrictos controles de acceso. Zero Trust también incorpora el principio de los privilegios mínimos, uno de los cimientos de la seguridad de la información que limita el acceso y los permisos al mínimo necesario para realizar una función autorizada. Finalmente, el concepto de “confía pero verifica”, tan de los 80 (con el debido respeto y las disculpas correspondientes para el presidente Ronald Reagan). “Jamás confíes, siempre verifica” es el nuevo paradigma para un mundo sano y salvo. Por su diseño, las redes virtuales están intrínsecamente aisladas de las otras redes virtuales y de la red física subyacente. Este concepto se diferencia distintivamente del enfoque heredado de suponer por defecto un cierto nivel de confianza dentro del centro de datos. El aislamiento es intrínseco a la virtualización de redes: no se necesita ninguna subred, red de área local virtual (VLAN), ACL ni regla de firewall para habilitar este aislamiento. Las redes virtuales se crean en aislamiento y permanecen aisladas a menos que sean conectadas en forma deliberada y explícita. Aquí hay un detalle que es fundamental para este enfoque: Las políticas de los firewalls en el firewall distribuido, aunque están más próximas a la aplicación y aprovechan el contexto de la aplicación, también están aisladas de posibles ataques porque no hacen que el invitado tome asiento para esperar. Se ejecutan dentro del núcleo, en el hipervisor.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Una red virtual aislada puede componerse de cargas de trabajo distribuidas en cualquier lugar del centro de datos, y las cargas de trabajo dentro de la misma red virtual pueden alojarse en el mismo hipervisor o en hipervisores separados. Además, las cargas de trabajo en muchas redes virtuales aisladas pueden alojarse en el mismo hipervisor. El aislamiento entre redes virtuales también permite la superposición de direcciones IP. Entonces, es posible, por ejemplo, tener redes virtuales aisladas para desarrollo, ensayo y producción, cada una con una versión diferente de la aplicación pero con las mismas direcciones IP, todas operando al mismo tiempo y sobre la misma infraestructura física subyacente. Por último, las redes virtuales también están aisladas de la infraestructura física subyacente. Como el tráfico entre hipervisores está encapsulado, los dispositivos de red física operan en un espacio de direcciones completamente distinto que el de las cargas de trabajo conectadas a las redes virtuales. Por ejemplo, una red virtual podría soportar cargas de trabajo de la aplicación IPv6 encima de una red física IPv4. El aislamiento protege la infraestructura física subyacente de cualquier ataque que pudieran iniciar las cargas de trabajo en cualquier red virtual. De nuevo, todo esto ocurre en forma independiente de cualquier regla de VLAN, de ACL o de firewall que tradicionalmente se requeriría para producir este aislamiento.

Segmentación La segmentación está vinculada al aislamiento pero se aplica dentro de una red virtual multinivel. Tradicionalmente, la segmentación de la red se logra con un firewall físico o un ruteador que permite o impide el tráfico entre los segmentos o los niveles de la red; por ejemplo, la segmentación de tráfico entre un nivel web, un nivel de aplicación y un nivel de base de datos. La segmentación es un principio importante en el diseño de la seguridad porque permite a las organizaciones definir diferentes niveles de confianza para distintos segmentos y reduce la superficie de ataque en caso de que un atacante viole las defensas perimetrales. Desafortunadamente, los segmentos de red de un centro de datos a menudo son demasiado grandes para ser efectivos, y los procesos tradicionales para la definición y la configuración de la segmentación consumen mucho tiempo, son proclives al error humano y, a menudo, producen fallas de seguridad. La segmentación, así como el aislamiento, de la red es una capacidad central de una plataforma de virtualización de redes. Una red virtual

CAPÍTULO 4 Casos de uso de la virtualización de redes

puede soportar un entorno de red multinivel: los múltiples segmentos de capa 2 con la segmentación de capa 3 [o microsegmentación] sobre un segmento individual de capa 2. Para ello utiliza firewalls distribuidos definidos por las políticas de seguridad de la carga de trabajo. Estos podrían representar un nivel web, un nivel de aplicación y un nivel de base de datos, por ejemplo. En una red virtual, los servicios de red y de seguridad —tales como la capa 2, la capa 3, los ACL, el firewall y los servicios de calidad (QoS)— que se aprovisionan con una carga de trabajo se crean mediante programas, se distribuyen al conmutador virtual del hipervisor y se refuerzan en la interfaz virtual. La comunicación dentro de una red virtual nunca abandona el entorno virtual, lo cual elimina la necesidad de segmentación de la red para su configuración y mantenimiento en la red física o en el firewall.

Automatización El aprovisionamiento automatizadodiferentes centros de datosn las políticas de firewall correctas cuando se crea una carga de trabajo mediante programas. Esas políticas siguen a la carga de trabajo a medida que se traslada a cualquier lugar dentro del centro de datos o entre cen, y esas políticas siguen Tan importante como esto es que, si se elimina la aplicación, sus políticas de seguridad se eliminan del sistema automáticamente. Esta capacidad nos ahorra otro tema sensible: la dispersión de la regla del firewall. Esto hace que potencialmente miles de reglas de firewall obsoletas y desactualizadas sigan operativas, lo cual produce, a menudo, la degradación del rendimiento y problemas de seguridad. También se puede aplicar una combinación de capacidades de diferentes proveedores al unir los servicios de seguridad avanzados y aplicar distintos servicios según las diferentes situaciones de seguridad. Esto le permite a su organización integrar las tecnologías de seguridad existentes para construir una capacidad de seguridad más integral y correlacionada dentro del centro de datos. En realidad, las tecnologías de seguridad existentes funcionan mejor con microsegmentación que lo que podrían funcionar de otra manera, porque tienen mayor visibilidad y contexto del tráfico individual de la VM de una carga de trabajo dentro del centro de datos, y porque las acciones de seguridad se pueden personalizar para las cargas de trabajo de una VM individual como parte de una solución de seguridad completa. Por ejemplo, se puede aprovisionar una carga de trabajo con políticas de firewall estándar, las cuales permiten o restringen su acceso a otros

Virtualización de redes For Dummies, 2.ª edición especial de VMware

tipos de cargas de trabajo. La misma política puede dictar también que si se detecta una vulnerabilidad en la carga de trabajo durante el curso de una exploración normal en busca de vulnerabilidades, se aplicará una política de firewall más restrictiva, que limitará el acceso a la carga de trabajo exclusivamente a aquellas herramientas que se emplean para corregir las debilidades.

