Protección de las conexiones | IBM Cloud Pak for Data as a Service

Volver a la versión inglesa de la documentación

Protección de las conexiones

Para conectarse a una base de datos que no está externalizada a Internet (por ejemplo, detrás de un cortafuegos), debe seleccionar un enlace Satellite o Secure Gateway.

Configurar un enlace de Satellite
Configurar Secure Gateway

Configurar un enlace de Satellite

Utilice la característica Satellite Link de IBM Cloud Satellite para conectarse de forma segura a una ubicación de Satellite que configure para su cuenta de IBM Cloud . La conexión utiliza la ubicación de Satellite para formar el Satellite Link con el origen de datos.

Requisitos y restricciones

Permisos necesarios: Debe ser el administrador en la cuenta de IBM Cloud para realizar las tareas en IBM Cloud.
Sistemas host necesarios: Necesita al menos tres sistemas o máquinas virtuales en su propia infraestructura para actuar como hosts de Satellite . Confirme los requisitos del sistema host. (Las instrucciones de la documentación de IBM Cloud para características adicionales como los clústeres de Red Hat OpenShift y Kubernetes no son necesarias.)

Nota: No todas las conexiones dan soporte a Satellite Link. Si la conexión da soporte a Satellite Link, el mosaico Satellite Link estará disponible en la sección Conectividad privada del formulario Crear conexión . De forma alternativa, puede filtrar todas las conexiones que dan soporte a Satellite en la página Nueva conexión .

Configuración de un Satellite Link

Para configurar un Satellite Link, primero debe configurar la ubicación de Satellite en IBM Cloud. A continuación, los usuarios pueden crear conexiones en Cloud Pak for Data as a Service que están protegidas por Satellite Link.

Tarea 1: Crear una ubicación de Satellite
Tarea 2: Conectar los hosts a la ubicación de Satellite
Tarea 3: Asignar los hosts al plano de control
Tarea 4: Crear la conexión protegida con Satellite Link
Mantener el enlace de satélite de Satellite Link

Tarea 1: Crear una ubicación de Satellite

La ubicación de Satellite es su propia infraestructura detrás de un cortafuegos. Para utilizar Satellite Link para conectarse a orígenes de datos en Cloud Pak for Data as a Service, necesita tres sistemas o máquinas virtuales. Para crear la ubicación de Satellite :

Acceda a la página de configuración Crear una ubicación de Satellite en IBM Cloud desde uno de estos lugares:

Inicie sesión en IBM Cloudy seleccione Crear una ubicación de Satellite.
En Cloud Pak for Data as a Service:
1. Vaya a la página del proyecto. Pulse la pestaña Activos.
2. Pulse Nuevo activo > Conexión.
3. Seleccione el conector.
4. En la página Crear conexión , desplácese hacia abajo hasta la sección Conectividad privada y pulse Satellite Link > Nueva ubicación de Satellitey, a continuación, inicie sesión en IBM Cloud.
Estas instrucciones siguen la plantilla Local & edge . En función de la infraestructura, puede seleccionar una plantilla diferente. Consulte las instrucciones enlazadas de la plantilla y la información en Descripción de la ubicación y los hosts de Satellite en la documentación de IBM Cloud .

Pulse Editar para modificar la información de ubicación de Satellite :
- Nombre: puede utilizar este campo para diferenciar entre distintas redes como, por ejemplo, my US East network o mi Japan network.
- Los campos Etiquetas y Descripción son opcionales.
- Gestionado desde: seleccione la región de IBM Cloud más cercana a donde residen físicamente las máquinas host.
- Grupo de recursos: se establece en default de forma predeterminada.
- Zonas: IBM dispersa automáticamente las instancias del plano de control en tres zonas dentro del mismo área metropolitana multizona de IBM Cloud . Por ejemplo, si gestiona su ubicación desde el metro wdc en la región EE.UU. este, las instancias del plano de control de ubicación de Satellite se distribuyen entre las zonas us-east-1, us-east-2y us-east-3 . Esta dispersión zonal garantiza que el plano de control esté disponible, incluso si una zona deja de estar disponible.
- Red Hat CoreOS: No seleccione esta opción. Déjelo sin seleccionar o como No.
- Almacenamiento de objetos: pulse Editar para especificar el nombre exacto de un grupo de IBM Cloud Object Storage existente que desea utilizar para realizar una copia de seguridad de los datos del plano de control de ubicación de Satellite . De lo contrario, se crea automáticamente un nuevo grupo en una instancia de Object Storage en su cuenta.
Revise los detalles del pedido y, a continuación, pulse Crear ubicación.

Un plano de control de ubicación se despliega en una de las zonas que se encuentran en la región de IBM Cloud que ha seleccionado. El plano de control está listo para que pueda adjuntar hosts al mismo.

Tarea 2: Conectar los hosts a la ubicación de Satellite

Conecte tres hosts que se ajusten a los requisitos de host a la ubicación de Satellite .

