View
637
Download
2
Category
Preview:
Citation preview
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Felipe Garcia, Solutions ArchitectDiego Noya, Regional Product Manager
Abril 2016
Creando su datacenter virtualFundamentos de VPC y opciones de conectividad
¿Qué esperar de esta sesión?
• Familiarizarse con los conceptos de VPC• Aprender a través de una configuración básica de VPC• Aprender acerca de las maneras en que usted puede
adaptar su red virtual, para satisfacer sus necesidades
Creación de una VPC conectada a Internet : Pasos
Eligiendo un rango de direcciones
Creando subredes en Availability
Zones
Creación de una ruta a la Internet
Autorizando tráfico a/desde la VPC
Revisión de la notación CIDR
Ejemplo de rango CIDR:
172.31.0.0/161010 1100 0001 1111 0000 0000 0000 0000
Eligiendo un rango de direcciones para su VPC
172.31.0.0/16
Recomendado: RFC1918 range
Recomendado : /16
(64K addresses)
Evitar los rangos que se solapan con otras redes a las que puede conectarse.
Eligiendo un rango de direcciones para su subred
172.31.0.0/16
Availability Zone Availability Zone Availability ZoneVPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
eu-west-1a eu-west-1b eu-west-1c
Más sobre subredes
• Recomendado para la mayoría de los clientes:
• / 16 VPC (64K direcciones)• / 24 subredes (251 direcciones)• Una subred por cada zona de
disponibilidad• ¿Cuándo podría hacer otra cosa?
Enrutamiento en la VPC
• Tablas de rutas contienen reglas para decir para donde los paquetes van
• Su VPC tiene una tabla de ruta por defecto
• ... Pero se pueden asignar diferentes tablas de rutas a diferentes subredes
Network ACLs = reglas de firewall sin Estado
Traducción a español: Permitir todo el tráfico
Se puede aplicar sobre una subred
Los Security Groups siguen la estructura de su aplicación
“MyWebServers” Security Group
“MyBackends” Security Group
Permitir
el tráfic
o
web desde 0.0.0.0/0
Permitir sólo “MyWebServers”
Security Groups = Firewall con estado
En español: Los miembros de este grupo son accesibles desde Internet por el puerto 80 (HTTP)
Security Groups = Firewall con estado
En español: Únicamente instancias en el Security Group MyWebServer, pueden alcanzar instancias de este Segurity Group
Security Groups en VPCs: Notas adicionales
• VPC permite la creácion de reglas de seguridad de ingreso y egreso
• Best practice: Siempre que sea posible, especifique por referencia el trafico permitido (otros Security Groups)
• Muchas arquitecturas de aplicaciones tienen una relación 1:1 con Security Groups (lo que puede llegar a mi) y AWS Identity and Access Management (IAM) roles (lo que puedo hacer)
Más allá de la conectividad a Internet
Opciones de enrutamiento en la
Subred
Conexión a la red corporativa
Conexión a otras VPCs
Diferentes tablas de rutas para diferentes subredes
VPC subnet
VPC subnet
Tiene ruta a Internet
No tiene ninguna ruta a Internet
El acceso a Internet a través de NAT con EC2
VPC subnet VPC subnet
NAT 0.0.
0.0/
0
0.0.0.0/0
Instancia EC2 con Imagen (AMI) de NAT de Amazon:amzn-ami-vpc-nat
SPoF
El acceso a Internet a través de NAT con NAT Gateway
VPC subnet VPC subnet
NAT 0.0.
