O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Creando su datacenter virtual

1.517 visualizações

Publicada em

Fundamentos de VPC y opciones de conectividad en el 2016 AWS Summit Buenos Aires

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Creando su datacenter virtual

  1. 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Felipe Garcia, Solutions Architect Diego Noya, Regional Product Manager Abril 2016 Creando su datacenter virtual Fundamentos de VPC y opciones de conectividad
  2. 2. Instancia EC2
  3. 3. 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 54.4.5.6 54.2.3.4 VPC
  4. 4. ¿Qué esperar de esta sesión? • Familiarizarse con los conceptos de VPC • Aprender a través de una configuración básica de VPC • Aprender acerca de las maneras en que usted puede adaptar su red virtual, para satisfacer sus necesidades
  5. 5. Tutorial: Configuración de una VPC conectada a Internet
  6. 6. Creación de una VPC conectada a Internet : Pasos Eligiendo un rango de direcciones Creando subredes en Availability Zones Creación de una ruta a la Internet Autorizando tráfico a/desde la VPC
  7. 7. Eligiendo un rango de direcciones
  8. 8. Revisión de la notación CIDR Ejemplo de rango CIDR: 172.31.0.0/16 1010 1100 0001 1111 0000 0000 0000 0000
  9. 9. Eligiendo un rango de direcciones para su VPC 172.31.0.0/16 Recomendado: RFC1918 range Recomendado : /16 (64K addresses)
  10. 10. Creando subnets en Availability Zones
  11. 11. Eligiendo un rango de direcciones para su subred 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 eu-west-1a eu-west-1b eu-west-1c
  12. 12. Auto-asignar IP pública: Todas las instancias obtendrán una IP pública asignada automáticamente
  13. 13. Más sobre subredes • Recomendado para la mayoría de los clientes: • / 16 VPC (64K direcciones) • / 24 subredes (251 direcciones) • Una subred por cada zona de disponibilidad • ¿Cuándo podría hacer otra cosa?
  14. 14. Creación de una ruta a Internet
  15. 15. Enrutamiento en la VPC • Tablas de rutas contienen reglas para decir para donde los paquetes van • Su VPC tiene una tabla de ruta por defecto • ... Pero se pueden asignar diferentes tablas de rutas a diferentes subredes
  16. 16. El tráfico destinado a mi VPC se queda en mi VPC
  17. 17. Internet gateway Enviar paquetes que si desea enviar hacia Internet
  18. 18. Todo lo que no va hacia la VPC: Se envía a Internet
  19. 19. Autorizando tráfico: Network ACLs y Security Groups
  20. 20. Network ACLs = reglas de firewall sin Estado Traducción a español: Permitir todo el tráfico Se puede aplicar sobre una subred
  21. 21. Los Security Groups siguen la estructura de su aplicación “MyWebServers” Security Group “MyBackends” Security Group Permitir sólo “MyWebServers”
  22. 22. Security Groups = Firewall con estado En español: Los miembros de este grupo son accesibles desde Internet por el puerto 80 (HTTP)
  23. 23. Security Groups = Firewall con estado En español: Únicamente instancias en el Security Group MyWebServer, pueden alcanzar instancias de este Segurity Group
  24. 24. Security Groups en VPCs: Notas adicionales • VPC permite la creácion de reglas de seguridad de ingreso y egreso • Best practice: Siempre que sea posible, especifique por referencia el trafico permitido (otros Security Groups) • Muchas arquitecturas de aplicaciones tienen una relación 1:1 con Security Groups (lo que puede llegar a mi) y AWS Identity and Access Management (IAM) roles (lo que puedo hacer)
  25. 25. Opciones de Conectividad de una VPC
  26. 26. Más allá de la conectividad a Internet Opciones de enrutamiento en la Subred Conexión a la red corporativa Conexión a otras VPCs
  27. 27. Enrutamiento en Subredes: Subreds internas
  28. 28. Diferentes tablas de rutas para diferentes subredes VPC subnet VPC subnet Tiene ruta a Internet No tiene ninguna ruta a Internet
  29. 29. El acceso a Internet a través de NAT con EC2 VPC subnet VPC subnet NAT 0.0.0.0/0 0.0.0.0/0 Instancia EC2 con Imagen (AMI) de NAT de Amazon: amzn-ami-vpc-nat SPoF
  30. 30. El acceso a Internet a través de NAT con NAT Gateway VPC subnet VPC subnet NAT 0.0.0.0/0 0.0.0.0/0 NAT Gateway altamente disponible, por AWS
  31. 31. Conexión a otra VPC: VPC peering
  32. 32. VPC de Servicios compartidos con VPC Peering (Hub-and-Spoke) Servicios Core • Autenticación/Directorio • Monitoreo • Logging • Administración Remota • Scanning
  33. 33. VPC peering VPC Peering 172.31.0.0/16 10.55.0.0/16
  34. 34. Pasos para establecer un VPC Peering: Iniciar solicitud 172.31.0.0/16 10.55.0.0/16 Step 1 Initiate peering request
  35. 35. Pasos para establecer un VPC Peering: Iniciar solicitud
  36. 36. Pasos para establecer un VPC Peering: Aceptar la solicitud 172.31.0.0/16 10.55.0.0/16 Step 1 Iniciar solicitud Step 2 Aceptar solicitud
