O documento discute como conectar um data center corporativo à AWS usando uma VPC (Virtual Private Cloud). Apresenta os conceitos e componentes de uma VPC, incluindo subnets, gateways, tabelas de rota e segurança. Também fornece exemplos de casos de uso e melhores práticas para implementar uma VPC de forma segura e redundante.
18. Data Center virtual na AWS
Active Directory
Configuração de Rede
Encriptação
Backup
Apps on-premises
Usuários e Grupos
Rede Privada
HSM appliance
Cloud backups
Cloud apps
AWS Direct Connect
Data Center Corporativo
22. Componentes da VPC
Route table Elastic network
interface
Amazon VPC Router
Internet
gateway
Customer
gateway
Virtual
private
gateway
VPN
connection
Subnet
Elastic IP
23. • Range de IP’s na VPC
• Reside em uma AZ
• Segurança com ACL
(access control lists)
• Pode rotear pacotes entre
subnets
• Default VPC subnets
VPC subnet
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
24. • IGW = Internet Gateway
• Habilita a sua instância
conectar a Internet
• Default VPC inclui IGW
Internet Gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
25. • VGW = virtual private gateway
• A VPG é uma construção lógica
que representa um endpoint
para conexões com on-
premises
Virtual Private Gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal
User
VPN Gateway
Customer Gateway
Corporate Data Center
VPN over
the Internet
26. • CGW = customer gateway
• Dispositivo fisico ou software
appliance do seu lado para
fechar a conexão de VPN
• Tipicamente um roteador ou
firewall
Customer Gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal
User
VPN Gateway
Customer Gateway
Corporate Data Center
VPN over
the Internet
27. • Contem um conjunto de regras
para rotas que são utilizadas
para determinar o tráfego de
rede
• Cada Subnet tem somente
uma tabela rota
• Controla rotas entre IGW e
VGW
• Uma tabela de rotas pode
pertencer a múltiplas subnets
Route Table
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
28. • A VPN connection refere-se a
conexão entre a VPC e sua
rede
• Consiste em um par de túneis
IPSEC entre o VGW e CGW
VPN connection
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal User
VPN Gateway
Customer Gateway
Corporate Data Center
VPN over
the Internet
29. • EIP = elastic IP
• Endereço de IP
estático
• Mantêm na sua conta
até ser liberado
• Pode ser movido
entre instâncias na
região
Elastic IP
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
EIP EIP
30. • ENI = elastic network interface
• Interface virtual de rede que
pode ser anexada a instância
• Cada instância tem uma
interface default eth0
• Consiste em MAC address e
IP’s (público e privado)
Elastic Network Interface
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
ENI
(eth0)
ENI
(eth0)
34. Criar um VPC admin group via
AWS Identity and Access
Management (IAM)
Examplo de chamadas de API a restringir:
AttachInternetGateway
AssociateRouteTable
CreateRoute
DeleteCustomerGateway
DeleteInternetGateway
DeleteNetworkAcl
DeleteNetworkAclEntry
DeleteRoute
DeleteRouteTable
DeleteDhcpOptions
ReplaceNetworkAclAssociation
DisassociateRouteTable
35. Planeje sua distribuição de IP antes de
criá-los
• Considere extensão para outras regiões
• Considere conectividade com suas redes
internas
• Considere as aplicações hosteadas
• VPC entre /16 até /28
• CIDR não pode ser modificada após criação
• Overlapping IP = Problemas futuros
36. Planejamento de Subnet
• Suporte Multi-AZ
• Controle de Rota
– Evitar conflitos
• Subnet-level access control
– Considere controles de acesso
• Security groups, multiple VPC architectures (e
VPC peering)
• Automação (Ex: Clouformation)
• Monitoração
37. Tag o mais cedo possível e com
frequência!
• Estratégia de Tagging deve fazer parte do design
• Exemplos de tags: Código do Projeto, Centro de
Custo, Ambiente, Versão,Time, Unidade de
Negócios
• Tag recursos imediatamente após a sua criação
• AWS Billing também suporta tags
38. Redundância da VPN do Data
Center com a VPC
• Túneis redundantes com IPSEC
• Supporte a BGP e rota estática
• Redundância nos customer gateways
43. VPC Peering para conectar a VPC
10.1.0.0/16
10.0.0.0/16
• VPCs na mesma região
Peer
request
Peer
accept
• Mesma conta ou contas diferentes
• Não pode haver overlap de IP’s
44. Uso de Direct Connect
Direct Connect
Location
IPVPN
/ MPLS
Customer
Data Center
Customer
Office
Customer
Office
Customer
Office
Customer
Data Center
46. Nós temos diversos parceiros
AWS Direct Connect partners
http://aws.amazon.com/directconnect/partners/
47. Uso do AWS Marketplace para necessidades
específicas de rede e segurança
• Instâncias com AWS
com “1-Click"
• Pague por hora, mês
ou ano
• Invoice integrado do
uso da AWS e
software sde parceiro
• Rede e appliances
virtuais no EC2
• Web application
firewalls (WAF)
• Intrusion detection
• Routers / firewalls