AWS Virtual Private Cloud (VPC): Isolando seus Recursos na Nuvem

AWS Virtual Private Cloud (VPC):

Como Isolar Seus Recursos

Na Nuvem

Fábio Silva

AWS Solutions Architect

[email protected]

2

Agenda

• Regiões, Zonas de Disponibilidade e Pontos de Presença

• Elastic Compute Cloud (EC2)

• Virtual Private Cloud (VPC) • O Que é uma VPC, Possibilidades e Definições

• Casos de uso comuns

• Direct Connect

• Demo

Regiões, Zonas de

Disponibilidade e

Pontos de Presença

4

Compute Storage

AWS Global Infrastructure

Database

App Services

Deployment & Administration

Networking

Infraestrutura Global

Regiões Um conjunto isolado de data centers em uma

determinada geografia

5

Compute Storage


Database

App Services


Networking


Zonas de Disponibilidade Projetadas para serem independentes.

Separadas fisicamente, porém com conectividade

rápida dentro da mesma região

6

Compute Storage


Database

App Services


Networking


Pontos de Presença Edge Locations - CloudFront (CDN) e Route 53

(DNS)

Direciona automaticamente usuários finais para a

localização mais próxima conforme condições de

rede

Elastic Compute Cloud

(EC2)

8

Compute Storage


Database

App Services


Networking

EC2

Várias Opções

A partir de $0,02/hora

Elastic Compute Cloud (EC2) Servidores com recursos computacionais

29 tipos de instâncias (servidores) disponíveis,

de micro a cluster compute

Configurações de CPU, memória disco local

Recurso Detalhes

Flexível Linux e Windows

Escalável Várias configurações de servidor

Imagens Modificações podem ser salvas como imagens (AMIs) e novas instancias criadas a partir destas

Controle total

Controle de root e administrador

Segura Controle total do Firewall via Security Groups

Barata On-demand, Reservada e Spot

Virtual Private Cloud

(VPC)

10

Networking

Storage


Database

App Services


Virtual Private Cloud (VPC) Crie seus recursos AWS dentro de uma rede virtual

com as suas configurações

Ambiente virtual com muita semelhança a uma rede

tradicional

Recurso Detalhes

Flexível Use seu endereçamento

Segura Defina os níveis de acesso

Serviços Crie instâncias EC2, banco de dados em RDS, EMR dentro das VPCs

Conectividade

Através da Internet através de VPN ou usando o Direct Connect

Disponível Use a mesma VPC entre as zonas de disponibilidade

Compute

VPC

11

VPC

O que é uma VPC?

Uma seção privada e isolada da nuvem da AWS

Uma topologia de rede virtual que você pode instalar e customizar

Controle completo da sua rede privada na nuvem

12

VPC

Conectar sua VPC à sua

estrutura de TI local através

de túneis VPN encriptados

Armazenar dados no S3 e

defina permissões para

acesso apenas a partir de

dentro da sua VPC

Associar múltiplos endereços

IP através de múltiplas

interfaces de rede elásticas

(ENI em suas instâncias EC2

Controlar o tráfego de entrada

e saida de e para subredes

individuais Especificar sua própria faixa

de endereçamento IP de

acordo com a sua vontade

Dividir seu endereçamento IP

privado em uma ou mais

subredes públicas ou privadas

Único custo é

VPN por hardware

(opcional, $0.05/h)

Possibilidades

13

VPC

Definições VPC = Virtual Private Cloud (Nuvem Virtual Privada),

representada por uma faixa de endereçamento IP

Subnets = Sub-faixas de endereçamento IP dentro da VPC

Network ACLs = Listas de controle de acesso de tráfego das subredes

Route tables = Aplicadas a subredes, especificando as políticas de roteamento das mesmas

Conexão VPN = Um par de conexões redundantes e encriptadas entre seu datacenter (ou outra VPC) e a sua VPC na AWS

AWS Direct Connect = Conexão direta e privada entre o seu datacenter e a(s) sua(s) VPC(s)

14

VPC

Definições IGW = Internet gateway, provê acesso a internet (entrada e

saída) as instâncias das subredes públicas

VGW = Virtual gateway, provê acesso redundante ao datacenter do cliente (hardware VPN do lado da AWS)

CGW = Customer gateway, representação lógica que aponta para o roteador/firewall do cliente

NAT = Servidor de NAT (Network address translation), provê acesso de saida à internet as instâncias das subredes privadas

Security groups = Especificam políticas de entrada e saída de tráfego de rede para instâncias EC2

AZs = Availability Zones ou Zonas de Disponibilidade

Casos de Uso

Comuns

16

VPC

Datacenter Virtual

Active Directory

Configuração de Rede

Encriptação

Dispositivos de Backup

Aplicações On-premise

Usuários e Acesso

Sua Rede Privada

Hardware de Criptografia

Backups na Nuvem

Aplicações na Nuvem

AWS Direct Connect

Data Center Corporativo

17

VPC

Arquiteturas Web Multi-Camadas

Amazon Simple Storage

Service (S3)