SUGERENCIA

Los proveedores de seguridad pueden aprovechar la plataforma de virtualización de redes para generar respuestas avanzadas del servicio de seguridad desde una solución tecnológica de un proveedor de seguridad completamente diferente; una innovación que se acelera con la virtualización de redes.

Inserción de servicios e introspección de visitas Como componente fundamental de la infraestructura, NSX Data Center ocupa un lugar único para fortalecer otras soluciones de seguridad y proteger mejor el entorno. NSX Data Center puede insertar los firewalls o los sistemas de prevención de intrusión (IPS) de última generación en fila y puede direccionar el tráfico en forma dinámica hacia estos sistemas, logrando un incremento en la eficiencia del flujo del tráfico a la vez que mantiene los niveles de seguridad. Para conocer más detalles sobre la integración con sus socios del ecosistema de servicios de red, lea el Capítulo 6.

Entornos de usuario seguros Microsegmentación para VDI Muchas empresas han implementado infraestructura de escritorio virtual (VDI) para aprovechar las tecnologías de virtualización más allá del centro de datos. La microsegmentación permite que estas organizaciones expandan muchas de las ventajas de seguridad del SDDC al equipo de escritorio, y hasta a los entornos móviles. Estas ventajas incluyen:

»» Integrar las capacidades clave de red y de seguridad en la gestión de VDI

»» Eliminar los conjuntos de políticas y topologías complejas para los diferentes usuarios de VDI

»» Establecer políticas de filtro y de asignación de firewall y de tráfico para las agrupaciones lógicas

»» Desvincular las políticas de seguridad de la topología de la red para simplificar su administración

CAPÍTULO 4 Casos de uso de la virtualización de redes

Mediante su capacidad de implementar la microsegmentación, NSX Data Center permite que cada escritorio virtual tenga su propio firewall. Esto hace posible un nivel más detallado de seguridad que se extiende completamente hasta la interfaz de red virtual. Basándose en políticas, todo el tráfico hacia esa VM y el tráfico proveniente de ella puede ser asegurado si se evita la comunicación no autorizada entre las VM u otras cargas de trabajo. Si el escritorio virtual de un usuario final queda comprometido, la exposición puede circunscribirse fácilmente solo a ese usuario.

Cómo automatizar los procesos de TI En los centros de datos grandes, los procesos manuales son la pesadilla de los administradores de TI y un gasto excesivo para el presupuesto del gerente. La virtualización de redes lo ayuda a hacer frente a estos desafíos mediante la automatización de las tareas laboriosas y proclives a errores vinculadas con la configuración, el aprovisionamiento y la gestión de la red, y más.

La automatización de la TI Con NSX Data Center, las poderosas capacidades de orquestación distribuyen los servicios de red en paralelo con las VM. Puede usar el centro de datos de NSX para estandarizar y mantener plantillas predefinidas uniformes de topologías y de servicios de red. Con el enfoque basado en plantillas se pueden aprovisionar los entornos en segundos con configuración y políticas de seguridad coherentes. Cuando tome el bate con las capacidades de automatización de TI de NSX Data Center, usted estará preparado para un juego triple: SUGERENCIA

»» Reducción de gastos operativos. »» Menor tiempo de comercialización. »» Mayor velocidad de entrega de servicios de TI. La nube del desarrollador NSX Data Center está preparado para ser utilizado como plataforma para nubes de desarrolladores de autoservicio, así como otras iniciativas de ‘infraestructura como un servicio’ (IaaS). Puede utilizar aprovisionamiento automatizado de red y de servicios para darles a sus equipos de desarrollo y de ensayo un acceso rápido a la infraestructura que

Virtualización de redes For Dummies, 2.ª edición especial de VMware

necesitan, de forma que puedan tener las aplicaciones de software y sus actualizaciones en las manos de los usuarios en menos tiempo. NSX Data Center puede aprovisionar miles de redes aisladas para los entornos de desarrollo, ensayo y prueba, todo ello sobre la misma infraestructura física. En esta forma novedosa de hacer negocios, NSX Data Center elimina las tareas manuales y los ciclos de tiempo asociados con la adquisición, instalación y configuración de la infraestructura de la red. Las redes se instalan en forma consecutiva con sus cargas de trabajo como transacciones de autoservicio completamente auditadas. Las aplicaciones se mueven rápidamente a través de las etapas de desarrollo, ensayo, prueba y producción sin necesidad de modificaciones en sus direcciones IP.

Infraestructura multiusuario Gracias a la virtualización, el aprovisionamiento de infraestructura de la red para los equipos de desarrollo y ensayo ya no representa un cuello de botella que ralentiza el negocio y demora el tiempo de comercialización. En entornos de nube multiusuario, puede utilizar la microsegmentación y las capacidades de aislamiento de NSX Data Center para mantener el aislamiento entre instancias. NSX Data Center le permite crear redes virtuales y mantenerlas completamente aisladas de cualquier otra red virtual y de la red física subyacente. Puede tener dos instancias o inquilinos diferentes ejecutándose en las mismas direcciones IP sobre la misma infraestructura física sin tener ningún conflicto entre estas direcciones IP porque las redes virtuales ni siquiera saben que las demás existen, ni saben que existe la red física. Para tener una solución más amplia, puede añadir servicios avanzados basados en la red virtual, un segmento de red o un grupo de seguridad. Por ejemplo, podría sumar una inspección profunda de paquetes mediante firewalls como los de Palo Alto Networks. Con este servicio, puede definir de manera detallada los flujos de tráfico que serán redireccionados al firewall Palo Alto Networks VM-Series para que los inspeccione y aplique las políticas de seguridad. El tráfico autorizado por el firewall de la serie VM es devuelto al conmutador virtual de NSX Data Center para ser enviado a su destino final (VM o dispositivo físico invitado).

