Resolvendo sobreposição de IP em multi-nuvem
O endereçamento IP privado é um dos recursos mais úteis do protocolo. Esse espaço de endereço é designado para uso não regulamentado dentro de um escopo local — dentro de uma organização, sem conexão pela Internet — e trouxe a liberdade de criar redes internas em larga escala.
No entanto, há um preço para essa flexibilidade: ao tentar conectar duas redes IP privadas anteriormente separadas, alguns dos mesmos endereços IP podem ter sido usados em ambas as redes. Como os endereços IP devem ser exclusivos dentro de cada rede ou domínio de roteamento, essas duplicatas causam acesso instável à rede dentro e fora das áreas sobrepostas. Embora existam soluções alternativas tradicionais para reduzir o impacto, o F5 Volterra oferece uma maneira de evitar o problema completamente.
Por que a sobreposição é um problema
Quando duas partes diferentes de uma rede se sobrepõem e usam o mesmo intervalo de endereços de sub-rede IP, ocorrem dois problemas principais. Primeiro, essas duas sub-redes não podem se comunicar entre si, já que nenhum dos dispositivos saberá que o endereço não é destinado a um ponto de extremidade local. Se essas sub-redes forem somente para clientes e estiverem cheias de usuários, esse problema pode ser simples de corrigir, mas se uma sub-rede contiver serviços de rede, esses serviços ficarão completamente inacessíveis à outra. Além disso, a sobreposição de IP afeta todo o tráfego que vai para essas sub-redes de qualquer outro lugar na rede. Como os roteadores na rede trocam informações, ambas as sub-redes serão anunciadas, mas de dois locais diferentes. As conexões podem ser enviadas para o local errado a qualquer momento, mesmo aquelas que foram estabelecidas com sucesso.
O influxo moderno de sobreposição de IP
A causa mais comum de sobreposição de IP em redes bem gerenciadas é a conexão ou fusão de duas redes anteriormente separadas. É fácil imaginar o cenário quando duas organizações se fundem, especialmente se a TI de cada organização usasse uma convenção de alocação de endereços semelhante, como 10/8 para endpoints e 172.16/12 para infraestrutura. No entanto, a sobreposição está se tornando cada vez mais comum ao se conectar a uma ou mais nuvens. As maiores redes individuais estão em hiperescaladores, como provedores de nuvem pública, e usam endereçamento IP privado por necessidade. Quando cada servidor hospeda um grande número de VMs ou um número maior de contêineres, uma única linha pode consumir uma rede /16 inteira. À medida que a demanda por nuvem cresceu, também cresceu a demanda por acesso, expandindo de VPNs de site para VPNs de site para site, produtos de rede multinuvem e até mesmo conexões WAN diretas para data centers em nuvem. VPNs site-site e links WAN conectam efetivamente partes da rede em nuvem à rede do cliente e, como a maioria das redes de clientes também são construídas em endereços IP privados, a sobreposição de IPs é cada vez mais o resultado.
Corrigindo sobreposição de IP vs. Resolvendo sobreposição de IP
À medida que os aplicativos modernos distribuídos se tornam mais comuns, o mesmo ocorrerá com as conexões entre aplicativos, como nuvem híbrida, nuvem a nuvem e ponta a ponta. Arquiteturas escaláveis exigirão um método para lidar com sobreposição de IP que possa ser automatizado de forma limpa. Muitos administradores de rede recorrem primeiro ao NAT — afinal, o NAT é o que permite que endereços IP privados se conectem à Internet pública. No entanto, o NAT apenas transfere o problema em vez de resolvê-lo: a abstração não se estende para dentro da sub-rede, então há uma sobrecarga transferida para aplicativos e serviços para lidar com casos extremos (como redes remotas com o mesmo intervalo de sub-rede). Além disso, o NAT obscurece a visibilidade ao criar distorção entre eventos coletados dentro e fora da sub-rede. Os custos operacionais contínuos introduzidos pelo NAT só são justificados quando outras opções — como a renumeração — são piores.
O Volterra VoltMesh da F5 fornece uma solução limpa para sobreposição de IP. A sobreposição só é um problema quando as conexões dependem do L3, então o VoltMesh separa os endereços do L3 das transações no L4 ou L7, usando os mesmos métodos de entrega de aplicativos nos quais os clientes do F5 confiam há 25 anos. No entanto, o VoltMesh adiciona um recurso exclusivo: como suas funções são distribuídas, a TI pode escolher qualquer endereço IP em qualquer lugar da malha para entregar o aplicativo e, como suas funções são integradas, a visibilidade completa de ponta a ponta é mantida para rede, segurança e até mesmo o aplicativo. Usando o VoltMesh, é possível até mesmo entregar um serviço remoto — qualquer que seja seu endereço IP real — em uma sub-rede local, com um endereço IP local, de modo que não há necessidade de nenhuma alteração na rede: sem NAT, sem furos de firewall e sem alterações de roteamento. O VoltMesh fornece controle total e visibilidade total sem interrupção da rede, para a solução de sobreposição de IP mais limpa possível.
As redes continuam a se expandir e se interconectar na era da multinuvem, possibilitadas pelo endereçamento IP privado, o que significa que a sobreposição de IP continuará sendo um problema enquanto o foco estiver na conectividade legada. Seja no local ou entre nuvens, o F5 Volterra VoltMesh é capaz de fornecer serviços com segurança ao desacoplar aplicativos da camada de rede, fornecer acessibilidade sem conectividade e garantir uma separação limpa para manter as redes privadas privadas.
Para mais informações, visite Journey to the Multi-Cloud Challenges no DevCentral da F5 e obtenha gerenciamento completo de multinuvem com a F5.