El viernes pasado tuvo lugar el primer taller de la comunidad Cloud Sec de Squad.
¿El objetivo? Montar un clúster de Kubernetes con nodos basados en máquinas virtuales alojadas en cuatro proveedores de nube: Azure, AWS, GCP e IBM. Esto implica configurar la red VPN entre los proveedores de nube y, a continuación, instalar K8bs.
Éramos siete expertos repartidos por toda Francia: Lyon, París, Nantes y Aix, trabajando juntos a través de Teams. Fuimos seleccionados por nuestro compromiso con el tema de la nube (certificación, actividad en la red social interna, participación en eventos...). Pero hay un giro inesperado: cada uno trabajó en un clouder que no conocía. Ya fuera en solitario o en equipos de dos, todos nos pusimos manos a la obra para construir el entorno.
Primera dificultad: orientarse en la interfaz gráfica de los clouders
Los expertos de GCP se quejan de las múltiples pantallas de Azure; el grupo de recursos y su facilidad de clasificación y organización no les convencen.
En cuanto a AWS, a nadie le ha pillado por sorpresa que la visualización se limite a la región activa (siempre es un fastidio cuando uso AWS).
Al dúo que trabaja en GCP le va bastante bien con la interfaz.
IBM ofrece una interfaz que, aunque sobria, es sencilla e intuitiva.
La red
Partimos de una red en estrella en la que Azure centraliza las distintas conexiones procedentes de otros proveedores. Cabe señalar que podríamos haber instalado un cliente VPN directamente en las máquinas virtuales, pero hemos optado por utilizar puertas de enlace VPN, que se ajustan mejor a un entorno real. Descubro, a pesar de mis 10 años de experiencia con Azure, que la puerta de enlace VPN se denomina en realidad «Virtual Network Gateway». El aumento de las VPN conlleva el intercambio de numerosas direcciones IP públicas y provocará un problema que nos hará perder 30 minutos: una VPN apuntará a la dirección IP pública de una máquina virtual en lugar de a la puerta de enlace VPN, lo que bloqueará el funcionamiento. También se planteó la cuestión de si era necesario o no el BGP y, en caso afirmativo, de qué lado. El ingeniero de redes sigue siendo necesario en la nube, aunque su trabajo sea muy poco visible; es fundamental para una organización a fin de garantizar que los datos sigan las rutas deseadas.
Creación de máquinas virtuales
Aunque se trata de una fase bastante sencilla, la cantidad de configuraciones y parámetros disponibles en Azure puede resultar un poco abrumadora para quienes no están acostumbrados. El usuario novato de AWS se enfrenta a la dificultad de conectarse a su primer servidor EC2 Linux: AWS proporciona un archivo .pem que sirve de clave, pero hay que convertirlo a .ppk con un comando específico para que se pueda utilizar en Putty y permitir la conexión SSH. Existe una página de ayuda, pero no resulta precisamente intuitiva para una primera vez. GCP e IBM, por su parte, no plantean ninguna dificultad en este aspecto.
Instalación de Kubernetes y creación del clúster
Hemos utilizado distribuciones de Linux similares, pero empaquetadas y, sobre todo, optimizadas por los proveedores de servicios en la nube. La instalación de K8s resultó bastante complicada en algunos casos (cambio de repositorio a «trusted», concesión de permisos). La configuración del clúster se realizó mediante el paquete KubAdm. Es relativamente fácil de usar y permite añadir nodos a un clúster con un solo comando (aunque bastante largo). No hemos utilizado soluciones como AKS, EKS... para ser independientes del proveedor de la nube y poder, en teoría, migrar un pod de un CSP a otro. (En 4 horas no hemos podido simular la migración para ver, en particular, el impacto en la red).
Una curiosidad sobre IBM Cloud
Hace unos diez años trabajé para una empresa cliente de la oferta IBM Cloud Privado y la oferta no tenía el nivel de calidad esperado en cuanto a rendimiento y elasticidad (por cierto, desde entonces ha cerrado). Por eso, me había quedado con una mala impresión de los productos de IBM Cloud, pero la interfaz y los resultados de IBM Cloud Público que he probado esta tarde son muy prometedores. Cabe destacar la disponibilidad de una calculadora de la huella de carbono directamente en la interfaz (hay que tener en cuenta el origen de los datos y el método de cálculo utilizado), pero es una buena idea ponerla a disposición de los OPS (al igual que la parte de costes), ya que permite darse cuenta del consumo y tratar de prestarle atención. ¡Lo que demuestra que no hay que quedarse con prejuicios negativos y que no hay que dudar en probar!
Mi opinión: ¡un ejercicio muy divertido!
Como suele ocurrir, las herramientas son fundamentales:
- Las salas de Teams suponen un gran avance, ya que permiten dividir una reunión en varias más pequeñas, lo que facilita el trabajo en equipo. Es necesario preparar con antelación un documento compartido en el que se incluyan los datos que se van a compartir (IP, contraseña, clave...) para evitar malentendidos.
- Asegúrate de que las suscripciones de los clouder estén listas con antelación para que los participantes puedan ponerse manos a la obra rápidamente. Para el cuarto clouder, me había decantado por Ali Baba debido a su importante cuota de mercado, pero tras abrir la cuenta, la interfaz no parecía estar completamente traducida y presentaba elementos en chino. Por eso, preferí optar por IBM como cuarto proveedor.
Aunque ofrecen servicios similares, cada proveedor de servicios en la nube tiene sus propias particularidades. Para simplificar el taller, me había encargado de la parte de IAM antes de que empezara. Dominar varios proveedores de servicios en la nube en lo que respecta a arquitectura y seguridad no es algo que se consiga en unos pocos meses.
Preparar y llevar a cabo este taller ha sido un placer. Esto permite subsanar uno de los mayores inconvenientes de la vida de un consultor: la falta de conexión entre compañeros que trabajan en temas similares, pero con clientes diferentes. Este tipo de ejercicio nos permite precisamente conocernos, intercambiar ideas y progresar, todo ello en un ambiente agradable. Escuchar al final: «¿Me puedes enviar tus pedidos para que los revise más tarde?», entre dos consultores que probablemente nunca se hayan visto, ¡es la mejor prueba de éxito!
Matthieu GAILLARD-MIDOL
Responsable de la práctica de seguridad en la nube
