O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Creando su Datacenter Virtual: Fundamentos de VPC y opciones de conectividad

1.603 visualizações

Publicada em

Creando su Datacenter Virtual: Fundamentos de VPC y opciones de conectividad
AWS Summit Ciudad de México - Jueves, 26 de mayo

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Creando su Datacenter Virtual: Fundamentos de VPC y opciones de conectividad

  1. 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Mayo 2016 Fundamentos de VPC y opciones de conectividad Ivan Salazar, Enterprise Solutions Architect AWS
  2. 2. EC2 Instance
  3. 3. 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 54.4.5.6 54.2.3.4 VPC
  4. 4. What to Expect from the Session •  Familiarizarse con los conceptos de VPC •  Tutorial de una configuración básica de VPC •  Aprenda acerca de las diferentes maneras con las cuales usted puede personalizar su red virtual para cumplir sus necesidades ¿Qué esperar de la sesión?
  5. 5. Tutorial: Configurar una VPC conectada a Internet
  6. 6. Creando una VPC conectada a Internet: Pasos Seleccionar un rango de direcciones Configurar las subredes en Zonas de Disponibilidad Crear una ruta hacia Internet Autorizar el tráfico hacia/desde la VPC
  7. 7. Seleccionar un rango de direcciones
  8. 8. Notación CIDR Ejemplo de rango CIDR: 172.31.0.0/16 1010 1100 0001 1111 0000 0000 0000 0000
  9. 9. Seleccionar rangos de direcciones IP para la VPC 172.31.0.0/16 Recomendado: Rango RFC1918 Recomendado: /16 (64K addresses)
  10. 10. Configurar subredes
  11. 11. Seleccione rangos de direcciones para subredes 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 eu-west-1a eu-west-1b eu-west-1c
  12. 12. Auto-assign Public IP: Todas las instancias obtendrán una dirección IP pública asignada de manera automática
  13. 13. Más acerca de las subredes •  Recomendado para la mayoría de los clientes: •  /16 VPC (64K direcciones) •  /24 subredes (251 direcciones) •  Una subred por Zona de Disponibilidad •  Cuándo debe hacer algo diferente?
  14. 14. Crear una ruta hacia Internet
  15. 15. Ruteo en su VPC •  Las tablas de ruteo contienen reglas para qué paquetes van a dónde •  Su VPC tiene una tabla de ruteo por defecto •  … pero usted puede asignar diferentes tablas de ruteo a diferentes subredes
  16. 16. El tráfico destinado para my VPC sequeda en mi VPC
  17. 17. Internet gateway Mande los paquetes aquí si quiere que salgan a Internet
  18. 18. Todo lo que no está destinado a la VPC: Mandarlo a Internet
  19. 19. Autorizar el tráfico: Network ACLs Grupos de seguridad
  20. 20. Network ACLs = reglas sin estado de firewall Traducción: Permite TODO el tráfico de entrada Se pueden aplicar por subred
  21. 21. Los grupos de seguridad siguen la estructura de su aplicacón “MyWebServers” Security Group “MyBackends” Security Group Sólo permite a “MyWebServers”
  22. 22. Grupos de seguridad = firewall con estado En español: Los hosts de este grupo son alcanzables desde internet en el puerto 80 (HTTP)
  23. 23. En español: Sólo las instancias en el grupo de seguridad MyWebServers pueden alcanzar instancias en este grupo de seguridad Grupos de seguridad = firewall con estado
  24. 24. Grupos de seguridad en VPCs: Notas •  Las VPC permiten la creación de reglas de grupos de seguridad tanto de ingreso como de egreso •  Mejores prácticas: Cuando sea posible, especifique tráfico permitido por referencia (otros grupos de seguridad) •  Muchas arquitecturas de aplicaciones los lleva a sí mismos a una relación 1:1 entre grupos de seguridad (quién me puede alcanzar) y roles de AWS Identity and Access Management IAM (qué puedo hacer).
  25. 25. Opciones de conectividad para VPCs
  26. 26. Más allá de la conexión a Internet Opciones de ruteo en subredes Connexión a la red de su centro de datos corporativo Connexión a otras VPC
  27. 27. Ruteo en subredes: Subredes internas
  28. 28. Diferentes tablas de ruteo para diferentes subredes VPC subnet VPC subnet Tiene ruta hacia Internet No tiene ruta hacia Internet
  29. 29. Acceso por NAT a Internet VPC subnet VPC subnet NAT 0.0.0.0/0 0.0.0.0/0 Imagen de instancia NAT de Amazon: amzn-ami-vpc-nat
