Una topología de red de nube pequeña

Nuestra pequeña topología de red en la nube aprovecha una sola VPC. Al principio, esto puede parecer limitante: ¿podrá una sola VPC escalar lo suficiente? ¿Es este tipo de topología válida sólo para los clientes más pequeños, los que sólo tienen unas pocas cargas de trabajo en la nube pública?

Al pensar en la escalabilidad, considera estas dimensiones:

Direccionamiento IP

Cuando creas una VPC, debes especificar un bloque de Enrutamiento entre dominios sin clase (CIDR). Se recomienda utilizar bloques de los rangos especificados en RFC 1918 y RFC 6598. El tamaño del bloque puede variar desde un /16 (que proporciona hasta 65.536 direcciones IP) hasta un /28 (que sólo proporciona 16 direcciones IP). Además, puedes añadir bloques CIDR -hasta cuatro bloques adicionales no superpuestos para un total de cinco bloques CIDR en una VPC- para proporcionar aún más direcciones IP disponibles. Cinco bloques CIDR /16 proporcionarían más de 300.000 direcciones IP.

Ancho de banda

AWS proporciona dos mecanismos para conectar cargas de trabajo a Internet. Para las cargas de trabajo en una subred pública, se utiliza una puerta de enlace a Internet. AWS describe este componente como "un componente de VPC de escala horizontal, redundante y de alta disponibilidad" que "no causa riesgos de disponibilidad ni limitaciones de ancho de banda"; consulta la documentación de Amazon VPC. Para las cargas de trabajo en una subred privada, se suele utilizar una pasarela NAT , que según AWS escala hasta 100 Gbps. NAT significa traducción de direcciones de red, que es el nombre que recibe el proceso de asignación de direcciones IP privadas (no enrutables) a direcciones IP públicas (enrutables).

Disponibilidad

Una única VPC puede abarcar varias zonas de disponibilidad, pero no varias regiones. Una región en el lenguaje de AWS es una agrupación de centros de datos. Una zona de disponibilidad(AZ) dentro de una región es una agrupación lógica físicamente separada y aislada de centros de datos. Cada zona de disponibilidad tiene energía independiente, refrigeración y conectividad de red redundante. Las AZ dentro de una región tienen conexiones de alta velocidad y baja latencia entre ellas. La idea que subyace a la expansión de varias AZ es que un fallo en una AZ de una región no afectará, por lo general, a otras AZ de una región, lo que te da la capacidad de soportar fallos de una forma más resistente. Una subred está limitada a una sola AZ y no puede abarcar varias AZ.

Seguridad

AWS ofrece mecanismos de filtrado del tráfico a nivel de red (denominados listas de control de acceso a la red) y mecanismos de filtrado del tráfico a nivel de host (denominados grupos de seguridad). Las listas de control de acceso a la red (ACL de red o NACL) son sin estado y funcionan a nivel de red (concretamente, a nivel de subred). Las reglas NACL se procesan en orden, según el número asignado a la regla (piensa en el número como una prioridad: la regla con el número más bajo decide primero o tiene la prioridad más alta). Los grupos de seguridad, en cambio, son de estado, operan a nivel de instancia y evalúan todas las reglas antes de decidir si permiten o no el tráfico. Las NACL y los grupos de seguridad pueden -y deben- utilizarse juntos para ayudar a proporcionar el mayor nivel de control sobre los tipos de tráfico que se permiten o no entre cargas de trabajo dentro de una VPC.

Ninguna de estas áreas presenta limitaciones o restricciones significativas, lo que demuestra que incluso un diseño de red en la nube que aproveche una única VPC puede escalar hasta miles de cargas de trabajo, proporcionando suficiente ancho de banda, disponibilidad y seguridad a las cargas de trabajo que alberga.

En la Figura 4-1, reunimos todos estos conceptos para crear un diseño típico de VPC única en AWS.

Figura 4-1. Topología de red de una VPC de AWS

Todas estas cosas podrían crearse manualmente y enlazarse mediante la consola de administración de AWS, pero la oportunidad para el ingeniero de redes en este caso es automatizar este proceso utilizando herramientas y procesos de IaC. En "Automatización de redes en la nube", hablamos de las opciones programables disponibles para gestionar los recursos de la nube.

Una topología de red de nube media

Aunque una única VPC es muy escalable, hay razones para utilizar varias VPC. La razón más obvia es que una VPC no puede abarcar una región de AWS; cada VPC está limitada a la región en la que se creó. Si necesitas diseñar una topología de red que pueda acomodar cargas de trabajo en varias regiones, lo que buscas es una topología multi-VPC. También hay otras razones para utilizar varias VPC; que puedas poner miles de cargas de trabajo en una sola VPC no significa necesariamente que debas hacerlo.

Los proveedores de nubes públicas diseñan su infraestructura para que sea altamente resistente y lo expresan en forma de SLA de disponibilidad y durabilidad. Para ir más allá de estas ofertas de servicios, tienes que crear tus propias arquitecturas de alta disponibilidad, del mismo modo que hacemos en los centros de datos locales.

En cuanto tu topología pasa a múltiples VPC, surgen nuevos retos para el ingeniero de redes:

Gestión del espacio de direcciones IP

Aunque cada VPC puede tener bloques CIDR idénticos y solapados, en cuanto quieras conectar VPC entre sí, necesitarás tener bloques CIDR no solapados. Es necesario diseñar un plan sobre cómo se repartirán y asignarán las direcciones IP a las VPC de varias regiones, al tiempo que se planifica el crecimiento futuro (en términos de subredes futuras en las VPC existentes, VPC adicionales en las regiones actuales y nuevas VPC en regiones completamente nuevas).

Conectividad

AWS proporciona una forma de conectar VPCs entre sí a través del peering de VPC. El peering de VPC proporciona conectividad no transitiva entre dos VPC y requiere que las tablas de rutas de VPC se actualicen explícitamente con rutas a VPC pares. Cuando el número de VPC es pequeño, el uso del peering de VPC es manejable, pero a medida que el número de VPC crece, el número de conexiones -y el número de tablas de rutas que hay que actualizar y mantener- también crece.

