O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
© 2015, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Cláudio Freire Júnior, Solutions Architect
21/Ju...
O que é esperado nessa sessão?
• Overview sobre AWS;
• Conceitos de VPC;
• Setup básico de VPC;
• Conectividade com ambien...
O que é a AWS?
AWS provê uma plataforma de infraestrutura na nuvem altamente
confiável, escalável e de baixo custo que pos...
10o Aniversário
Lançada em 14 de Março, 2006
Infraestrutura Global
E então, o que é VPC?
• VPC – Virtual Private Cloud;
• Isolamento lógico de rede;
• Permite a segregação de redes (Público...
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
VPC
Criando VPC
Criando VPC: Passo a Passo
Escolher o range de
IPs
Configurar subnets
nas Availability
Zones
Criar rota para
Internet
Auto...
Escolher o range de IPs
Notação CIDR
CIDR range example:
172.31.0.0/16 ~ Máscara: 255.255.0.0
172.31.0.0-172.31.255.255
Escolher os ranges para sua VPC
172.31.0.0/16
Recomendado:
RFC1918
Recomendado:
/16
(64K endereços)
Configurar subnets nas
Availability Zones
Configurar ranges de IP address para sua
subnet
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC su...
Demo
Criação de VPC e
subnets
Criar rotas para Internet
Rotas na sua VPC
• Tabelas de rotas possuem regras por
onde os pacotes trafegarão;
• Sua VPC possui tabela de rotas padrão...
Tráfego destinado para
VPC ficam na VPC.
Internet Gateway
Componente para envio de
pacote, se o destino for
Internet.
Tudo que não tem destino para VPC, é
enviado para Internet.
Autorizar tráfego de/para VPC
Network ACLs = Regras stateless firewall
Permitir todo o tráfego de entrada
Aplicado no nível de subnet
Security Groups segue o fluxo da sua
aplicação
“MyWebServers” Security Group
“MyBackends” Security Group
Permitir acesso s...
Security Groups = stateful firewall
Porta 80 aberta para o mundo
Security Groups = stateful firewall
Porta do App Server aberta somente
para frota de Web
Demo
Criação de Internet
Gateway/NAT e Security
Groups
Conectividade na AWS
Além da conectividade com Internet
Formas de roteamento
de Subnet
Conectando com a
sua rede corporativa
Conectando a outra...
Roteamento no nível de subnets
Differentes tabelas de rotas para diferentes
subnets
VPC subnet
VPC subnet
Possui rota para Internet
Não possui rota para
...
Acesso à Internet via NAT Gateway
VPC subnet VPC subnet
0.0.0.0/0
0.0.0.0/0
Public IP
NAT Gateway
Conectando à outras VPC:
VPC Peering
Serviços compartilhados: Utilizando VPC
peering
Serviços comuns/core
• Autenticação/Diretório;
• Monitoramento;
• Logging;...
Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Step 1
Iniciar a solicitação de peering
