O documento apresenta uma introdução ao Amazon VPC (Virtual Private Cloud), discutindo conceitos, configuração e conectividade entre ambientes on-premises e a AWS. Detalha o processo de criação de VPCs, subnets, tabelas de rotas, e a implementação de regras de segurança através de ACLs e grupos de segurança. Também aborda opções de conectividade, como VPN e Direct Connect, e o uso de logs de fluxo VPC para análise de tráfego.

1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Glauber Gallego - Arquiteto de Soluções
Setembro 2016
Criando e Conectando seu
Datacenter Virtual
AWS Experience Porto Alegre 2016

2. O que é esperado nessa sessão?
• Conceitos de VPC;
• Setup básico de VPC;
• Conectividade com ambiente on-premises;
• Monitoramento do tráfego VPC;

3. 10o Aniversário
Lançada em 14 de Março, 2006

4. Infraestrutura Global

5. E então, o que é VPC?
• VPC – Virtual Private Cloud;
• Isolamento lógico de rede;
• Permite a segregação de redes (Público e Privada);
• Serviço de escopo de região;
• Permite a escolha do seu proprio range de Ips;
• Provê conexão com infraestrutura on-premises;

6. VPC

7. VPC
Subnet Subnet

8. 172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
VPC
Subnet Subnet

9. 172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
VPC
Subnet Subnet

10. Criando uma VPC

11. Criando VPC: Passo a Passo
Escolher o
range de IPs
Configurar
subnets nas
Availability
Zones
Criar rota
para Internet
(via Internet
Gateway
ou NAT)
Autorizar
tráfego
de/para VPC

12. Escolher o range de IPs

13. Notação CIDR
172.31.0.0/16 ~ Máscara: 255.255.0.0

14. Notação CIDR
172.31.0.0/16 ~ Máscara: 255.255.0.0
= 65.531 IPs

15. Notação CIDR
172.31.0.0/16 ~ Máscara: 255.255.0.0
= 65.531 IPs
= 172.31.0.0 - 172.31.255.255

16. Escolher os ranges para sua VPC
172.31.0.0/16
Recomendado:
RFC1918
Recomendado:
/16
(65K endereços)
Evite que os ranges de IPs façam
conflitos com as redes as quais
deseja fazer roteamento.
Não é possível
mudar depois!

17. Configurar subnets nas AZs
(zonas de disponibilidade)

18. Configurar ranges de IP address para sua
subnet
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
sa-east-1a sa-east-1b sa-east-1c
VPC subnet

19. Configurar ranges de IP address para sua
subnet
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
sa-east-1a sa-east-1b sa-east-1c
VPC subnet
Recomendado:
/24
(251 endereços)

20. Demo
Criação de VPC e
subnets

21. Criar rotas para Internet

22. Tabela de Rotas na sua VPC
• Possuem regras por onde os pacotes trafegarão;
• A VPC sempre possui uma tabela de rotas padrão;
• … e você pode designar tabelas de rotas diferentes
para subnets diferentes.

23. Rotas Internas dentro da VPC

24. Tráfego destinado para
VPC ficam na VPC.
Rotas Internas dentro da VPC

25. Internet Gateway (Utilizado para subnet Públicas)
Componente para envio de
pacote, se o destino for
Internet.

26. Internet Gateway (Utilizado para subnet Públicas)

27. Tudo que não tem destino para VPC,
é enviado para Internet.
Internet Gateway (Utilizado para subnet Públicas)

28. Acesso à Internet via NAT Gateway
Private subnet Public subnet

29. Acesso à Internet via NAT Gateway
Private subnet Public subnet
0.0.0.0/0

30. Acesso à Internet via NAT Gateway
Private subnet Public subnet
0.0.0.0/0
0.0.0.0/0

31. Acesso à Internet via NAT Gateway
Private subnet Public subnet
0.0.0.0/0
0.0.0.0/0
Public IP
NAT Gateway

32. Acesso à Internet via NAT Gateway
Private subnet Public subnet
0.0.0.0/0
0.0.0.0/0
Public IP
NAT Gateway

33. Autorizar tráfego de/para VPC

34. Network ACLs = Regras stateless firewall

35. Network ACLs = Regras stateless firewall
Permitir todo o tráfego de entrada
Aplicado no nível de subnet

36. Security Groups: definem o fluxo da app
“MyBackends” Security Group

37. Security Groups: definem o fluxo da app
“MyBackends” Security Group
“MyWebServers” Security Group

38. Security Groups: definem o fluxo da app
“MyBackends” Security Group
“MyWebServers” Security Group

39. Security Groups: definem o fluxo da app
“MyBackends” Security Group
“MyWebServers” Security Group
Permitir acesso somente
“MyWebServers”

40. Security Groups = stateful firewall

41. Security Groups = stateful firewall
Porta 80 aberta para o mundo

42. Security Groups = stateful firewall

43. Security Groups = stateful firewall
Porta do App Server aberta
somente para frota Web

44. Demo
Criação de Internet
Gateway e Security
Groups

45. Conectividade na AWS

46. Além da conectividade com Internet
Roteamento no nivel
de Subnet
Conectando com a
sua rede corporativa
Conectando a outras
VPCs

47. Roteamento no nível de subnets

48. Diferentes tabelas de rotas para
diferentes subnets
“MyBackends” Security Group
“MyWebServers” Security Group

49. Diferentes tabelas de rotas para
diferentes subnets
“MyBackends” Security Group
“MyWebServers” Security Group

50. Diferentes tabelas de rotas para
diferentes subnets
“MyBackends” Security Group
“MyWebServers” Security Group
Permitir acesso somente
“MyWebServers”