CAPÍTULO 4 Casos de uso de la virtualización de redes

Aplicaciones nativas de la nube Cada vez más, los desarrolladores están pasando por encima de los responsables de TI y desarrollando aplicaciones en la nube. Están haciendo uso de modelos nuevos como los contenedores, construyendo aplicaciones con arquitecturas de microservicios y utilizando plataformas de orquestación de contenedores para construir sus aplicaciones y hacerlas escalar horizontalmente. Las organizaciones están lidiando con las maneras de insertar algún grado de visibilidad y control en este proceso sin demorar a los equipos de desarrollo o darles aros para que salten por ellos como perritos, lo cual seguramente no harán e ignorarán estos pedidos. NSX Data Center aprovecha directamente las plataformas de orquestación de aplicación y de contenedor tales como Kubernetes o Cloud Foundry para brindar visibilidad en este campo a la organización en general y aplicar políticas ya existentes en NSX Data Center dentro del dominio contenedor. Esto permite que las organizaciones contribuyan a la depuración del desarrollo a nivel del contenedor cuando algo sale mal dentro de la aplicación de un producto. También permite que se apliquen políticas centradas en el negocio (por ejemplo, cumplimiento de PCI para transacciones de pagos) dentro de la aplicación, intrínsecamente seleccionadas de los manifiestos de los desarrolladores a medida que se crean las aplicaciones.

El trabajo en red multinube Según el “State of the Cloud Report” (Informe sobre el estado de la nube) de RightScale de 2018, en promedio, las organizaciones utilizan cinco nubes diferentes. Cinco. Incluso las organizaciones que no utilizan nubes públicas por motivos regulatorios administran nubes de centros de datos privados múltiples (nubes privadas) para mejorar la continuidad de la aplicación y mantener el negocio en funcionamiento. Las organizaciones que sí utilizan las nubes públicas pueden llegar a tener un desarrollador tejiendo una aplicación dentro de Amazon Web Services (AWS) mientras que otro está haciendo lo mismo en la Plataforma de la nube de Google. Entretanto, todo un equipo aparte puede tener un proyecto completo en Microsoft Azure. Administrar los procesos de TI, planificar qué hacer ante desastres, garantizar la seguridad a lo largo de múltiples centros de datos privados y/o nubes públicas es una necesidad actual para los negocios. La buena noticia es que la virtualización de redes hace todo esto posible y elimina los obstáculos que solían representar desafíos en estas áreas. Al

Virtualización de redes For Dummies, 2.ª edición especial de VMware

extender la red a través de las nubes y al administrar la seguridad desde un solo lugar a través de las nubes, el trabajo en red y la seguridad internube se vuelven técnica y operativamente posibles y viables.

Recuperación ante desastres El proceso de recuperación es automatizado, orquestado e integrado completamente a todas las instancias de procesamiento, almacenamiento, trabajo en red y seguridad. NSX Data Center es compatible con numerosas herramientas de orquestación de recuperación ante desastres (DR), tales como VMware Site Recovery Manager, Dell EMC RP4VM, Zerto y Veeam. NSX Data Center provee seguridad y trabajo en red lógico transversalmente uniforme en los sitios protegidos y de recuperación, lo cual disminuye el tiempo de recuperación objetivo (RTO) en el caso de que suceda un desastre. Con redes y procesos de seguridad cubriendo sistemáticamente múltiples sitios, las aplicaciones pueden recuperarse dentro del sitio de recuperación y retener sus configuraciones de red y de seguridad. Además, NSX Data Center se puede emplear para crear fácilmente redes de prueba que se pueden usar para ensayar planes de recuperación sin necesidad de interrumpir el entorno de producción. El ensayo ocurre en un entorno aislado y mantiene las mismas direcciones IP y las políticas de seguridad de la aplicación en el sitio de recuperación.

Agrupación en múltiples sitios y extensión del centro de datos La agrupación multisitio genera un conjunto de infraestructura unificado, sin interrupciones y elástica para ejecutar las aplicaciones a través de múltiples centros de datos y hacia la nube, todo ello posibilitado por una sola plataforma de red uniforme. De la misma manera, las aplicaciones se pueden implementar en cualquier ubicación y conectar a los recursos ubicados a través de los sitios para permitir la prevención de desastres, cortes planificados y sorpresivos, o una mejor utilización de recursos. Asimismo, la movilidad mejorada de las cargas de trabajo dentro de una red común implica que el tiempo de inactividad puede planificarse de forma más eficiente, y que escalar los centros de datos existentes o poner centros nuevos en línea luego de fusiones y adquisiciones es significativamente más sencillo. Este ha sido uno de los usos más frecuentes de NSX Data Center en implementaciones multisitio.

CAPÍTULO 4 Casos de uso de la virtualización de redes

Seguridad coherente entre nubes Después de que se virtualiza una red, la extensión de sus beneficios a la nube se vuelve un simple complemento. VMware NSX Cloud hace exactamente esto, añadiendo cargas de trabajo nativas de la nube al cimiento de VMware NSX Data Center, para lo cual utiliza un portal de gestión para las cargas de trabajo en las instalaciones y en la nube. Esto permite la microsegmentación sobre el tráfico este-oeste entre las cargas de trabajo de la aplicación que se ejecutan en la nube o en el centro de datos privado. Usted puede definir una política de seguridad una vez y aplicarla a las cargas de trabajo que se encuentran en cualquier lugar: a través de las redes, regiones y zonas de disponibilidad virtuales en la nube, y de múltiples centros de datos privados y de nubes públicas. Las políticas de seguridad se aplican en forma dinámica sobre la base de los atributos de la carga de trabajo y se hacen cumplir en el nivel de la instancia. Las reglas de seguridad siguen a las cargas de trabajo cuando son trasladadas. Usted puede definir políticas basadas en modelos enriquecidos, tales como los atributos de la carga de trabajo y las etiquetas definidas por el usuario. También puede hacer cosas como responder bondadosamente ante amenazas con una cuarentena de extremos de nube falsos o comprometidos.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

EN ESTE CAPÍTULO

»» Le presentamos el concepto de operacionalización »» Hacemos un recorrido por un caso de uso de implementación de virtualización de redes »» Describimos cómo resolver problemas de personal y puestos de trabajo

Capítulo

Cómo poner en práctica la virtualización de redes

a operacionalización de la virtualización de redes involucra la optimización de personas, procesos y tecnología para maximizar las capacidades de la red y de seguridad que esta ofrece.

