viernes, 26 de octubre de 2018

Empieza usando Terraform en Google cloud

HashiCorp Terraform es una potente herramienta de automatización de infraestructura de open source para aprovisionar y administrar la infraestructura como código.

Google ha estado colaborando con HashiCorp desde 2013 para ayudar a los clientes que usan Terraform y otras herramientas de HashiCorp a hacer un uso óptimo de los servicios y características de Google Cloud Platform (GCP).

A medida que Terraform y GCP crecieron en popularidad, se continuado integrando las herramientas con mayor profundidad para facilitar la experiencia del desarrollador. Pero si bien hay una larga y creciente lista de recursos de proveedores de Terraform GCP, comenzar con Terraform en GCP puede necesita un poco de formación:

  •     Instalar Terraform
  •     Configurar una cuenta de servicio GCP
  •     Copie una configuración que (con suerte) funcionó de la documentación.
Una forma nueva y fácil de evitar este proceso manual es utilizando Google Cloud Shell. Con Cloud Shell, obtiene acceso de la línea de comandos a sus recursos de la nube directamente desde su navegador, por lo que puede administrar proyectos y recursos fácilmente sin tener que instalar ninguna herramienta en su sistema.
Además, las herramientas de línea de comandos como Terraform y otras utilidades se autentican automáticamente, por lo que puede usarlas sin necesidad de configuración.





Toma nota: hay varios ejemplos en la documentación del proveedor de GCP ahora tienen un botón "Abrir en Cloud Shell", que le permite iniciar configuraciones de uso de ejemplo de Terraform con un solo clic.

Haga clic en el botón para iniciar una sesión interactiva de Cloud Shell con el ejemplo cargado y Terraform listo para usar. De esta manera, puede utilizar configuraciones Terraform reales y de trabajo en Cloud Shell e iterar ideas antes de incorporarlas al flujo de trabajo de aprovisionamiento de infraestructura como código de su equipo.

open in cloud shell


En resumen, con esta nueva integración con Cloud Shell, aprender a usar los nuevos recursos de GCP en Terraform es más fácil que nunca:

Empiece a configura la infraestructura de forma instantánea como código con Terraform en GCP, no se requiere experiencia

Para comenzar con nuestro ejemplo de instancia de máquina virtual a continuación. Asegúrese de seguirnos en Twitter y de abrir un problema de GitHub si tiene alguna pregunta.

Para obtener más información sobre Terraform, visite: https://www.terraform.io


¿Está interesado en contar a otros tu historia de uso de HashiCorp o quizás cómo los productos de HashiCorp ayudaron con ese increíble proyecto que construyó? Haznos saber. Envíe su historia o idea a guestblogs@hashicorp.com.

martes, 23 de octubre de 2018

Nueva herramienta para el analisis de Firewall y logs de las redes.

En el momento que tenemos trafico en nuestra red, se necesita monitorizar el trafico, su tamaño y  cargas de trabajo en los sistemas, para garantizar que todas las conexiones establecidas tengan su autorización  y que todos los intentos de conexión no deseados se bloqueen correctamente. 

En Google cloud se acaba de mejorar la monitorización de seguridad de la red de Google Cloud Platform (GCP) y las capacidades forenses con la introducción del registro de reglas de firewall, que le permite rastrear todas las conexiones que se han permitido o denegado en sus instancias de VM, casi de en tiempo real.

Como parte de las  ofertas para telemetría de red, el registro de reglas de firewall le permite auditar, verificar y analizar los efectos de sus reglas de firewall. En otras palabras, puede validar que cada conexión establecida en su flujo de trabajo  coincida con las condiciones de sus reglas de firewall de acceso permitido; y de manera similar, se bloquea cualquier conexión que coincida con una regla de firewall de acceso denegado.


Además, los registros de firewall muestran registros de conexión permitidos o denegados cada cinco segundos, lo que le brinda visibilidad casi en tiempo real de los posibles riesgos de seguridad.



firewall_logs.png


Los registros de firewall capturan las conexiones de todos los firewalls aplicados a cada flujo de trabajo, incluyendo:

  • Permitir y denegar reglas de firewall 
  • Conexiones de entrada y salica. 
  • Conexiones desde dentro de una VPC y desde internet.

Los registros generados por este proceso producen registros que incluyen una variedad de puntos de datos, incluida la 5-tupla de la conexión, si la disposición fue PERMITIDA o NEGADA, y qué regla se aplicó en el momento del registro. También puede exportar de forma nativa estos datos a Stackdriver Logging o BigQuery. O, utilizando Cloud Pub / Sub, puede exportar estos registros a cualquier número de analíticas en tiempo real o plataformas SIEM.



Ajusta, analiza y depura la seguridad de tu red.