51. Conectando à outras VPC:
VPC Peering

52. Serviços compartilhados: Utilizando VPC
peering
Serviços comuns/core
• Autenticação/Diretório;
• Monitoramento;
• Logging;
• Administração remota;
• Scanning

53. Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16

54. Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Passo 1
Iniciar a solicitação de peering

55. Estabelecendo VPC Peering: Solicitação

56. Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Passo 1
Iniciar a solicitação de peering
Passo 2
Aceitar solicitação de peering

57. Estabelecendo VPC Peering: Aceitando

58. Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Passo 1
Iniciar a solicitação de peering
Passo 2
Aceitar solicitação de peering
Passo 3
Criação de Rotas

59. Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Passo 1
Iniciar a solicitação de peering
Passo 2
Aceitar solicitação de peering
Passo 3
Criação de Rotas
Trafego destinado para VPC
peered irá para o elemento de
peering

60. Conectando sua rede:
Virtual Private Network &
Direct Connect

61. Conectando sua rede com VPN/Direct Conenct
VPN
Direct Connect

62. AWS VPN
• Rotas estáticas ou dinâmicas (BGP);
• Conexões iniciadas pelo Customer Gateway
(definição do appliance do cliente);
• IPSec Security Associations em modo de túnel;
• Sempre é disponibilizado 2 IPs para conexão (HA);
• Conectividade feita pela Internet;
• Baixo custo de serviço;

63. VPN: O que você precisa saber?
192.168.0.0/16 172.31.0.0/16

64. VPN: O que você precisa saber?
192.168.0.0/16 172.31.0.0/16
Seu device de rede
Customer
Gateway

65. VPN: O que você precisa saber?
192.168.0.0/16 172.31.0.0/16
Seu device de rede
Customer
Gateway
Virtual
Gateway

66. VPN: O que você precisa saber?
192.168.0.0/16 172.31.0.0/16
Seu device de rede
Customer
Gateway
Virtual
Gateway
Dois tuneis IPSec

67. VPN: O que você precisa saber?
192.168.0.0/16 172.31.0.0/16
Seu device de rede
Customer
Gateway
Virtual
Gateway
Dois tuneis IPSec
192.168.0.0/16

68. Rotas para o Virtual Private Gateway

69. Rotas para o Virtual Private Gateway
Trafego para rede 192.168.0.0/16 irá
pelo túnel

70. • Conexão dedicada e privada com a AWS;
• Cobrança reduzida de data-out (data-in é gratuito);
• Performance consistente;
• Pelo menos 1 ponto de conexão por região;
• Opção para conexões redundantes;
• Múltiplas contas AWS podem compartilhar a conexão;
• Portas de conexões de 50M a 10G;
• 50-500M feita com parceiro;
• 1G e 10G direto com a AWS;
AWS Direct Connect

71. AWS Direct Connect - Locais
AWS Region AWS Direct Connect (Locais)
Asia Pacific (Singapore) Equinix SG2
Asia Pacific (Sydney) Equinix SY3
Asia Pacific (Sydney) Global Switch
Asia Pacific (Tokyo) Equinix OS1
Asia Pacific (Tokyo) Equinix TY2
China (Beijing) Sinnet JiuXianqiao IDC
China (Beijing) CIDS Jiachuang IDC
EU (Frankfurt) Equinix FR5
EU (Frankfurt) Interxion Frankfurt
EU (Ireland) Eircom Clonshaugh
EU (Ireland) TelecityGroup, London Docklands'
South America (São Paulo) Terremark NAP do Brasil
South America (São Paulo) Tivit
US East (Virginia) CoreSite NY1 & NY2
US East (Virginia) Equinix DC1 - DC6 & DC10
US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA
US West (Northern California) Equinix SV1 & SV5
US West (Oregon) Equinix SE2 & SE3
US West (Oregon) Switch SUPERNAP, Las Vegas

72. AWS Region AWS Direct Connect (Locais)
Asia Pacific (Singapore) Equinix SG2
Asia Pacific (Sydney) Equinix SY3
Asia Pacific (Sydney) Global Switch
Asia Pacific (Tokyo) Equinix OS1
Asia Pacific (Tokyo) Equinix TY2
China (Beijing) Sinnet JiuXianqiao IDC
China (Beijing) CIDS Jiachuang IDC
EU (Frankfurt) Equinix FR5
EU (Frankfurt) Interxion Frankfurt
EU (Ireland) Eircom Clonshaugh
EU (Ireland) TelecityGroup, London Docklands'
South America (São Paulo) Terremark NAP do Brasil
South America (São Paulo) Tivit
US East (Virginia) CoreSite NY1 & NY2
US East (Virginia) Equinix DC1 - DC6 & DC10
US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA
US West (Northern California) Equinix SV1 & SV5
US West (Oregon) Equinix SE2 & SE3
US West (Oregon) Switch SUPERNAP, Las Vegas
AWS Direct Connect - Locais
South America (São Paulo) Terremark NAP do Brasil
South America (São Paulo) Tivit

73. VPN vs DirectConnect
• Ambos permitem conexão segura entre sua
rede e VPC;
• VPN é um par de túneis IPSec que trafegará
pela Internet;
• DirectConnect é conexão dedicada e
latência controlada;
• Para workloads de alta disponibilidade:
Utilizar ambos (failover);

74. VPC Flow Logs: Analise seu tráfego
Visibilidade da aplicabilidade
do Security Group;
Fazer troubleshooting de
conectividade de rede;
Possibilidade de analizar
tráfego.

75. Muito Obrigado!