Consideraciones importantes para los hosts de Satellite Link

Los hosts Satellite son servidores dedicados y no se pueden compartir con otras aplicaciones. No puede iniciar sesión en un host a través de SSH. Se cambiará la contraseña raíz.
Sólo necesita tres hosts.
Los nodos trabajadores no son necesarios. Solo se necesitan hosts de plano de control.
Red Hat OpenShift Container Platform (OCP) no es necesario.
El contenedor Linux CoreOS Linux no es necesario.
Los hosts se conectan a IBM Cloud con el protocolo TLS.

Para conectar los hosts a la ubicación de Satellite :

En Panel de control Ubicaciones de Satellite, pulse el nombre de la ubicación.
Pulse Adjuntar hosts para generar y descargar un script.
Ejecute el script en todos los hosts que se van a colocar en la ubicación de Satellite .
Guarde el script de conexión en caso de que adjunte más hosts a la ubicación en el futuro. La señal del script de conexión es una clave de API, que debe tratarse y protegerse como información confidencial. Consulte Mantenimiento de Satellite Link

Tarea 3: Asignar los hosts al plano de control

Para asignar los hosts:

En Panel de control Ubicaciones de Satellite, pulse el nombre de la ubicación.
Para cada host, pulse el menú de desbordamiento () y, a continuación, seleccione Asignar. Asigne un host a cada zona.

Tarea 4: Crear la conexión protegida con Satellite Link

Los usuarios de proyectos en Cloud Pak for Data as a Service ahora pueden crear conexiones protegidas por Satellite Link. Para crear una conexión segura:

Vaya a la página del proyecto. Pulse la pestaña Activos.
Pulse Nuevo activo > Conexión.
Seleccione el conector.
En el formulario Crear conexión , complete los detalles de la conexión. El nombre de host o la dirección IP y el puerto del origen de datos deben estar disponibles en cada host que esté conectado a la ubicación de Satellite .
Pulse Volver a cargar y luego seleccione la ubicación de Satellite que ha creado.

Satellite Link forma el puente entre Cloud Pak for Data as a Service y el origen de datos.

En Panel de control Ubicaciones de Satellite, para cada conexión que cree utilizando un Satellite Link, se crea un punto final de enlace con Tipo de destino Locationy Creado por Connectivity en la ubicación Satellite .

Mantenimiento de Satellite Link

El script de conexión de host caduca un año después de la fecha de creación. Para asegurarse de que los hosts no tienen problemas de autenticación, descargue una nueva copia del script de conexión de host al menos una vez al año.
Guarde el script de conexión en caso de que adjunte más hosts a la ubicación en el futuro. Si genera un nuevo script de conexión de host, desconecta todos los hosts existentes.
Los hosts se pueden reclamar desconectándolos de la ubicación de Satellite y volviendo a cargar el sistema operativo en el proveedor de infraestructura.

Configurar Secure Gateway

El servicio IBM Cloud Secure Gateway proporciona un cliente remoto para crear una conexión segura con una base de datos que no está externalizada a Internet. Puede suministrar un servicio Secure Gateway en una región de servicio y utilizarlo en las instancias de servicio que ha suministrado en otras regiones. Después de crear una instancia del servicio Secure Gateway, puede añadir Secure Gateway.

Nota: No todas las conexiones dan soporte a Secure Gateway. Si la conexión da soporte a Secure Gateway, el mosaico Secure Gateway estará disponible en la sección Conectividad privada del formulario Crear conexión . De forma alternativa, puede filtrar todas las conexiones que dan soporte a Secure Gateway en la página Nueva conexión .

Para configurar una pasarela segura:

Configure una pasarela segura desde la pantalla Crear conexión:
1. Seleccione Secure Gateway.
2. Pulse Nuevo Secure Gateway y luego Crear Secure Gateway. De lo contrario, en el menú principal, elija Servicios > Catálogo de servicios y, a continuación, seleccione Secure Gateway.
Seleccione un plan de servicios y pulse Crear.
En la página Instancias de servicios, busque el servicio Secure Gateway y pulse su nombre.
Siga las instrucciones para añadir una pasarela en Adición de una pasarela. Para mantener la seguridad de la conexión, asegúrese de configurar Secure Gateway para que requiera una señal de seguridad. Asegúrese de copiar el ID de pasarela y la señal de seguridad.
Desde la nueva pasarela, en la pestaña Clientes, pulse el botón Conectar cliente para abrir el panel Conectar cliente.
Seleccione la descarga de cliente correspondiente a su sistema operativo.
Siga las instrucciones para instalar y configurar el cliente.
En función del protocolo de autenticación de recursos que especifique, es posible que tenga que cargar un certificado. Se crea un destino cuando la conexión se establece por primera vez.
Vuelva a la página Crear conexión. En la sección Conectividad privada, pulse Volver a cargar y luego seleccione la pasarela segura que ha creado.

Más información

Iniciación a IBM Cloud Satellite

Iniciación a Secure Gateway

Tema principal: Adición de datos a un proyecto