PowerPoint PresentationS U M M I T P A R I S
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Réseau dans un environnement multi- comptes : bonnes pratiques et nouveautés
Nicolas Malaval Senior Solution Architect Amazon Web Services
N E T 3 0 1
Adrien Geniller Lead Architect Network Engie
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Compte AWS
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Pourquoi avoir besoin de plusieurs comptes AWS ?
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Comment structurer ses VPC ?
Subnets 1 Large Subnets
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Comment structurer ses VPC ?
Compte AWS
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
VPC Sharing
Limitations actuelles Services non supportés : Amazon Aurora Serverless, AWS CloudHSM, AWS Glue, Amazon EMR, Network Load Balancer
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Interconnecter les VPC
VPC peering • Connexion point à point
entre deux VPC d’une même région ou de deux régions différentes
• Pas de limitation de bande passante
• Possibilité de référencer des security groups d’un autre VPC
VPC
Compte
VPC peering
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Les connecter au réseau d’entreprise – VPN
VPC
Compte
VPC
Compte
• Deux tunnels, 1.25 Gbps maximum par connexion VPN
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Les connecter au réseau d’entreprise – Direct Connect
VPC
Compte
Client
VPC
Compte
Shared • 50 VPC par port • 1 - 40 Gbps • Ou direct ou via un
partenaire
Support du multi-comptes par Direct Connect Gateway
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Les connecter au réseau d’entreprise – Client VPN
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Compte
Récapitulons
VPC
Compte
VPC
Compte
VPC
Compte
VPC
Connect
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Solution Transit VPC
Routeurs virtuels
• Connexion VPN AWS entre chaque VPC et les instances du Transit VPC
• 1.25 Gbps maximum par connexion VPN
• En général ~1-3 Gbps par instance pour les familles m4 et c4
Data center
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Transit Gateway
Limitations actuelles Support natif de Direct Connect Multi-région Référence à des groupes de sécurité dans d’autres VPC
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Compte partagéCompte
AWS Transit Gateway
Direct Connect gateway
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Transit Gateway – Exemple 1
VPC A (10.1.0.0/16)
Att VPC A Att VPC B
Att VPN
Apprentissage de 10.1.0.0/16 et 10.2.0.0/16 BGP
10.1.0.0/16 Att VPC A 10.2.0.0/16 Att VPC B 10.0.0.0/8 Att VPN10.99.1.2
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Transit Gateway – Exemple 2
VPC Prod A VPC Prod B
Datacenter
VPC Prod A Att VPC Prod A VPC Prod B Att VPC Prod B 10.0.0.0/8 Att VPN
VPC Dev A VPC Dev B
VPC Dev A Att VPC Dev A VPC Dev B Att VPC Dev B 10.0.0.0/8 Att VPN
VPC Prod A Att VPC Prod A VPC Prod B Att VPC Prod B VPC Dev A Att VPC Dev A VPC Dev B Att VPC Dev B
10.99.1.2
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Transit Gateway – Exemple 3 NAT Gateway centralisée
VPC A (10.1.0.0/16)
Att VPC S
CIDR Local 10.0.0.0/8 Transit GW 0.0.0.0/0 IGW
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Transit Gateway – Architecte de référence
VPC App 1 VPC App 1 VPC App 1 VPC Shared
Coupure
Sortie
Entrée
• Scaling horizontal via VPN et BGP
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Transit Gateway ou VPC Sharing ?
Data center
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS PrivateLink
Fournit une connexion à des services privés sans passer par Internet
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
VPC Endpoints
Contrôle d’accès aux Endpoints
• Endpoint Policies (S3, DynamoDB, CodeBuild) • Utilisation des conditions IAM aws:sourceVpc ou aws:sourceVpce
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Résolution DNS avant novembre 2018
Compte App
Configuration DHCP Options Set
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Amazon Route 53 Resolver
prédéfinies
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
A retenir
• Les services réseau évoluent en permanence. Pas de boule de cristal !
• Pensez simplicité ! Réduire la complexité à des périmètres restreints
• Expérimentez, testez et innovez
02 Avril 2019
ENGIE : la stratégie
Transition zéro carbone
Hi-tech Financée
RENOUVELABLES RÉSEAUX
PRODUCTION & FOURNITURE
SOLUTIONS CLIENTS
ENGIE entame la deuxième vague de sa transition énergétique, poussée par les entreprises et les collectivités
ENGIE est le mieux positionné pour être le leader mondial de la transition zéro carbone « as a service »
AWS Summit 2019
20 pays
30 zones
ENGIE : une vue globale simplifiée du réseau
Le backbone Engie est un réseau international qui connecte directement toutes les plaques domestiques des BUs d’Engie via leur Hubs, dont celles autour de la France et de la Belgique via les Data Centers du groupe.