  30. 30. Conexión a otras VPCs: VPC peering
  31. 31. Servicios compartidos: VPC peering Servicios comúnes/core •  Autenticación/directorio •  Monitoreo •  Logueo •  Administración remota •  Escaneo
  32. 32. VPC peering VPC Peering 172.31.0.0/16 10.55.0.0/16
  33. 33. Pasos para establecer conexión: Iniciar Solicitud 172.31.0.0/16 10.55.0.0/16 Paso 1 Iniciar solicitud de peering
  34. 34. Pasos para establecer conexión: Iniciar Solicitud
  35. 35. Pasos para establecer conexión: Aceptar la solicitud 172.31.0.0/16 10.55.0.0/16 Paso 1 Iniciar solicitud de peering Paso 2 Aceptar la solicitu de peering
  36. 36. Pasos para establecer conexión: Aceptar la solicitud
  37. 37. Pasos para establecer conexión: Crear ruta 172.31.0.0/16 10.55.0.0/16Paso 1 Iniciar la solicitud de peering Paso 2 Aceptar la solicitud de peering Paso 3 Crear ruta En español: El tráfico destinado para VPC interconectada debe de ir al peering
  38. 38. Conexión a su Red: AWS VPN de Hardware & AWS Direct Connect
  39. 39. Extienda su propia red a su VPC VPN Direct Connect
  40. 40. VPN: Lo que necesita saber Customer Gateway Virtual Gateway Dos túneles IPSec 192.168.0.0/16 172.31.0.0/16 192.168/16 Su dispositivo de red
  41. 41. Ruteo a un virtual private gateway (VPG) En español: El tráfico a mi red 192.168.0.0/16 va a través del túnel VPN
  42. 42. VPN vs. Direct Connect •  Ambas son conexiones seguras entre su red y su VPC •  VPN consiste de un par de túneles sobre Internet •  Direct Connect es un enlace dedicado con baja tarifa por transferencia de datos •  Para alta disponibilidad: Use ambos
  43. 43. DNS dentro de una VPC
  44. 44. Opciones de DNS en la VPC Use el servidor de DNS de Amazon Haga que EC2 auto-asigne nombres de DNS a las instances
  45. 45. EC2 DNS hostnames in a VPC Nombre de dominio interno: Resuelve a la dirección IP privada Nombre de DNS externo: Resuelve a…
  46. 46. Los nombre de dominio DNS en EC2 funcionan desde cualquier lugar: Fuera de su VPC C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Server: globaldnsanycast.amazon.com Address: 10.4.4.10 Non-authoritative answer: Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Address: 52.18.10.57 Fuera de su VPC: Dirección IP pública
  47. 47. Los nombre de dominio DNS en EC2 funcionan desde cualquier lugar: Dentro de su VPC [ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A ;; ANSWER SECTION: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 22:32:56 2015 ;; MSG SIZE rcvd: 81 Dentro de su VPC: Dirección IP privada
  48. 48. Amazon Route 53 y hosted zones privadas •  Control de la resolución DNS para un dominio y subdominios •  Los registros de DNS toman efecto sólo dentro de las VPCs asociadas •  Se pueden usar para anular registros DNS en “el exterior”
  49. 49. Crer una Amazon Route 53 hosted zone privada Hosted Zone Privada Associada con una o más VPCs
  50. 50. Crear un registro DNS de Amazon Route 53 Private Hosted Zone example.demohostedzone.org à 172.31.0.99
  51. 51. Consultando registros hosted zone https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/ [ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;example.demohostedzone.org. IN A ;; ANSWER SECTION: example.demohostedzone.org. 60 IN A 172.31.0.99 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 00:13:33 2015 ;; MSG SIZE rcvd: 60
  52. 52. Y mucho, mucho más…
  53. 53. VPC Flow Logs: Observe todo su tráfico •  Visibilidad en actividad de grupos de seguridad •  Resolución de problemas de conectividad •  Habilidad de analizar el tráfico
  54. 54. Amazon VPC endpoints: Amazon S3 sin un gateway de Internet
  55. 55. ClassicLink: Conectar instancias en EC2-Classic a su VPC •  Conectividad para direcciones IP privadas entre instancias vinculadas en EC2-Classic and VPC •  Las instancias en Classic pueden tomar propiedad en los grupos de seguridad de VPC
  56. 56. Administre su red como un maestro.. … sin importar si es o no un experto en redes 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 54.4.5.6 54.2.3.4
  57. 57. Gracias!

×