© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Hugo Rozestraten, Solutions Architect

Belo HorizonteOutubro, 2016

Criando e conectando seu data center virual

O que é esperado nessa sessão?

• Conceitos de VPC;• Setup básico de VPC;• Conectividade com ambiente on-premises;• Monitoramento do tráfego VPC;• Caso prático de utilização;

E então, o que é VPC?

• VPC – Virtual Private Cloud;• Isolamento lógico de rede;• Permite a segregação de redes (Público e Privada);• Serviço de escopo de região;• Permite a escolha do seu proprio range de Ips;• Provê conexão com infraestrutura on-premises;

172.31.0.128

172.31.0.129

172.31.1.24

172.31.1.27

54.4.5.6

54.2.3.4

VPC

Criando VPC

Criando VPC: Passo a Passo

Escolher o range de IPs

Configurar subnets nas Availability

Zones

Criar rota para Internet (Utilizando

Internet Gateway ou NAT)

Autorizar tráfego de/para VPC

Escolher o range de IPs

Notação CIDR

CIDR range example:

172.31.0.0/16 ~ Máscara: 255.255.0.0172.31.0.0-172.31.255.255

Escolher os ranges para sua VPC

172.31.0.0/16

Recomendado: RFC1918

Recomendado: /16

(64K endereços)

Evite que os ranges de IPs façam conflitos com as redes as quais deseja fazer roteamento.

Configurar subnets nas Availability Zones

Configurar ranges de IP address para sua subnet

172.31.0.0/16

Availability Zone Availability Zone Availability ZoneVPC subnet VPC subnet VPC subnet

172.31.0.0/24 172.31.1.0/24 172.31.2.0/24

sa-east-1a sa-east-1b sa-east-1c

DemoCriação de VPC e subnets

Criar rotas para Internet

Tabela de Rotas na sua VPC

• Possuem regras por onde os pacotes trafegarão;

• Na VPC sempre possui tabela de rotas padrão;

• … e você pode designar tabelas de rotas diferentes para subnets diferentes.

Tráfego destinado para VPC ficam na VPC.

Rotas Internas dentro da VPC

Internet Gateway (Utilizado para subnet Públicas)

Componente para envio de pacote, se o destino for Internet.

Tudo que não tem destino para VPC, é enviado para Internet.

Internet Gateway (Utilizado para subnet Públicas)

Acesso à Internet via NAT Gateway

VPC subnet VPC subnet

0.0.

0.0/

0

0.0.0.0/0

Public IP

NAT Gateway

Autorizar tráfego de/para VPC

Network ACLs = Regras stateless firewall

Permitir todo o tráfego de entrada

Aplicado no nível de subnet

Security Groups segue o fluxo da sua aplicação

“MyWebServers” Security Group

“MyBackends” Security Group

Permitir

tráfego

para 0.0.0.0/0

Permitir acesso somente “MyWebServers”

Security Groups = stateful firewall

Porta 80 aberta para o mundo

Security Groups = stateful firewall

Porta do App Server aberta somente para frota de Web

DemoCriação de Internet Gateway e Security Groups

Conectividade na AWS

Além da conectividade com Internet

Roteamento no nivel de Subnet

Conectando com a sua rede corporativa

Conectando a outras VPCs

Roteamento no nível de subnets

Diferentes tabelas de rotas para diferentes subnets

VPC subnet

VPC subnet

Possui rota para Internet

Não possui rota para Internet

Conectando à outras VPC:VPC Peering

Serviços compartilhados: Utilizando VPC peering

Serviços comuns/core• Autenticação/Diretório;• Monitoramento;• Logging;• Administração remota;• Scanning

Conectando sua rede:Virtual Private Network &Direct Connect

Conectando sua rede com VPN/Direct Conenct

VPN

Direct Connect

AWS VPN• Rotas estáticas ou dinâmicas (BGP);• Conexões iniciadas pelo Customer Gateway (definição

do appliance do cliente);• IPSec Security Associations em modo de túnel;• Sempre é disponibilizado 2 Ips para conexão (HA);• Conectividade feita pela Internet;• Baixo custo de serviço;

VPN: O que você precisa saber?

Customer Gateway

Virtual Gateway

Dois tuneis IPSec

192.168.0.0/16 172.31.0.0/16

192.168/16

Seu device de rede

Rotas para o Virtual Private Gateway

Trafego para rede 192.168.0.0/16 irá pelo túnel

• Conexão dedicada e privada com a AWS;• Cobrança reduzida de data-out (data-in continua

gratuito);• Performance consistente;• Pelo menos 1 ponto de conexão por região;• Opção para conexões redundantes;• Múltiplas contas AWS podem compartilhar a conexão;• Portas de conexões de 50M a 10G;

• 50-500M feita com parceiro;• 1G e 10G direto com a AWS;

AWS Direct Connect

AWS Direct Connect - LocaisAWS Region AWS Direct Connect (Locais)Asia Pacific (Singapore) Equinix SG2Asia Pacific (Sydney) Equinix SY3Asia Pacific (Sydney) Global SwitchAsia Pacific (Tokyo) Equinix OS1Asia Pacific (Tokyo) Equinix TY2China (Beijing) Sinnet JiuXianqiao IDCChina (Beijing) CIDS Jiachuang IDCEU (Frankfurt) Equinix FR5EU (Frankfurt) Interxion FrankfurtEU (Ireland) Eircom ClonshaughEU (Ireland) TelecityGroup, London Docklands'South America (São Paulo) Terremark NAP do BrasilSouth America (São Paulo) TivitUS East (Virginia) CoreSite NY1 & NY2US East (Virginia) Equinix DC1 - DC6 & DC10US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CAUS West (Northern California) Equinix SV1 & SV5US West (Oregon) Equinix SE2 & SE3US West (Oregon) Switch SUPERNAP, Las Vegas

VPN vs DirectConnect

• Ambos permitem conexão segura entre sua rede e VPC;

• VPN é um par de túnel IPSec que trafegará pela Internet;

• DirectConnect é conexão dedicada e latência controlada;

• Para workloads de alta disponibilidade: Utilizar ambos (failover);

VPC Flow Logs: Analise seu tráfego

Visibilidade da aplicabilidade do Security Group;Fazer troubleshooting de conectividade de rede;Possibilidade de analizar tráfego.

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

AWS VPC Endpoints: S3 sem Internet Gateway

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

O Desafio

Criar novo ambiente de desenvolvimento com gestão simplificada, flexível e consumido sob demanda.

Focar na eficiência do consumo de recursos e automatização do backend.

Respeitar a política de segurança e aproveitar serviços integrados ao ambiente interno da TV.

Solução

Recapitulando

Recapitulando

• VPC;• Subnets Públicas vs Subnets Privadas;• Tabelas de Rota;• VPC VPN vs Direct Connect;• Endpoints na rede privada;

Obrigado!