SAN FRANCISCO

©2015,  Amazon  Web  Services,  Inc.  or  its  affiliates.  All  rights  reserved

LIMA

©2015,  Amazon  Web  Services,  Inc.  or  its  affiliates.  All  rights  reserved

Virtual Private Cloud y opciones de conectividad

Ivan Salazar – Arquitecto de Soluciones, AWS @ivansalazarc

Luis Ladera – Director Data & Internet Products, Level 3 y Presidente NAP Perú

Agenda

•  ¿Qué es Amazon Virtual Private Cloud (VPC)? •  Casos de uso de alto nivel •  Los fundamentos de VPC •  Opciones de conectividad •  Cloud Connect (Level 3)

¿Qué es Amazon VPC?

¿Qué es Amazon VPC? •  Una sección aislada y privada de la nube de

AWS •  Una topología virtual de red que usted puede

desplegar y personalizar •  Control total de su red

En pocas palabras, es un centro de datos virtual que puede construir y

controlar en AWS!

¿Cuáles son algunos de los casos de uso comúnes para

VPC?

Aplicaciones web públicas

Object Storage

CDN

User

Web

DNS

http://www.example.com

Internet Gateway

Aplicaciones Privadas

Usuario interno

VPN Gateway

Router / Firewall

Centro de datos corporativo

http://internal-app

Web

VPN por Internet

Un centro de datos virtual en AWS

Directorios activos

Configuración de redes

Cifrado

Dispositivos de respaldo

Sus aplicaciones locales

Usuarios y reglas de acceso

Su red privada

Un dispositivo HSM

Respaldos en la nube

Sus aplicaciones en la nube

AWS Direct Connect

Centro de datos

Web Server

Application Server

DB Server

Data Volume

EC2 Web Server

EC2 Application

Server

EC2 DB Server

Amazon Elastic Block Store (EBS) Data Volume

Data Mirroring / Replicación

Las instancias Amazon Elastic Compute Cloud (EC2) están detenidas. Se puede reiniciar si la aplicación primaria falla

Instancia EC2 más pequeña, pero pude detenerse y re-lanzarse como una más grande

Amazon Route 53

User

Centro de datos

Modificar el DNS en un evento

Recuperación de desastres

Los fundamentos de VPC

Los componentes de VPC

Route table Elastic network interface

Amazon VPC Router Internet gateway

Customer gateway

Virtual private

gateway

VPN connection

Subnet

Elastic IP

•  VPC = Virtual Private Cloud •  Su centro de datos virtual en

AWS •  Bloques de Ips que definen su

red (norma RFC 1918) •  Pueden abarcar múltiples AZs •  Default VPCs

VPC

Availability Zone A Availability Zone B

VPC CIDR: 10.1.0.0 /16

•  Rango de IPs dentro del rango de IPs de la VPC

•  Vive dentro de una AZ •  Puede proveer seguridad a

nivel de subred con ACLs •  Puede rutear a nivel de

subred •  Subredes públicas dentro

Default VPC

Subred de VPC

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

VPC CIDR: 10.1.0.0 /16

•  IGW = Internet gateway •  Permite a sus instancias

conectarse a Internet •  La Default VPC incluye un

IGW

Internet gateway

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

Internet Gateway

VPC CIDR: 10.1.0.0 /16

Internet AWS Public API Endpoints

•  VGW = virtual private gateway •  La VPG representa el punto de

acceso de la VPN para terminar conexiónes de su centro de datos

•  Es también el punto de acceso de Direct Connect

Virtual private gateway

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

VPC CIDR: 10.1.0.0 /16

Internal User

VPN Gateway

Customer Gateway

Centro de datos

VPN over the Internet

•  CGW = customer gateway •  Un dispositivo físico o de

software de su lado de la conexión

•  Normalmente un ruteador o firewall

Customer gateway

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

VPC CIDR: 10.1.0.0 /16

Usuario interno

VPN Gateway

Customer Gateway

Centro de datos

VPN over the Internet

•  Por defecto cada subred puede comunicarse con cualquier otra subred

•  Esto es posible gracias a un ruteador virtual que se encuentra en una topología de estrella entre las subredes

•  Para obtener este ruteador, el servicio DHCP de VPC entrega un default gateway en .1 a cada instancia generada en la subred (en una subred /24)

