MÉXICO

Virtual Private Cloud a Profundidad

Ivan Salazar – Arquitecto de Soluciones, AWS - @ivansalazarc

Alejandro Girardotti – Sr Product Manager, Level 3

Pláticas relacionadas – búsque los videos!

• ARC205 – VPC Fundamentals and Connectivity• ARC401 – Black Belt Networking for Cloud Ninja

– Centrado en la aplicación; monitoreo, gestión, floating IPs

• ARC403 – From One to Many: Evolving VPC Design• SDD302 – A Tale of One Thousand Instances

– Ejemplo de clientes con EC2-Classic adoptando VPC

• SDD419 – Amazon EC2 Networking Deep Dive– Rendimiento de la red, placement groups, enhanced networking

aws vpc –-expert-mode

Ruteo y conexiones

privadas

InterconexionesVPC

Temas de hoy

Cloud ConnectLevel 3

Opciones de redes virtuales

EC2-Classic

Comience de manera simple – todas las instancias tienen conexión a Internet, direcciones IP públicas y privadas asignadas automáticamente

Grupos de seguridad tráfico de salida

Default VPC

Lo mejor de ambos

Comience usando la experiencia EC2-Classic

Cuando se requiera comience a usar

cualquier función de VPC que necesite

VPC

Servicios avanzados de redes virtuales:

ENIs y tablas de ruteo para múltiples IPs

Grupos de seguridad tráfico de salida

NACLsConexiones privadas

Redes MejoradasY más...

Opciones de redes virtuales

EC2-Classic

Comience de manera simple – todas las instancias tienen conexión a Internet, direcciones IP públicas y privadas asignadas automáticamente

Grupos de seguridad tráfico de salida

Default VPC

Lo mejor de ambos

Comience usando la experiencia EC2-Classic

Cuando se requiera comience a usar

cualquier función de VPC que necesite

VPC

Servicios avanzados de redes virtuales:

ENIs y tablas de ruteo para múltiples IPs

grupos de seguridad tráfico de salida

NACLsconexiones privadas

Enhanced Networking

Y más...

Todas las cuentas creadas después del 4/12/2013 soportan únicamente VPC y tienen una VPC por defecto

en cada región

Confirmando su VPC por defecto

$ aws ec2 describe-account-attributes --attribute-names supported-platforms default-vpcACCOUNTATTRIBUTES default-vpcATTRIBUTEVALUES vpc-0e8b9c6cACCOUNTATTRIBUTES supported-platformsATTRIBUTEVALUES VPC Únicamente

VPC

Ruteo y conexiones privadas

Implementando una arquitectura híbrida

Centro de datos corporativo

Crear una VPC

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

aws ec2 create-vpc --cidr 10.10.0.0/16aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.1.0/24 --a us-west-2aaws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.2.0/24 --a us-west-2b

Centro de datos corporativo

Crear una conexión VPN

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

aws ec2 create-vpn-gateway --type ipsec.1aws ec2 attach-vpn-gateway --vpn vgw-f9da06e7 --vpc vpc-c15180a4aws ec2 create-customer-gateway --type ipsec.1 --public 54.64.1.2 --bgp 6500aws ec2 create-vpn-connection --vpn vgw-f9da06e7 --cust cgw-f4d905ea --t ipsec.1

Centro de datos corporativo

Lanzar instancias

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

aws ec2 run-instances --image ami-d636bde6 --sub subnet-d83d91bd --count 3aws ec2 run-instances --image ami-d636bde6 --sub subnet-b734f6c0 --count 3

Centro de datos corporativo

Usar AWS Direct Connect

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

aws directconnect create-connection --loc EqSE2 --b 1Gbps --conn My_Firstaws directconnect create-private-virtual-interface --conn dxcon-fgp13h2s --new virtualInterfaceName=Foo, vlan=10, asn=60, authKey=testing, amazonAddress=192.168.0.1/24, customerAddress=192.168.0.2/24,virtualGatewayId=vgw-f9da06e7

Centro de datos corporativo

Configurar la tabla de ruteo

Centro de datos corporativo192.168.0.0/16

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id vgw-f9da06e7

Cada VPC cuenta con una tabal de ruteo al momento de crearse, usada por todas las

subredes

Mejores prácticas para conectividad remota

Disponibilidad: BuenaCentro de datos

corporativo

Zona de disponibilidad

Zona de disponibilidad

BGP Cada conexión VPN

consta de 2 túneles IPSec. Use BGP para

recuperación en caso de falla.

