- Inicie sesión para enviar comentarios
Paul Mockapetris propuso por primera vez el sistema de nombres de dominio (DNS - Domain Name System) en 1983. Desde 1984 tenemos la implementación BIND, cómo no, en UNIX, concretamente en el de UC Berkeley. Desde 1986 DNS está estandarizado por IETF. Windows, naturalmente, ... tardó un poquito más, pero desde Windows 2000 está disponible el servicio de DNS también en este sistema.
41 años. Si, 41 largos años.
Y todavía, direcciones IP a fuego por todas partes: en ficheros de configuración, tecleadas en el navegador para acceder a servicios internos, IPs de servidores de bases de datos, de impresoras, de aplicaciones, de cafeteras, termostatos, smart cepillos de dientes, de todo....
Y los usuarios y administradores teniendo que recordar o apuntar direcciones IP. Y excels, muchas excels.
Lo he visto literalmente en cientos de clientes: pequeños, medianos, grandes, sin admins, con administradores, con administradores expertos en networking con montones de CCNA, CCNP, y CCNPlusMega, ... Es algo inexplicable.
¿A ver, no es más sencillo dbprod.empresa.com, dbdev.empresa.com, ..., que tener que recordar 192.168.230.47, etc, etc?
Ya es hora de dejar de hacer esta chapucilla.
Con el nombre de dominio nos referimos a un servicio por lo que es, no por donde está. Y esto va mucho más allá de una cuestión de comodidad.
Hay que abstraerse de las redes. Las redes van a cambiar, y mucho. Ahora los servidores están en la LAN. El mes que viene pueden estar en otra LAN distinta de la organización. O en una cloud. O en otra cloud distinta. Y otra vez puede volver a la LAN. Y después tendremos unos en LAN, otros en una cloud y otros en otra cloud distinta y algunos en co-location. Con virtualización, que ya tiene también sus años, con sistemas de nube híbrida, .... es muy fácil mover máquinas y muy frecuente la necesidad de replantearse las redes.
- con nombres y DNS: migración trivial (al margen de "otras consideraciones", lo sé)
- sin nombres, con IPs a fuego: migración de pesadilla. Y pesadilla que va a obligar a hacer varias chapuzas.
No hay excusa. DNS es fácil y barato. Está en Linux. Está en Windows/AD. Está en los proveedores de cloud. Puede correr hasta en un smartwatch si me apuras. Y por si no fuera fácil, tampoco hay excusa: Los nombres y las IPs se configuran en el fichero de hosts (que lo tenéis versionado en git, supongo? por favor decidme que si). Y en windows, a las malas, se puede distribuir con una GPO o métodos varios que los sysadmin saben.
Vamos a ver un caso muy típico. En la empresa deciden llevarse algunas, varias, o todas las máquinas a un Datacenter próximo. Las máquinas están en 10.0.10.0/24, por ejemplo. En el data, lógicamente van a tener que configurar otra red, digamos 10.0.20.0/24. Peeroo.... hay que cambiar la IP en las máquinas que se migran. Y esas IP están a fuego en muchos sitios. Habría que cambiar la configuración en demasiados endpoints y en montoooones de ficheros en los servidores. A ver quién se atreve: nadie.
Entonces, al comercial de telco (perdonadme amigos), o al propio cliente, se le ocurre la solución: nada, configuramos la misma red en todas partes y te ponemos un enlace de nivel 2 entre tu LAN y el data, y problema solucionado, ya no se cambian IPs. O una L2VPN, o alguna chapucita por el estilo.
PUES NO! MAL! MUY MAL!
Los enlaces de N2 son:
- caros
- malos
- innecesarios
- peligrosos: ¿cómo pongo reglas de firewall para aislar mi LAN del data?. No se puede. Tormentas de broadcast.... ahora ya las tienes por todas partes. Virus? ya no tienen barreras entre sites.
- muy muy difíciles de redundar. Bucles, anybody? Todos los switches se entienden bien? En serio? Spanning tree???? jajajajajajajaja!!!!! La vas a liar parda.
Entonces, consecuencias de usar IPs en lugar de nombres:
- mala usabilidad
- uso excesivo de memoria de las formas de vida basadas en carbono
- migraciones horribles
- comunicaciones más caras y menos robustas
- problemas de seguridad inmediatos
- más problemas de seguridad y rendimiento a largo plazo, porque las IP a fuego van a dificultar hacer rediseños y evoluciones de la red. Parálisis.
- me enfadaré, os perseguiré y os quitaré el carnet.
FAQ
1. Fernando, hay algún caso en el que esté justificado usar directamente direcciones IP en lugar de nombres?
- No.
2. Pero es que...
- No.
3. Tú no sabes, este entorno es especial, aqui tenemos...
- No.
4. Ya pero, y si...
- No.
5. Vale, pero escucha, y si...
- Que no leche.
Para otro capítulo, podríamos hablar de VLANs, de IPAM, microsegmentación, ... Pero primero vamos a hacer bien lo básico :) Tengan cuidado ahi fuera!
¿Necesitas ayuda con tus IPs, tus nombres o con tus redes? --> Consúltanos, te ayudaremos.