Upload
amazon-web-services-latam
View
1.015
Download
0
Embed Size (px)
Citation preview
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
Virtual Private Cloud y opciones de conectividad
Ivan Salazar – Arquitecto de Soluciones, AWS @ivansalazarc
Luis Ladera – Director Data & Internet Products, Level 3 y Presidente NAP Perú
Agenda
• ¿Qué es Amazon Virtual Private Cloud (VPC)? • Casos de uso de alto nivel • Los fundamentos de VPC • Opciones de conectividad • Cloud Connect (Level 3)
¿Qué es Amazon VPC? • Una sección aislada y privada de la nube de
AWS • Una topología virtual de red que usted puede
desplegar y personalizar • Control total de su red
Aplicaciones Privadas
Usuario interno
VPN Gateway
Router / Firewall
Centro de datos corporativo
http://internal-app
Web
VPN por Internet
Un centro de datos virtual en AWS
Directorios activos
Configuración de redes
Cifrado
Dispositivos de respaldo
Sus aplicaciones locales
Usuarios y reglas de acceso
Su red privada
Un dispositivo HSM
Respaldos en la nube
Sus aplicaciones en la nube
AWS Direct Connect
Centro de datos
Web Server
Application Server
DB Server
Data Volume
EC2 Web Server
EC2 Application
Server
EC2 DB Server
Amazon Elastic Block Store (EBS) Data Volume
Data Mirroring / Replicación
Las instancias Amazon Elastic Compute Cloud (EC2) están detenidas. Se puede reiniciar si la aplicación primaria falla
Instancia EC2 más pequeña, pero pude detenerse y re-lanzarse como una más grande
Amazon Route 53
User
Centro de datos
Modificar el DNS en un evento
Recuperación de desastres
Los componentes de VPC
Route table Elastic network interface
Amazon VPC Router Internet gateway
Customer gateway
Virtual private
gateway
VPN connection
Subnet
Elastic IP
• VPC = Virtual Private Cloud • Su centro de datos virtual en
AWS • Bloques de Ips que definen su
red (norma RFC 1918) • Pueden abarcar múltiples AZs • Default VPCs
VPC
Availability Zone A Availability Zone B
VPC CIDR: 10.1.0.0 /16
• Rango de IPs dentro del rango de IPs de la VPC
• Vive dentro de una AZ • Puede proveer seguridad a
nivel de subred con ACLs • Puede rutear a nivel de
subred • Subredes públicas dentro
Default VPC
Subred de VPC
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
• IGW = Internet gateway • Permite a sus instancias
conectarse a Internet • La Default VPC incluye un
IGW
Internet gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet AWS Public API Endpoints
• VGW = virtual private gateway • La VPG representa el punto de
acceso de la VPN para terminar conexiónes de su centro de datos
• Es también el punto de acceso de Direct Connect
Virtual private gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal User
VPN Gateway
Customer Gateway
Centro de datos
VPN over the Internet
• CGW = customer gateway • Un dispositivo físico o de
software de su lado de la conexión
• Normalmente un ruteador o firewall
Customer gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Usuario interno
VPN Gateway
Customer Gateway
Centro de datos
VPN over the Internet
• Por defecto cada subred puede comunicarse con cualquier otra subred
• Esto es posible gracias a un ruteador virtual que se encuentra en una topología de estrella entre las subredes
• Para obtener este ruteador, el servicio DHCP de VPC entrega un default gateway en .1 a cada instancia generada en la subred (en una subred /24)
Virtual router
Public Subnet
Availability Zone A
Private Subnet
Public Subnet
Availability Zone B
Private Subnet
Instance A 10.1.1.11 /24
Instance C 10.1.3.33 /24
Instance B 10.1.2.22 /24
Instance D 10.1.4.44 /24
VPC CIDR: 10.1.0.0 /16
.1
.1 .1
.1
• Contiene una serie de reglas, llamadas rutas, que se usan para determinar hacia dónde se direcciona el tráfico de red
• Las Subredes tienen una tabla de ruteo
• Controla el ruteo de una subred al IGW y al VGW
• Una tabla de ruteo puede pertenecer a varias subredes
Route table
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet AWS Public API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
• Una conexión VPN se refiere a la conexión entre su VPC y su red del centro de datos
• Consiste en un par de túneles IPSEC entre su VGW y CGW
Conexión VPN
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal User
VPN Gateway
Customer Gateway
Centro de datos
VPN over the Internet
• EIP = elastic IP • IP elástica asociada a
su cuenta. • Permanece en su
cuenta mientras no la libere
• Se puede mover entre instancias EC2 en una región
Elastic IP
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet AWS Public API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
EIP EIP
• ENI = elastic network interface • Una ENI es una interfaz de red
virtual que se puede acoplar a una instancia EC2
• Dentro de una VPC, cada instancia tiene una interfaz por defecto eth0