Su empresa debe realizar con éxito la operacionalización de la virtualización de redes para lograr los beneficios generales de velocidad, agilidad y seguridad. Cuán bien operacionalice la virtualización de redes determinará cuán rápido pueda ver los beneficios comerciales y de TI medibles: el premio final. La operacionalización de la virtualización de redes debería verse como un viaje cultural y técnico gradual, en el cual su organización obtiene una madurez y una sofisticación crecientes a medida que abandona el centro de datos definido por hardware y avanza hacia el centro de datos definido por software (SDDC). Es un viaje que producirá héroes y carreras, así como la virtualización del procesamiento lo hizo hace una década. El propósito de este capítulo no es darle todas las respuestas sobre lo que implica operacionalizar NSX Data Center (lo cual llevaría un libro completo), sino presentar el concepto y remarcar algunas de las áreas clave que debería considerar en su viaje hacia la virtualización de redes.

CAPÍTULO 5 Cómo poner en práctica la virtualización de redes

SUGERENCIA

Mientras se embarca en su viaje hacia la virtualización de redes, defina con claridad su visión a largo plazo para su SDDC completamente optimizado. Tenga en cuenta cuánto requiere hacer evolucionar a su gente, sus procesos y sus herramientas para llegar a ese lugar.

Investigar las áreas de inversión en operaciones Debería tener en cuenta tres áreas de inversión en operaciones clave en su trayecto hacia la virtualización de redes. Esas inversiones le ayudarán a lograr el máximo valor comercial para su organización y el máximo valor de formación para su equipo de TI. Tome un enfoque holístico, uno que abarque estos conceptos, cada uno de los cuales se desarrolla en detalle en las próximas secciones:

»» Las personas »» El proceso »» Las herramientas Las personas y el proceso Las operaciones del SDDC tienen un impacto en la mayor parte de la organización de TI. Estas operaciones abarcan procesamiento, redes, almacenamiento, seguridad y personal, incluidos los operadores, administradores, ingenieros y arquitectos. Cuando usted operacionalice la virtualización de redes, involucre a todos los jugadores necesarios en el proceso... y sea claro. SUGERENCIA

Le mostramos algunas de las prácticas recomendadas relacionadas con su organización de TI y su gente:

»» Haga que sus equipos de red y de seguridad actuales

adopten NSX Data Center. No hay necesidad de hacer cambios en sus equipos o de crear nuevos. Los roles funcionales también permanecen idénticos (por ejemplo: arquitectos, ingenieros, operadores, administradores). Los roles y las responsabilidades existentes evolucionan para incorporar la virtualización de redes.

»» Considere cómo crear un equipo en la nube más mixto con habilidades interdisciplinarias y de interdominio, objetivos y

Virtualización de redes For Dummies, 2.ª edición especial de VMware

principios operativos comunes, desarrollo y entrenamiento intraequipo y alineamiento en torno a la provisión de servicios para el negocio.

»» Considere estos roles de red y de seguridad para su red en la nube: Arquitectura, seguridad, orquestación y automatización, desarrollo e integración, administración, operaciones, y soporte y escalabilidad.

»» Obtenga el apoyo de su equipo. Asegúrese de que todos los

jugadores de su equipo comprenden la propuesta de valor y lo que significará para ellos en lo personal y en lo profesional, ya que surgen nuevas oportunidades para trabajar en proyectos más interesantes y estratégicos.

»» Asegúrele a su equipo de red que sus trabajos están

seguros. Déjele en claro a su personal de redes que no serán reemplazados por procesos automatizados y que sus trabajos no se trasladarán al equipo de virtualización. Su personal de redes existente debe asumir la tarea de la virtualización de las redes. Solamente ellos poseen la experiencia en redes que se necesita.

»» Involucre a su equipo de operaciones en la nube desde

temprano en el proceso de evaluación. De esa manera, se enterarán de cómo NSX Data Center simplificará sus trabajos y se convertirán en defensores del proyecto. No los tome por sorpresa poco antes de querer realizar la implementación.

»» Incluya al equipo de seguridad desde temprano en la

evaluación. El equipo de seguridad debe enterarse de que las redes virtuales son tan seguras como las redes físicas. Precisan saber que la microsegmentación no reemplaza a los firewalls perimetrales actuales para el tráfico norte-sur, sino que le permite a la organización controlar el tráfico este-oeste dentro del centro de datos.

SUGERENCIA

Benefíciese de los recursos enfocados en las operaciones de VMware (guías técnicas, talleres, capacitación y certificaciones) para obtener la experiencia técnica, las habilidades y el conocimiento que hacen falta para la virtualización de redes y la implementación del SDDC.

Los procesos y las herramientas Una de las principales ventajas de la virtualización de redes es que los procesos que antiguamente eran manuales se pueden automatizar. Sin embargo, esto requiere de una inversión inicial para adquirir las

CAPÍTULO 5 Cómo poner en práctica la virtualización de redes

herramientas apropiadas. La automatización de algunas tareas puede realizarse de forma directa dentro del NSX Manager, mientras que otras funciones de automatización son provistas por otras herramientas, tal como una plataforma de gestión en la nube. NSX Data Center provee un punto central de control, NSX Manager, para la creación, la gestión y el monitoreo de las redes virtuales. La operación del entorno de NSX Data Center se centrará naturalmente en NSX Manager, ya sea a través de su interfaz de usuario (IU) o mediante llamadas de la interfaz de programación de aplicación (API) realizadas al NSX Manager por otras herramientas (tales como VMware vRealize Automation, VMware vRealize Operations, OpenStack y otras herramientas de otros proveedores). Además, será necesario gestionar la infraestructura subyacente, la cual se compone de algunos componentes de NSX Data Center (controladores, nodos de periferia, hipervisores) y de la misma infraestructura de red (la base). NSX Data Center posee la habilidad propia de gestionar estos elementos. Otras herramientas de otros proveedores pueden tener un papel central en la gestión de la infraestructura.