Precios basados en el uso

Aunque como ingeniero de redes puedas diseñar una topología que proporcione la conectividad necesaria entre todas las cargas de trabajo en todas las VPC de todas las regiones, ¿proporcionará tu topología esa conectividad de la forma más rentable cuando aumente el uso? Esto significa tener en cuenta las tarifas de tráfico entre Zonas, entre Regiones y las tarifas de salida a destinos basados en Internet (por nombrar sólo algunos).

Todas estas consideraciones se suman a lo que ya se necesita para las topologías de red en la nube más pequeñas (VPC única).

Una gran topología de red en la nube

En una gran topología de red en la nube, te enfrentas a varias docenas de VPC en varias regiones de todo el mundo. El peering de VPC ya no es una opción útil; simplemente hay demasiadas conexiones de peering que gestionar, y la conectividad no transitiva está introduciendo aún más complejidad.

Surge un nuevo conjunto de consideraciones de diseño:

Conectividad centralizada

Utilizando herramientas como las VPC de tránsito y las puertas de enlace de tránsito, puedes pasar de la conectividad de peering de VPC no transitiva a una solución totalmente enrutada. Estas herramientas también te permiten integrar opciones adicionales como AWS Direct Connect (para una conectividad dedicada de vuelta a las redes locales) o capacidades VPN. También es posible implementar una salida centralizada, en la que las VPC "radios" utilicen las puertas de enlace NAT de la VPC "central" para la conectividad a Internet. En todos estos casos, tienes que definir una estrategia de enrutamiento, como el enrutamiento estático o un protocolo de enrutamiento dinámico como BGP.

Arquitecturas multicuenta

En topologías tan grandes, es mucho más probable que te encuentres con situaciones en las que VPC enteras pertenezcan a diferentes cuentas de AWS. Tu topología de red debe abordar ahora cómo proporcionar conectividad de forma segura entre recursos que pertenecen a entidades diferentes.

Utilizando las mencionadas herramientas de conectividad centralizada, podemos ampliar las redes en la nube para que lleguen a otros proveedores en la nube y a las redes locales.

Una topología de red de nube híbrida

Con el aumento de la adopción de servicios en la nube, cada vez son más comunes los nuevos escenarios de interconexión. Estos escenarios incluyen la conexión de distintos proveedores de nube (pública o privada) y la conexión de estos proveedores de nube a redes locales; el Informe sobre el Estado de la Nube 2023 de Flexera dice que el 87% de las organizaciones encuestadas utilizan más de un proveedor de nube. Además, los límites entre estos entornos son cada vez más difusos, porque los servicios en la nube pueden funcionar en los centros de datos locales de sus clientes (por ejemplo, el servicio AWS Outposts). El sector utiliza el término nube híbrida para describir estos escenarios.

Aparte de los retos de gestionar y orquestar varios servicios de infraestructura (y las aplicaciones que se encuentran encima), el primer reto obvio es cómo conectar todos estos entornos entre sí.

La conectividad de la nube híbrida no tiene una solución única. Todos los proveedores de servicios de nube pública ofrecen mecanismos para conectar sus servicios a las redes locales. Estos mecanismos suelen basarse en conexiones VPN o servicios de conectividad dedicados (por ejemplo, AWS Direct Connect o Azure ExpressRoute). La Figura 4-2 muestra un ejemplo de topología de red de nube híbrida: una red local se conecta a las nubes AWS y Azure mediante servicios de transporte dedicados, y la información de enrutamiento se intercambia mediante BGP. Observa que también podrías conectar ambos proveedores de nube a través de la red local.

Figura 4-2. Topología de red híbrida

Sin embargo, estos mecanismos de conectividad no son capaces de interconectar directamente a los proveedores en nube. Para interconectar a los proveedores de la nube, tienes que utilizar otras soluciones, como enrutarlos a través de una red local, como se describe en la Figura 4-2, o crear tus propias conexiones VPN entre los proveedores de la nube para crear una red superpuesta. Si la gestión de esta interconexión resulta engorrosa, puedes recurrir a proveedores externos que orquesten estas conexiones por ti. Dos ejemplos de estos proveedores son Aviatrix y Alkira.

En cualquier caso, tienes que diseñar una topología de red que permita conectar todos estos entornos, con un direccionamiento de red y un plan de encaminamiento coherentes entre los segmentos de la red. Esto requiere las habilidades de red que has desarrollado en tu carrera de ingeniería de redes.

Además, a medida que crece el nivel de complejidad, aumenta exponencialmente la necesidad de automatización. Hay más "cosas" que gestionar y configurar, como conexiones de pasarela de tránsito, conexiones VPN o subredes separadas para determinados tipos de conexiones. Gestionarlas eficazmente requerirá alguna forma de automatización.

Utilizar las API del proveedor de la nube

Los proveedores de la nube ofrecen plataformas API-first. Disponen de un rico conjunto de API que pueden utilizarse para automatizar el aprovisionamiento de recursos en la nube. Cualquier otro método (es decir, herramientas CLI o herramientas creadas específicamente) no es más que una envoltura de estas API.

Sin embargo, normalmente no utilizarás las API directamente. Incluso cuando quieras acceder directamente a las API, es probable que utilices un lenguaje de programación que implemente una envoltura alrededor de la API (es decir, un kit de desarrollo de software, o SDK). Por ejemplo, AWS mantiene muchos SDK para varios lenguajes de programación, como Boto3 para Python y AWS SDK para Go. Utilizar un SDK facilita la interacción con la API porque no tienes que preocuparte de las solicitudes HTTP y las respuestas.

En los capítulos siguientes, aprenderás sobre lenguajes de programación (Capítulos 6 y 7) y sobre las API HTTP(Capítulo 10). Por lo tanto, no cubriremos aquí ejemplos de uso de las API. Encontrarás ejemplos de uso de las API REST, como las expuestas por AWS, en el Capítulo 10. Allí aprenderás a interactuar con las API con diversos métodos, como cURL, Postman, Python y Go. Aunque esos ejemplos no son específicos del aprovisionamiento de servicios en la nube, todas las API comparten los mismos principios, por lo que puedes aplicar los conocimientos al caso de uso del aprovisionamiento de servicios en la nube.