La disponibilidad del registro de reglas de firewall es útil para una amplia variedad de tareas de operaciones de seguridad de red:


    Depuración de la seguridad de la red: los registros del servidor de seguridad le permiten solucionar problemas de las conexiones de red, informándole casi en tiempo real si sus conexiones de 5-tupla estan permitidas o negadas, según el nombre de la regla del servidor de seguridad y las condiciones exactas.


    Análisis forense de seguridad de red: los registros de firewall le permiten investigar comportamientos de red sospechosos y no deseados, por ejemplo, un gran número de conexiones no autorizadas de fuentes específicas a las que se está bloqueando el acceso.


    Auditoría y cumplimiento de seguridad de la red: los registros de firewall también lo ayudan a garantizar el cumplimiento, al registrar cada conexión permitida y cualquier intento no autorizado bloqueado en cualquier momento. También marca y registra las instancias de VM que intentan iniciar conexiones de salida no autorizadas.


    Análisis de seguridad en tiempo real: con Cloud Pub / Sub API, puede exportar fácilmente sus registros a cualquier ecosistema SIEM que ya esté utilizando.


Para obtener más información acerca de los registros de reglas de firewall, incluyendo cómo comenzar y los precios, visite la documentación y la página del producto.


miércoles, 17 de octubre de 2018

Cloud NAT [Nuevo servicio en Google Cloud]

cloud_NAT.png 


En Google Cloud español nos hacemos eco de que  hace unos días, se anuncio la versión beta del servicio servicio Cloud NAT totalmente gestionado.
 

Los usos del "Cloud NAT"


Cuando coloca una aplicación detrás de una puerta de enlace NAT en el Cloud, puede acceder a Internet (para actualizaciones, parches, administración de configuración y más) de una manera controlada y eficiente, pero los recursos externos no pueden acceder directamente a esas instancias. Esto ayuda a mantener sus VPC de Google Cloud más aisladas y seguras.
Cloud NAT ofrece una serie de ventajas en comparación con otras ofertas de NAT:
  • Como una solución definida por software sin un proxy central administrado, Cloud NAT ofrece un diseño  que es altamente confiable, de alto rendimiento y escalable.
  • Cloud NAT es compatible con las máquinas virtuales (VM) de Google Compute Engine y con el motor de Google Kubernetes (contenedores).
  • La capacidad de configurar múltiples direcciones IP de NAT por puerta de enlace NAT le permite escalar según el tamaño de su red sin tener que agregar o administrar otra puerta de enlace NAT.
  • Los modos Manual y Automático para la asignación de IP NAT le permiten ajustar según sus requisitos específicos.En modo manual proporciona un control total al especificar IP, y en modo Automático permite que las IP de NAT se asignen y escalen automáticamente según el número de instancias.
  • Ajuste los valores de timeout del NAT.
  • NAT todas las subredes en una VPC para una región a través de una única puerta de enlace NAT, independientemente del número de instancias en esas subredes.
  • Alta disponibilidad regional incluso si una zona no está disponible.

Los primeros usuarios de Cloud NAT están implementando y presenta un correco funcionamiento dentro de sus implementaciones existentes de Google Cloud.


NAT  chokepoint, definido por software

Chokepoint-free.png

 
Cloud NAT es un servicio totalmente administrado, definido por software, no una solución basada en instancias o dispositivos. Esto difiere de las soluciones de proxy NAT tradicionales porque no hay proxies intermedios NAT en la ruta desde la instancia hasta el destino. En su lugar, a cada instancia se le asigna una IP NAT junto con una asignacion del rango de puerto asociado. Esta IP asignada y el rango de puertos está programado por nuestra pila de virtualización de red de Andrómeda en la instancia y luego la instancia lo utiliza para realizar NAT.

La implementación de Cloud NAT, es similar a nuestros cortafuegos, se distribuye sin ningún punto de estrangulamiento en la ruta entre su instancia interna y su destino externo. Este enfoque ofrece una mayor escalabilidad, rendimiento, rendimiento y disponibilidad para Cloud NAT.

Modos de asignación de IP NAT


Cuando se diseño el modelo de asignación de IP de Cloud NAT, por peticion de los clientes que apuntaban a  la capacidad de configurar las IP de NAT estáticas y especificadas manualmente es esencial para que puedan abrir firewalls para estas IP de NAT en los servidores externos. Tambien se puede  escalar automáticamente las IP de la nube como lo hacen nuestros balanceadores de carga.

