O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Criando e conectando seu datacenter virtual

697 visualizações

Publicada em

Amazon VPC (Virtual Private Cloud) é a forma lógica de organização de rede na AWS. Nessa sessão, abordaremos os fundamentos desse serviço, assim como, aspectos de conectividadade com a AWS.

Publicada em: Tecnologia
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Criando e conectando seu datacenter virtual

  1. 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Cláudio Freire Júnior, Solutions Architect AWS Summit São Paulo, 2016 Criando e conectando seu datacenter virtual
  2. 2. O que é esperado nessa sessão? • Overview/conceitos de VPC; • Setup básico de VPC; • Conectividade com ambiente on-premises; • Monitoramento do tráfego VPC; • Caso da utilização da TV Globo;
  3. 3. E então, o que é VPC? • VPC – Virtual Private Cloud; • Isolamento lógico de rede; • Permite a segregação de redes (Público e Privada); • Serviço de escopo de região; • Permite a escolha do seu proprio range de Ips; • Provê conexão com infraestrutura on-premises;
  4. 4. 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 54.4.5.6 54.2.3.4 VPC
  5. 5. Criando VPC
  6. 6. Criando VPC: Passo a Passo Escolher o range de IPs Configurar subnets nas Availability Zones Criar rota para Internet Autorizar tráfego de/para VPC
  7. 7. Escolher o range de IPs
  8. 8. Notação CIDR CIDR range example: 172.31.0.0/16 ~ Máscara: 255.255.0.0 172.31.0.0-172.31.255.255
  9. 9. Escolher os ranges para sua VPC 172.31.0.0/16 Recomendado: RFC1918 Recomendado: /16 (64K endereços)
  10. 10. Configurar subnets nas Availability Zones
  11. 11. Configurar ranges de IP address para sua subnet 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 sa-east-1a sa-east-1b sa-east-1c
  12. 12. Demo Criação de VPC e subnets
  13. 13. Criar rotas para Internet
  14. 14. Rotas na sua VPC • Tabelas de rotas possuem regras por onde os pacotes trafegarão; • Sua VPC possui tabela de rotas padrão; • … você pode designar tabelas de rotas diferentes para subnets diferentes.
  15. 15. Tráfego destinado para VPC ficam na VPC.
  16. 16. Internet Gateway Componente para envio de pacote, se o destino for Internet.
  17. 17. Tudo que não tem destino para VPC, é enviado para Internet.
  18. 18. Autorizar tráfego de/para VPC
  19. 19. Network ACLs = Regras stateless firewall Permitir todo o tráfego de entrada Aplicado no nível de subnet
  20. 20. Security Groups segue o fluxo da sua aplicação “MyWebServers” Security Group “MyBackends” Security Group Permitir acesso somente “MyWebServers”
  21. 21. Security Groups = stateful firewall
  22. 22. Security Groups = stateful firewall
  23. 23. Demo Criação de Internet Gateway/NAT e Security Groups
  24. 24. Conectividade na AWS
  25. 25. Além da conectividade com Internet Formas de roteamento de Subnet Conectando com a sua rede corporativa Conectando a outras VPCs
  26. 26. Roteamento no nível de subnets
  27. 27. Differentes tabelas de rotas para diferentes subnets VPC subnet VPC subnet Possui rota para Internet Não possui rota para Internet
  28. 28. Acesso à Internet via NAT Gateway VPC subnet VPC subnet 0.0.0.0/0 0.0.0.0/0 Public IP NAT Gateway
  29. 29. Conectando à outras VPC: VPC Peering
  30. 30. Serviços compartilhados: Utilizando VPC peering Serviços comuns/core • Autenticação/Diretório; • Monitoramento; • Logging; • Administração remota; • Scanning
  31. 31. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Step 1 Initiate peering request
  32. 32. Estabelecendo VPC Peering: Solicitação
  33. 33. Estabelecendo VPC Peering: Aceitar solicitação 172.31.0.0/16 10.55.0.0/16 Step 1 Initiate peering request Step 2 Accept peering request
  34. 34. Estabelecendo VPC Peering: Aceitando
