O documento discute como expandir sua infraestrutura de data center usando uma infraestrutura híbrida. Ele explica conceitos de VPC da AWS como isolamento lógico de rede, escolha de IPs privados e conectividade com ambientes on-premises. Também apresenta um caso da TV Globo que usa serviços AWS para criar um ambiente dinâmico e eficiente em custos que respeita suas políticas de segurança.

1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Cláudio Freire Júnior, Solutions Architect
AWS Summit Rio de Janeiro, 2016
Expandindo seu datacenter com
infraestrutura hibrida

2. O que é esperado nessa sessão?
• Conceitos de VPC;
• Setup básico de VPC;
• Conectividade com ambiente on-premises;
• Monitoramento do tráfego VPC;
• Caso da utilização da TV Globo;

3. E então, o que é VPC?
• VPC – Virtual Private Cloud;
• Isolamento lógico de rede;
• Permite a segregação de redes (Público e Privada);
• Serviço de escopo de região;
• Permite a escolha do seu proprio range de Ips;
• Provê conexão com infraestrutura on-premises;

4. 172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
VPC

5. Criando VPC

6. Criando VPC: Passo a Passo
Escolher o range de
IPs
Configurar subnets
nas Availability
Zones
Criar rota para
Internet (Utilizando
Internet Gateway ou
NAT)
Autorizar tráfego
de/para VPC

7. Escolher o range de IPs

8. Notação CIDR
CIDR range example:
172.31.0.0/16 ~ Máscara: 255.255.0.0
172.31.0.0-172.31.255.255

9. Escolher os ranges para sua VPC
172.31.0.0/16
Recomendado:
RFC1918
Recomendado:
/16
(64K endereços)

10. Configurar subnets nas
Availability Zones

11. Configurar ranges de IP address para sua
subnet
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
sa-east-1a sa-east-1b sa-east-1c

12. Demo
Criação de VPC e
subnets

14. Criar rotas para Internet

15. Tabela de Rotas na sua VPC
• Possuem regras por onde os pacotes
trafegarão;
• Na VPC sempre possui tabela de rotas
padrão;
• … e você pode designar tabelas de rotas
diferentes para subnets diferentes.

16. Tráfego destinado para
VPC ficam na VPC.
Rotas Internas dentro da VPC

17. Internet Gateway (Utilizado para subnet Públicas)
Componente para envio de
pacote, se o destino for
Internet.

18. Tudo que não tem destino para VPC, é
enviado para Internet.
Internet Gateway (Utilizado para subnet Públicas)

19. Acesso à Internet via NAT Gateway
VPC subnet VPC subnet
0.0.0.0/0
0.0.0.0/0
Public IP
NAT Gateway

20. Autorizar tráfego de/para VPC

21. Network ACLs = Regras stateless firewall
Permitir todo o tráfego de entrada
Aplicado no nível de subnet

22. Security Groups segue o fluxo da sua
aplicação
“MyWebServers” Security Group
“MyBackends” Security Group
Permitir acesso somente
“MyWebServers”

23. Security Groups = stateful firewall
Porta 80 aberta para o mundo

24. Security Groups = stateful firewall
Porta do App Server aberta somente
para frota de Web

25. Demo
Criação de Internet
Gateway e Security
Groups

27. Conectividade na AWS

28. Além da conectividade com Internet
Roteamento no nivel
de Subnet
Conectando com a
sua rede corporativa
Conectando a outras
VPCs

29. Roteamento no nível de subnets

30. Diferentes tabelas de rotas para diferentes
subnets
VPC subnet
VPC subnet
Possui rota para Internet
Não possui rota para
Internet

31. Conectando à outras VPC:
VPC Peering

32. Serviços compartilhados: Utilizando VPC
peering
Serviços comuns/core
• Autenticação/Diretório;
• Monitoramento;
• Logging;
• Administração remota;
• Scanning