Virtual router

Public Subnet

Availability Zone A

Private Subnet

Public Subnet

Availability Zone B

Private Subnet

Instance A 10.1.1.11 /24

Instance C 10.1.3.33 /24

Instance B 10.1.2.22 /24

Instance D 10.1.4.44 /24

VPC CIDR: 10.1.0.0 /16

.1

.1 .1

.1

•  Contiene una serie de reglas, llamadas rutas, que se usan para determinar hacia dónde se direcciona el tráfico de red

•  Las Subredes tienen una tabla de ruteo

•  Controla el ruteo de una subred al IGW y al VGW

•  Una tabla de ruteo puede pertenecer a varias subredes

Route table

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

Internet Gateway

VPC CIDR: 10.1.0.0 /16

Internet AWS Public API Endpoints

Route Table

Destination Target

10.1.0.0/16 local

0.0.0.0/0 igw

•  Una conexión VPN se refiere a la conexión entre su VPC y su red del centro de datos

•  Consiste en un par de túneles IPSEC entre su VGW y CGW

Conexión VPN

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

VPC CIDR: 10.1.0.0 /16

Internal User

VPN Gateway

Customer Gateway

Centro de datos

VPN over the Internet

•  EIP = elastic IP •  IP elástica asociada a

su cuenta. •  Permanece en su

cuenta mientras no la libere

•  Se puede mover entre instancias EC2 en una región

Elastic IP

Availability Zone A Availability Zone B

Subnet: 10.1.1.0/24

Internet Gateway

VPC CIDR: 10.1.0.0 /16

Internet AWS Public API Endpoints

Route Table

Destination Target

10.1.0.0/16 local

0.0.0.0/0 igw

Subnet: 10.1.10.0/24

EIP EIP

•  ENI = elastic network interface •  Una ENI es una interfaz de red

virtual que se puede acoplar a una instancia EC2

•  Dentro de una VPC, cada instancia tiene una interfaz por defecto eth0

•  Consiste de la MAC address, IP privada, y IP pública

•  Una ENI que no es la ENI por defecto de una instancia (eth0) se puede mover a otra instancia EC2 en la misma subred

Elastic network interface

Availability Zone A Availability Zone B

Subnet: 10.1.1.0/24

Internet Gateway

VPC CIDR: 10.1.0.0 /16

Internet AWS Public API Endpoints

Route Table

Destination Target

10.1.0.0/16 local

0.0.0.0/0 igw

Subnet: 10.1.10.0/24

ENI (eth0)

ENI (eth0)

