Embed Size (px)
Citation preview
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Mayo 2016
Fundamentos de VPC y opciones de conectividad
Ivan Salazar, Enterprise Solutions Architect AWS
EC2 Instance
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
VPC
What to Expect from the Session
• Familiarizarse con los conceptos de VPC • Tutorial de una configuración básica de VPC • Aprenda acerca de las diferentes maneras con
las cuales usted puede personalizar su red virtual para cumplir sus necesidades
¿Qué esperar de la sesión?
Tutorial: Configurar una VPC conectada a Internet
Creando una VPC conectada a Internet: Pasos
Seleccionar un rango de
direcciones
Configurar las subredes en Zonas de Disponibilidad
Crear una ruta hacia Internet
Autorizar el tráfico hacia/desde la VPC
Seleccionar un rango de direcciones
Notación CIDR
Ejemplo de rango CIDR:
172.31.0.0/1610101100000111110000000000000000
Seleccionar rangos de direcciones IP para la VPC
172.31.0.0/16
Recomendado: Rango RFC1918
Recomendado: /16
(64K addresses)
Configurar subredes
Seleccione rangos de direcciones para subredes
172.31.0.0/16
Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
eu-west-1a eu-west-1b eu-west-1c
Auto-assign Public IP: Todas las instancias obtendrán una dirección IP pública asignada de manera automática
Más acerca de las subredes
• Recomendado para la mayoría de los clientes: • /16 VPC (64K direcciones) • /24 subredes (251 direcciones) • Una subred por Zona de Disponibilidad
• Cuándo debe hacer algo diferente?
Crear una ruta hacia Internet
Ruteo en su VPC
• Las tablas de ruteo contienen reglas para qué paquetes van a dónde
• Su VPC tiene una tabla de ruteo por defecto • … pero usted puede asignar diferentes tablas
de ruteo a diferentes subredes
El tráfico destinado para my VPC sequeda en mi VPC
Internet gateway
Mande los paquetes aquí si quiere que salgan a Internet
Todo lo que no está destinado a la VPC: Mandarlo a Internet
Autorizar el tráfico: Network ACLs Grupos de seguridad
Network ACLs = reglas sin estado de firewall
Traducción: Permite TODO el tráfico de entrada
Se pueden aplicar por subred
Los grupos de seguridad siguen la estructura de su aplicacón
“MyWebServers” Security Group
“MyBackends” Security Group
Sólo permite a “MyWebServers”
Grupos de seguridad = firewall con estado
En español: Los hosts de este grupo son alcanzables desde internet en el puerto 80 (HTTP)
En español: Sólo las instancias en el grupo de seguridad MyWebServers pueden alcanzar instancias en este grupo de seguridad
Grupos de seguridad = firewall con estado
Grupos de seguridad en VPCs: Notas
• Las VPC permiten la creación de reglas de grupos de seguridad tanto de ingreso como de egreso
• Mejores prácticas: Cuando sea posible, especifique tráfico permitido por referencia (otros grupos de seguridad)
• Muchas arquitecturas de aplicaciones los lleva a sí mismos a una relación 1:1 entre grupos de seguridad (quién me puede alcanzar) y roles de AWS Identity and Access Management IAM (qué puedo hacer).
Opciones de conectividad para VPCs
Más allá de la conexión a Internet
Opciones de ruteo en subredes
Connexión a la red de su centro de datos
corporativo
Connexión a otras VPC
Ruteo en subredes: Subredes internas
Diferentes tablas de ruteo para diferentes subredes
VPC subnet
VPC subnet
Tiene ruta hacia Internet
No tiene ruta hacia Internet
Acceso por NAT a Internet
VPC subnet VPC subnet
NAT 0.0.
