Criando e conectando seu datacenter virtual
75
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Glauber Gallego - Arquiteto de Soluções Setembro 2016 Criando e Conectando seu Datacenter Virtual AWS Experience Porto Alegre 2016
-
Upload
amazon-web-services-latam -
Category
Technology
-
view
150 -
download
0
Transcript of Criando e conectando seu datacenter virtual
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Glauber Gallego - Arquiteto de Soluções
Setembro 2016
Criando e Conectando seu Datacenter Virtual
AWS Experience Porto Alegre 2016
O que é esperado nessa sessão?
• Conceitos de VPC;• Setup básico de VPC;• Conectividade com ambiente on-premises;• Monitoramento do tráfego VPC;
10o AniversárioLançada em 14 de Março, 2006
Infraestrutura Global
E então, o que é VPC?
• VPC – Virtual Private Cloud;• Isolamento lógico de rede;• Permite a segregação de redes (Público e Privada);• Serviço de escopo de região;• Permite a escolha do seu proprio range de Ips;• Provê conexão com infraestrutura on-premises;
VPC
VPC
Subnet Subnet
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
VPC
Subnet Subnet
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
VPC
Subnet Subnet
Criando uma VPC
Criando VPC: Passo a Passo
Escolher o range de IPs
Configurar subnets nas Availability
Zones
Criar rota para Internet (via Internet Gateway ou NAT)
Autorizar tráfego
de/para VPC
Escolher o range de IPs
Notação CIDR
172.31.0.0/16 ~ Máscara: 255.255.0.0
Notação CIDR
172.31.0.0/16 ~ Máscara: 255.255.0.0
= 65.531 IPs
Notação CIDR
172.31.0.0/16 ~ Máscara: 255.255.0.0
= 65.531 IPs
= 172.31.0.0 - 172.31.255.255
Escolher os ranges para sua VPC
172.31.0.0/16
Recomendado: RFC1918
Recomendado: /16
(65K endereços)
Evite que os ranges de IPs façam conflitos com as redes as quais deseja fazer roteamento.
Não é possível mudar depois!
Configurar subnets nas AZs (zonas de disponibilidade)
Configurar ranges de IP address para sua subnet
172.31.0.0/16
Availability Zone Availability Zone Availability ZoneVPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
sa-east-1a sa-east-1b sa-east-1c
VPC subnet
Configurar ranges de IP address para sua subnet
172.31.0.0/16
Availability Zone Availability Zone Availability ZoneVPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
sa-east-1a sa-east-1b sa-east-1c
VPC subnetRecomendado: /24
(251 endereços)
DemoCriação de VPC e subnets
Criar rotas para Internet
Tabela de Rotas na sua VPC
• Possuem regras por onde os pacotes trafegarão;
• A VPC sempre possui uma tabela de rotas padrão;
• … e você pode designar tabelas de rotas diferentes para subnets diferentes.
Rotas Internas dentro da VPC
Tráfego destinado para VPC ficam na VPC.
Rotas Internas dentro da VPC
Internet Gateway (Utilizado para subnet Públicas)
Componente para envio de pacote, se o destino for
Internet.
Internet Gateway (Utilizado para subnet Públicas)
Tudo que não tem destino para VPC, é enviado para Internet.
Internet Gateway (Utilizado para subnet Públicas)
Acesso à Internet via NAT Gateway
Private subnet Public subnet
Acesso à Internet via NAT Gateway
Private subnet Public subnet
0.0.
0.0/
0
Acesso à Internet via NAT Gateway
Private subnet Public subnet
0.0.
0.0/
0
0.0.0.0/0
Acesso à Internet via NAT Gateway
Private subnet Public subnet
0.0.
0.0/
0
0.0.0.0/0
Public IP
NAT Gateway
Acesso à Internet via NAT Gateway
Private subnet Public subnet
0.0.
0.0/
0
0.0.0.0/0
Public IP
NAT Gateway
Autorizar tráfego de/para VPC
Network ACLs = Regras stateless firewall
Network ACLs = Regras stateless firewall
Permitir todo o tráfego de entrada
Aplicado no nível de subnet
Security Groups: definem o fluxo da app
“MyBackends” Security Group
Security Groups: definem o fluxo da app
“MyBackends” Security Group
“MyWebServers” Security Group
Security Groups: definem o fluxo da app
“MyBackends” Security Group
“MyWebServers” Security Group
Permitir
tráfego
para 0.0.0.0/0
Security Groups: definem o fluxo da app
“MyBackends” Security Group
“MyWebServers” Security Group Permitir acesso somente
“MyWebServers”
Permitir
tráfego
para 0.0.0.0/0
Security Groups = stateful firewall
Security Groups = stateful firewall
Porta 80 aberta para o mundo
Security Groups = stateful firewall
Security Groups = stateful firewall
Porta do App Server aberta somente para frota Web
DemoCriação de Internet Gateway e Security Groups
Conectividade na AWS
Além da conectividade com Internet
Roteamento no nivel de Subnet
Conectando com a sua rede corporativa
Conectando a outras VPCs
Roteamento no nível de subnets
Diferentes tabelas de rotas para diferentes subnets
“MyBackends” Security Group
“MyWebServers” Security Group
Diferentes tabelas de rotas para diferentes subnets
“MyBackends” Security Group
“MyWebServers” Security Group
Permitir
tráfego
para 0.0.0.0/0
Diferentes tabelas de rotas para diferentes subnets
“MyBackends” Security Group
“MyWebServers” Security Group Permitir acesso somente
“MyWebServers”
Permitir
tráfego
para 0.0.0.0/0
Conectando à outras VPC:VPC Peering
Serviços compartilhados: Utilizando VPC peering
Serviços comuns/core• Autenticação/Diretório;• Monitoramento;• Logging;• Administração remota;• Scanning
Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Passo 1
Iniciar a solicitação de peering
Estabelecendo VPC Peering: Solicitação
Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Passo 1
Iniciar a solicitação de peering
Passo 2
Aceitar solicitação de peering
Estabelecendo VPC Peering: Aceitando
Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Passo 1
Iniciar a solicitação de peering
Passo 2
Aceitar solicitação de peering
Passo 3
Criação de Rotas
Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Passo 1
Iniciar a solicitação de peering
Passo 2
Aceitar solicitação de peering
Passo 3
Criação de Rotas
Trafego destinado para VPC peered irá para o elemento de
peering
Conectando sua rede:Virtual Private Network &Direct Connect
Conectando sua rede com VPN/Direct Conenct
VPN
Direct Connect
AWS VPN• Rotas estáticas ou dinâmicas (BGP);• Conexões iniciadas pelo Customer Gateway
(definição do appliance do cliente);• IPSec Security Associations em modo de túnel;• Sempre é disponibilizado 2 IPs para conexão (HA);• Conectividade feita pela Internet;• Baixo custo de serviço;
VPN: O que você precisa saber?