Estabelecendo VPC Peering: Solicitação
Estabelecendo VPC Peering: Aceitar solicitação
172.31.0.0/16 10.55.0.0/16
Step 1
Iniciar solicitação de peering
Step 2
Acc...
Estabelecendo VPC Peering: Aceitando
Estabelecendo VPC Peering: Criando rotas
172.31.0.0/16 10.55.0.0/16Step 1
Initiate peering request
Step 2
Accept peering r...
Conectando sua rede:
Virtual Private Network &
Direct Connect
Conectando sua rede com VPN/Direct Conenct
VPN
Direct Connect
AWS VPN
• Rotas estáticas ou dinâmicas (BGP);
• Conexões iniciadas pelo Customer Gateway (definição
do appliance do client...
VPN: O que você precisa saber
Customer
Gateway
Virtual
Gateway
Dois tuneis IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
S...
Rotas para o Virtual Private Gateway
Trafego para rede 192.168.0.0/16 irá
pelo túnel
• Conexão dedicada e privada com a AWS;
• Cobrança reduzida de data-out (data-in continua
gratuito);
• Performance consist...
AWS Direct Connect - Locais
AWS Region AWS Direct Connect (Locais)
Asia Pacific (Singapore) Equinix SG2
Asia Pacific (Sydn...
AWS VPN
• Serviço em HA;
• Dois túneis para conexão;
• Rotas estáticas ou dinâmicas (BGP);
• Conexão segura e direta com a...
VPN vs DirectConnect
• Ambos permitem conexão segura entre sua
rede e VPC;
• VPN é um par de túnel IPSec que trafegará
na ...
DNS dentro da VPC
VPC DNS Options
Utilizar Amazon DNS server
Possui EC2 auto-assign DNS
hostnames para instâncias
EC2 DNS Hostnames na VPC
Internal DNS hostname:
Resolve nome para IP Privado
External DNS name: Resolve para…
EC2 DNS Hostnames fora da VPC
C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Non-authoritative answer:
Name: ...
EC2 DNS Hostnames dentro da VPC
[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
; <<>> D...
Route53 Private Hosted Zones
• Controla resolução de nomes para domínio e
subdominios;
• Entradas de DNS tem validade some...
Criando zona privada no Route53
Private Hosted Zone
Associando com
uma ou mais VPCs
Criando uma entrada de DNS Route53
Private Hosted
Zone
example.demohostedzone.org 
172.31.0.99
Querying Private Hosted Zone Records
https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/
[ec2-user@ip-172-31-0-...
VPC Flow Logs: Analise seu tráfego
Visibilidade da aplicabilidade
do Security Group;
Fazer troubleshooting de
conectividad...
AWS VPC Endpoints: S3 sem Internet
Gateway
Recapitulando
Recapitulando
• VPC;
• Subnets Públicas vs Subnets Privadas;
• Tabelas de Rota;
• VPC VPN vs Direct Connect;
• Endpoints n...
Obrigado!
Cláudio Freire Júnior – freirec@amazon.com
Webinar: Criando e conectando seu Datacenter Virtual
Webinar: Criando e conectando seu Datacenter Virtual
Próximos SlideShares
Carregando em…5
×