BGP

Disponibilidad: Mejor

BG

P Un par de conexiones VPN (4 túneles IPSec en total) lo protege en

caso de falla de su puerta de enlace.

BGP

BG

P

BGP

Mejores prácticas para conectividad remota

Zona de disponibilidad

Zona de disponibilidad

Centro de datos corporativo

Remote connectivity best practices

Disponibilidad: La mejor

BG

P

Conexiones redundantes de AWS

Direct Connect con una VPN de respaldo

BGP

BGP

BGP

Zona de disponibilidad

Zona de disponibilidad

Centro de datos corporativo

VPC con conectividad pública y privada

Centro de datos corporativo192.168.0.0/16

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

aws ec2 create-internet-gatewayaws ec2 attach-internet-gateway --internet igw-5a1ae13f --vpc vpc-c15180a4aws ec2 delete-route --ro rtb-ef36e58a --dest 0.0.0.0/0aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13faws ec2 create-route --ro rtb-ef36e58a --dest 192.168.0.0/16 --gateway-id vgw-f9da06e7

Propagación automática de rutas del VGW

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

aws ec2 delete-route --ro rtb-ef36e58a --dest 192.168.0.0/16aws ec2 enable-vgw-route-propagation --ro rtb-ef36e58a --gateway-id vgw-f9da06e7

Utilizado para actualizar de manera automática la(s)

tabla(s) de ruteo con las rutas presentes en el VGW

Centro de datos corporativo192.168.0.0/16

Aislando la conectividad por subred

Corporativo192.168.0.0/16

10.10.0.0/16

10.10.1.0/24AZ A

10.10.2.0/24AZ B

aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.3.0/24 --a us-west-2baws ec2 create-route-table --vpc vpc-c15180a4aws ec2 associate-route-table --ro rtb-fc61b299 --subnet subnet-60975a17aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f

10.10.3.0/24AZ B Subred únicamente con

conectividad a otras instancias y hacia Internet a

través del IGW

# VPC Aaws ec2 modify-network-interface-attribute --net eni-f832afcc --no-source-dest-checkaws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc# VPC Baws ec2 modify-network-interface-attribute --net eni-9c1b693a --no-source-dest-checkaws ec2 create-route --ro rtb-67a2b31c --dest 10.10.0.0/16 –-instance-id i-9c1b693a

VPC A - 10.10.0.0/16

10.10.1.0/24AZ A

10.10.3.0/24AZ B

VPN

VPC B - 10.20.0.0/16

10.20.1.0/24AZ A

10.20.3.0/24AZ B

VPN

VPN de software para conexiones VPC-a-VPC

VPC A - 10.10.0.0/16

10.10.1.0/24AZ A

10.10.3.0/24AZ B

VPC B - 10.20.0.0/16

10.20.1.0/24AZ A

10.20.3.0/24AZ B

VPN VPN

VPN de software entre

estas instancias

VPN de software para conexiones VPC-a-VPC

VPC A - 10.10.0.0/16

10.10.1.0/24AZ A

10.10.3.0/24AZ B

VPC B - 10.20.0.0/16

10.20.1.0/24AZ A

10.20.3.0/24AZ B

VPN VPN

Habilitar la comunicación entre instancias en estas subredes;

Agregar rutas a la tabla de ruteo por defecto

VPN de software para conexiones VPC-a-VPC

Firewall de software hacia Internet

VPC A - 10.10.0.0/16

10.10.1.0/24AZ A

10.10.3.0/24AZ BNAT/

FW

Rutear todo el tráfico de las subredes hacia Internet a

través del firewall es conceptualmente similar

# Default routing table directs traffic to the NAT/firewall instanceaws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --instance-id i-f832afcc

# Routing table for 10.10.3.0/24 directs to the Internetaws ec2 create-route --ro rtb-67a2b31c --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f

Interconexión entre VPCs

Servicios compartidos VPC usando interconexión de VPC

• Servicios comunes/core– Autenticación/directorio– Monitoreo– Registro de logs– Gestión remota– Escaneo