Utilizar la herramienta CLI del proveedor de la nube

La interfaz de línea de comandos es otra interfaz de usuario para interactuar con las API del proveedor de la nube. La herramienta CLI que ofrecen muchos de estos proveedores de la nube suele ser una envoltura de las API estándar de ese proveedor, lo que facilita la interacción con ellas. Por ejemplo, la herramienta CLI de AWS aprovecha un SDK de Python para exponer esta interfaz de usuario.

La herramienta CLI puede ser utilizada manualmente por un operador para gestionar los servicios en la nube, o puede utilizarse de forma automatizada. Por ejemplo, puedes utilizar la herramienta CLI en un script de shell. En el Capítulo 12 encontrarás ejemplos (con la configuración necesaria) de uso de la herramienta CLI de AWS para interactuar con la nube de AWS. Mientras tanto, te ofrecemos un ejemplo del repositorio de la CLI de AWS sobre cómo utilizar la herramienta CLI de AWS para crear una VPC:

$ aws ec2 create-vpc \                                                  
    --cidr-block 10.0.0.0/16 \                                          
    --tag-specification ResourceType=vpc,Tags=[{Key=Name,Value=MyVpc}]` 

{                                                                       
    "Vpc": {
        "CidrBlock": "10.0.0.0/16",
        "DhcpOptionsId": "dopt-5EXAMPLE",
        "State": "pending",
        "VpcId": "vpc-0a60eb65b4EXAMPLE",
        "OwnerId": "123456789012",
        "InstanceTenancy": "default",
        "Ipv6CidrBlockAssociationSet": [],
        "CidrBlockAssociationSet": [
            {
                "AssociationId": "vpc-cidr-assoc-07501b79ecEXAMPLE",
                "CidrBlock": "10.0.0.0/16",
                "CidrBlockState": {
                    "State": "associated"
                }
            }
        ],
        "IsDefault": false,
        "Tags": [
            {
                "Key": "Name",
                "Value": MyVpc"
            }
        ]
    }
}

aws ec2 create-vpc es el comando para crear una VPC; ec2 es el tipo de servicio de AWS, y create-vpc es la acción específica.

Cada recurso de AWS tiene argumentos obligatorios y opcionales. Para la VPC, sólo el bloque CIDR es obligatorio.

Tagso metadatos, es un parámetro común a todos los recursos de la nube para añadir más dimensiones que mejoren la clasificación de los recursos.

La salida del comando es un objeto JSON con los detalles de la VPC creada, tomados directamente de la respuesta de la API de AWS.

Puedes encontrar la documentación completa de la herramienta CLI de AWS en línea.

Utilizar una herramienta especialmente diseñada para automatizar la nube

Además de las API del proveedor de la nube, se han creado herramientas específicas para automatizar la nube. Estas herramientas suelen denominarse herramientas de infraestructura como código, porque te permiten definir tu infraestructura como código (con un enfoque declarativo) y luego gestionarla en consecuencia.

También podrías automatizar la nube mediante un enfoque imperativo (por ejemplo, utilizando Ansible), pero consideramos que es un antipatrón para el aprovisionamiento de servicios, por lo que lo recomendamos para la gestión de la configuración. Ambos enfoques pueden coexistir, ya que puede que necesites configurar algunos servicios después de aprovisionarlos. Profundizaremos en este tema en el Capítulo 12.

Para clasificar las herramientas que aplican un enfoque declarativo, tenemos que considerar dos dimensiones: si son específicas de la nube o multicloud, y si utilizan un lenguaje de programación o un lenguaje específico del dominio (DSL) para definir la infraestructura.

En la Tabla 4-1, utilizamos estas dos dimensiones para clasificar algunas de las herramientas más populares.

Debes elegir la herramienta más adecuada para tu contexto. En el Capítulo 12, explicamos cómo utilizar Terraform y su DSL, porque es la herramienta más popular para entornos multicloud.

Tras esta breve introducción a las redes en la nube, pasaremos a hablar de la relación entre los contenedores y los servicios en la nube.

Espacios de nombres de red Linux

Espacios de nombres son un mecanismo de aislamiento; limitan lo que los procesos pueden "ver" en el espacio de nombres. El núcleo de Linux proporciona múltiples espacios de nombres; para las redes, los espacios de nombres de red son los principales espacios de nombres implicados. Los espacios de nombres de red pueden utilizarse para soportar varias tablas de enrutamiento independientes o varias configuraciones de iptables independientes, o para delimitar la visibilidad de las interfaces de red. En algunos aspectos, probablemente estén más relacionados con las instancias VRF en el mundo de las redes.

Algunos casos de uso de los espacios de nombres de red Linux son los siguientes:

Enrutamiento por proceso

Ejecutar un proceso en su propio espacio de nombres de red te permite configurar el enrutamiento por proceso.

Activar configuraciones VRF

Al principio de esta sección hemos mencionado que los espacios de nombres de red son probablemente los más estrechamente relacionados con las instancias VRF en el mundo de las redes, por lo que es natural que habilitar configuraciones similares a VRF sea un caso de uso primordial para los espacios de nombres de red.

Soporte para espacios de direcciones IP solapados

También podrías utilizar espacios de nombres de red para dar soporte a espacios de direcciones IP solapados, en los que la misma dirección (o rango de direcciones) podría utilizarse para distintos fines y tener significados diferentes. A grandes rasgos, probablemente necesitarías combinar esto con una red superpuesta y/o NAT para dar pleno soporte a este caso de uso.

Red de contenedores

Los espacios de nombres de red también son una parte clave de la forma en que los contenedores se conectan a una red. Los tiempos de ejecución de los contenedores utilizan los espacios de nombres de red para limitar las interfaces de red y las tablas de enrutamiento que el proceso en contenedor puede ver o utilizar.

En este debate sobre los espacios de nombres de red, nos centraremos en ese último caso de uso -la creación de redes de contenedores- y en cómo se utilizan los espacios de nombres de red. Además, nos centraremos únicamente en cómo el tiempo de ejecución del contenedor Docker utiliza los espacios de nombres de red. Por último, como ya hemos dicho, sólo hablaremos de contenedores Linux, no de contenedores de otros sistemas operativos.