33. Conectando sua rede:
Virtual Private Network &
Direct Connect

34. Conectando sua rede com VPN/Direct Conenct
VPN
Direct Connect

35. AWS VPN
• Rotas estáticas ou dinâmicas (BGP);
• Conexões iniciadas pelo Customer Gateway (definição
do appliance do cliente);
• IPSec Security Associations em modo de túnel;
• Sempre é disponibilizado 2 Ips para conexão (HA);
• Conectividade feita pela Internet;
• Baixo custo de serviço;

36. VPN: O que você precisa saber?
Customer
Gateway
Virtual
Gateway
Dois tuneis IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
Seu device de rede

37. Rotas para o Virtual Private Gateway
Trafego para rede 192.168.0.0/16 irá
pelo túnel

38. • Conexão dedicada e privada com a AWS;
• Cobrança reduzida de data-out (data-in continua
gratuito);
• Performance consistente;
• Pelo menos 1 ponto de conexão por região;
• Opção para conexões redundantes;
• Múltiplas contas AWS podem compartilhar a conexão;
• Portas de conexões de 50M a 10G;
• 50-500M feita com parceiro;
• 1G e 10G direto com a AWS;
AWS Direct Connect

39. AWS Direct Connect - Locais
AWS Region AWS Direct Connect (Locais)
Asia Pacific (Singapore) Equinix SG2
Asia Pacific (Sydney) Equinix SY3
Asia Pacific (Sydney) Global Switch
Asia Pacific (Tokyo) Equinix OS1
Asia Pacific (Tokyo) Equinix TY2
China (Beijing) Sinnet JiuXianqiao IDC
China (Beijing) CIDS Jiachuang IDC
EU (Frankfurt) Equinix FR5
EU (Frankfurt) Interxion Frankfurt
EU (Ireland) Eircom Clonshaugh
EU (Ireland) TelecityGroup, London Docklands'
South America (São Paulo) Terremark NAP do Brasil
South America (São Paulo) Tivit
US East (Virginia) CoreSite NY1 & NY2
US East (Virginia) Equinix DC1 - DC6 & DC10
US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA
US West (Northern California) Equinix SV1 & SV5
US West (Oregon) Equinix SE2 & SE3
US West (Oregon) Switch SUPERNAP, Las Vegas

40. VPN vs DirectConnect
• Ambos permitem conexão segura entre sua
rede e VPC;
• VPN é um par de túnel IPSec que trafegará
pela Internet;
• DirectConnect é conexão dedicada e
latência controlada;
• Para workloads de alta disponibilidade:
Utilizar ambos (failover);

41. VPC Flow Logs: Analise seu tráfego
Visibilidade da aplicabilidade
do Security Group;
Fazer troubleshooting de
conectividade de rede;
Possibilidade de analizar
tráfego.

42. AWS VPC Endpoints: S3 sem Internet
Gateway

43. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Saulo, Arquitetura Infraestrutura
AWS Summit São Paulo, 2016
Como utilizar VPC na situação real?

44. “A oferta de serviços AWS nos possibilitou
criar um ambiente dinâmico que se encaixa
naturalmente em nossa arquitetura”
Maior rede de televisão do Brasil e
uma das maiores do mundo, a Globo
está presente em quase todo o
território nacional, através de 124
emissoras, incluindo as Afiliadas, e em
mais de 100 países, por meio da Globo
Internacional.
​Com nosso talento de criar, produzir e
exibir programas que informem,
divirtam e eduquem, temos uma
importante contribuição para construir
uma sociedade ainda melhor.
“Qualidade e Inovação
fazem parte do DNA da
TV Globo. Com o apoio
da AWS criamos um
ambiente DINÂMICO,
ESTÁVEL e eficiente
em CUSTOS.”
- Carlos Octávio, Diretor
de Tecnologia e
Arquitetura

45. O Desafio
Criar novo ambiente de desenvolvimento
com gestão simplificada, flexível e
consumido sob demanda.
Focar na eficiência do consumo de
recursos e automatização do backend.
Respeitar a política de segurança e
aproveitar serviços integrados ao
ambiente interno da TV.

46. Solução

47. Recapitulando

48. Recapitulando
• VPC;
• Subnets Públicas vs Subnets Privadas;
• Tabelas de Rota;
• VPC VPN vs Direct Connect;
• Endpoints na rede privada;

49. Obrigado!