192.168.0.0/16 172.31.0.0/16
VPN: O que você precisa saber?
192.168.0.0/16 172.31.0.0/16
Seu device de rede
Customer Gateway
VPN: O que você precisa saber?
192.168.0.0/16 172.31.0.0/16
Seu device de rede
Customer Gateway
Virtual Gateway
VPN: O que você precisa saber?
192.168.0.0/16 172.31.0.0/16
Seu device de rede
Customer Gateway
Virtual Gateway
Dois tuneis IPSec
VPN: O que você precisa saber?
192.168.0.0/16 172.31.0.0/16
Seu device de rede
Customer Gateway
Virtual Gateway
Dois tuneis IPSec
192.168.0.0/16
Rotas para o Virtual Private Gateway
Rotas para o Virtual Private Gateway
Trafego para rede 192.168.0.0/16 irá pelo túnel
• Conexão dedicada e privada com a AWS;• Cobrança reduzida de data-out (data-in é gratuito);• Performance consistente;• Pelo menos 1 ponto de conexão por região;• Opção para conexões redundantes;• Múltiplas contas AWS podem compartilhar a conexão;• Portas de conexões de 50M a 10G;
• 50-500M feita com parceiro;• 1G e 10G direto com a AWS;
AWS Direct Connect
AWS Direct Connect - LocaisAWS Region AWS Direct Connect (Locais)Asia Pacific (Singapore) Equinix SG2Asia Pacific (Sydney) Equinix SY3Asia Pacific (Sydney) Global SwitchAsia Pacific (Tokyo) Equinix OS1Asia Pacific (Tokyo) Equinix TY2China (Beijing) Sinnet JiuXianqiao IDCChina (Beijing) CIDS Jiachuang IDCEU (Frankfurt) Equinix FR5EU (Frankfurt) Interxion FrankfurtEU (Ireland) Eircom ClonshaughEU (Ireland) TelecityGroup, London Docklands'South America (São Paulo) Terremark NAP do BrasilSouth America (São Paulo) TivitUS East (Virginia) CoreSite NY1 & NY2US East (Virginia) Equinix DC1 - DC6 & DC10US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CAUS West (Northern California) Equinix SV1 & SV5US West (Oregon) Equinix SE2 & SE3US West (Oregon) Switch SUPERNAP, Las Vegas
AWS Region AWS Direct Connect (Locais)Asia Pacific (Singapore) Equinix SG2Asia Pacific (Sydney) Equinix SY3Asia Pacific (Sydney) Global SwitchAsia Pacific (Tokyo) Equinix OS1Asia Pacific (Tokyo) Equinix TY2China (Beijing) Sinnet JiuXianqiao IDCChina (Beijing) CIDS Jiachuang IDCEU (Frankfurt) Equinix FR5EU (Frankfurt) Interxion FrankfurtEU (Ireland) Eircom ClonshaughEU (Ireland) TelecityGroup, London Docklands'South America (São Paulo) Terremark NAP do BrasilSouth America (São Paulo) TivitUS East (Virginia) CoreSite NY1 & NY2US East (Virginia) Equinix DC1 - DC6 & DC10US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CAUS West (Northern California) Equinix SV1 & SV5US West (Oregon) Equinix SE2 & SE3US West (Oregon) Switch SUPERNAP, Las Vegas
AWS Direct Connect - Locais
South America (São Paulo) Terremark NAP do BrasilSouth America (São Paulo) Tivit
VPN vs DirectConnect
• Ambos permitem conexão segura entre sua rede e VPC;
• VPN é um par de túneis IPSec que trafegará pela Internet;
• DirectConnect é conexão dedicada e latência controlada;
• Para workloads de alta disponibilidade: Utilizar ambos (failover);
VPC Flow Logs: Analise seu tráfego
Visibilidade da aplicabilidade do Security Group;
Fazer troubleshooting de conectividade de rede;
Possibilidade de analizar tráfego.10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
Muito Obrigado!