SUGERENCIA

Cuando operacionalice la virtualización de redes, dé un paso atrás y considere la gama completa de repercusiones para sus procesos y sus herramientas. En particular, tenga en mente estas prácticas recomendadas:

»» Analice sus procesos de red y de seguridad existentes y

compréndalos en profundidad. Determine cómo simplificar sus procesos mediante orquestación y automatización.

»» Considere el impacto que la virtualización de redes tiene

sobre las actividades tales como el monitoreo, la detección de fallas, la gestión de cambios, la gestión de lanzamiento y la gestión de capacidad. Comprenda cómo estas actividades clave funcionan hoy y de qué manera se pueden simplificar.

»» Determine sus prioridades para la automatización de los

procesos y para la estandarización de los entornos (por ejemplo: configuraciones y políticas) para reducir el esfuerzo y los gastos operativos. La automatización y el aprovisionamiento basados en políticas de redes y de servicios elimina los errores de configuración comunes y mejora el seguimiento de los cambios para auditorías y verificación de cumplimiento normativo.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

»» Determine si debería utilizar las herramientas de gestión

y operación existentes o si debería evaluar alternativas modernas. Estas alternativas modernas proveen una visión extremo a extremo de la salud de la aplicación a través de las etapas de procesamiento, almacenamiento y funcionamiento en red. Obtenga visibilidad dentro de las relaciones de objeto entre los componentes virtuales y los físicos.

»» Identifique las herramientas de VMware y de otros

proveedores para la gestión de componentes virtuales y físicos. Evalúe cómo puede aprovechar las capacidades nativas y las API de NSX Data Center para lograr una profunda integración con las herramientas actuales, como por ejemplo las plataformas de gestión en la nube y las herramientas de orquestación y automatización.

»» Utilice sus herramientas existentes para operar las redes virtuales. Las redes virtuales proveen toda la información operativa que uno espera de las redes físicas (por ejemplo, contadores de paquetes y de bytes, exportación NetFlow). Muchas herramientas existentes pueden aprovechar la información que NSX Data Center brinda para las tareas operativas.

»» Utilice sus herramientas favoritas para el monitoreo y la

detección de fallas. Un enfoque de proveedor único no siempre le ofrece la mejor visibilidad. Descubrirá que utilizando diferentes herramientas (por ejemplo, recolectores vRealize Network Insight, vRealize Operations, Splunk, Wireshark o NetFlow) logrará un mejor monitoreo y una mejor detección de fallas de su infraestructura de red.

Algunos ejemplos Hay algunas cosas para las que puede utilizar la virtualización de redes. A fines ilustrativos, esta sección recorre tres ejemplos de situaciones actuales frente a situaciones ideales que son posibles gracias a la virtualización de redes.

Gestión del aprovisionamiento y de la configuración La infraestructura virtualizada y la API proveen automatización y aprovisionamiento, gestión de configuración y herramientas de cumplimiento normativo.

CAPÍTULO 5 Cómo poner en práctica la virtualización de redes

Estado actual

»» Coloca en racks y apila los dispositivos físicos y los configura

manualmente mediante interfaces de línea de comando (CLI) o scripts.

»» Los sistemas de creación de tickets (por ejemplo, Service Now) generan múltiples requerimientos y rastrean el estado.

»» La gestión de la configuración de red (NCM), la base de datos de gestión de la configuración (CMDB, por ejemplo: HPNA) y las herramientas de cumplimiento normativo rastrean los ítems de configuración y sus relaciones.

Estado ideal

»» Las herramientas de plataforma de gestión de orquestación/

nube (CMP) (por ejemplo, vRealize Automation, Chef o Puppet) proveen automatización para la gestión del aprovisionamiento y de la configuración.

»» Los portales de autoservicio proveen catálogos de servicios y de automatización con API.

»» Las plantillas estandarizadas incluyen relaciones incorporadas.

Puede aprovechar las API para descubrir la topología y verificar el aseguramiento de la configuración mediante herramientas externas.

Gestión de incidentes y de capacidad El monitoreo, la detección de fallas y la gestión de la capacidad se proveen mediante herramientas del contexto virtual sensibles a la aplicación además de las herramientas del contexto físico. Estado actual

»» Las herramientas de monitoreo y de detección de fallas por silos se concentran en la infraestructura física.

»» Muchas herramientas consumen diferentes grados de granularidad de información sin correlación.

»» El gestor de gestores (MoM) centralizado que se encuentra atado a los sistemas de creación de tickets genera alertas automatizadas.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Estado ideal

»» El monitoreo a nivel de aplicación, la detección de fallas y la

gestión de la capacidad abarcan dominios e infraestructura virtual y física.

»» Una interfaz de usuario simplificada provee una vista unificada y correlacionada de la infraestructura del SDDC.

»» La autorreparación se provee mediante herramientas de

monitoreo externas que utilizan un marco API. El escalamiento horizontal de la capacidad de NSX Data Center se basa en su utilización.

Microsegmentación Esta técnica de seguridad permite que se asignen políticas de seguridad muy detalladas a las aplicaciones hasta el nivel de la carga de trabajo. Estado actual Desde un punto de vista práctico, la microsegmentación solo es viable cuando un centro de datos se utiliza con un enfoque virtualizado, exclusivamente basado en software. Estado ideal

»» Comprender el tráfico de red con monitoreo a nivel de la

aplicación (por ejemplo, VMware vRealize Network Insight) para automatizar un proceso tradicionalmente manual y laborioso de identificar cuáles son las aplicaciones que se están comunicando entre sí.

