aws summit bogotá track avanzado: virtual private cloud
TRANSCRIPT
Virtual Private Cloud a Profundidad
Ivan Salazar – Arquitecto de Soluciones, AWS Diego Noya – Product Manager, Level 3
Pláticas relacionadas – búsque los videos!
• ARC205 – VPC Fundamentals and Connectivity • ARC401 – Black Belt Networking for Cloud Ninja
– Centrado en la aplicación; monitoreo, gestión, floating IPs
• ARC403 – From One to Many: Evolving VPC Design
• SDD302 – A Tale of One Thousand Instances – Ejemplo de clientes con EC2-Classic adoptando VPC
• SDD419 – Amazon EC2 Networking Deep Dive – Rendimiento de la red, placement groups, enhanced networking
Opciones de redes virtuales
EC2-Classic
Comience de manera simple – todas las instancias tienen conexión a Internet, direcciones IP públicas y privadas asignadas automáticamente Grupos de seguridad tráfico de salida
Default VPC
Lo mejor de ambos
Comience usando la experiencia EC2-Classic
Cuando se requiera
comience a usar cualquier función de VPC que necesite
VPC
Servicios avanzados de redes virtuales:
ENIs y tablas de ruteo para múltiples IPs
grupos de seguridad tráfico de salida
NACLs conexiones privadas
Enhanced Networking
Y más...
Opciones de redes virtuales
EC2-Classic
Comience de manera simple – todas las instancias tienen conexión a Internet, direcciones IP públicas y privadas asignadas automáticamente Grupos de seguridad tráfico de salida
Default VPC
Lo mejor de ambos
Comience usando la experiencia EC2-Classic
Cuando se requiera
comience a usar cualquier función de VPC que necesite
VPC
Servicios avanzados de redes virtuales:
ENIs y tablas de ruteo para múltiples IPs
grupos de seguridad tráfico de salida
NACLs conexiones privadas
Enhanced Networking
Y más...
Todas las cuentas creadas después del 4/12/2013 soportan únicamente VPC y tienen una VPC por defecto
en cada región
Crear una VPC
aws ec2 create-vpc --cidr 10.10.0.0/16 aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.1.0/24 --a us-west-2a aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.2.0/24 --a us-west-2b
Centro de datos corporativo
Crear una conexión VPN
aws ec2 create-vpn-gateway --type ipsec.1 aws ec2 attach-vpn-gateway --vpn vgw-f9da06e7 --vpc vpc-c15180a4 aws ec2 create-customer-gateway --type ipsec.1 --public 54.64.1.2 --bgp 6500
aws ec2 create-vpn-connection --vpn vgw-f9da06e7 --cust cgw-f4d905ea --t ipsec.1
Centro de datos corporativo
Lanzar instancias
aws ec2 run-instances --image ami-d636bde6 --sub subnet-d83d91bd --count 3 aws ec2 run-instances --image ami-d636bde6 --sub subnet-b734f6c0 --count 3
Centro de datos corporativo
Usar AWS Direct Connect
aws directconnect create-connection --loc EqSE2 --b 1Gbps --conn My_First aws directconnect create-private-virtual-interface --conn dxcon-fgp13h2s --new virtualInterfaceName=Foo, vlan=10, asn=60, authKey=testing, amazonAddress=192.168.0.1/24, customerAddress=192.168.0.2/24, virtualGatewayId=vgw-f9da06e7
Centro de datos corporativo
Configurar la tabla de ruteo
Centro de datos corporativo 192.168.0.0/16
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id vgw-f9da06e7
Cada VPC cuenta con una tabal de ruteo al momento de crearse, usada por todas las
subredes
Mejores prácticas para conectividad remota
Centro de datos corporativo
Zona de disponibilidad Zona de disponibilidad
Cada conexión VPN consta de 2 túneles
IPSec. Use BGP para recuperación en caso de
falla.
BGP
Un par de conexiones VPN (4 túneles IPSec en total) lo protege en
caso de falla de su puerta de enlace.
