Criando o seu Data Center Virtual: Fundamentos de VPC e Opções de Conectividade - CMP203 - Sao Paulo Summit

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Cláudio Freire Júnior
Solutions Architect, AWS
Daniela Binatti
CTO, Pismo
CMP203
Criando seu Data Center Virtual:
Fundamentos de VPC e Opções de
Conectividade

O que é esperado nessa sessão?
• Conceitos de VPC;
• Setup básico de VPC;
• Conectividade com ambiente on-premises;
• Monitoramento do tráfego VPC;
• Caso da utilização da Pismo;
• Novidades de Networking na AWS;

E então, o que é VPC?
• VPC – Virtual Private Cloud;
• Isolamento lógico de rede;
• Permite a segregação de redes (Público e Privada);
• Serviço de escopo de região;
• Permite a escolha do seu proprio range de Ips;
• Provê conexão com infraestrutura on-premises;

172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4

Criando VPC

Criando VPC: Passo a Passo
Escolher o range
de IPs
Configurar
subnets nas
Availability Zones
Criar rotas
(Utilizando
Internet Gateway
ou NAT)
Autorizar tráfego
de/para VPC

Escolher o range de IPs

Escolher os ranges para sua VPC – IPv4
172.31.0.0/16
Recomendado:
RFC1918
Recomendado:
/16
(64K endereços)

IPv6 na Amazon VPC – Dual-stack
172.31.0.0/16
Amazon Global Unicast
Addresses (GUA) –
Internet Routable
Atribuímos um /56 IPv6
CIDR
2001:db8:1234:1a00::/56

Criação das subnets nas Availability
Zones

Configurar ranges de IP address para sua subnet
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
sa-east-1a sa-east-1b sa-east-1c

Demo
Criação de VPC e subnets

Criar rotas na VPC

Tabela de Rotas na sua VPC
• Possuem regras por onde os pacotes trafegarão;
• Na VPC sempre possui tabela de rotas padrão;
• … e você pode designar tabelas de rotas diferentes para
subnets diferentes.

Tráfego destinado para
VPC ficam na VPC.
Rotas Internas dentro da VPC

Tudo que não tem destino para VPC, é
enviado para Internet.
Internet Gateway (Utilizado para subnet Públicas)

Acesso à Internet via NAT Gateway
VPC subnet Privada VPC subnet Pública
0.0.0.0/0
0.0.0.0/0
Public IP
NAT Gateway

Autorizar tráfego de/para VPC

Network ACLs = Regras stateless firewall
Permitir todo o tráfego de entrada
Aplicado no nível de subnet

Security Groups segue o fluxo da sua aplicação
“MyWebServers” Security Group
“MyBackends” Security Group
Permitir acesso somente
“MyWebServers”

Security Groups = stateful firewall
Porta 80 aberta para o mundo

Security Groups = stateful firewall
Porta do App Server aberta somente
para frota de Servidores Web

Conectividade na AWS

Além da conectividade com Internet
Roteamento no nivel
de Subnet
Conectando com a
sua rede corporativa
Conectando a outras
VPCs

Roteamento no nível de subnets

Diferentes tabelas de rotas para diferentes subnets
VPC subnet
VPC subnet
Possui rota para
Internet
Não possui rota para
Internet

Conectando à outras VPC:
VPC Peering

Serviços compartilhados: Utilizando VPC peering
Serviços comuns/core
• Autenticação/Diretório;
• Monitoramento;
• Logging;
• Administração remota;
• Segurança;

Inter-Region VPC Peering
sa-east-1 (São Paulo) us-east-1 (N.Virginia)
VPC A VPC B

Conectando sua rede:
Virtual Private Network &
Direct Connect

Conectando sua rede com VPN/Direct Conenct
VPN
Direct Connect

AWS VPC/VPN
• Rotas estáticas ou dinâmicas (BGP);
• Conexões iniciadas pelo Customer Gateway (definição do
appliance do cliente);
• IPSec Security Associations em modo de túnel;
• Sempre é disponibilizado 2 IPs para conexão (HA);
• Conectividade feita pela Internet;
• Baixo custo de serviço;

VPN: O que você precisa saber?
Customer
Gateway
Virtual
Gateway
Dois tuneis IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
Seu device de rede

• Conexão dedicada e privada com a AWS;
• Cobrança reduzida de data-out (data-in continua
gratuito);
• Performance consistente;
• Pelo menos 1 ponto de conexão por região;
• Opção para conexões redundantes;
• Múltiplas contas AWS podem compartilhar a conexão;
• Portas de conexões de 50M a 10G;
• 50-500M feita com parceiro;
• 1G e 10G direto com a AWS;
AWS Direct Connect