Webinar: Criando e conectando seu Datacenter Virtual

1.605 visualizações

Publicada em

Webinar: Criando e conectando seu Datacenter Virtual

Amazon VPC (Virtual Private Cloud) é a forma lógica de organização de rede na AWS. Nessa sessão, abordaremos os fundamentos desse serviço, assim como, aspectos de conectividadade com a AWS.

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Webinar: Criando e conectando seu Datacenter Virtual

  1. 1. © 2015, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Cláudio Freire Júnior, Solutions Architect 21/Junho/2016 Criando e Conectando Seu Datacenter Virtual
  2. 2. O que é esperado nessa sessão? • Overview sobre AWS; • Conceitos de VPC; • Setup básico de VPC; • Conectividade com ambiente on-premises; • Monitoramento do tráfego VPC;
  3. 3. O que é a AWS? AWS provê uma plataforma de infraestrutura na nuvem altamente confiável, escalável e de baixo custo que possibilita grandes ganhos para mais de 1 milhão de empresas em 190 países ao redor do mundo. Benefícios • Baixo custo • Elasticidade e Agilidade • Plataforma aberta e flexível • Segurança • Alcance global
  4. 4. 10o Aniversário Lançada em 14 de Março, 2006
  5. 5. Infraestrutura Global
  6. 6. E então, o que é VPC? • VPC – Virtual Private Cloud; • Isolamento lógico de rede; • Permite a segregação de redes (Público e Privada); • Serviço de escopo de região; • Permite a escolha do seu proprio range de Ips; • Provê conexão com infraestrutura on-premises;
  7. 7. 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 54.4.5.6 54.2.3.4 VPC
  8. 8. Criando VPC
  9. 9. Criando VPC: Passo a Passo Escolher o range de IPs Configurar subnets nas Availability Zones Criar rota para Internet Autorizar tráfego de/para VPC
  10. 10. Escolher o range de IPs
  11. 11. Notação CIDR CIDR range example: 172.31.0.0/16 ~ Máscara: 255.255.0.0 172.31.0.0-172.31.255.255
  12. 12. Escolher os ranges para sua VPC 172.31.0.0/16 Recomendado: RFC1918 Recomendado: /16 (64K endereços)
  13. 13. Configurar subnets nas Availability Zones
  14. 14. Configurar ranges de IP address para sua subnet 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 sa-east-1a sa-east-1b sa-east-1c
  15. 15. Demo Criação de VPC e subnets
  16. 16. Criar rotas para Internet
  17. 17. Rotas na sua VPC • Tabelas de rotas possuem regras por onde os pacotes trafegarão; • Sua VPC possui tabela de rotas padrão; • … você pode designar tabelas de rotas diferentes para subnets diferentes.
  18. 18. Tráfego destinado para VPC ficam na VPC.
  19. 19. Internet Gateway Componente para envio de pacote, se o destino for Internet.
  20. 20. Tudo que não tem destino para VPC, é enviado para Internet.
  21. 21. Autorizar tráfego de/para VPC
  22. 22. Network ACLs = Regras stateless firewall Permitir todo o tráfego de entrada Aplicado no nível de subnet
  23. 23. Security Groups segue o fluxo da sua aplicação “MyWebServers” Security Group “MyBackends” Security Group Permitir acesso somente “MyWebServers”
  24. 24. Security Groups = stateful firewall Porta 80 aberta para o mundo
  25. 25. Security Groups = stateful firewall Porta do App Server aberta somente para frota de Web
  26. 26. Demo Criação de Internet Gateway/NAT e Security Groups
  27. 27. Conectividade na AWS
  28. 28. Além da conectividade com Internet Formas de roteamento de Subnet Conectando com a sua rede corporativa Conectando a outras VPCs
  29. 29. Roteamento no nível de subnets
  30. 30. Differentes tabelas de rotas para diferentes subnets VPC subnet VPC subnet Possui rota para Internet Não possui rota para Internet
  31. 31. Acesso à Internet via NAT Gateway VPC subnet VPC subnet 0.0.0.0/0 0.0.0.0/0 Public IP NAT Gateway
  32. 32. Conectando à outras VPC: VPC Peering
  33. 33. Serviços compartilhados: Utilizando VPC peering Serviços comuns/core • Autenticação/Diretório; • Monitoramento; • Logging; • Administração remota; • Scanning
  34. 34. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Step 1 Iniciar a solicitação de peering
  35. 35. Estabelecendo VPC Peering: Solicitação
  36. 36. Estabelecendo VPC Peering: Aceitar solicitação 172.31.0.0/16 10.55.0.0/16 Step 1 Iniciar solicitação de peering Step 2 Accept peering request
  37. 37. Estabelecendo VPC Peering: Aceitando
  38. 38. Estabelecendo VPC Peering: Criando rotas 172.31.0.0/16 10.55.0.0/16Step 1 Initiate peering request Step 2 Accept peering request Step 3 Create routes Trafego destinado para VPC peered irá para o elementento de peering