En general, cuando ejecutas un contenedor, Docker creará un espacio de nombres de red para ese contenedor. Puedes observar este comportamiento utilizando el comando lsns. Por ejemplo, si ejecutas lsns -t net para mostrar los espacios de nombres de red en un sistema Ubuntu Linux que no tenga ningún contenedor en ejecución, sólo verás un único espacio de nombres de red en la lista.

Sin embargo, si lanzas un contenedor Docker en ese mismo sistema con docker run --name nginxtest -p 8080:80 -d nginx, entonces lsns -t net mostrará algo diferente. Aquí tienes la salida de lsns -t net -J, que enumera los espacios de nombres de red serializados como JSON:

{
  "namespaces": [
    {
      "ns": 4026531840,                                       
      "type": "net",
      "nprocs": 132,
      "pid": 1,
      "user": "root",
      "netnsid": "unassigned",
      "nsfs": null,
      "command": "/sbin/init"
    },
    {
      "ns": 4026532233,                                       
      "type": "net",
      "nprocs": 5,
      "pid": 15422,
      "user": "root",
      "netnsid": "0",
      "nsfs": "/run/docker/netns/b87b15b217e8",
      "command": "nginx: master process nginx -g daemon off;" 
    }
  ]
}

El espacio de nombres host (o raíz, o por defecto) que está presente en todos los sistemas Linux. Cuando interactuamos con interfaces de red, tablas de enrutamiento u otras configuraciones de red, generalmente lo hacemos con el espacio de nombres por defecto.

El espacio de nombres creado por Docker cuando ejecutamos (creamos) el contenedor. Hay varias formas de determinar que éste es el espacio de nombres creado por Docker, pero en este caso, el campo command lo indica.

En algunos casos -como en el ejemplo anterior- es fácil saber qué espacio de nombres de red es cada uno. Para una determinación más concreta, puedes utilizar los siguientes pasos:

1. Utiliza el comando docker container ls para obtener el ID del contenedor en cuestión.

2. Utiliza el comando docker container inspect container-id para que el tiempo de ejecución de Docker proporcione información detallada sobre el contenedor especificado. Esto producirá mucha salida en JSON; puede que te resulte más fácil manejar esta información si la canalizas a través de una utilidad como jq.

3. Busca la propiedad SandboxKey. Especificará una ruta, como /var/run/docker/netns/b87b15b217e8. Compáralo con la salida de lsns y su propiedad nsfs. A excepción del prefijo /var, los valores coincidirán cuando estés mirando el mismo contenedor.

El comando ip (del paquete iproute2 ), que el Capítulo 3 trata con gran detalle, también tiene un subcomando ip netns que permite al usuario crear, manipular y eliminar espacios de nombres de red. Sin embargo, los espacios de nombres de red creados por Docker y otros tiempos de ejecución de contenedores no suelen ser visibles para el usuario, aunque se utilicen con sudo para obtener permisos elevados. Sin embargo, el comando lsns utilizado en esta sección mostrará los espacios de nombres de red creados por Docker u otro tiempo de ejecución de contenedores. (Aunque aquí sólo hablamos de espacios de nombres de red, lsns puede mostrar cualquier tipo de espacio de nombres, no sólo los de red).

Los espacios de nombres de red tienen más casos de uso además de los contenedores; para ver con más detalle cómo trabajar con espacios de nombres de red en un caso de uso distinto de los contenedores, consulta el contenido adicional en línea de este libro. Allí encontrarás ejemplos de cómo utilizar el comando ip netns para manipular la configuración de red de un host Linux, incluyendo la adición de interfaces a un espacio de nombres de red y la eliminación de interfaces del mismo.

Los espacios de nombres de red de Linux son un componente crítico para la creación de redes de contenedores, pero sin un mecanismo que simule el comportamiento de una interfaz de red real, la capacidad de nuestros sistemas para conectar contenedores a la red se vería muy limitada. De hecho, sólo podríamos ejecutar tantos contenedores como interfaces de red físicas cupieran en el host. Las interfaces Ethernet virtuales son la solución a esa limitación.

Interfaces Ethernet virtuales

Al igual que los espacios de nombres de red permiten al núcleo Linux proporcionar aislamiento de red, las interfaces Ethernet virtuales (también llamadas veth) te permiten romper intencionadamente ese aislamiento. Las interfaces veth son interfaces lógicas; no se corresponden con una NIC física u otra pieza de hardware. Como tales, puedes tener muchas más interfaces veth que interfaces físicas.

Además, las interfaces veth siempre vienen en pares: el tráfico que entra por una interfaz del par sale por la otra interfaz del par. Por esta razón, puedes verlas referenciadas como pares veth. Al igual que otros tipos de interfaces de red, una interfaz veth puede asignarse a un espacio de nombres de red. Cuando una interfaz veth -un miembro de un par veth- se asigna a una interfaz de red, acabas de conectar dos espacios de nombres de red entre sí (porque el tráfico que entra en una interfaz veth de un espacio de nombres saldrá por la otra interfaz veth del otro espacio de nombres).

Este comportamiento subyacente -colocar un miembro de un par veth en un espacio de nombres de red y dejar la interfaz homóloga en el espacio de nombres del host (o predeterminado)- es la clave de las redes de contenedores. Así es como funcionan todas las redes básicas de contenedores.

Utilizando el mismo contenedor Docker creado en la sección anterior (que era un simple contenedor nginx lanzado con el comando docker run --name nginxtest -p 8080:80 -d nginx), veamos cómo se gestiona la red de este contenedor.

En primer lugar, ya conoces el espacio de nombres de red que utiliza el contenedor nginx; lo has determinado utilizando lsns -t net junto con docker container inspect y cotejando las propiedades nsfs y SandboxKey de cada comando, respectivamente.