»» Implementar reglas de firewall una vez que haya seleccionado la aplicación de destino (por ejemplo, mediante el Application Rule Manager, ya integrado a NSX Data Center).

»» Seguir monitoreando el tráfico de red y detectando fallas en todo su entorno (utilizando, por ejemplo, vRealize Network Insight, VMware vRealize Log Insight, y las herramientas integradas de NSX Data Center: Flow Monitoring y Endpoint Monitoring). Repetir el proceso con la siguiente aplicación.

CAPÍTULO 5 Cómo poner en práctica la virtualización de redes

Cómo desarrollar la mentalidad correcta Los cambios no son fáciles, especialmente cuando involucran un elemento personal. Desafortunadamente, nos guste o no, los cambios ocurren. En el mundo de la tecnología de la información el cambio ya llegó. La automatización de la TI, la microsegmentación, la disponibilidad de aplicaciones, y los servicios internube ya no son términos que están de moda en las publicaciones de marketing y en las reuniones ejecutivas. Son realidades diseñadas e implementadas en algunos de los entornos de TI más grandes del mundo. El hilo que conecta todos estos conceptos son las nuevas capacidades de trabajo en red y de seguridad que son posibles gracias a la familia NSX. La virtualización de redes está transformando la manera en la que las empresas enfrentan los problemas de negocios tradicionales, y está trayendo solución a los problemas comerciales generados por la transformación digital de una empresa. Como profesional de TI, su éxito a largo plazo depende de la capacidad de su empresa para adaptarse a las nuevas tecnologías y soluciones. Las soluciones de NSX alteran el statu quo, pero al mismo tiempo representan una oportunidad para que sus administradores, sus ingenieros y sus arquitectos se conviertan en líderes dentro de un nuevo paradigma de trabajo en red y seguridad. Esto conlleva una mentalidad que esté enfocada en buscar oportunidades en lugar de creer que sus habilidades son permanentes. ¿Está listo para llevar su carrera profesional al siguiente nivel? Lea el Capítulo 6 para saber cómo hacerlo.

Con la mirada en el panorama general Como cualquier iniciativa de TI importante, la virtualización de redes modifica muchas cosas dentro de su centro de datos. Pero una cosa que no cambia es la seguridad de su empleo. Los profesionales en redes son fundamentales para el éxito de un entorno de red virtualizado. No se puede lograr sin ellos. Cuando forma parte de una iniciativa de virtualización de redes, usted tiene la oportunidad de participar y contribuir en la trasformación del trabajo en red y de la seguridad de su empresa. El resultado será beneficioso para usted, así como lo fue para aquellos que defendieron y apoyaron la virtualización del procesamiento e hicieron carrera con ello. Acepte esta gran oportunidad de ser un líder.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

SUGERENCIA

A medida que virtualiza y automatiza su infraestructura, tendrá la oportunidad de trabajar en iniciativas estratégicas más interesantes. Por ejemplo, en lugar de perder tiempo en la tarea cotidiana de configurar un ruteador o de actualizar las reglas de un firewall, usted puede trabajar en el diseño de una red nervada, en la automatización de los flujos de trabajos de red y de seguridad, o incluso en la construcción de una nube de desarrollador. La participación en una iniciativa de virtualización de redes lo enriquecerá profesionalmente, lo preparará para el futuro y aumentará su valor en el mercado laboral, tal como lo hizo la virtualización de servidores con los administradores de servidores hace diez años. La virtualización de redes impulsa su carrera y le permite invertir más tiempo en la ingeniería del tráfico, el diseño y la arquitectura de la red:

RECUERDE

»» Cuando implemente la virtualización de redes no será

reemplazado en su trabajo por procesos automatizados. En lugar de ello, su trabajo se transformará para permitirle trabajar en proyectos más interesantes y de mayor valor estratégico.

»» El equipo de virtualización no se quedará con su empleo.

NSX Data Center depende de los mismos conceptos y tecnologías de red que las redes físicas; por lo tanto, se precisan conocimientos y experiencia en redes y seguridad.

»» La virtualización no hará que su trabajo sea más más

complicado. La superposición virtual, en conjunto con la automatización y una capa subyacente simplificada, agiliza el aprovisionamiento y la gestión de las redes.

Si desea conocer más sobre cómo operacionalizar la virtualización de redes, revise la biblioteca de recursos del Día 1 con NSX en www.vmware.com/go/runnsx.

CAPÍTULO 5 Cómo poner en práctica la virtualización de redes

EN ESTE CAPÍTULO

»» Resaltamos los recursos cargados de valiosos conocimientos »» Un testeo de prueba de NSX Data Center »» Cómo implementar NSX Data Center en su entorno

Capítulo

Las (aproximadamente) 10 maneras de empezar con la virtualización de redes

ste capítulo le cuenta todo lo que siempre quiso saber sobre cómo empezar con la virtualización de redes pero nunca se atrevió a preguntar. Aquí le brindamos una lista de recursos sobre virtualización de redes, resaltamos las oportunidades de implementar la plataforma de NSX Data Center con infraestructura Cisco, y explicamos cómo está diseñado NSX Data Center para su integración con su infraestructura existente y con soluciones de otros proveedores para servicios de red, tales como dispositivos de balanceo de cargas y firewalls de última generación. El capítulo comienza con una mirada a los recursos que están a su disposición para ayudarlo a enriquecer su comprensión de la virtualización de redes, los componentes de una red virtualizada y las herramientas disponibles para ayudarlo a empezar.

CAPÍTULO 6 Las (aproximadamente) 10 maneras de empeza

Ponerse al día con lo básico VMware ofrece una amplia gama de recursos para ayudarlo a tener una base sólida con los fundamentos de la virtualización de redes:

»» Video de presentación de VMware NSX Data Center

(https://youtu.be/gqcwJEhIiqs): Este video dinámico de tres minutos de duración le explica cómo NSX Data Center funciona como cimiento para una plataforma de virtualización de redes que provee el modelo operacional de una máquina virtual.