• Consiste de la MAC address, IP privada, y IP pública
• Una ENI que no es la ENI por defecto de una instancia (eth0) se puede mover a otra instancia EC2 en la misma subred
Elastic network interface
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet AWS Public API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
ENI (eth0)
ENI (eth0)
• NACL = network access control list
• Una capa opcional de seguridad que actúa como un firewall en una subred
• Una lista de reglas numerada que se evalúan en orden
• No tienen estado y tienen reglas de entrada/salida separadas
Network access control list
Availability Zone A Availability Zone B
VPC CIDR: 10.1.0.0 /16
VPC Subnet with ACL VPC Subnet with ACL
VPC Subnet with ACL
• Un grupo de seguridad actúa como un firewall virtual para su instancia EC2
• Una instancia EC2 puede tener hasta 5 grupos de seguridad
• Los grupos de seguridad operan a nivel de la instancia no de la subred
• Los grupo de seguridad mantienen el estado
Grupo de seguridad
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
VPC CIDR: 10.1.0.0 /16
Subnet: 10.1.10.0/24
Security Group
Controles de seguridad de VPC
Route Table
Route Table
Internet Gateway
Virtual Private Gateway
Virtual Router
VPC 10.1.0.0/16
Vista de VPC
VPC Public Subnet VPC Private Subnet
NAT Instance Public: 54.200.129.18 Private: 10.1.1.11 /24
Web Server Public: 54.200.129.29 Private: 10.1.1.12 /24
Database Server Private: 10.1.10.3 /24
Database Server Private: 10.1.10.4 /24
Database Server Private: 10.1.10.5 /24
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
AWS Public API Endpoints
VPC 10.1.0.0/16
VPN or Direct Connect
Route Table
Destination Target
10.1.0.0/16 local
172.16.0.0/8 vgw
0.0.0.0/0 NAT
IGW VGW
CGW
Conexión VPN sencilla
Virtual Private Cloud
Availability Zone Availability Zone
VPC Subnet VPC Subnet
Customer Gateway
Centro de datos
VPN
Router Virtual Private Gateway
Múltiples conexiones VPN
Virtual Private Cloud
Availability Zone Availability Zone
VPC Subnet VPC Subnet
Customer Gateway
Centro de datos New York
VPN
Router Virtual Private Gateway
Customer Gateway
Centro de datos Chicago
VPN
Customer Gateway
Centro de datos Los Angeles
VPN
Túneles redundantes para su conexión VPN Virtual Private Cloud
Availability Zone Availability Zone
VPC Subnet VPC Subnet
IPSEC VPN
Virtual Private Gateway
Router 72.21.209.193
Router 72.21.209.225
Tunnel 1 Tunnel 2
Customer Gateway xxx.xxx.xxx.xxx
Customer Network
IPSEC VPN
Customer gateways redundantes Virtual Private Cloud
Availability Zone Availability Zone
VPC Subnet VPC Subnet
Tunnel 1
Virtual Private Gateway
Router 72.21.209.193
Router 72.21.209.225
Customer Gateway xxx.xxx.xxx.xxx
Customer Network
Customer Gateway xxx.xxx.xxx.yyy
Tunnel 2 Tunnel 2
Tunnel 1
Direct Connect
• Alternativa a usar Internet para acceder a los servicios de nube de AWS
• Una conexión de red privada entre AWS y su centro de datos
• Puede reducir costos, incrementar el ancho de banda, y proveer una experiencia de red más consistente que las conexiones basadas en Internet
Opciones de Direct Connect
• Dedicada o hospedada • Tipos de Conexión
– Punto a punto (DWDM, private line, Ethernet virtual private line) – Full mesh (IPVPN / MPLS or VPLS)
Direct Connect Location
Customer Data Center
Customer Office
Customer Office
Customer Office
Customer Data Center
Footprint
http://maps.level3.com/default/
AWS Connected Sites by Level 3
AWS Connection in Progress by Level 3
DWDM
Anchos de banda desde 1 G
Servicios no Protegidos
Servicio Transparente
Economías de Escala
Interconexión de DC
Interfaces:
• 1 GigE, 2.5 G, 10 G, 40 G, 100 G • FICON (1G, 2G, 4G, 8G) • ESCON (1GbE & 10GbE) • Fiber Channel (FC 1G, FC 2G, FC
4G, FC 8G and FC 10G)
Servicios Ethernet • EVPL (Ethernet P2P /MPLS)
• EPL (Ethernet/SDH)
• VPLS (Ethernet MP2MP/MPLS)
Ethernet E2E
Anillo SDH
Servicios @po LAN2LAN Requiere administrar direcciones IP.
SLA para jiIer, latencia, packet drop. 6 Clases de Servicio
VPN en capa 2 sobre MPLS Cer@ficación MEF
Servicio Transparente
Asignación está@ca de BW
Backbone TDM
MPLS IPVPN
AWS Cloud
Red VPN capa 3
Topología Full Mesh
6 Clases de Servicio
Ancho de banda flexible
Facilidad para agregar si@os Solución Full Managed
Conclusión Internet IPVPN EVPL/VPLS EPL DWDM Red pública compuesta por diferentes proveedores. Transporte best effort (jitter, packet loss) Requiere encriptado para mejorar seguridad.
VPN capa 3 sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. Topología full mesh. 6 clases de servicio.
Ethernet sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. El cliente debe administrar direcciones IP.
Punto a punto Ethernet sobre SDH. Transporte TDM, no conmutación de paquetes. Para usos específicos
Anchos de banda > 1Gbps. Servicio no protegido. Longitud de onda de uso exclusivo.