Con esta información, ahora puedes utilizar el comando nsenter para ejecutar otros comandos dentro del espacio de nombres del contenedor Docker nginx. (Para más detalles sobre el comando nsenter, utiliza man nsenter.) La bandera nsenter para ejecutar un comando en el espacio de nombres de red de otro proceso es -n, o --net, y es con esa bandera con la que proporcionarás el espacio de nombres de red para el contenedor nginx, como se muestra en el Ejemplo 4-1.

ubuntu2004:~$ sudo nsenter --net=/run/docker/netns/b87b15b217e8 ip link list
1: lo: LOOPBACK,UP,LOWER_UP mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
 group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
4: eth0@if5: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc noqueue state UP  
 mode DEFAULT group default
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0

Compáralo con la salida de ip link list en el espacio de nombres de red host (por defecto) del Ejemplo 4-2.

ubuntu2004:~$ ip link list
1: lo: LOOPBACK,UP,LOWER_UP mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
 group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: ens5: BROADCAST,MULTICAST,UP,LOWER_UP mtu 9001 qdisc mq state UP mode DEFAULT
 group default qlen 1000
    link/ether 02:95:46:0b:0f:ff brd ff:ff:ff:ff:ff:ff
    altname enp0s5
3: docker0: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc noqueue state UP mode
 DEFAULT group default
    link/ether 02:42:70:88:b6:77 brd ff:ff:ff:ff:ff:ff
5: veth68bba38@if4: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc noqueue master 
 docker0 state UP mode DEFAULT group default
    link/ether a6:e9:87:46:e7:45 brd ff:ff:ff:ff:ff:ff link-netnsid 0

La conexión entre ambas salidas es el sufijo @ifX. En la interfaz con el índice de 5 (que es la interfaz veth68bba38 en el espacio de nombres del host), el sufijo apunta a la interfaz cuyo índice es 4. La interfaz con el índice de 4 es eth0 en el espacio de nombres de red del contenedor nginx (ver Ejemplo 4-1), y su sufijo apunta al índice de interfaz 5 (ver Ejemplo 4-2).

Así es como puedes determinar los pares veth, y en este caso, ves que Docker ha creado un par veth para este contenedor. Un miembro del par veth se coloca en el espacio de nombres de red del contenedor nginx, y el otro miembro del par veth permanece en el espacio de nombres del host. En esta configuración, el tráfico que entra en eth0@if5 en el espacio de nombres de red del contenedor nginx saldrá de veth68bba38@if4 en el espacio de nombres del anfitrión, atravesando así de un espacio de nombres a otro espacio de nombres.

Las interfaces veth permiten que el tráfico del contenedor pase de su propio espacio de nombres de red al espacio de nombres de red del host (suponiendo que el contenedor no se haya iniciado con la bandera --network=host ), pero ¿cómo llega el tráfico desde la interfaz veth en el espacio de nombres del host a la red física? Si has adivinado un puente, ¡has acertado! (Para ser justos, los puentes figuraban al principio de esta sección como un componente de la red de contenedores).

La clave en el Ejemplo 4-2, tal y como se explica en "Puentes (Conmutación)", es la aparición de master docker0 relacionado con veth68bba38@if4. La presencia de este texto indica que la interfaz especificada es miembro del puente Linux docker0. Sin embargo, si examinas el resto de las interfaces, observarás que ninguna de ellas es miembro del puente docker0. Entonces, ¿cómo llega realmente el tráfico a la red física? Aquí es donde entra en juego el enmascaramiento de IP, que es la pieza final del rompecabezas de cómo los contenedores Docker de un host Linux se conectan a una red.

Enmascaramiento de IP

Al explorar las redes de contenedores, hasta ahora has visto cómo los tiempos de ejecución de contenedores como Docker utilizan espacios de nombres de red para proporcionar aislamiento, impidiendo que un proceso de un contenedor tenga acceso a la información de red de otro contenedor o del host. También has visto cómo se utilizan las interfaces veth (también denominadas pares veth) para conectar el espacio de nombres de red de un contenedor con el espacio de nombres de red del host. Basándote en la amplia cobertura de interfaces, puentes y enrutamiento del Capítulo 3, también has visto cómo se utiliza un puente Linux junto con las interfaces veth en el espacio de nombres del host. Sólo queda una pieza: conseguir que el tráfico del contenedor salga del host y llegue a la red. Aquí es donde interviene el enmascaramiento IP.

El enmascaramiento de IP permite configurar Linux para que realice NAT. NAT, como probablemente sepas, permite que uno o varios ordenadores se conecten a una red utilizando una dirección diferente. En el caso del enmascaramiento de IP, uno o varios ordenadores se conectan a una red utilizando la propia dirección IP del servidor Linux. El RFC 2663 se refiere a esta forma de NAT como traducción de puerto de dirección de red(NAPT); también se conoce como NAT de uno a muchos, NAT de muchos a uno, traducción de dirección de puerto(PAT) y sobrecarga de NAT.

Antes de ir mucho más lejos, conviene señalar aquí que Docker admite varios tipos de redes:

Puente

Este es el tipo de red por defecto. Utiliza interfaces veth, un puente Linux y enmascaramiento IP para conectar los contenedores a las redes físicas.

Anfitrión

Cuando se utiliza la red en modo anfitrión, el contenedor Docker no está aislado en su propio espacio de nombres de red, sino que utiliza el espacio de nombres de red del anfitrión (por defecto). Los puertos expuestos del contenedor están disponibles en la dirección IP del anfitrión.

Superposición

Las redes superpuestas crean una red distribuida que abarca varios hosts Docker. Las redes superpuestas se construyen utilizando VXLAN, definida en el RFC 7348. Este modo de red está directamente vinculado al mecanismo de orquestación de contenedores de Docker, llamado Swarm.

IPvlan y macvlan

La red IPvlan permite que varias direcciones IP compartan la misma dirección MAC de una interfaz, mientras que la red macvlan asigna varias direcciones MAC a una interfaz. Esta última, en particular, no suele funcionar en las redes de proveedores de nube. Tanto las redes IPvlan como las macvlan son menos comunes que otros tipos de redes.

A lo largo de esta sección sobre la red de contenedores, el debate se ha centrado en la red en modo puente con Docker.