BGP
Mejores prácticas para conectividad remota
Zona de disponibilidad Zona de disponibilidad
Centro de datos corporativo
Remote connectivity best practices
BGP
Conexiones redundantes de AWS
Direct Connect con una VPN de respaldo
Zona de disponibilidad Zona de disponibilidad
Centro de datos corporativo
VPC con conectividad pública y privada
Centro de datos corporativo 192.168.0.0/16
aws ec2 create-internet-gateway aws ec2 attach-internet-gateway --internet igw-5a1ae13f --vpc vpc-c15180a4 aws ec2 delete-route --ro rtb-ef36e58a --dest 0.0.0.0/0
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f aws ec2 create-route --ro rtb-ef36e58a --dest 192.168.0.0/16 --gateway-id vgw-f9da06e7
Propagación automática de rutas del VGW
aws ec2 delete-route --ro rtb-ef36e58a --dest 192.168.0.0/16 aws ec2 enable-vgw-route-propagation --ro rtb-ef36e58a --gateway-id vgw-f9da06e7
Utilizado para actualizar de manera automática la(s)
tabla(s) de ruteo con las rutas presentes en el VGW
Centro de datos corporativo 192.168.0.0/16
Aislando la conectividad por subred
Corporativo 192.168.0.0/16
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.3.0/24 --a us-west-2b aws ec2 create-route-table --vpc vpc-c15180a4 aws ec2 associate-route-table --ro rtb-fc61b299 --subnet subnet-60975a17
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
Subred únicamente con conectividad a otras
instancias y hacia Internet a través del IGW
# VPC A aws ec2 modify-network-interface-attribute --net eni-f832afcc --no-source-dest-check aws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc # VPC B aws ec2 modify-network-interface-attribute --net eni-9c1b693a --no-source-dest-check aws ec2 create-route --ro rtb-67a2b31c --dest 10.10.0.0/16 –-instance-id i-9c1b693a
VPN de software para conexiones VPC-a-VPC
Habilitar la comunicación entre instancias en estas subredes;
Agregar rutas a la tabla de ruteo por defecto
VPN de software para conexiones VPC-a-VPC
Firewall de software hacia Internet
Rutear todo el tráfico de las subredes hacia Internet a
través del firewall es conceptualmente similar
# Default routing table directs traffic to the NAT/firewall instance aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --instance-id i-f832afcc # Routing table for 10.10.3.0/24 directs to the Internet aws ec2 create-route --ro rtb-67a2b31c --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
Servicios compartidos VPC usando interconexión de VPC
• Servicios comunes/core – Autenticación/directorio – Monitoreo – Registro de logs – Gestión remota – Escaneo
Interconexiones VPC para conectividad VPC-a-VPC
aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63 aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87 VPC A> aws ec2 create-route --ro rtb-ef36e58a --des 10.20.0.0/16 --vpc-peer pcx-ee56be87
VPC B> aws ec2 create-route --ro rtb-67a2b31c --des 10.10.0.0/16 --vpc-peer pcx-ee56be87
VPC A - 10.10.0.0/16 vpc-c15180a4
VPC B - 10.20.0.0/16 vpc-062dfc63
Interconexión VPC entre cuentas
aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63 --peer-owner 472752909333 # In owner account 472752909333
aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87
VPC A - 10.10.0.0/16 vpc-c15180a4
VPC B - 10.20.0.0/16 vpc-062dfc63 Account ID 472752909333
Interconexión VPC – consideraciones adicionales
• Los grups de seguridad entre interconexiones no están soportados – Alternativa: especifique reglas por CIDR
• Sin capacidad “en tránsito” para VPN, AWS Direct Connect, o VPCs terciarias – Ejemplo: No se puede acceder a la VPC C desde la VPC A a través de la
VPC B – Alternativa: Crear una interconexión directa de la VPC A a la VPC C
• Los rangos de las direcciones de las VPC interconectadas no se pueden encimar – Pero, se puede interconectar con 2 o más VPCs que se enciman entre sí – Use subredes/tablas de ruteo para elegir la VPC a utilizar
Interconexión VPC con firewall de software
VPC A - 10.10.0.0/16 VPC B - 10.20.0.0/16
# Default routing table directs Peer traffic to the NAT/firewall instance aws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc # Routing table for 10.10.3.0/24 directs to the Peering aws ec2 create-route --ro rtb-67a2b31c --dest 10.20.0.0/16 --vpc-peer pcx-ee56be87
Procesamiento de paquetes en Amazon EC2: VIF
Capa de virtualización
eth0
eth1
Instancia NICs virtual
NIC físico
Procesamiento de paquetes en Amazon EC2: SR-IOV
eth0
Instancia
VF Driver
eth1
VF
Capa de virtualización
NIC físico
SR-IOV: Esto ya está activo? Puede ser!