0.0/
0
0.0.0.0/0
NAT Gateway altamente disponible, por AWS
VPC de Servicios compartidos con VPC Peering (Hub-and-Spoke)Servicios Core
• Autenticación/Directorio• Monitoreo• Logging• Administración Remota• Scanning
Pasos para establecer un VPC Peering: Iniciar solicitud
172.31.0.0/16 10.55.0.0/16
Step 1
Initiate peering request
Pasos para establecer un VPC Peering: Aceptar la solicitud
172.31.0.0/16 10.55.0.0/16
Step 1
Iniciar solicitud
Step 2
Aceptar solicitud
Pasos para establecer un VPC Peering: Crear ruta
172.31.0.0/16 10.55.0.0/16Step 1
Initiate peering request
Step 2
Accept peering request
Step 3
Crear Rutas
En español: Tráfico destinado a la preered VPC deberá ir por el peering
VPN: Lo que necesitas saber
Customer Gateway (CGW)
Virtual Gateway (VGW)
Dos túneles IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
Su dispositivo de Red
Enrutando a un Virtual Private Gateway (VGW)
En español: Tráfico a mi red 192.168.0.0/16 sale por el túnel VPN
VPN vs. Direct Connect
• Ambos permiten conexiones seguras entre su red y su VPC
• VPN és un par de túneles a través de Internet
• Direct Connect es una línea dedicada con un mejor costo por GB
• Para mayor alta disponibilidad: Use ambos
Opciones de DNS en la VPC
Utilizar el servidor DNS de Amazon
Hostname automático para las instâncias EC2
EC2 DNS hostnames de EC2 en la VPC
Nombre DNS interno: Resuelve a la dirección IP Privada
Nombre DNS externo: Resuelve…
EC2 DNS hostnames de EC2 trabajan desde cualquier parte: Fuera de su VPCC:\>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.comServer: globaldnsanycast.amazon.comAddress: 10.4.4.10
Non-authoritative answer:Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.comAddress: 52.18.10.57
Fuera de su VPC:Dirección IP Pública
EC2 DNS hostnames de EC2 trabajan desde cualquier parte: Dentro de su VPC[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A
;; ANSWER SECTION:ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137
;; Query time: 2 msec;; SERVER: 172.31.0.2#53(172.31.0.2);; WHEN: Wed Sep 9 22:32:56 2015;; MSG SIZE rcvd: 81
Dentro de su VPC:Dirección IP Privada
Amazon Route 53 zonas privadas
• La resolución de DNS para un dominio y subdominios
• Los registros DNS sólo tienen efecto dentro de las VPC asociadas
• Puede utilizarlo para anular registros DNS "externos"
Creando un registro DNS en Amazon Route 53
Private Hosted Zone
example.demohostedzone.org 172.31.0.99
Consulta de registros en zonas privadas
https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/[ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:;example.demohostedzone.org. IN A
;; ANSWER SECTION:example.demohostedzone.org. 60 IN A 172.31.0.99
;; Query time: 2 msec;; SERVER: 172.31.0.2#53(172.31.0.2);; WHEN: Wed Sep 9 00:13:33 2015;; MSG SIZE rcvd: 60
VPC Flow Logs: Vea todo el tráfico
• La visibilidad de los efectos de las reglas de Security Group
• Solución de problemas de conectividad de red
• Capacidad para analizar el tráfico
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
Amazon VPC endpoints: Amazon S3 sin un Internet gateway
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
ClassicLink: Conectar instancias de EC2-Classic a su VPC
• Conectividad a través de la dirección IP privada de instancias vinculadas entre EC2-Classic y VPC
• Instancias EC2-Classic pueden ingresar en Security Groups de la VPC
Maneje su red “like a boss…”
…si eres o no un experto en redes
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
Level 3 Cloud Connect
US East(Virginia)
US West(N.
California)
US West(Oregon)
EU West Ireland Sao Paulo Singapore Tokio Sydney
Level 3 Cloud ConnectCloud Connect IPVPN
• Conectividad Full Mesh• Flexibilidad para crecimiento• Instalación simple y competitiva para
cliente existente• Valor agregado a IPVPN• Permite ofrecer más servicios a
clientes nuevos• Aplicaciones en la nube
Cloud Connect EVPL
• Conectividad P2P• Configuración de cliente
simple• Conexión de un DC a la
nube (nube híbrida)
NNI
NNI
Opciones de ConectividadInternet IPVPN EVPL/VPLS PL/EPL DWDMRed pública compuesta por diferentes proveedores.
Transporte best effort (jitter, packet loss)
Requiere encriptado para mejorar seguridad.
VPN capa 3 sobre MPLS.
Ofrece SLA para jitter, latencia y packet loss.
Topología full mesh.
6 clases de servicio.
Ethernet sobre MPLS.
Ofrece SLA para jitter, latencia y packet loss.
El cliente debe administrar direcciones IP.
Punto a punto transparente.
Transporte TDM, no conmutación de paquetes.
Para usos específicos
Anchos de banda > 1Gbps.
Servicio no protegido.
Longitud de onda de uso exclusivo.
Recommended