O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Criando e conectando seu datacenter virtual

233 visualizações

Publicada em

Amazon VPC (Virtual Private Cloud) é a forma lógica de organização de rede na AWS. Nessa sessão, abordaremos os fundamentos desse serviço, assim como aspectos de conectividade com a AWS

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Criando e conectando seu datacenter virtual

  1. 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Glauber Gallego - Arquiteto de Soluções Setembro 2016 Criando e Conectando seu Datacenter Virtual AWS Experience Porto Alegre 2016
  2. 2. O que é esperado nessa sessão? • Conceitos de VPC; • Setup básico de VPC; • Conectividade com ambiente on-premises; • Monitoramento do tráfego VPC;
  3. 3. 10o Aniversário Lançada em 14 de Março, 2006
  4. 4. Infraestrutura Global
  5. 5. E então, o que é VPC? • VPC – Virtual Private Cloud; • Isolamento lógico de rede; • Permite a segregação de redes (Público e Privada); • Serviço de escopo de região; • Permite a escolha do seu proprio range de Ips; • Provê conexão com infraestrutura on-premises;
  6. 6. VPC
  7. 7. VPC Subnet Subnet
  8. 8. 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 VPC Subnet Subnet
  9. 9. 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 54.4.5.6 54.2.3.4 VPC Subnet Subnet
  10. 10. Criando uma VPC
  11. 11. Criando VPC: Passo a Passo Escolher o range de IPs Configurar subnets nas Availability Zones Criar rota para Internet (via Internet Gateway ou NAT) Autorizar tráfego de/para VPC
  12. 12. Escolher o range de IPs
  13. 13. Notação CIDR 172.31.0.0/16 ~ Máscara: 255.255.0.0
  14. 14. Notação CIDR 172.31.0.0/16 ~ Máscara: 255.255.0.0 = 65.531 IPs
  15. 15. Notação CIDR 172.31.0.0/16 ~ Máscara: 255.255.0.0 = 65.531 IPs = 172.31.0.0 - 172.31.255.255
  16. 16. Escolher os ranges para sua VPC 172.31.0.0/16 Recomendado: RFC1918 Recomendado: /16 (65K endereços) Evite que os ranges de IPs façam conflitos com as redes as quais deseja fazer roteamento. Não é possível mudar depois!
  17. 17. Configurar subnets nas AZs (zonas de disponibilidade)
  18. 18. Configurar ranges de IP address para sua subnet 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 sa-east-1a sa-east-1b sa-east-1c VPC subnet
  19. 19. Configurar ranges de IP address para sua subnet 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 sa-east-1a sa-east-1b sa-east-1c VPC subnet Recomendado: /24 (251 endereços)
  20. 20. Demo Criação de VPC e subnets
  21. 21. Criar rotas para Internet
  22. 22. Tabela de Rotas na sua VPC • Possuem regras por onde os pacotes trafegarão; • A VPC sempre possui uma tabela de rotas padrão; • … e você pode designar tabelas de rotas diferentes para subnets diferentes.
  23. 23. Rotas Internas dentro da VPC
  24. 24. Tráfego destinado para VPC ficam na VPC. Rotas Internas dentro da VPC
  25. 25. Internet Gateway (Utilizado para subnet Públicas) Componente para envio de pacote, se o destino for Internet.
  26. 26. Internet Gateway (Utilizado para subnet Públicas)
  27. 27. Tudo que não tem destino para VPC, é enviado para Internet. Internet Gateway (Utilizado para subnet Públicas)
  28. 28. Acesso à Internet via NAT Gateway Private subnet Public subnet
  29. 29. Acesso à Internet via NAT Gateway Private subnet Public subnet 0.0.0.0/0
  30. 30. Acesso à Internet via NAT Gateway Private subnet Public subnet 0.0.0.0/0 0.0.0.0/0
  31. 31. Acesso à Internet via NAT Gateway Private subnet Public subnet 0.0.0.0/0 0.0.0.0/0 Public IP NAT Gateway
  32. 32. Acesso à Internet via NAT Gateway Private subnet Public subnet 0.0.0.0/0 0.0.0.0/0 Public IP NAT Gateway
  33. 33. Autorizar tráfego de/para VPC
  34. 34. Network ACLs = Regras stateless firewall
  35. 35. Network ACLs = Regras stateless firewall Permitir todo o tráfego de entrada Aplicado no nível de subnet
  36. 36. Security Groups: definem o fluxo da app “MyBackends” Security Group
  37. 37. Security Groups: definem o fluxo da app “MyBackends” Security Group “MyWebServers” Security Group
  38. 38. Security Groups: definem o fluxo da app “MyBackends” Security Group “MyWebServers” Security Group
  39. 39. Security Groups: definem o fluxo da app “MyBackends” Security Group “MyWebServers” Security Group Permitir acesso somente “MyWebServers”
  40. 40. Security Groups = stateful firewall
  41. 41. Security Groups = stateful firewall Porta 80 aberta para o mundo
  42. 42. Security Groups = stateful firewall
  43. 43. Security Groups = stateful firewall Porta do App Server aberta somente para frota Web
  44. 44. Demo Criação de Internet Gateway e Security Groups
  45. 45. Conectividade na AWS
  46. 46. Além da conectividade com Internet Roteamento no nivel de Subnet Conectando com a sua rede corporativa Conectando a outras VPCs
  47. 47. Roteamento no nível de subnets
  48. 48. Diferentes tabelas de rotas para diferentes subnets “MyBackends” Security Group “MyWebServers” Security Group