Actuellement, la connexion principale vers AWS est réalisée depuis le Data Center de Paris.
Connectivité : historique
Engie DC 1
Engie DC 2
Challenges • 1 VIF = 1 VPC • Délai de 4– 6 semaines • Coûts de build et run relativement élevés • Pas de capacité de burst (50-500 Mbps)
• Raccordement de chaque VPC via une Hosted Connection au MPLS d’entreprise, comme un site distant
• 1 VIF = 1 VPC • Délai de 4– 6 semaines • Coûts de build et run relativement élevés • Pas de capacité de burst (50-500 Mbps)
• Service d’interconnexion au cloud fourni par l’hébergeur
• Portail self-service, multi-cloud
• 1 VIF = 1 DX Gateway = N VPC • Coûts de run relativement élevés • Pas de capacité de burst (50-500 Mbps)
• 10 Gbps, jusqu’à 50 VIF par connexion • Résilience via un autre point de
présence Direct Connect
Connexion dédiée + Direct Connect Gateway
DX Location Paris 1
Connectivité : cible pour H1 2019
Transit Gateway pour la connexion vers le réseau interne et inter-VPC en remplacement du VPC peering
August 2018 AWS Summit 2019
Engie Paris DC1
Engie Paris DC2
DX Location Paris 2
Compte
VPC
10G
10G
Design à bande passante partagée non contrainte, « Highway to the Cloud »
La fonction IDS / IPS en coupure migre sur AWS. Le réseau privé sur AWS devient partie intégrante du réseau privé Engie.
Connectivité : les prochaines étapes
Dupliquer le modèle de la Transit Gateway sur d’autres régions Accélérer les besoins d’hybridation locales partout dans le monde…
…Puis connecter les régions entre elles, et faire converger le pattern d’hybridation
Nouvelles perspectives : Utilisation du backbone AWS en complément du backbone opérateur existant
Basculer le centre de gravité du SI vers le cloud Accostage direct du SD-WAN sur AWS
Développer des services transverses à valeur ajoutée, conformes aux exigences de la sécurité
Accélérer le trafic vers les services AWS publics (AppStream, S3, DMS…)
August 2018 Introduction to ENGIE and ENSEMBLE
Continuer à itérer Evolutions constantes pour intégrer les nouvelles fonctionnalités (≠ Build and Forget) Besoins d’avoir des profils multi-compétences (Infra as a Code / Devops ET Réseau)
August 2018 AWS Summit 2019
Appliances Infoblox Route 53 Resolver • Appliances InfoBlox sur AWS synchronisées avec les appliances
on-premise. Zones privées Route 53 rattachées au VPC Shared.
Engie AWS VPC
Requêtes DNS
VPC Peering
Blockers: VPC peering avec le VPC shared nécessaire Difficulté pour consommer des VPC Endpoints
Engie AWS VPC
puis retransmises si
besoin .2
• Remplacement des appliances InfoBlox par des endpoints inbound / outbound Route 53 Resolver.
Service managé Disponibilité Evolutivité Conserve les réponses
spécifiques au VPC
Passage à l’échelle de la résolution de domaines inter-VPC, trois options :
- Full-meshed VPC peering avec règle Forward - Full-meshed association des Zones privées - Forward vers les Inbound Endpoints
Responsabilisation des entités sur leur usage DNS
Evolution du DNS
Evolution du DNS : les prochaines étapes
Migration et industrialisation de la gestion des zones publiques avec Route 53 (plus de 3000 zones dont engie.com)
Résolution DNS privé dans les autres régions
— Namespace à régionaliser
Merci !
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Nicolas Malaval malaval@amazon.fr
Adrien Geniller adrien.geniller@engie.com
Slide Number 1
Compte AWS
Créer et configurer ses réseaux privés virtuels (VPC)
Comment structurer ses VPC ?
Comment structurer ses VPC ?
Connecter les VPC entre eux et au réseau d’entreprise
Interconnecter les VPC
Les connecter au réseau d’entreprise – Direct Connect
Les connecter au réseau d’entreprise – Client VPN
Récapitulons
AWS Transit Gateway – Exemple 3NAT Gateway centralisée
AWS Transit Gateway – Architecte de référence
Transit Gateway ou VPC Sharing ?
AWS PrivateLink
VPC Endpoints
Résolution DNS avant novembre 2018
Amazon Route 53 Resolver
ENGIE : une organisation décentralisée
Connectivité : historique
Connectivité : les prochaines étapes
Slide Number 39