Construindo APIs com Amazon API Gateway e AWS Lambda
Seu SlideShare está sendo baixado.
×
![EC2 DNS Hostnames dentro da VPC
[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
; <<>> D...](https://image.slidesharecdn.com/webinarvpc-160623205603/75/webinar-criando-e-conectando-seu-datacenter-virtual-52-2048.jpg?cb=1669658736)
Confira estes a seguir
Recomendadas
Mais Conteúdo rRelacionado
Diapositivos para si (20)
Semelhante a Webinar: Criando e conectando seu Datacenter Virtual (20)
Mais de Amazon Web Services LATAM (20)
Mais recentes (20)
Webinar: Criando e conectando seu Datacenter Virtual
- 1. © 2015, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Cláudio Freire Júnior, Solutions Architect 21/Junho/2016 Criando e Conectando Seu Datacenter Virtual
- 2. O que é esperado nessa sessão? • Overview sobre AWS; • Conceitos de VPC; • Setup básico de VPC; • Conectividade com ambiente on-premises; • Monitoramento do tráfego VPC;
- 3. O que é a AWS? AWS provê uma plataforma de infraestrutura na nuvem altamente confiável, escalável e de baixo custo que possibilita grandes ganhos para mais de 1 milhão de empresas em 190 países ao redor do mundo. Benefícios • Baixo custo • Elasticidade e Agilidade • Plataforma aberta e flexível • Segurança • Alcance global
- 4. 10o Aniversário Lançada em 14 de Março, 2006
- 5. Infraestrutura Global
- 6. E então, o que é VPC? • VPC – Virtual Private Cloud; • Isolamento lógico de rede; • Permite a segregação de redes (Público e Privada); • Serviço de escopo de região; • Permite a escolha do seu proprio range de Ips; • Provê conexão com infraestrutura on-premises;
- 7. 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 54.4.5.6 54.2.3.4 VPC
- 8. Criando VPC
- 9. Criando VPC: Passo a Passo Escolher o range de IPs Configurar subnets nas Availability Zones Criar rota para Internet Autorizar tráfego de/para VPC
- 10. Escolher o range de IPs
- 11. Notação CIDR CIDR range example: 172.31.0.0/16 ~ Máscara: 255.255.0.0 172.31.0.0-172.31.255.255
- 12. Escolher os ranges para sua VPC 172.31.0.0/16 Recomendado: RFC1918 Recomendado: /16 (64K endereços)
- 13. Configurar subnets nas Availability Zones
- 14. Configurar ranges de IP address para sua subnet 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 sa-east-1a sa-east-1b sa-east-1c
- 15. Demo Criação de VPC e subnets
- 16. Criar rotas para Internet
- 17. Rotas na sua VPC • Tabelas de rotas possuem regras por onde os pacotes trafegarão; • Sua VPC possui tabela de rotas padrão; • … você pode designar tabelas de rotas diferentes para subnets diferentes.
- 18. Tráfego destinado para VPC ficam na VPC.
- 19. Internet Gateway Componente para envio de pacote, se o destino for Internet.
- 20. Tudo que não tem destino para VPC, é enviado para Internet.
- 21. Autorizar tráfego de/para VPC
- 22. Network ACLs = Regras stateless firewall Permitir todo o tráfego de entrada Aplicado no nível de subnet
- 23. Security Groups segue o fluxo da sua aplicação “MyWebServers” Security Group “MyBackends” Security Group Permitir acesso somente “MyWebServers”
- 24. Security Groups = stateful firewall Porta 80 aberta para o mundo
- 25. Security Groups = stateful firewall Porta do App Server aberta somente para frota de Web
- 26. Demo Criação de Internet Gateway/NAT e Security Groups
- 27. Conectividade na AWS
- 28. Além da conectividade com Internet Formas de roteamento de Subnet Conectando com a sua rede corporativa Conectando a outras VPCs
- 29. Roteamento no nível de subnets
- 30. Differentes tabelas de rotas para diferentes subnets VPC subnet VPC subnet Possui rota para Internet Não possui rota para Internet
- 31. Acesso à Internet via NAT Gateway VPC subnet VPC subnet 0.0.0.0/0 0.0.0.0/0 Public IP NAT Gateway
- 32. Conectando à outras VPC: VPC Peering
- 33. Serviços compartilhados: Utilizando VPC peering Serviços comuns/core • Autenticação/Diretório; • Monitoramento; • Logging; • Administração remota; • Scanning
- 34. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Step 1 Iniciar a solicitação de peering
- 35. Estabelecendo VPC Peering: Solicitação
- 36. Estabelecendo VPC Peering: Aceitar solicitação 172.31.0.0/16 10.55.0.0/16 Step 1 Iniciar solicitação de peering Step 2 Accept peering request
- 37. Estabelecendo VPC Peering: Aceitando