  49. 49. Diferentes tabelas de rotas para diferentes subnets “MyBackends” Security Group “MyWebServers” Security Group
  50. 50. Diferentes tabelas de rotas para diferentes subnets “MyBackends” Security Group “MyWebServers” Security Group Permitir acesso somente “MyWebServers”
  51. 51. Conectando à outras VPC: VPC Peering
  52. 52. Serviços compartilhados: Utilizando VPC peering Serviços comuns/core • Autenticação/Diretório; • Monitoramento; • Logging; • Administração remota; • Scanning
  53. 53. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16
  54. 54. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Passo 1 Iniciar a solicitação de peering
  55. 55. Estabelecendo VPC Peering: Solicitação
  56. 56. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Passo 1 Iniciar a solicitação de peering Passo 2 Aceitar solicitação de peering
  57. 57. Estabelecendo VPC Peering: Aceitando
  58. 58. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Passo 1 Iniciar a solicitação de peering Passo 2 Aceitar solicitação de peering Passo 3 Criação de Rotas
  59. 59. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Passo 1 Iniciar a solicitação de peering Passo 2 Aceitar solicitação de peering Passo 3 Criação de Rotas Trafego destinado para VPC peered irá para o elemento de peering
  60. 60. Conectando sua rede: Virtual Private Network & Direct Connect
  61. 61. Conectando sua rede com VPN/Direct Conenct VPN Direct Connect
  62. 62. AWS VPN • Rotas estáticas ou dinâmicas (BGP); • Conexões iniciadas pelo Customer Gateway (definição do appliance do cliente); • IPSec Security Associations em modo de túnel; • Sempre é disponibilizado 2 IPs para conexão (HA); • Conectividade feita pela Internet; • Baixo custo de serviço;
  63. 63. VPN: O que você precisa saber? 192.168.0.0/16 172.31.0.0/16
  64. 64. VPN: O que você precisa saber? 192.168.0.0/16 172.31.0.0/16 Seu device de rede Customer Gateway
  65. 65. VPN: O que você precisa saber? 192.168.0.0/16 172.31.0.0/16 Seu device de rede Customer Gateway Virtual Gateway
  66. 66. VPN: O que você precisa saber? 192.168.0.0/16 172.31.0.0/16 Seu device de rede Customer Gateway Virtual Gateway Dois tuneis IPSec
  67. 67. VPN: O que você precisa saber? 192.168.0.0/16 172.31.0.0/16 Seu device de rede Customer Gateway Virtual Gateway Dois tuneis IPSec 192.168.0.0/16
  68. 68. Rotas para o Virtual Private Gateway
  69. 69. Rotas para o Virtual Private Gateway Trafego para rede 192.168.0.0/16 irá pelo túnel
  70. 70. • Conexão dedicada e privada com a AWS; • Cobrança reduzida de data-out (data-in é gratuito); • Performance consistente; • Pelo menos 1 ponto de conexão por região; • Opção para conexões redundantes; • Múltiplas contas AWS podem compartilhar a conexão; • Portas de conexões de 50M a 10G; • 50-500M feita com parceiro; • 1G e 10G direto com a AWS; AWS Direct Connect
  71. 71. AWS Direct Connect - Locais AWS Region AWS Direct Connect (Locais) Asia Pacific (Singapore) Equinix SG2 Asia Pacific (Sydney) Equinix SY3 Asia Pacific (Sydney) Global Switch Asia Pacific (Tokyo) Equinix OS1 Asia Pacific (Tokyo) Equinix TY2 China (Beijing) Sinnet JiuXianqiao IDC China (Beijing) CIDS Jiachuang IDC EU (Frankfurt) Equinix FR5 EU (Frankfurt) Interxion Frankfurt EU (Ireland) Eircom Clonshaugh EU (Ireland) TelecityGroup, London Docklands' South America (São Paulo) Terremark NAP do Brasil South America (São Paulo) Tivit US East (Virginia) CoreSite NY1 & NY2 US East (Virginia) Equinix DC1 - DC6 & DC10 US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA US West (Northern California) Equinix SV1 & SV5 US West (Oregon) Equinix SE2 & SE3 US West (Oregon) Switch SUPERNAP, Las Vegas
  72. 72. AWS Region AWS Direct Connect (Locais) Asia Pacific (Singapore) Equinix SG2 Asia Pacific (Sydney) Equinix SY3 Asia Pacific (Sydney) Global Switch Asia Pacific (Tokyo) Equinix OS1 Asia Pacific (Tokyo) Equinix TY2 China (Beijing) Sinnet JiuXianqiao IDC China (Beijing) CIDS Jiachuang IDC EU (Frankfurt) Equinix FR5 EU (Frankfurt) Interxion Frankfurt EU (Ireland) Eircom Clonshaugh EU (Ireland) TelecityGroup, London Docklands' South America (São Paulo) Terremark NAP do Brasil South America (São Paulo) Tivit US East (Virginia) CoreSite NY1 & NY2 US East (Virginia) Equinix DC1 - DC6 & DC10 US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA US West (Northern California) Equinix SV1 & SV5 US West (Oregon) Equinix SE2 & SE3 US West (Oregon) Switch SUPERNAP, Las Vegas AWS Direct Connect - Locais South America (São Paulo) Terremark NAP do Brasil South America (São Paulo) Tivit
  73. 73. VPN vs DirectConnect • Ambos permitem conexão segura entre sua rede e VPC; • VPN é um par de túneis IPSec que trafegará pela Internet; • DirectConnect é conexão dedicada e latência controlada; • Para workloads de alta disponibilidade: Utilizar ambos (failover);
  74. 74. VPC Flow Logs: Analise seu tráfego Visibilidade da aplicabilidade do Security Group; Fazer troubleshooting de conectividade de rede; Possibilidade de analizar tráfego.
  75. 75. Muito Obrigado!

×