»» Página de producto de VMware NSX Data Center (www.

vmware.com/go/nsx): La página de producto de NSX Data Center sintetiza las características, funciones y ventajas básicas de la plataforma de NSX Data Center. También sirve como un portal que le ofrece enlaces a una amplia variedad de descripciones detalladas, que incluyen información técnica y contenido orientado a los negocios.

»» Canal de Youtube de VMware NSX (www.youtube.com/

vmwarensx): El canal de Youtube de NSX le brinda una gran variedad de videos: resúmenes animados, anécdotas de clientes, videos breves del paso a paso con pizarras de luz, profundizaciones en distintos productos, descripciones detalladas de productos y más.

»» Microsegmentación For Dummies (http://learn.vmware.

com/41021_REG): Este libro digital ofrece una mirada de cerca al caso de uso de microsegmentación para la virtualización de redes. Incluye los fundamentos sobre su funcionamiento, las tecnologías que la hacen posible, y la variada gama de ventajas en seguridad. Sepa cómo implementar un centro de datos intrínsecamente seguro que lo ayude a prevenir la propagación lateral de los ataques dentro del centro de datos.

Una incursión más profunda VMware le ofrece también una amplia variedad de recursos tecnológicos para ayudarle a entender lo que sucede “debajo del capó”.

»» Guía de diseño de VMwareNSX Data Center para virtualiza-

ción de redes vSphere (https://communities.vmware.com/ docs/DOC-27683): Para tener material técnico verdaderamente profundo, descargue la guía de diseño. Este documento está destinado a los arquitectos de virtualización y de redes

Virtualización de redes For Dummies, 2.ª edición especial de VMware

interesados en implementar la solución para virtualización de redes dNSX Data Center en un entorno vSphere. Esta guía incluye información detallada sobre NSX Data Center para los componentes funcionales de vSphere, sus servicios funcionales y sus consideraciones de diseño.

»» Guía de inicio de implementación de NSX Data Center para

vSphere (https://communities.vmware.com/docs/DOC-27705): Este material provee ejemplos de cómo configurar paso a paso los servicios de red en NSX Data Center para vSphere, e incluye lo siguiente:

• Conmutadores lógicos • Ruteadores lógicos distribuidos • Firewalls distribuidos • Ruteadores lógicos centralizados (periferia) con ruteado dinámico y traducción de direcciones de red (NAT) de muchas a una.

• Balanceadores lógicos de carga (periferia)

»» Guía de diseño de referencia de VMware NSX Data Center-T

(https://communities.vmware.com/docs/DOC-37591): Esta guía de diseño no da por sentado ningún conocimiento de NSX Data Center para vSphere, y aborda el conocimiento de la plataforma de manera independiente. La guía incluye información detallada sobre implementaciones y diseño de clústeres de nodos de periferia no recubiertos, y cubre las implementaciones de multi-vCenters ESXi (incluidos los diseños exclusivos de la máquina virtual basada en núcleo [KVM, kernel-based])

»» Guías para el Día 1 y el Día 2 con VMware NSX Data Center Press (www.vmware.com/go/runnsx): Nuestros especialistas han publicado libros digitales sobre temáticas esenciales relacionadas con las redes y la seguridad para ayudarlo a comenzar a trabajar con NSX Data Center:

• NSX, microsegmentación: día 1 • NSX, microsegmentación: día 2 • Cómo construir nubes y centros de datos con VMware NSX para empresas pequeñas y medianas

• Cómo operacionalizar VMware NSX • Cómo automatizar NSX para vSphere con PowerNSX Se publican nuevos libros digitales cada trimestre, así que revise periódicamente la página para conocer los nuevos temas.

CAPÍTULO 6 Las (aproximadamente) 10 maneras de empeza

»» El blog de la virtualización de redes (http://blogs.vmware. com/networkvirtualization): Visite este blog para encontrar

desde las últimas novedades hasta datos técnicos muy especializados y consejos prácticos sobre la virtualización de redes. Funciona como un recurso clave en la industria para obtener noticias precisas e información real sobre la virtualización de redes.

Prueba de manejo de NSX Data Center en laboratorios prácticos Para mejorar su comprensión de una plataforma como NSX Data Center, siempre es bueno subirse al asiento del conductor para una prueba de manejo:

»» Laboratorio práctico sobre VMware NSX (www.vmware.com/ products/nsx/nsx-hol.html): Los laboratorios prácticos de

VMware le ofrecen un entorno de escritorio en vivo completamente operacional para que pueda experimentar los productos de VMware sin necesidad de instalar nada. Con instrucciones que lo guían clic a clic y con todos los productos previamente instalados, usted puede concentrarse en las funciones del producto que más le interesan. Esta es una excelente manera de familiarizarse con las capacidades de NSX Data Center sin tener que instalar ningún software en su sistema. Aquí le mostramos algunos ejemplos de laboratorios prácticos que hallará en este sitio:

• Laboratorio de introducción a VMware NSX Data Center • VMware NSX Data Center: firewalls distribuidos mediante microsegmentación

• Introducción a vRealize Network Insight • Laboratorio avanzado sobre VMware NSX Data Center • Horizon y NSX Data Center para servicios de salud • Cómo empezar con NSX Data Center-T

Cómo lograr visibilidad No puede proteger lo que no puede ver. Entérese de cuáles son las aplicaciones que están comunicándose entre sí con la evaluación de red virtual (VNA, www.vmware.com/go/vna-field), que aprovecha el

Virtualización de redes For Dummies, 2.ª edición especial de VMware

producto VMware Network Insight. Entérese en menos de 24 horas. La VNA hará lo siguiente:

»» Le mostrará la distribución del tráfico de red por tipo (este-

oeste, Internet, ruteado, VM a VM) y por servicios (web, base de datos, nivel medio, infraestructura).

»» Ofrecerá una vista previa de recomendaciones prácticas de microsegmentación dNSX Data Center para su red.

