Post on 15-Apr-2017
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Hugo Rozestraten, Solutions Architect
Belo HorizonteOutubro, 2016
Criando e conectando seu data center virual
O que é esperado nessa sessão?
• Conceitos de VPC;• Setup básico de VPC;• Conectividade com ambiente on-premises;• Monitoramento do tráfego VPC;• Caso prático de utilização;
E então, o que é VPC?
• VPC – Virtual Private Cloud;• Isolamento lógico de rede;• Permite a segregação de redes (Público e Privada);• Serviço de escopo de região;• Permite a escolha do seu proprio range de Ips;• Provê conexão com infraestrutura on-premises;
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
VPC
Criando VPC
Criando VPC: Passo a Passo
Escolher o range de IPs
Configurar subnets nas Availability
Zones
Criar rota para Internet (Utilizando
Internet Gateway ou NAT)
Autorizar tráfego de/para VPC
Escolher o range de IPs
Notação CIDR
CIDR range example:
172.31.0.0/16 ~ Máscara: 255.255.0.0172.31.0.0-172.31.255.255
Escolher os ranges para sua VPC
172.31.0.0/16
Recomendado: RFC1918
Recomendado: /16
(64K endereços)
Evite que os ranges de IPs façam conflitos com as redes as quais deseja fazer roteamento.
Configurar subnets nas Availability Zones
Configurar ranges de IP address para sua subnet
172.31.0.0/16
Availability Zone Availability Zone Availability ZoneVPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
sa-east-1a sa-east-1b sa-east-1c
DemoCriação de VPC e subnets
Criar rotas para Internet
Tabela de Rotas na sua VPC
• Possuem regras por onde os pacotes trafegarão;
• Na VPC sempre possui tabela de rotas padrão;
• … e você pode designar tabelas de rotas diferentes para subnets diferentes.
Tráfego destinado para VPC ficam na VPC.
Rotas Internas dentro da VPC
Internet Gateway (Utilizado para subnet Públicas)
Componente para envio de pacote, se o destino for Internet.
Tudo que não tem destino para VPC, é enviado para Internet.
Internet Gateway (Utilizado para subnet Públicas)
Acesso à Internet via NAT Gateway
VPC subnet VPC subnet
0.0.
0.0/
0
0.0.0.0/0
Public IP
NAT Gateway
Autorizar tráfego de/para VPC
Network ACLs = Regras stateless firewall
Permitir todo o tráfego de entrada
Aplicado no nível de subnet
Security Groups segue o fluxo da sua aplicação
“MyWebServers” Security Group
“MyBackends” Security Group
Permitir
tráfego
para 0.0.0.0/0
Permitir acesso somente “MyWebServers”
Security Groups = stateful firewall
Porta 80 aberta para o mundo
Security Groups = stateful firewall
Porta do App Server aberta somente para frota de Web
DemoCriação de Internet Gateway e Security Groups
Conectividade na AWS
Além da conectividade com Internet
Roteamento no nivel de Subnet
Conectando com a sua rede corporativa
Conectando a outras VPCs
Roteamento no nível de subnets
Diferentes tabelas de rotas para diferentes subnets
VPC subnet
VPC subnet
Possui rota para Internet
Não possui rota para Internet
Conectando à outras VPC:VPC Peering
Serviços compartilhados: Utilizando VPC peering
Serviços comuns/core• Autenticação/Diretório;• Monitoramento;• Logging;• Administração remota;• Scanning
Conectando sua rede:Virtual Private Network &Direct Connect
Conectando sua rede com VPN/Direct Conenct
VPN
Direct Connect
AWS VPN• Rotas estáticas ou dinâmicas (BGP);• Conexões iniciadas pelo Customer Gateway (definição
do appliance do cliente);• IPSec Security Associations em modo de túnel;• Sempre é disponibilizado 2 Ips para conexão (HA);• Conectividade feita pela Internet;• Baixo custo de serviço;
VPN: O que você precisa saber?
Customer Gateway
Virtual Gateway
Dois tuneis IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
Seu device de rede
Rotas para o Virtual Private Gateway
Trafego para rede 192.168.0.0/16 irá pelo túnel
• Conexão dedicada e privada com a AWS;• Cobrança reduzida de data-out (data-in continua
gratuito);• Performance consistente;• Pelo menos 1 ponto de conexão por região;• Opção para conexões redundantes;• Múltiplas contas AWS podem compartilhar a conexão;• Portas de conexões de 50M a 10G;
• 50-500M feita com parceiro;• 1G e 10G direto com a AWS;
AWS Direct Connect
AWS Direct Connect - LocaisAWS Region AWS Direct Connect (Locais)Asia Pacific (Singapore) Equinix SG2Asia Pacific (Sydney) Equinix SY3Asia Pacific (Sydney) Global SwitchAsia Pacific (Tokyo) Equinix OS1Asia Pacific (Tokyo) Equinix TY2China (Beijing) Sinnet JiuXianqiao IDCChina (Beijing) CIDS Jiachuang IDCEU (Frankfurt) Equinix FR5EU (Frankfurt) Interxion FrankfurtEU (Ireland) Eircom ClonshaughEU (Ireland) TelecityGroup, London Docklands'South America (São Paulo) Terremark NAP do BrasilSouth America (São Paulo) TivitUS East (Virginia) CoreSite NY1 & NY2US East (Virginia) Equinix DC1 - DC6 & DC10US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CAUS West (Northern California) Equinix SV1 & SV5US West (Oregon) Equinix SE2 & SE3US West (Oregon) Switch SUPERNAP, Las Vegas
VPN vs DirectConnect
• Ambos permitem conexão segura entre sua rede e VPC;
• VPN é um par de túnel IPSec que trafegará pela Internet;
• DirectConnect é conexão dedicada e latência controlada;
• Para workloads de alta disponibilidade: Utilizar ambos (failover);
VPC Flow Logs: Analise seu tráfego
Visibilidade da aplicabilidade do Security Group;Fazer troubleshooting de conectividade de rede;Possibilidade de analizar tráfego.
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
AWS VPC Endpoints: S3 sem Internet Gateway
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
O Desafio
Criar novo ambiente de desenvolvimento com gestão simplificada, flexível e consumido sob demanda.
Focar na eficiência do consumo de recursos e automatização do backend.
Respeitar a política de segurança e aproveitar serviços integrados ao ambiente interno da TV.
Solução
Recapitulando
Recapitulando
• VPC;• Subnets Públicas vs Subnets Privadas;• Tabelas de Rota;• VPC VPN vs Direct Connect;• Endpoints na rede privada;
Obrigado!