Para muchas AMIs nuevas, la red mejorada ya está activa: • Las nuevas Amazon Linux AMIs • Windows Server 2012 R2 AMI No hay necesidad de configurar
SR-IOV: Esto ya está activo? (Linux)
No Si! [ec2-user@ip-10-0-3-70 ~]$ ethtool -i eth0
driver: vif
version:
firmware-version:
bus-info: vif-0
…
[ec2-user@ip-10-0-3-70 ~]$ ethtool -i eth0
driver: ixgbevf
version: 2.14.2+amzn
firmware-version: N/A
bus-info: 0000:00:03.0
…
AMI/instancias con soporte para SR-IOV
• Familias de instancias C3, C4, I2, D2, R3, M4 • Virtualización HVM • Versión de kernel requerida
– Linux: 2.6.32+ – Windows: Server 2008 R2+
• Driver VF apropiado – Linux: ixgbevf 2.14.2+ module – Windows: Intel® 82599 Virtual Function driver
--attribute sriovNetSupport
InstanceId i-37c5d1d9
Aún no!
Guía: Habilitando red mejorada (Amazon Linux)
[ec2-user@ip-10-0-3-125 ~]$ sudo yum update
Actualizar SO
Guía: Habilitando red mejorada (Amazon Linux)
stop-instances
Detener la instancia
Guía: Habilitando red mejorada Instancias con volumen de arranque EBS
stop-instances
--sriov-net-support simple
Habilitar SRIOV No se puede deshacer
Guía: Habilitando red mejorada Instancias con volumen de arranque EBS
start-instances
--attribute sriovNetSupport
InstanceId i-37c5d1d9
Value simple
Estamos listos!
Guía: Habilitando red mejorada Instancias con volumen de arranque EBS
DWDM
Anchos de banda desde 1 G
Servicios no Protegidos
Servicio Transparente
Economías de Escala
Interconexión de DC
Interfaces:
• 1 GigE, 2.5 G, 10 G, 40 G, 100 G • FICON (1G, 2G, 4G, 8G) • ESCON (1GbE & 10GbE) • Fiber Channel (FC 1G, FC 2G, FC
4G, FC 8G and FC 10G)
Servicios Ethernet • EVPL (Ethernet P2P /MPLS)
• EPL (Ethernet/SDH)
• VPLS (Ethernet MP2MP/MPLS)
Ethernet E2E
Anillo SDH
Servicios @po LAN2LAN R e q u i e r e a d m i n i s t r a r direcciones IP.
SLA para jiIer, latencia, packet drop. 6 Clases de Servicio
VPN en capa 2 sobre MPLS Cer@ficación MEF
Servicio Transparente
Asignación está@ca de BW
Backbone TDM
MPLS IPVPN
AWS Cloud
Red VPN capa 3
Topología Full Mesh
6 Clases de Servicio
Ancho de banda flexible
Facilidad para agregar si@os Solución Full Managed
Conclusión Internet IPVPN EVPL/VPLS EPL DWDM Red pública compuesta por diferentes proveedores. Transporte best effort (jitter, packet loss) Requiere encriptado para mejorar seguridad.
VPN capa 3 sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. Topología full mesh. 6 clases de servicio.
Ethernet sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. El cliente debe administrar direcciones IP.
Punto a punto Ethernet sobre SDH. Transporte TDM, no conmutación de paquetes. Para usos específicos
Anchos de banda > 1Gbps. Servicio no protegido. Longitud de onda de uso exclusivo.