»» Señalará las oportunidades de optimización del rendimiento de la red con NSX Data Center.

Descubra cómo implementar NSX Data Center en su entorno Cuando esté listo para explorar sus opciones de implementación, puede comenzar por aprender sobre virtualización de redes y NSX Data Center mediante cursos a pedido. VMware ofrece diversas formas de experimentar los beneficios de la virtualización de redes y NSX Data Center, desde cursos en línea hasta seminarios web en vivo y cursos a pedido de avance personalizado. Comience su viaje aprendiendo los conceptos fundamentales de la virtualización de redes y los desafíos comerciales que NSX Data Center puede ayudarle a superar. Después de eso, puede tomar un curso a pedido de avance personalizado que le brinde una primera aproximación de cómo instalar, configurar y administrar NSX Data Center. Para conocer más, visite el siguiente sitio:

»» Coursera (gratuito; http://vmware.com/go/coursera): Avance en su formación con “Arquitectura de redes y de seguridad con VMware NSX” en Coursera. Este curso gratuito en línea les da a los estudiantes información sobre la virtualización de redes básica con VMware NSX Data Center. Para aprovechar al máximo este curso, debería estar familiarizado con conceptos genéricos de TI tales como ruteado, conmutación, firewall, recuperación ante desastres, continuidad de negocios, nube y seguridad.

»» Conceptos esenciales de la virtualización de redes

(https://mylearn.vmware.com/mgrreg/courses. cfm?a=det&id_course=240782&ui=www_edu): Iníciese con un curso en línea de tres horas de avance personalizado que le brindará una comprensión fundamental del trabajo en red virtual y de los desafíos que ayuda a superar.

CAPÍTULO 6 Las (aproximadamente) 10 maneras de empeza

»» Certificación en virtualización de redes (https://mylearn.

vmware.com/mgrReg/plan.cfm?plan=48389&ui=www_edu): Mida el nivel de sus habilidades de diseño, implementación y gestión del entorno dNSX Data Center. Puede hallar lo siguiente:

• VMware NSX: Instalación, configuración y gestión:

Un curso de cinco días de duración en el que aprenderá a utilizar la conmutación y el ruteado, los servicios de portal, las configuraciones de firewalls y los servicios de seguridad lógicos.

• VMware NSX: Diseño e implementación: Un curso de

cinco días de duración que lo prepara para dirigir proyectos de diseño e implementación de NSX Data Center y le ofrece una comprensión de los procesos y marcos de diseño generales.

• VMware NSX: Detección de fallas y operaciones: Un curso en el que aprenderá a aislar problemas e identificar soluciones mediante un proceso sistemático.

• VMware NSX para la vía rápida de expertos en interco-

nexión de redes: Un curso para quienes ya poseen una certificación Cisco Certified Internetwork Expert (CCIE). Aprenderá de qué forma NSX Data Center se cruza con las funciones de virtualización de una infraestructura basada en productos de Cisco en arquitecturas nervadas y las tradicionales de acceso de agregación de núcleo.

Cómo implementar NSX Data Center en su infraestructura de red existente NSX Data Center está diseñado para ejecutarse sobre cualquier hardware de red y, en la mayoría de los casos, se integra para unir el mundo físico y el virtual utilizando la funcionalidad de portal de nivel 2. Estas integraciones tienen en cuenta que en el entorno hiperdinámico del centro de datos moderno, la red de transporte subyacente y las soluciones de virtualización de redes superpuestas son actores codependientes en la provisión de un rendimiento, una confiabilidad y una escala óptimos. Para permitir estas integraciones, VMware trabaja activamente con sus socios de conmutación de nivel 2 para crear guías de arquitecturas y diseño de referencia para la utilización de NSX Data Center como una capa de superposición ágil que aproveche las capacidades de la infraestructura subyacente.

Virtualización de redes For Dummies, 2.ª edición especial de VMware

Aquí tiene una muestra de los recursos técnicos que tiene a su disposición para guiarlo en la integración de NSX Data Center a su infraestructura de red existente:

»» Arista: Guía de diseño de referencia de virtualización de redes

de VMware y Arista para entornos VMware vSphere (https://www.vmware.com/content/dam/digitalmarketing/

vmware/en/pdf/products/nsx/vmware-arista-nsx-designguide.pdf)

»» Cisco 9K: Diseño de referencia: Cómo implementar NSX con

infraestructura Cisco UCS y Nexus 9000 (https://communities.

vmware.com/docs/DOC-29373)

»» Dell: Virtualización de redes con infraestructura Dell y arquitectura de referencia VMware NSX (https://communities.vmware.com/ docs/DOC-27684)

»» Juniper: Cómo conectar las redes físicas y virtuales con platafor-

mas VMware NSX y Juniper (https://communities.vmware.com/

docs/DOC-27610)

Cómo integrarse con sus socios del ecosistema de servicios de red Además de integrarse con su infraestructura de red existente, NSX Data Center está diseñado para integrarse con soluciones de diversos servicios de red, tales como dispositivos de balanceo de carga, y firewalls y servicios de última generación.

»» Servicios físicos a virtuales del centro de datos: Arista

Networks, Dell EMC Open Networking, Extreme Networks, HPE, Huawei, Juniper Networks

»» Servicios de seguridad: Bitdefender, CA Technologies, Check Point, ESET, Fortinet, HyTrust, Juniper Networks, Kaspersky, McAfee, Palo Alto Networks, Symantec, Trend Micro

»» Operaciones y visibilidad del centro de datos definido por software (SDDC): AlgoSec, Dell EMC, Firemon, ForeScout, Gigamon, NetScout, RedSeal, Riverbed, Skybox, Tufin

Para obtener una lista actualizada de los socios y recursos tecnológicos de VMware, visite www.vmware.com/products/nsx/technologypartners.html. SUGERENCIA

CAPÍTULO 6 Las (aproximadamente) 10 maneras de empeza

WILEY END USER LICENSE AGREEMENT Go to www.wiley.com/go/eula to access Wileyâ&#x20AC;&#x2122;s ebook EULA.