  35. 35. Estabelecendo VPC Peering: Criando rotas 172.31.0.0/16 10.55.0.0/16Step 1 Initiate peering request Step 2 Accept peering request Step 3 Create routes Trafego destinado para VPC peered irá para o elementento de peering
  36. 36. Conectando sua rede: Virtual Private Network & Direct Connect
  37. 37. Conectando sua rede com VPN/Direct Conenct VPN Direct Connect
  38. 38. VPN vs DirectConnect • Ambos permitem conexão segura entre sua rede e VPC; • VPN é um par de túnel IPSec que trafegará na Internet; • DirectConnect é conexão dedicada e latência controlada; • Para workloads de alta disponibilidade: Utilizar ambos
  39. 39. VPN: O que você precisa saber Customer Gateway Virtual Gateway Dois tuneis IPSec 192.168.0.0/16 172.31.0.0/16 192.168/16 Seu device de rede
  40. 40. Rotas para o Virtual Private Gateway Trafego para rede 192.168.0.0/16 irá pelo túnel
  41. 41. DNS dentro da VPC
  42. 42. VPC DNS Options Utilizar Amazon DNS server Possui EC2 auto-assign DNS hostnames para instâncias
  43. 43. EC2 DNS Hostnames in a VPC Internal DNS hostname: Resolve nome para IP Privado External DNS name: Resolve para…
  44. 44. EC2 DNS Hostnames fora da VPC C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Non-authoritative answer: Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Address: 52.18.10.57 Fora da sua VPC: IP público
  45. 45. EC2 DNS Hostnames dentro da VPC [ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A ;; ANSWER SECTION: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 22:32:56 2015 ;; MSG SIZE rcvd: 81 Dentro da sua VPC: IP Privado
  46. 46. Route53 Private Hosted Zones • Controla resolução de nomes para domínio e subdominios; • Entradas de DNS tem validade somente dentro de uma VPC específica; • Pode ser utilizado para sobrepor DNS externo.
  47. 47. Criando zona privada no Route53 Private Hosted Zone Associando com uma ou mais VPCs
  48. 48. Criando uma entrada de DNS Route53 Private Hosted Zone example.demohostedzone.org  172.31.0.99
  49. 49. Querying Private Hosted Zone Records https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/ [ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;example.demohostedzone.org. IN A ;; ANSWER SECTION: example.demohostedzone.org. 60 IN A 172.31.0.99 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 00:13:33 2015 ;; MSG SIZE rcvd: 60
  50. 50. VPC Flow Logs: Analise seu tráfego Visibilidade da aplicabilidade do Security Group; Fazer troubleshooting de conectividade de rede; Possibilidade de analizar tráfego.
  51. 51. AWS VPC Endpoints: S3 sem Internet Gateway
  52. 52. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Daniel Ramos, Analista de Arquitetura Infraestrutura e Segurança AWS Summit São Paulo, 2016 Como utilizar VPC na situação real?
  53. 53. “A oferta de serviços AWS nos possibilitou criar um ambiente dinâmico que se encaixa naturalmente em nossa arquitetura” Maior rede de televisão do Brasil e uma das maiores do mundo, a Globo está presente em quase todo o território nacional, através de 124 emissoras, incluindo as Afiliadas, e em mais de 100 países, por meio da Globo Internacional. ​Com nosso talento de criar, produzir e exibir programas que informem, divirtam e eduquem, temos uma importante contribuição para construir uma sociedade ainda melhor. “Qualidade e Inovação fazem parte do DNA da TV Globo. Com o apoio da AWS criamos um ambiente DINÂMICO, ESTÁVEL e eficiente em CUSTOS.” - Carlos Octávio, Diretor de Tecnologia e Arquitetura
  54. 54. O Desafio Criar novo ambiente de desenvolvimento com gestão simplificada, flexível e consumido sob demanda. Focar na eficiência do consumo de recursos e automatização do backend. Respeitar a política de segurança e aproveitar serviços integrados ao ambiente interno da TV.
  55. 55. Solução
  56. 56. Recapitulando
  57. 57. Recapitulando • VPC; • Subnets Públicas vs Subnets Privadas; • Tabelas de Rota; • VPC VPN vs Direct Connect; • Endpoints na rede privada;
  58. 58. Obrigado!

×