- 38. Estabelecendo VPC Peering: Criando rotas 172.31.0.0/16 10.55.0.0/16Step 1 Initiate peering request Step 2 Accept peering request Step 3 Create routes Trafego destinado para VPC peered irá para o elementento de peering
- 39. Conectando sua rede: Virtual Private Network & Direct Connect
- 40. Conectando sua rede com VPN/Direct Conenct VPN Direct Connect
- 41. AWS VPN • Rotas estáticas ou dinâmicas (BGP); • Conexões iniciadas pelo Customer Gateway (definição do appliance do cliente); • IPSec Security Associations em modo de túnel; • Sempre é disponibilizado 2 Ips para conexão (HA); • Conectividade feita pela Internet; • Baixo custo de serviço;
- 42. VPN: O que você precisa saber Customer Gateway Virtual Gateway Dois tuneis IPSec 192.168.0.0/16 172.31.0.0/16 192.168/16 Seu device de rede
- 43. Rotas para o Virtual Private Gateway Trafego para rede 192.168.0.0/16 irá pelo túnel
- 44. • Conexão dedicada e privada com a AWS; • Cobrança reduzida de data-out (data-in continua gratuito); • Performance consistente; • Pelo menos 1 ponto de conexão por região; • Opção para conexões redundantes; • Múltiplas contas AWS podem compartilhar a conexão; • Portas de conexões de 50M a 10G; • 50-500M feita com parceiro; • 1G e 10G direto com a AWS; AWS Direct Connect
- 45. AWS Direct Connect - Locais AWS Region AWS Direct Connect (Locais) Asia Pacific (Singapore) Equinix SG2 Asia Pacific (Sydney) Equinix SY3 Asia Pacific (Sydney) Global Switch Asia Pacific (Tokyo) Equinix OS1 Asia Pacific (Tokyo) Equinix TY2 China (Beijing) Sinnet JiuXianqiao IDC China (Beijing) CIDS Jiachuang IDC EU (Frankfurt) Equinix FR5 EU (Frankfurt) Interxion Frankfurt EU (Ireland) Eircom Clonshaugh EU (Ireland) TelecityGroup, London Docklands' South America (São Paulo) Terremark NAP do Brasil South America (São Paulo) Tivit US East (Virginia) CoreSite NY1 & NY2 US East (Virginia) Equinix DC1 - DC6 & DC10 US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA US West (Northern California) Equinix SV1 & SV5 US West (Oregon) Equinix SE2 & SE3 US West (Oregon) Switch SUPERNAP, Las Vegas
- 46. AWS VPN • Serviço em HA; • Dois túneis para conexão; • Rotas estáticas ou dinâmicas (BGP); • Conexão segura e direta com a AWS; • Conexões iniciadas pelo Customer Gateway; • IPSec Security Associations em modo de túnel; • Redundância de Direct Connect;
- 47. VPN vs DirectConnect • Ambos permitem conexão segura entre sua rede e VPC; • VPN é um par de túnel IPSec que trafegará na Internet; • DirectConnect é conexão dedicada e latência controlada; • Para workloads de alta disponibilidade: Utilizar ambos (failover);
- 48. DNS dentro da VPC
- 49. VPC DNS Options Utilizar Amazon DNS server Possui EC2 auto-assign DNS hostnames para instâncias
- 50. EC2 DNS Hostnames na VPC Internal DNS hostname: Resolve nome para IP Privado External DNS name: Resolve para…
- 51. EC2 DNS Hostnames fora da VPC C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Non-authoritative answer: Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Address: 52.18.10.57 Fora da sua VPC: IP público
- 52. EC2 DNS Hostnames dentro da VPC [ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A ;; ANSWER SECTION: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 22:32:56 2015 ;; MSG SIZE rcvd: 81 Dentro da sua VPC: IP Privado
- 53. Route53 Private Hosted Zones • Controla resolução de nomes para domínio e subdominios; • Entradas de DNS tem validade somente dentro de uma VPC específica; • Pode ser utilizado para sobrepor DNS externo.
- 54. Criando zona privada no Route53 Private Hosted Zone Associando com uma ou mais VPCs
- 55. Criando uma entrada de DNS Route53 Private Hosted Zone example.demohostedzone.org 172.31.0.99
- 56. Querying Private Hosted Zone Records https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/ [ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;example.demohostedzone.org. IN A ;; ANSWER SECTION: example.demohostedzone.org. 60 IN A 172.31.0.99 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 00:13:33 2015 ;; MSG SIZE rcvd: 60
- 57. VPC Flow Logs: Analise seu tráfego Visibilidade da aplicabilidade do Security Group; Fazer troubleshooting de conectividade de rede; Possibilidade de analizar tráfego.
- 58. AWS VPC Endpoints: S3 sem Internet Gateway
- 59. Recapitulando
- 60. Recapitulando • VPC; • Subnets Públicas vs Subnets Privadas; • Tabelas de Rota; • VPC VPN vs Direct Connect; • Endpoints na rede privada.
- 61. Obrigado! Cláudio Freire Júnior – freirec@amazon.com