Por eso se puede ofrecer dos opciones para la asignación de IP NAT:
  •     Podemos usar la asignación automática de direcciones IP mediante una puerta de enlace NAT: GCP asigna automáticamente las direcciones IP de NAT y las ajusta automáticamente en función del número de máquinas virtuales. Esta es la mejor manera de garantizar que haya suficientes IP disponibles para NAT. Tenga en cuenta que con este método, las IP de la lista blanca en el lado receptor se ajustan peor  porque algunas IP se liberan cuando ya no son necesarias.
  •     Configure una (s) IP (s) NAT específica (s) para ser utilizadas por una puerta de enlace NAT: En este caso, debe especificar manualmente una o más IP de NAT para que la puerta de enlace NAT las utilice. Estas direcciones IP deben ser reservadas y estáticas, y no se realiza una autoasignación de direcciones IP. Se prefiere este modo si necesita incluir en la lista blanca las direcciones IP de NAT en el lado receptor. Tenga en cuenta que si no hay suficientes IP NAT para realizar NAT para todas las instancias requeridas, entonces algunas de estas instancias no podrán usar NAT. Recibirá un mensaje de registro cuando se requieran más direcciones IP de NAT.

Creando una puerta de enlace NAT en su VPC


Para configurar una puerta de enlace NAT en su entorno. Echemos un vistazo a un ejemplo.

Digamos que tiene una red GCP que contiene tres subredes en dos regiones:
    us-este1
        subred 1 (10.240.0.0/16) y subred 2 (172.16.0.0/16)
          europa-oeste
                subred 3 (192.168.1.0/24)

Las máquinas virtuales en la subred 1 (10.240.0.0/16) y la subred 3 (192.168.1.0/24) no tienen direcciones IP externas, pero necesitan obtener actualizaciones periódicas de un servidor externo al 203.0.113.1. Las máquinas virtuales en la subred 2 (172.16.0.0/16) no necesitan obtener estas actualizaciones y no se les debe permitir conectarse a Internet en absoluto, incluso con NAT.

VMs in subnet.png
 
Para lograr esta configuración, primero configure una puerta de enlace NAT por región, por red:

   1. Configure NAT-GW-US-EAST para la subred 1 (10.240.0.0/16).

   2. Configure NAT-GW-EU para la subred 3 (192.168.1.0/24).

   3. Configure cada puerta de enlace NAT con la (s) subred (s) para la cual debe traducir el tráfico:

        subred 1 (10.240.0.0/16) para NAT-GW-US-EAST

        subred 3 (192.168.1.0/24) para NAT-GW-EU

   4. No configure NAT para la subred 2. Esto lo aísla de Internet, como lo requiere este ejemplo.

Para obtener información detallada sobre cómo configurar Cloud NAT, puede ver las configuraciones de Cloud NAT para Google Compute Engine y Google Kubernetes Engine aquí.

Cloud NAT para GKE

Puede usar Cloud NAT para los contenedores de Kubernetes de Google (GKE) configurando Cloud NAT a NAT-traducir todos los rangos en la subred.


GKE.png

Tanto los nodos como los pods pueden usar Cloud NAT. Si no desea que los Pods puedan usar NAT, puede crear una Política de red de clústeres para evitarlo.

En el ejemplo anterior, se permite que sus contenedores se traduzcan a NAT. Para habilitar NAT para todos los contenedores y el nodo GKE, debe elegir todos los rangos de IP de la subred 1 como candidatos de NAT. No es posible utilizar NAT solo para container1 o container2.

Precios y disponibilidad

Cloud NAT está disponible en todas las regiones de Google Cloud, y durante el período beta, lo ofrecemos de forma gratuita. Una vez que Cloud NAT está disponible en general (GA), cada puerta de enlace tiene el precio siguiente:
  •     A partir de $ 0.045 por hora de puerta de enlace NAT
  •     Cargos de procesamiento de datos NAT

Además, los costos de transferencia de salida para mover datos entre una instancia de GCP e Internet permanecen sin cambios. Para obtener más información, lea acerca de los precios de NAT de la nube aquí.

Prueba Cloud NAT

Hemos estado ocupados ofreciendo capacidades como Cloud NAT para hacer que sus cargas de trabajo y servicios de Google Cloud sean fáciles de implementar y administrar. Lea  la documentación en línea de Cloud NAT y comience con una implementación de muestra utilizando nuestro ejemplo de Cloud NAT. También nos encantaría recibir sus comentarios, puede contactar en gcp-networking@google.com.

miércoles, 10 de octubre de 2018

Nuevo video de introducción a Google cloud en nuestro canal on-line

Teneis un nuevo video de introducción  a la plataforma de google Cloud , y como poder crear una maquina con Windows Server y otra con Ubuntu, en el entrono de Google Cloud, ademas intalamos apache en la maquina Linux y nos concestamos via http.

Es un video de introduccion recomendado para aquellos que nunca han usado la plataforma cloud, con recomendaciones he indicaciones de como sonseguir creditos free.

Enjoy.