Tutorial de configuración de VPC y seguridad en DigitalOcean
En este artículo exploraremos en detalle cómo diseñar, crear y asegurar una Red Privada Virtual (VPC) en DigitalOcean. Aprenderás desde los conceptos básicos hasta las mejores prácticas para proteger tus instancias (Droplets) y recursos asociados.
1. ¿Qué es una VPC
Una VPC (Virtual Private Cloud) es una red privada dedicada dentro de la infraestructura de DigitalOcean. Permite:
- Aislar tus recursos de redes públicas.
- Controlar el enrutamiento y el tráfico interno.
- Aplicar políticas de seguridad granular.
2. Ventajas de usar una VPC
- Seguridad mejorada: El acceso público se restringe y se añade un nivel de firewall interno.
- Rendimiento óptimo: El tráfico interno no sale a la Internet pública.
- Escalabilidad: Añade o elimina recursos sin reorganizar la red principal.
3. Creación de una VPC en DigitalOcean
Sigue estos pasos en el panel de control de DigitalOcean o mediante doctl:
- Accede a tu Dashboard y ve a Networking gt VPC.
- Clic en Create VPC y define:
- Nombre descriptivo.
- Región donde residirán tus recursos.
- Rango de IPs (CIDR) interno, p.ej.
10.10.0.0/16. - Confirma y espera a que se aprovisione la VPC.
Alternativa por CLI:
doctl vpc create mi-vpc --region nyc3 --ip-range 10.10.0.0/164. Asignación de Droplets a la VPC
Al crear un nuevo Droplet puedes seleccionar la VPC en su sección de networking. Para un droplet existente:
- Detén el Droplet.
- En Networking, cambia la VPC asignada.
- Inicia el Droplet nuevamente.
5. Configuración de subredes y rutas internas
Por defecto, DigitalOcean controla el enrutamiento interno. Si necesitas segmentar:
- Crea múltiples VPCs o varios rangos CIDR dentro de la misma VPC.
- Usa etiquetas (tags) para definir reglas de firewall basadas en recursos agrupados.
6. Seguridad en la VPC: Firewalls y reglas
DigitalOcean Firewalls actúan como capas de seguridad a nivel de instancia. Puedes aplicarlos a tu VPC o a recursos específicos.
| Protocolo | Puerto(s) | Origen | Descripción |
|---|---|---|---|
| TCP | 22 | 10.10.0.0/16 | Acceso SSH desde la VPC |
| TCP | 80,443 | 0.0.0.0/0 | Tráfico HTTP/S público |
Ejemplo de creación de Firewall por CLI:
doctl compute firewall create --name fw-vpc --inbound protocol:tcp,ports:22,sources:10.10.0.0/16 --inbound protocol:tcp,ports:80,443,sources:0.0.0.0/0 --droplet-ids 123456787. Buenas prácticas de seguridad
- Principio de menor privilegio: Define reglas de firewall estrictas y limita puertos.
- Rotación de SSH Keys: Actualiza tus llaves periódicamente.
- Separación de entornos: Usa VPCs / etiquetas diferentes para desarrollo, staging y producción.
- Monitoreo y logging: Habilita Monitoring Logging para detectar anomalías.
- Actualizaciones regulares: Mantén tus Droplets y software actualizados.
8. Conexión entre VPCs y VPN
Para conectar múltiples VPCs o tu red on-premise, considera:
- Soluciones de VPN (OpenVPN, WireGuard) dentro de un Droplet.
- Servicios de Cloud Router o software de enrutamiento.
9. Recursos adicionales
Conclusión
Implementar y gestionar una VPC en DigitalOcean es fundamental para mejorar la seguridad y el rendimiento de tus aplicaciones. Siguiendo este tutorial tendrás un entorno aislado y protegido, listo para crecer de forma escalable y controlada.
Leave a Reply