Amazon

CloudFront

User

Internet Gateway

Availability Zone A

Private Subnet

Private Subnet

Private Subnet

Availability Zone B

Private Subnet

Public ELB

Private Subnet

Private Subnet

Private ELB

Amazon RDS

Master

Amazon

RDS

Slave

Amazon RDS

Read Replica

Amazon RDS

Read Replica

Public Subnet Public Subnet

EC2 EC2

EC2 EC2

Amazon Route 53

Sta

tic

Asse

ts

18

VPC

Aplicações Híbridas

Availability Zone A

Private Subnet

Private Subnet

Private Subnet

Availability Zone B

Private Subnet

Private ELB

Private Subnet

Private Subnet

Private ELB

Amazon RDS

Master

Amazon

RDS

Slave

Amazon RDS

Read Replica

Amazon RDS

Read Replica

Private Subnet Private Subnet

EC2 EC2

EC2 EC2

Internal

User

Private or Internet

VPN Gateway

CGW

Corporate Data Center

19

VPC

Recuperação de Desastres

Web

Server

Application

Server

DB

Server

Data Volume

EC2 Web

Server

EC2

Application

Server

EC2 DB

Server

EBS Data

Volume

Data Mirroring/

Replication

Amazon Elastic Compute Cloud (EC2) instances are

stopped and AMIs

are created.

Instances can be

restarted if primary

application goes

down.

Smaller EC2 Instance for

DB but may be stopped

and restarted as a larger

EC2 instance.

Route 53

User

Corporate Data Center

Repoint DNS in an

Outage

20

VPC Rede pública (sem VPC)

Internet

Zona de Disponibilidade 1a Zona de Disponibilidade 1b

São atribuídos IPs privados da rede interna da Amazon para as instâncias EC2. As instâncias compartilham um enorme bloco de endereçamento com todas as instâncias.

21

VPC

Internet



10.1.2.3

10.16.22.33

10.218.5.17

10.141.9.8

Cliente 1

Rede pública (sem VPC)

22

VPC



10.1.2.3 10.27.45.16

10.16.22.33

10.99.42.97

10.134.2.3 10.218.5.17

10.131.7.28

10.141.9.8

Cliente 2 Cliente 1

Internet


23

VPC

Internet



10.1.2.3 10.27.45.16

10.16.22.33 10.6.78.201

10.8.55.5

10.99.42.97

10.134.2.3

10.243.3.5

10.218.5.17

10.155.6.7 10.131.7.28

10.141.9.8

Cliente 2 Cliente 1 Cliente 3


24

VPC


10.1.2.3 10.27.45.16

10.16.22.33 10.6.78.201

10.8.55.5

10.99.42.97

10.134.2.3

10.243.3.5

10.218.5.17

10.155.6.7 10.131.7.28

10.141.9.8


Cada instância também tem um endereço IP público e pode acessar diretamente a internet através da borda da AWS

Rede pública (EC2-Classic)

Internet

25

VPC


10.1.2.3 10.27.45.16

10.16.22.33 10.6.78.201

10.8.55.5

10.99.42.97

10.134.2.3

10.243.3.5

10.218.5.17

10.155.6.7 10.131.7.28

10.141.9.8


Cada instância também tem um endereço IP público e pode acessar diretamente a internet através da borda da AWS

Rede pública (EC2-Classic)

Internet

26

VPC


Rede Privada

Internet

Os clientes da VPC podem criar instâncias dentro da sua rede

Cliente VPC

27

VPC


Internet

Rede Privada


Cliente VPC

28

VPC


VPC Subnet

VPC Subnet

VPC Subnet

Internet

Rede Privada


Cliente VPC

29

VPC


10.0.0.5

10.0.0.6

10.0.3.17

10.0.3.5

10.0.1.5

10.0.1.25

10.0.1.8

10.0.1.6

VPC Subnet

VPC Subnet

VPC Subnet

Internet

Rede Privada

Você pode atribuir seu próprio endereçamento IP dentro da VPC

Cliente VPC

30

VPC Rede Privada


10.0.0.5

10.0.0.6

10.0.3.17

10.0.3.5

10.0.1.5

10.0.1.25

10.0.1.8

10.0.1.6

VPC Subnet

VPC Subnet

VPC Subnet

Virtual Private Gateway

Cliente Gateway

VPN Connection

Adicione um Virtual Private Gateway (VPG) na sua VPC. Todo o tráfego com origem ou destino da VPC passam pela conexão VPN. A VPC se torna uma extensão do seu datacenter.

Cliente Data Center Cliente VPC

31

VPC Rede Privada


Internet

10.0.0.5

10.0.0.6

10.0.3.17

10.0.3.5

10.0.1.5

10.0.1.25

10.0.1.8

10.0.1.6

VPC Subnet

VPC Subnet

VPC Subnet

Virtual Private Gateway

Cliente Gateway

VPN Connection

Internet Gateway

Adicione um Internet Gateway (IGW) para as instâncias conectarem diretamente à Internet.

Cliente Data Center Cliente VPC

32

VPC Segurança

33

VPC Exemplo de VPC

Demo

Perguntas e

Respostas

OFERTA

GRATUITA! aws.amazon.com/pt/free

OBRIGADO! aws.typepad.com/brasil

slideshare.net/AmazonWebServicesLATAM

facebook.com/brasilaws

Fábio Silva

AWS Solutions Architect

[email protected]

Technology

AWS Virtual Private Cloud (VPC): Isolando seus Recursos na Nuvem