Cuando se utiliza la red en modo puente con Docker, el tiempo de ejecución del contenedor utiliza un espacio de nombres de red para aislar el contenedor y un par veth para conectar el espacio de nombres de red del contenedor con el espacio de nombres del host. En el espacio de nombres del anfitrión, una de las interfaces veth está conectada a un puente Linux. Si lanzas más contenedores en la misma red Docker, se conectarán al mismo puente Linux, y tendrás conectividad inmediata de contenedor a contenedor en el mismo host Docker. Hasta aquí, todo correcto.

Cuando un contenedor intenta conectarse a algo que no está en la misma red Docker, Docker ya ha configurado una regla de enmascaramiento de IP que indicará al núcleo Linux que realice NAT de muchos a uno para todos los contenedores de esa red Docker. Esta regla se crea cuando se crea la red Docker. Docker crea una red por defecto cuando se instala, y puedes crear redes adicionales utilizando el comando docker network create.

En primer lugar, echemos un vistazo a la red Docker por defecto. Ejecutando docker network ls se muestra una lista de las redes Docker creadas. En un sistema recién instalado, sólo aparecerán tres redes en la lista (los ID de red listados variarán):

ubuntu2004:~$ docker network ls
NETWORK ID     NAME      DRIVER    SCOPE
b4e8ea1af51b   bridge    bridge    local
add089049cda   host      host      local
fbe6029ce9f7   none      null      local

El comando docker network inspect muestra todos los detalles sobre la red especificada. Aquí tienes la salida de docker network inspect b4e8ea1af51b mostrando más información sobre la red puente por defecto (algunos campos se han omitido o eliminado por brevedad):

[
    {
        "Name": "bridge",
        "Id": "b4e8ea1af51ba023a8be9a09f633b316f901f1865d37f69855be847124cb3f7c",
        "Created": "2023-04-16T18:27:14.865595005Z",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": null,
            "Config": [
                {
                    "Subnet": "172.17.0.0/16"                         
                }
            ]
        },
        "Options": {
            "com.docker.network.bridge.default_bridge": "true",
            "com.docker.network.bridge.enable_icc": "true",
            "com.docker.network.bridge.enable_ip_masquerade": "true", 
            "com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",
            "com.docker.network.bridge.name": "docker0",              
            "com.docker.network.driver.mtu": "1500"
        },
        "Labels": {}
        # output omitted for brevity
    }
]

La subred utilizada por los contenedores es 172.17.0.0/16.

Docker creará automáticamente las reglas de enmascaramiento de IP necesarias para esta red.

El nombre del puente para esta red es docker0 (se muestra en la sección Options ).

Puedes verificar esta información utilizando los comandos de red de Linux que se tratan en el Capítulo 3 y en esta sección. Por ejemplo, para ver la dirección IP asignada al contenedor Docker nginx lanzado anteriormente, utiliza una combinación de nsenter y ip addr list, como ésta:

ubuntu2004:~$ sudo nsenter --net=/run/docker/netns/b87b15b217e8 ip addr list eth0
4: eth0@if5: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc noqueue state UP
 group default
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0 
       valid_lft forever preferred_lft forever

Verifica que el contenedor está utilizando una dirección de la red 172.17.0.0/16

Del mismo modo, la ejecución de ip -br link list (la bandera -br significa breve y muestra una salida abreviada) muestra que el puente creado por Docker se llama efectivamente docker0:

ubuntu2004:~$ ip -br link list
lo               UNKNOWN  00:00:00:00:00:00 LOOPBACK,UP,LOWER_UP
ens5             UP       02:95:46:0b:0f:ff BROADCAST,MULTICAST,UP,LOWER_UP
docker0          UP       02:42:70:88:b6:77 BROADCAST,MULTICAST,UP,LOWER_UP
veth68bba38@if4  UP       a6:e9:87:46:e7:45 BROADCAST,MULTICAST,UP,LOWER_UP

La última pieza es la regla de enmascaramiento de IP, que puedes verificar utilizando el comando iptables. El uso de iptables es un tema que podría tener su propio libro, y de hecho lo tiene: véase Linux iptables Pocket Reference de Gregor N. Purdy (O'Reilly). No podemos abarcarlo en gran detalle, pero podemos proporcionar una visión general de alto nivel y luego explicar dónde encaja la regla de enmascaramiento de IP de Docker.

Iptables proporciona varias tablas, como la tabla de filtros, la tabla NAT y la tabla mangle. Además, hay varias cadenas, como PREROUTING, INPUT, OUTPUT, FORWARD y POSTROUTING. Cada cadena es una lista de reglas, y no todas las tablas tendrán todas las cadenas. Las reglas de una cadena hacen coincidir el tráfico en función de propiedades como la dirección de origen, la dirección de destino, el protocolo, el puerto de origen o el puerto de destino. Cada regla especifica un destino, como ACCEPT, DROP, o REJECT.

Con esta información adicional en la mano, veamos el comando iptables. En el Ejemplo 4-3, utilizamos este comando para mostrarte todas las cadenas y reglas de la tabla NAT.

ubuntu2004:~$ iptables -t nat -L -n                  
...output omitted...
Chain POSTROUTING (policy ACCEPT)
target      prot  opt source               destination
MASQUERADE  all   --  172.17.0.0/16        0.0.0.0/0   
...output omitted...

En el momento en que el tráfico llega a la cadena POSTROUTING de la tabla NAT, el enrutamiento ya se ha determinado (para más detalles sobre cómo funciona el enrutamiento en Linux, consulta "Enrutamiento como host final" y "Enrutamiento como router"), y la interfaz de salida ya se ha seleccionado en función de la configuración de enrutamiento del host. El destino MASQUERADE indica a iptables que utilice la dirección IP de la interfaz de salida como dirección para el tráfico que coincida con la regla: en este caso, el tráfico procedente de la subred de la red Docker con destino a cualquier lugar. Así es como, al utilizar una red puente Docker, el tráfico llega realmente a la red: el host Linux determina una ruta y una interfaz de salida basándose en su tabla de enrutamiento y envía el tráfico del contenedor Docker a esa interfaz. La regla de la cadena POSTROUTING de la tabla NAT coge ese tráfico y realiza la NAT de muchos a uno utilizando la dirección IP de la interfaz seleccionada.