AWS Direct Connect – Alguns Locais
Região AWS AWS Direct Connect (Locais)
Asia Pacific (Singapore) Equinix SG2
Asia Pacific (Singapore) Global Switch
Asia Pacific (Sydney) Equinix SY3
Asia Pacific (Sydney) Global Switch
Asia Pacific (Tokyo) Equinix OS1
Asia Pacific (Tokyo) Equinix TY2
China (Beijing) Sinnet JiuXianqiao IDC
China (Beijing) CIDS Jiachuang IDC
EU (Frankfurt) Equinix FR5
EU (Frankfurt) Interxion Frankfurt
EU (Ireland) Eircom Clonshaugh
EU (Ireland) TelecityGroup, London Docklands'
South America (São Paulo) Terremark NAP do Brasil
South America (São Paulo) Tivit
US East (Virginia) CoreSite NY1 & NY2
US East (Virginia) Equinix DC1 - DC6 & DC10
US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA
US West (Northern California) Equinix SV1 & SV5
US West (Oregon) Equinix SE2 & SE3
US West (Oregon) Switch SUPERNAP, Las Vegas

VPN vs DirectConnect
• Ambos permitem conexão segura entre sua
rede e VPC;
• VPN é um par de túnel IPSec que trafegará
pela Internet;
• DirectConnect é conexão dedicada e latência
controlada;
• Para workloads de alta disponibilidade:
Utilizar ambos (failover);

VPC Flow Logs: Analise seu tráfego
Visibilidade da aplicabilidade
do Security Group;
Fazer troubleshooting de
conectividade de rede;
Possibilidade de analizar
tráfego;
Compatível com Amazon
GuardDuty.10.10.0.0/16
10.10.1.0/24
AZ A
10.10.2.0/24
AZ B

VPC Flow Logs data in CloudWatch Logs
O que é isso?
# dig +short -x 52.90.45.101
ec2-52-90-45-101.compute-1.amazonaws.com.
ACCEPT
Porta TCP 443 =
HTTPS

VPC endpoints: Amazon S3 and Amazon
DynamoDB
10.10.0.0/16
10.10.1.0/24
AZ A
10.10.2.0/24
AZ B
S3 bucket
Rota para o
S3/DynamoDB-VPC
endpoint
DynamoDB

Direct Connect Gateway
• Possibilidade de se utilizar o Direct Connect para se comunicar
com outras regiões de forma privada;
• Possibilidade de plugar mais de uma VPC em um único Direct
Connect;

Daniela Binatti
CTO, Pismo
CMP203
Caso Pismo

“Montar um datacenter virtual conectando múltiplas regiões
com estruturas on premises, em uma operação PCI Compliant,
nunca foi tão rápido e transparente.”
“Os recursos de
conectividade da
AWS entregaram a
segurança e a baixa
latência mandatórias
em uma operação de
meios de pagamentos”
- Daniela Binatti, CTO
A Pismo é a primeira plataforma
de processamento de meios de
pagamentos construída 100% em
microsserviços e em cloud pública
A missão de inovar em uma
indústria antiquada apresentou
desafios como manter a
“compatibilidade” com artefatos
de legado e on premises

A Pismo na cadeia de autorização
CLIENTE
LOJA
ADQUIRENTE
BANDEIRA
EMISSOR
FRAUDE
~ 100 ms

O Desafio
Conexão com estruturas on
premises que ainda se comunicam
através do protocolo ISO 8583
Transmissão segura de dados
sensíveis
Baixíssimo tempo de resposta
Alta disponibilidade

Solução
VPC US-East (N. Virginia)
VA, USA
VPC South America

Recapitulando

Recapitulando
• VPC;
• Subnets Públicas vs Subnets Privadas;
• Tabelas de Rota;
• VPC VPN vs Direct Connect;
• Endpoints na rede privada;
• Novidades;

Por favor, participe da pesquisa sobre essa sessão

Como fazer a avaliação da sessão?
1. Selecione o ícone
Agenda;
2. Selecione a sessão
que você assistiu;
3. Selecione Avaliar
Sessão para submeter seu
feedback.

Obrigado!

Criando o seu Data Center Virtual: Fundamentos de VPC e Opções de Conectividade - CMP203 - Sao Paulo Summit

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Criando o seu Data Center Virtual: Fundamentos de VPC e Opções de Conectividade - CMP203 - Sao Paulo Summit

Semelhante a Criando o seu Data Center Virtual: Fundamentos de VPC e Opções de Conectividade - CMP203 - Sao Paulo Summit (20)

Mais de Amazon Web Services

Mais de Amazon Web Services (20)

Criando o seu Data Center Virtual: Fundamentos de VPC e Opções de Conectividade - CMP203 - Sao Paulo Summit