  37. 37. Pasos para establecer un VPC Peering: Aceptar la solicitud
  38. 38. Pasos para establecer un VPC Peering: Crear ruta 172.31.0.0/16 10.55.0.0/16Step 1 Initiate peering request Step 2 Accept peering request Step 3 Crear Rutas En español: Tráfico destinado a la preered VPC deberá ir por el peering
  39. 39. Conectando a su red: AWS Hardware VPN & AWS Direct Connect
  40. 40. Extender su propia red a la VPC VPN Direct Connect
  41. 41. VPN: Lo que necesitas saber Customer Gateway (CGW) Virtual Gateway (VGW) Dos túneles IPSec 192.168.0.0/16 172.31.0.0/16 192.168/16 Su dispositivo de Red
  42. 42. Enrutando a un Virtual Private Gateway (VGW) En español: Tráfico a mi red 192.168.0.0/16 sale por el túnel VPN
  43. 43. VPN vs. Direct Connect • Ambos permiten conexiones seguras entre su red y su VPC • VPN és un par de túneles a través de Internet • Direct Connect es una línea dedicada con un mejor costo por GB • Para mayor alta disponibilidad: Use ambos
  44. 44. DNS en la VPC
  45. 45. Opciones de DNS en la VPC Utilizar el servidor DNS de Amazon Hostname automático para las instâncias EC2
  46. 46. EC2 DNS hostnames de EC2 en la VPC Nombre DNS interno: Resuelve a la dirección IP Privada Nombre DNS externo: Resuelve…
  47. 47. EC2 DNS hostnames de EC2 trabajan desde cualquier parte: Fuera de su VPC C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Server: globaldnsanycast.amazon.com Address: 10.4.4.10 Non-authoritative answer: Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Address: 52.18.10.57 Fuera de su VPC: Dirección IP Pública
  48. 48. EC2 DNS hostnames de EC2 trabajan desde cualquier parte: Dentro de su VPC [ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A ;; ANSWER SECTION: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 22:32:56 2015 ;; MSG SIZE rcvd: 81 Dentro de su VPC: Dirección IP Privada
  49. 49. Amazon Route 53 zonas privadas • La resolución de DNS para un dominio y subdominios • Los registros DNS sólo tienen efecto dentro de las VPC asociadas • Puede utilizarlo para anular registros DNS "externos"
  50. 50. Creando una zona privada en Route 53 Zona Privada Asociado con uno o más VPCs
  51. 51. Creando un registro DNS en Amazon Route 53 Private Hosted Zone example.demohostedzone.org  172.31.0.99
  52. 52. Consulta de registros en zonas privadas https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/ [ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;example.demohostedzone.org. IN A ;; ANSWER SECTION: example.demohostedzone.org. 60 IN A 172.31.0.99 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 00:13:33 2015 ;; MSG SIZE rcvd: 60
  53. 53. Y mucho más
  54. 54. VPC Flow Logs: Vea todo el tráfico • La visibilidad de los efectos de las reglas de Security Group • Solución de problemas de conectividad de red • Capacidad para analizar el tráfico
  55. 55. Amazon VPC endpoints: Amazon S3 sin un Internet gateway
  56. 56. ClassicLink: Conectar instancias de EC2- Classic a su VPC • Conectividad a través de la dirección IP privada de instancias vinculadas entre EC2-Classic y VPC • Instancias EC2-Classic pueden ingresar en Security Groups de la VPC
  57. 57. Maneje su red “like a boss…” …si eres o no un experto en redes 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 54.4.5.6 54.2.3.4
  58. 58. Level 3
  59. 59. Acerca de Level 3
  60. 60. Level 3 LATAM
  61. 61. Level 3 Argentina
  62. 62. Sin una estrategia de red, no hay una estrategia de Nube
  63. 63. Red Pública vs Red Privada https://www.youtube.com/watch?v=mUCTwhjQNOI
  64. 64. Level 3 Cloud Connect US East (Virginia) US West (N. California) US West (Oregon) EU West Ireland Sao Paulo Singapore Tokio Sydney
  65. 65. Level 3 Cloud Connect Cloud Connect IPVPN • Conectividad Full Mesh • Flexibilidad para crecimiento • Instalación simple y competitiva para cliente existente • Valor agregado a IPVPN • Permite ofrecer más servicios a clientes nuevos • Aplicaciones en la nube Cloud Connect EVPL • Conectividad P2P • Configuración de cliente simple • Conexión de un DC a la nube (nube híbrida) NNI NNI
  66. 66. Opciones de Conectividad Internet IPVPN EVPL/VPLS PL/EPL DWDM Red pública compuesta por diferentes proveedores. Transporte best effort (jitter, packet loss) Requiere encriptado para mejorar seguridad. VPN capa 3 sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. Topología full mesh. 6 clases de servicio. Ethernet sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. El cliente debe administrar direcciones IP. Punto a punto transparente. Transporte TDM, no conmutación de paquetes. Para usos específicos Anchos de banda > 1Gbps. Servicio no protegido. Longitud de onda de uso exclusivo.
  67. 67. Performance = Productividad
  68. 68. Gracias!

×