Muchas distribuciones de Linux también proporcionan un comando iptables-save, que muestra las reglas iptables en un formato ligeramente distinto. Así es como iptables-save muestra la regla creada por Docker para enmascarar una red puente:

ubuntu2004:~$ sudo iptables-save -t nat
...output omitted...
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
...output omitted...

En este formato, puedes ver claramente la fuente especificada (-s 172.17.0.0/16), y el ! -o docker0 es una abreviatura que indica que la interfaz de salida no es el puente docker0. En otras palabras, el tráfico procedente de 172.17.0.0/16 no está destinado a ningún destino en el puente docker0. El destino se especifica mediante -j MASQUERADE.

Antes de pasar a la siguiente sección, presentamos un resumen visual de los ejemplos anteriores en la Figura 4-3. Puedes observar que el contenedor se ejecuta en un espacio de nombres de red (pueden existir otros espacios de nombres en el mismo host) que está conectado al espacio de nombres por defecto (host) a través de una interfaz veth. La interfaz veth está conectada al puente docker0, que a su vez está conectado a la interfaz física del host, y finalmente, mediante enmascaramiento IP, al resto de la red.

Figura 4-3. Resumen de la red de contenedores

Ha llegado el momento de pasar a Kubernetes, una popular herramienta de orquestación de contenedores. Aunque muchos de los conceptos introducidos en esta sección siguen siendo válidos -después de todo, Kubernetes trabaja con contenedores-, existen algunas diferencias notables. La siguiente sección aborda esas diferencias y se basa en lo que ya sabes sobre las redes de contenedores.

Vainas

Un Pod es una colección de contenedores que comparten acceso a la red y volúmenes de almacenamiento. Un Pod puede tener uno o varios contenedores. Sin embargo, independientemente del número de contenedores dentro de un Pod, ciertas cosas permanecen constantes:

• Todos los contenedores de un Pod se programan juntos, se crean juntos y se destruyen juntos. Los Pods son la unidad atómica de programación.

• Todos los contenedores de un Pod comparten la misma identidad de red (dirección IP y nombre de host). Kubernetes lo consigue haciendo que varios contenedores compartan el mismo espacio de nombres de red, lo que significa que comparten la misma configuración de red y la misma identidad de red. Esto introduce algunas limitaciones; por ejemplo, dos contenedores de un Pod no pueden exponer el mismo puerto. Los fundamentos de cómo estos contenedores se conectan al mundo exterior siguen siendo los descritos en "Contenedores", con algunos cambios menores.

• La identidad de red de un Pod (dirección IP y nombre de host) es efímera; se asigna dinámicamente cuando se crea el Pod y se libera cuando éste se destruye o muere. Como resultado, nunca deberías construir sistemas o arquitecturas que se basen en el direccionamiento directo de los Pods; después de todo, ¿qué ocurrirá cuando necesites ejecutar varios Pods? ¿O qué ocurrirá cuando un Pod muera y se vuelva a crear con una identidad de red diferente?

• Todos los contenedores de un Pod comparten los mismos volúmenes de almacenamiento y montajes. Esto se consigue haciendo que los contenedores compartan el espacio de nombres responsable de gestionar los volúmenes y los montajes.

• Kubernetes proporciona mecanismos de nivel superior para gestionar el ciclo de vida de los Pods. Por ejemplo, las Implementaciones son utilizadas por Kubernetes para gestionar ReplicaSets, que a su vez gestionan grupos de Pods para garantizar que el número especificado de Pods se ejecuta siempre en el clúster.

Para crear un Pod, un usuario u operador de clúster suele utilizar un archivo YAML que describe el Pod al servidor API de Kubernetes. El término que se da a estos archivos YAML es manifiestos, y se envían al servidor API (normalmente a través de la herramienta de línea de comandos de Kubernetes, kubectl, o su equivalente). El Ejemplo 4-4 muestra un manifiesto para un Pod sencillo.

apiVersion: v1     
kind: Pod          
metadata:          
  name: assets
  labels:
    app.kubernetes.io/name: zephyr
spec:
  containers:      
    - name: assets
      image: nginx 
      ports:       
        - name: http-alt
          containerPort: 8080
          protocol: TCP

Al crear Pods, el propio Kubernetes no crea los contenedores; esa tarea se deja al tiempo de ejecución del contenedor. Kubernetes interactúa con el tiempo de ejecución del contenedor a través de una interfaz estándar conocida como Interfaz de Tiempo de Ejecución del Contenedor (IRC). Existen interfaces estándar similares para el almacenamiento (Container Storage Interface, o CSI) y la red (Container Network Interface, o CNI). CNI es una parte importante de la red de Kubernetes, pero antes de hablar de CNI, echemos un vistazo a los Servicios de Kubernetes.

Servicios

Si no puedes conectarte directamente a un Pod, ¿cómo es posible que las aplicaciones que se ejecutan en Pods se comuniquen a través de la red? Esta es una de las desviaciones más significativas de Kubernetes respecto a los modelos de red anteriores. Cuando trabajas con máquinas virtuales, la identidad de red de la máquina virtual (dirección IP y/o nombre de host) suele durar mucho tiempo, y puedes esperar poder conectarte a la máquina virtual para acceder a cualquier aplicación que se esté ejecutando en ella. Cuando te pasas a los contenedores y Kubernetes, eso ya no es cierto. La identidad de red de un Pod es efímera. Además, ¿qué ocurre si hay múltiples réplicas de un Pod? ¿A qué Pod debe conectarse otra aplicación o sistema?

En lugar de conectarse a un Pod (o a un grupo de Pods), Kubernetes utiliza un Servicio(el Ejemplo 4-5 muestra el manifiesto de uno sencillo). Un Servicio cumple dos funciones importantes:

• Asignar una identidad de red estable a un subconjunto definido de Pods. Cuando se crea un Servicio, se le asigna una identidad de red (dirección IP y nombre de host). Esta identidad de red permanecerá estable durante toda la vida del Servicio.