Proveé zonas de infraestructura

• Desarrollo: VPC B• Pruebas: VPC C• Producción: VPC D

Interconexiones VPC para conectividad VPC-a-VPC

aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87VPC A> aws ec2 create-route --ro rtb-ef36e58a --des 10.20.0.0/16 --vpc-peer pcx-ee56be87VPC B> aws ec2 create-route --ro rtb-67a2b31c --des 10.10.0.0/16 --vpc-peer pcx-ee56be87

VPC A - 10.10.0.0/16vpc-c15180a4

10.10.1.0/24AZ A

10.20.1.0/24AZ A

VPC B - 10.20.0.0/16vpc-062dfc63

Interconexión VPC entre cuentas

aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63 --peer-owner 472752909333# In owner account 472752909333aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87

VPC A - 10.10.0.0/16vpc-c15180a4

10.10.1.0/24AZ A

10.20.1.0/24AZ A

VPC B - 10.20.0.0/16vpc-062dfc63Account ID 472752909333

Interconexión VPC – consideraciones adicionales

• Los grups de seguridad entre interconexiones no están soportados– Alternativa: especifique reglas por CIDR

• Sin capacidad “en tránsito” para VPN, AWS Direct Connect, o VPCs terciarias– Ejemplo: No se puede acceder a la VPC C desde la VPC A a través de la VPC B– Alternativa: Crear una interconexión directa de la VPC A a la VPC C

• Los rangos de las direcciones de las VPC interconectadas no se pueden encimar– Pero, se puede interconectar con 2 o más VPCs que se enciman entre sí– Use subredes/tablas de ruteo para elegir la VPC a utilizar

Interconexión VPC con firewall de software

VPC A - 10.10.0.0/16

10.10.1.0/24AZ A

10.20.1.0/24AZ A

VPC B - 10.20.0.0/16

10.10.3.0/24AZ BNAT/

FW

# Default routing table directs Peer traffic to the NAT/firewall instanceaws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc

# Routing table for 10.10.3.0/24 directs to the Peeringaws ec2 create-route --ro rtb-67a2b31c --dest 10.20.0.0/16 --vpc-peer pcx-ee56be87

Level 3

Cloud Connect

Level 3 Cloud Connect

• Introducción• Opciones de Conectividad• Conclusión

Company Overview

Footprint

http://maps.level3.com/default/

Cloud Connect

Conectividad a los servicios de AWS a través de la red de Level 3.

Opciones de Conectividad

Parámetros de Performance

Latencia

Jitter

Packet Loss

Disponibilidad

Seguridad

Opciones de Conectividad

https://www.youtube.com/watch?v=mUCTwhjQNOI

DWDM

Anchos de banda desde 1 G

Servicios no Protegidos

Servicio Transparente

Economías de Escala

Interconexión de DC

Interfaces:

• 1 GigE, 2.5 G, 10 G, 40 G, 100 G• FICON (1G, 2G, 4G, 8G) • ESCON (1GbE & 10GbE)• Fiber Channel (FC 1G, FC 2G, FC

4G, FC 8G and FC 10G)

Servicios Ethernet

• EVPL (Ethernet P2P /MPLS)

• EPL (Ethernet/SDH)

• VPLS (Ethernet MP2MP/MPLS)

Ethernet E2E

Anillo SDH

Servicios tipo LAN2LAN Requiere administrar direcciones IP.

SLA para jitter, latencia, packet drop. 6 Clases de Servicio

VPN en capa 2 sobre MPLS Certificación MEF

Servicio Transparente

Asignación estática de BW

Backbone TDM

MPLS IPVPN

AWS Cloud

Red VPN capa 3

Topología Full Mesh

6 Clases de Servicio

Ancho de banda flexible

Facilidad para agregar sitios

Solución Full Managed

ConclusiónInternet IPVPN EVPL/VPLS EPL DWDM

Red pública compuesta por diferentes proveedores.

Transporte best effort (jitter, packet loss)

Requiere encriptado para mejorar seguridad.

VPN capa 3 sobre MPLS.

Ofrece SLA para jitter, latencia y packet loss.

Topología full mesh.

6 clases de servicio.

Ethernet sobre MPLS.

Ofrece SLA para jitter, latencia y packet loss.

El cliente debe administrar direcciones IP.

Punto a punto Ethernet sobre SDH.

Transporte TDM, no conmutación de paquetes.

Para usos específicos

Anchos de banda > 1Gbps.

Servicio no protegido.

Longitud de onda de uso exclusivo.