•  NACL = network access control list

•  Una capa opcional de seguridad que actúa como un firewall en una subred

•  Una lista de reglas numerada que se evalúan en orden

•  No tienen estado y tienen reglas de entrada/salida separadas

Network access control list

Availability Zone A Availability Zone B

VPC CIDR: 10.1.0.0 /16

VPC Subnet with ACL VPC Subnet with ACL

VPC Subnet with ACL

•  Un grupo de seguridad actúa como un firewall virtual para su instancia EC2

•  Una instancia EC2 puede tener hasta 5 grupos de seguridad

•  Los grupos de seguridad operan a nivel de la instancia no de la subred

•  Los grupo de seguridad mantienen el estado

Grupo de seguridad

Availability Zone A Availability Zone B

Subnet: 10.1.1.0/24

VPC CIDR: 10.1.0.0 /16

Subnet: 10.1.10.0/24

Security Group

Controles de seguridad de VPC

Route Table

Route Table

Internet Gateway

Virtual Private Gateway

Virtual Router

VPC 10.1.0.0/16

Vista de VPC

VPC Public Subnet VPC Private Subnet

NAT Instance Public: 54.200.129.18 Private: 10.1.1.11 /24

Web Server Public: 54.200.129.29 Private: 10.1.1.12 /24

Database Server Private: 10.1.10.3 /24

Database Server Private: 10.1.10.4 /24

Database Server Private: 10.1.10.5 /24

Route Table

Destination Target

10.1.0.0/16 local

0.0.0.0/0 igw

AWS Public API Endpoints

VPC 10.1.0.0/16

VPN or Direct Connect

Route Table

Destination Target

10.1.0.0/16 local

172.16.0.0/8 vgw

0.0.0.0/0 NAT

IGW VGW

CGW

Opciones de conectividad

Conexión VPN sencilla

Virtual Private Cloud

Availability Zone Availability Zone

VPC Subnet VPC Subnet

Customer Gateway

Centro de datos

VPN

Router Virtual Private Gateway

Múltiples conexiones VPN

Virtual Private Cloud

Availability Zone Availability Zone

VPC Subnet VPC Subnet

Customer Gateway

Centro de datos New York

VPN

Router Virtual Private Gateway

Customer Gateway

Centro de datos Chicago

VPN

Customer Gateway

Centro de datos Los Angeles

VPN

Túneles redundantes para su conexión VPN Virtual Private Cloud

Availability Zone Availability Zone

VPC Subnet VPC Subnet

IPSEC VPN

Virtual Private Gateway

Router 72.21.209.193

Router 72.21.209.225

Tunnel 1 Tunnel 2

Customer Gateway xxx.xxx.xxx.xxx

Customer Network

IPSEC VPN

Customer gateways redundantes Virtual Private Cloud

Availability Zone Availability Zone

VPC Subnet VPC Subnet

Tunnel 1

Virtual Private Gateway

Router 72.21.209.193

Router 72.21.209.225

Customer Gateway xxx.xxx.xxx.xxx

Customer Network

Customer Gateway xxx.xxx.xxx.yyy

Tunnel 2 Tunnel 2

Tunnel 1

Direct Connect

•  Alternativa a usar Internet para acceder a los servicios de nube de AWS

•  Una conexión de red privada entre AWS y su centro de datos

•  Puede reducir costos, incrementar el ancho de banda, y proveer una experiencia de red más consistente que las conexiones basadas en Internet

Opciones de Direct Connect

•  Dedicada o hospedada •  Tipos de Conexión

–  Punto a punto (DWDM, private line, Ethernet virtual private line) –  Full mesh (IPVPN / MPLS or VPLS)

Direct Connect Location

Customer Data Center

Customer Office

Customer Office

Customer Office

Customer Data Center

©2015,  Amazon  Web  Services,  Inc.  or  its  affiliates.  All  rights  reserved

Level 3

Cloud Connect

Level 3 Cloud Connect

•  Introducción •  Opciones de Conectividad •  Conclusión

Company Overview

Footprint

http://maps.level3.com/default/

AWS Connected Sites by Level 3

AWS Connection in Progress by Level 3

Footprint

http://maps.level3.com/default/

Cloud Connect

Conectividad a los servicios de AWS a través de la red de Level 3.

Opciones de Conectividad

Parámetros de Performance

Latencia

Jitter

Packet Loss

Disponibilidad

Seguridad

Opciones de Conectividad

https://www.youtube.com/watch?v=mUCTwhjQNOI

DWDM

Anchos  de  banda  desde  1  G  

Servicios  no  Protegidos  

Servicio  Transparente  

Economías  de  Escala  

Interconexión  de  DC  

Interfaces:

•  1 GigE, 2.5 G, 10 G, 40 G, 100 G •  FICON (1G, 2G, 4G, 8G) •  ESCON (1GbE & 10GbE) •  Fiber Channel (FC 1G, FC 2G, FC

4G, FC 8G and FC 10G)

Servicios Ethernet •  EVPL (Ethernet P2P /MPLS)

•  EPL (Ethernet/SDH)

•  VPLS (Ethernet MP2MP/MPLS)

Ethernet E2E

Anillo SDH

Servicios  @po  LAN2LAN   Requiere  administrar  direcciones  IP.  

SLA  para  jiIer,  latencia,  packet  drop.   6  Clases  de  Servicio  

VPN  en  capa  2  sobre  MPLS   Cer@ficación  MEF  

Servicio  Transparente  

Asignación  está@ca  de  BW  

Backbone  TDM  

MPLS IPVPN

AWS Cloud

Red  VPN  capa  3  

Topología  Full  Mesh    

6  Clases  de  Servicio  

Ancho  de  banda  flexible  

Facilidad  para  agregar  si@os  Solución  Full  Managed    

Conclusión Internet IPVPN EVPL/VPLS EPL DWDM Red pública compuesta por diferentes proveedores. Transporte best effort (jitter, packet loss) Requiere encriptado para mejorar seguridad.

VPN capa 3 sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. Topología full mesh. 6 clases de servicio.

Ethernet sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. El cliente debe administrar direcciones IP.

Punto a punto Ethernet sobre SDH. Transporte TDM, no conmutación de paquetes. Para usos específicos

Anchos de banda > 1Gbps. Servicio no protegido. Longitud de onda de uso exclusivo.

SAN FRANCISCO GRACIAS!