0.0/
0
0.0.0.0/0
Imagen de instancia NAT de Amazon: amzn-ami-vpc-nat
Conexión a otras VPCs: VPC peering
Servicios compartidos: VPC peering
Servicios comúnes/core • Autenticación/directorio • Monitoreo • Logueo • Administración remota • Escaneo
VPC peering
VPC Peering
172.31.0.0/16 10.55.0.0/16
Pasos para establecer conexión: Iniciar Solicitud
172.31.0.0/16 10.55.0.0/16
Paso 1
Iniciar solicitud de peering
Pasos para establecer conexión: Iniciar Solicitud
Pasos para establecer conexión: Aceptar la solicitud
172.31.0.0/16 10.55.0.0/16
Paso 1
Iniciar solicitud de peering
Paso 2
Aceptar la solicitu de peering
Pasos para establecer conexión: Aceptar la solicitud
Pasos para establecer conexión: Crear ruta
172.31.0.0/16 10.55.0.0/16 Paso 1
Iniciar la solicitud de peering
Paso 2
Aceptar la solicitud de peering
Paso 3
Crear ruta
En español: El tráfico destinado para VPC interconectada debe de ir al peering
Conexión a su Red: AWS VPN de Hardware & AWS Direct Connect
Extienda su propia red a su VPC
VPN
Direct Connect
VPN: Lo que necesita saber
Customer Gateway
Virtual Gateway
Dos túneles IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
Su dispositivo de red
Ruteo a un virtual private gateway (VPG)
En español: El tráfico a mi red 192.168.0.0/16 va a través del túnel VPN
VPN vs. Direct Connect
• Ambas son conexiones seguras entre su red y su VPC
• VPN consiste de un par de túneles sobre Internet
• Direct Connect es un enlace dedicado con baja tarifa por transferencia de datos
• Para alta disponibilidad: Use ambos
DNS dentro de una VPC
Opciones de DNS en la VPC
Use el servidor de DNS de Amazon
Haga que EC2 auto-asigne nombres de DNS a las instances
EC2 DNS hostnames in a VPC
Nombre de dominio interno: Resuelve a la dirección IP privada
Nombre de DNS externo: Resuelve a…
Los nombre de dominio DNS en EC2 funcionan desde cualquier lugar: Fuera de su VPC C:\>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Server: globaldnsanycast.amazon.com Address: 10.4.4.10 Non-authoritative answer: Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Address: 52.18.10.57
Fuera de su VPC: Dirección IP pública
Los nombre de dominio DNS en EC2 funcionan desde cualquier lugar: Dentro de su VPC [ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A ;; ANSWER SECTION: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 22:32:56 2015 ;; MSG SIZE rcvd: 81
Dentro de su VPC: Dirección IP privada
Amazon Route 53 y hosted zones privadas
• Control de la resolución DNS para un dominio y subdominios
• Los registros de DNS toman efecto sólo dentro de las VPCs asociadas
• Se pueden usar para anular registros DNS en “el exterior”
Crer una Amazon Route 53 hosted zone privada
Hosted Zone Privada
Associada con una o más VPCs
Crear un registro DNS de Amazon Route 53
Private Hosted Zone example.demohostedzone.org à
172.31.0.99
Consultando registros hosted zone
https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/ [ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;example.demohostedzone.org. IN A ;; ANSWER SECTION: example.demohostedzone.org. 60 IN A 172.31.0.99 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 00:13:33 2015 ;; MSG SIZE rcvd: 60
Y mucho, mucho más…
VPC Flow Logs: Observe todo su tráfico
• Visibilidad en actividad de grupos de seguridad
• Resolución de problemas de conectividad
• Habilidad de analizar el tráfico
Amazon VPC endpoints: Amazon S3 sin un gateway de Internet
ClassicLink: Conectar instancias en EC2-Classic a su VPC
• Conectividad para direcciones IP privadas entre instancias vinculadas en EC2-Classic and VPC
• Las instancias en Classic pueden tomar propiedad en los grupos de seguridad de VPC
Administre su red como un maestro..
… sin importar si es o no un experto en redes
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
Gracias!
