antonidavia 26 mayo, 2020

La primera fase tras tomar la decisión de migrar el CPD a Azure, es realizar el diseño de la nueva infraestructura.

Este diseño no es equivalente al que realizamos en un CPD on-prem, ya que hay aspectos que son específicos de un CPD en Azure, que hay que tener en cuenta.

La decisión sobre las zonas en las que ubicar los recursos, es una de las más importantes. Cada bloque debemos crearlo como un grupo de recursos. Una posible configuración es la siguiente:

Los principales bloques de este esquema son:

Area hub – cuando se establecen lineas dedicadas (ExpressRoute) con el nodo de comunicaciones on prem (ver artículo sobre esquema de red de comunicaciones publicado anteriormente), es necesario una zona en la que definimos todo el direccionamiento que llegará a Azure. Desde esta zona, establecemos la comunicación con el resto de áreas del CPD, pudiendo gobernar la seguridad y la interacción con el resto de la red (usuarios, equipos on-prem, resto de clouds). En esta zona se situarán sistemas de uso común por parte del resto de zonas, como antivirus, monitorización, Active Directory, backup o los servicios de DevOps.

Area de aplicaciones – en esta zona provisionaremos los servidores en los que corren las aplicaciones a las que tienen acceso los usuarios .

Area de Kubernetes – esta zona estará dedicada al funcionamiento del servicio AKS. Se separa de la de aplicaciones debido al gran consumo de direccionamiento que tienen estos servicios (se sugiere si es posible dedicarle una clase B a esta función). En esta infraestructura se despliegan tanto contenedores con elementos de front-end como APIs de back-end.

Area de integración – zona dedicada a albergar los servicios que realizaran las integraciones entre los sistemas. Se separa del resto, ya que estos elementos tienen gran número de conexiones con el exterior para las integraciones con sistemas externos.

Area de BBDD – zona dedicada a los servicios de bases de datos. El acceso a esta zona esta muy limitado, con conexiones definidas servicio a servicio sólo para los elementos que acceden a los datos.

Areas de elementos no productivos – se definen varias zonas adicionales para los sistemas no productivos. Aquí se pueden separar los sistemas de test y desarrollo, a elección. Esta será la zona a la que permitimos acceder a los desarrolladores.

Esta distribución permite una ordenación adecuada de los recursos, y establecer reglas de comunicaciones que aportan un nivel de seguridad equivalente al que podemos implementar con elementos firewall en un CPD on prem.

Deja un comentario.

Tu dirección de correo electrónico no será visible. Los campos obligatorios están marcados con *