  39. 39. Conectando sua rede: Virtual Private Network & Direct Connect
  40. 40. Conectando sua rede com VPN/Direct Conenct VPN Direct Connect
  41. 41. AWS VPN • Rotas estáticas ou dinâmicas (BGP); • Conexões iniciadas pelo Customer Gateway (definição do appliance do cliente); • IPSec Security Associations em modo de túnel; • Sempre é disponibilizado 2 Ips para conexão (HA); • Conectividade feita pela Internet; • Baixo custo de serviço;
  42. 42. VPN: O que você precisa saber Customer Gateway Virtual Gateway Dois tuneis IPSec 192.168.0.0/16 172.31.0.0/16 192.168/16 Seu device de rede
  43. 43. Rotas para o Virtual Private Gateway Trafego para rede 192.168.0.0/16 irá pelo túnel
  44. 44. • Conexão dedicada e privada com a AWS; • Cobrança reduzida de data-out (data-in continua gratuito); • Performance consistente; • Pelo menos 1 ponto de conexão por região; • Opção para conexões redundantes; • Múltiplas contas AWS podem compartilhar a conexão; • Portas de conexões de 50M a 10G; • 50-500M feita com parceiro; • 1G e 10G direto com a AWS; AWS Direct Connect
  45. 45. AWS Direct Connect - Locais AWS Region AWS Direct Connect (Locais) Asia Pacific (Singapore) Equinix SG2 Asia Pacific (Sydney) Equinix SY3 Asia Pacific (Sydney) Global Switch Asia Pacific (Tokyo) Equinix OS1 Asia Pacific (Tokyo) Equinix TY2 China (Beijing) Sinnet JiuXianqiao IDC China (Beijing) CIDS Jiachuang IDC EU (Frankfurt) Equinix FR5 EU (Frankfurt) Interxion Frankfurt EU (Ireland) Eircom Clonshaugh EU (Ireland) TelecityGroup, London Docklands' South America (São Paulo) Terremark NAP do Brasil South America (São Paulo) Tivit US East (Virginia) CoreSite NY1 & NY2 US East (Virginia) Equinix DC1 - DC6 & DC10 US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA US West (Northern California) Equinix SV1 & SV5 US West (Oregon) Equinix SE2 & SE3 US West (Oregon) Switch SUPERNAP, Las Vegas
  46. 46. AWS VPN • Serviço em HA; • Dois túneis para conexão; • Rotas estáticas ou dinâmicas (BGP); • Conexão segura e direta com a AWS; • Conexões iniciadas pelo Customer Gateway; • IPSec Security Associations em modo de túnel; • Redundância de Direct Connect;
  47. 47. VPN vs DirectConnect • Ambos permitem conexão segura entre sua rede e VPC; • VPN é um par de túnel IPSec que trafegará na Internet; • DirectConnect é conexão dedicada e latência controlada; • Para workloads de alta disponibilidade: Utilizar ambos (failover);
  48. 48. DNS dentro da VPC
  49. 49. VPC DNS Options Utilizar Amazon DNS server Possui EC2 auto-assign DNS hostnames para instâncias
  50. 50. EC2 DNS Hostnames na VPC Internal DNS hostname: Resolve nome para IP Privado External DNS name: Resolve para…
  51. 51. EC2 DNS Hostnames fora da VPC C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Non-authoritative answer: Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Address: 52.18.10.57 Fora da sua VPC: IP público
  52. 52. EC2 DNS Hostnames dentro da VPC [ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A ;; ANSWER SECTION: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 22:32:56 2015 ;; MSG SIZE rcvd: 81 Dentro da sua VPC: IP Privado
  53. 53. Route53 Private Hosted Zones • Controla resolução de nomes para domínio e subdominios; • Entradas de DNS tem validade somente dentro de uma VPC específica; • Pode ser utilizado para sobrepor DNS externo.
  54. 54. Criando zona privada no Route53 Private Hosted Zone Associando com uma ou mais VPCs
  55. 55. Criando uma entrada de DNS Route53 Private Hosted Zone example.demohostedzone.org  172.31.0.99
  56. 56. Querying Private Hosted Zone Records https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/ [ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;example.demohostedzone.org. IN A ;; ANSWER SECTION: example.demohostedzone.org. 60 IN A 172.31.0.99 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 00:13:33 2015 ;; MSG SIZE rcvd: 60
  57. 57. VPC Flow Logs: Analise seu tráfego Visibilidade da aplicabilidade do Security Group; Fazer troubleshooting de conectividade de rede; Possibilidade de analizar tráfego.
  58. 58. AWS VPC Endpoints: S3 sem Internet Gateway
  59. 59. Recapitulando
  60. 60. Recapitulando • VPC; • Subnets Públicas vs Subnets Privadas; • Tabelas de Rota; • VPC VPN vs Direct Connect; • Endpoints na rede privada.
  61. 61. Obrigado! Cláudio Freire Júnior – freirec@amazon.com

×