• Sirve como equilibrador de carga para un subconjunto definido de Pods. El tráfico enviado al Servicio se distribuye al subconjunto de Pods incluidos en el Servicio.

apiVersion: v1
kind: Service
metadata:
  name: zephyr-assets
spec:
  selector:            
    app.kubernetes.io/name: zephyr
  ports:
    - protocol: TCP
      port: 80         
      targetPort: 8080 

Este ejemplo ilustra cómo se gestiona la relación entre un Pod y un Servicio. Utilizando selectores de etiquetas, el Servicio seleccionará dinámicamente los Pods coincidentes. Si un Pod coincide con las etiquetas, será "parte" del Servicio y recibirá el tráfico enviado al Servicio. Los Pods que no coincidan con la definición del Servicio no se incluirán en él.

Las etiquetas, como la mostrada en el ejemplo anterior, son simplemente pares clave-valor, como app.kubernetes.io/name: zephyr. Las etiquetas pueden ser arbitrarias, pero deben utilizarse los estándares emergentes en torno a las etiquetas, y Kubernetes tiene normas relativas a la longitud de las claves y valores de una etiqueta.

Kubernetes admite varios tipos de Servicios:

ServicioClusterIP

Este tipo de Servicio por defecto tiene una dirección IP virtual -que sólo es válida dentro del propio clúster- asignada al Servicio. También se crea un nombre DNS correspondiente, y tanto la dirección IP como el nombre DNS permanecerán constantes hasta que se elimine el Servicio. Los Servicios ClusterIP no son accesibles desde fuera del clúster.

ServicioNodePort

Expone el Servicio en un puerto definido. El tráfico enviado a la dirección IP de un nodo en ese puerto se reenvía al ClusterIP del Servicio, que a su vez distribuye el tráfico a los Pods que forman parte del Servicio. Los Servicios NodePort te permiten exponer el Servicio a través de un proceso externo o manual, como apuntar una instancia HAProxy externa al NodePort definido del Servicio.

ServicioLoadBalancer

Requiere algún tipo de controlador que sepa cómo aprovisionar un equilibrador de carga externo. Este controlador puede formar parte del proveedor de la nube de Kubernetes, que admite la integración con las plataformas de nube subyacentes, o puede ser un software independiente que instales en el clúster. En cualquier caso, Kubernetes configura un Servicio NodePort y luego configura el equilibrador de carga externo para que reenvíe el tráfico al puerto de nodo asignado. Los Servicios del Balanceador de Carga son la principal forma de exponer Servicios fuera de un clúster Kubernetes.

Los Servicios operan en la Capa 4 del modelo OSI (en la capa TCP/UDP). Como tal, un Servicio no puede distinguir entre los nombres de host utilizados en una solicitud HTTP, por ejemplo. Dado que muchas empresas utilizaban Kubernetes para ejecutar aplicaciones basadas en web a través de HTTP/HTTPS, esto se convirtió en una limitación de los Servicios. En respuesta, la comunidad de Kubernetes creó Ingresses.

Entra en

Un Ingress se utiliza para realizar el enrutamiento de Capa 7 (HTTP), basándose en varias propiedades de una solicitud HTTP. Un Ingress es gestionado por un controlador de entrada, que es una pieza específica de software desplegada en tu clúster Kubernetes para realizar las funciones necesarias. Existen numerosos controladores de entrada, entre los que se incluyen el controlador de entrada ginx, el controlador de entrada HAProxy, el controlador de entrada Traefik y varios controladores de entrada basados en Envoy Proxy (como Ambassador, Contour y Gloo). El conjunto exacto de características de estos diversos controladores de entrada varía, pero todos realizan la misma función básica: recibir definiciones de entrada de la API de Kubernetes y realizar el enrutamiento HTTP basado en esas definiciones.

Una definición de entrada (o un objeto de entrada) proporciona un conjunto de reglas que definen cómo debe realizar el enrutamiento HTTP el controlador de entrada. Digamos, por ejemplo, que el Servicio A atiende las solicitudes de la API /users, mientras que el Servicio B atiende las solicitudes de la API /devices. Podrías tener un objeto Ingress con múltiples reglas que dirija el tráfico enviado a /users al Servicio A (refiriéndose aquí a un Servicio Kubernetes) y dirija el tráfico enviado a /devices al Servicio B. Ambas rutas podrían estar expuestas detrás de un único FQDN, como api.company.com o similar.

Alternativamente, podrías tener un objeto de Entrada que defina reglas basadas en el FQDN de la solicitud y dirija el tráfico a varios Servicios en función de ese FQDN. El Ejemplo 4-6 muestra un manifiesto de Entrada.

apiVersion: networking.k8s.io/v1 
kind: Ingress
metadata:
  name: minimal-ingress
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  ingressClassName: nginx-example
  rules:                         
  - http:
      paths:
      - path: /testpath          
        pathType: Prefix
        backend:
          service:               
            name: test
            port:
              number: 80

Otras construcciones de red

Pods, Servicios e Ingresses forman la mayor parte de lo que se utiliza habitualmente para definir cómo Kubernetes debe exponer y conectar las cargas de trabajo. Sin embargo, merece la pena mencionar brevemente un par de construcciones más:

Políticas de red

Las Políticas de Red permiten a los usuarios controlar el tráfico que entra o sale de los Pods. Son, esencialmente, cortafuegos de Pods. Sin embargo, ten cuidado con la comparación con los cortafuegos; aunque es conveniente, las Políticas de Red se comportan de forma diferente a la mayoría de los cortafuegos: no hay acción de denegación, por ejemplo, ni sentido de prioridad u orden de las reglas.

Espacios de nombres

Los espacios de nombres de Kubernetes, que no deben confundirse con los espacios de nombres del núcleo de Linux, proporcionan una separación lógica de los objetos de la API, como los Pods y los Servicios. Los espacios de nombres también afectan al descubrimiento automático de servicios basado en DNS que Kubernetes realiza para todos los Servicios.

Hasta ahora, has visto algunos de los objetos de alto nivel de la API de Kubernetes que forman los bloques de construcción de la red Kubernetes. Sin embargo, un componente clave se sitúa un nivel por debajo y es responsable de gestionar toda la fontanería que hace que funcionen las construcciones de nivel superior. Se trata de la CNI, presentada anteriormente en este capítulo, que proporciona un mecanismo estándar para conectar diversos modelos de red a Kubernetes.