aws summits américa latina 2015 virtual private cloud
TRANSCRIPT
MÉXICO
Virtual Private Cloud a Profundidad
Ivan Salazar – Arquitecto de Soluciones, AWS - @ivansalazarc
Alejandro Girardotti – Sr Product Manager, Level 3
Pláticas relacionadas – búsque los videos!
• ARC205 – VPC Fundamentals and Connectivity• ARC401 – Black Belt Networking for Cloud Ninja
– Centrado en la aplicación; monitoreo, gestión, floating IPs
• ARC403 – From One to Many: Evolving VPC Design• SDD302 – A Tale of One Thousand Instances
– Ejemplo de clientes con EC2-Classic adoptando VPC
• SDD419 – Amazon EC2 Networking Deep Dive– Rendimiento de la red, placement groups, enhanced networking
aws vpc –-expert-mode
Ruteo y conexiones
privadas
InterconexionesVPC
Temas de hoy
Cloud ConnectLevel 3
Opciones de redes virtuales
EC2-Classic
Comience de manera simple – todas las instancias tienen conexión a Internet, direcciones IP públicas y privadas asignadas automáticamente
Grupos de seguridad tráfico de salida
Default VPC
Lo mejor de ambos
Comience usando la experiencia EC2-Classic
Cuando se requiera comience a usar
cualquier función de VPC que necesite
VPC
Servicios avanzados de redes virtuales:
ENIs y tablas de ruteo para múltiples IPs
Grupos de seguridad tráfico de salida
NACLsConexiones privadas
Redes MejoradasY más...
Opciones de redes virtuales
EC2-Classic
Comience de manera simple – todas las instancias tienen conexión a Internet, direcciones IP públicas y privadas asignadas automáticamente
Grupos de seguridad tráfico de salida
Default VPC
Lo mejor de ambos
Comience usando la experiencia EC2-Classic
Cuando se requiera comience a usar
cualquier función de VPC que necesite
VPC
Servicios avanzados de redes virtuales:
ENIs y tablas de ruteo para múltiples IPs
grupos de seguridad tráfico de salida
NACLsconexiones privadas
Enhanced Networking
Y más...
Todas las cuentas creadas después del 4/12/2013 soportan únicamente VPC y tienen una VPC por defecto
en cada región
Confirmando su VPC por defecto
$ aws ec2 describe-account-attributes --attribute-names supported-platforms default-vpcACCOUNTATTRIBUTES default-vpcATTRIBUTEVALUES vpc-0e8b9c6cACCOUNTATTRIBUTES supported-platformsATTRIBUTEVALUES VPC Únicamente
VPC
Ruteo y conexiones privadas
Implementando una arquitectura híbrida
Centro de datos corporativo
Crear una VPC
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
aws ec2 create-vpc --cidr 10.10.0.0/16aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.1.0/24 --a us-west-2aaws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.2.0/24 --a us-west-2b
Centro de datos corporativo
Crear una conexión VPN
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
aws ec2 create-vpn-gateway --type ipsec.1aws ec2 attach-vpn-gateway --vpn vgw-f9da06e7 --vpc vpc-c15180a4aws ec2 create-customer-gateway --type ipsec.1 --public 54.64.1.2 --bgp 6500aws ec2 create-vpn-connection --vpn vgw-f9da06e7 --cust cgw-f4d905ea --t ipsec.1
Centro de datos corporativo
Lanzar instancias
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
aws ec2 run-instances --image ami-d636bde6 --sub subnet-d83d91bd --count 3aws ec2 run-instances --image ami-d636bde6 --sub subnet-b734f6c0 --count 3
Centro de datos corporativo
Usar AWS Direct Connect
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
aws directconnect create-connection --loc EqSE2 --b 1Gbps --conn My_Firstaws directconnect create-private-virtual-interface --conn dxcon-fgp13h2s --new virtualInterfaceName=Foo, vlan=10, asn=60, authKey=testing, amazonAddress=192.168.0.1/24, customerAddress=192.168.0.2/24,virtualGatewayId=vgw-f9da06e7
Centro de datos corporativo
Configurar la tabla de ruteo
Centro de datos corporativo192.168.0.0/16
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id vgw-f9da06e7
Cada VPC cuenta con una tabal de ruteo al momento de crearse, usada por todas las
subredes
Mejores prácticas para conectividad remota
Disponibilidad: BuenaCentro de datos
corporativo
Zona de disponibilidad
Zona de disponibilidad
BGP Cada conexión VPN
consta de 2 túneles IPSec. Use BGP para
recuperación en caso de falla.
BGP
Disponibilidad: Mejor
BG
P Un par de conexiones VPN (4 túneles IPSec en total) lo protege en
caso de falla de su puerta de enlace.
BGP
BG
P
BGP
Mejores prácticas para conectividad remota
Zona de disponibilidad
Zona de disponibilidad
Centro de datos corporativo
Remote connectivity best practices
Disponibilidad: La mejor
BG
P
Conexiones redundantes de AWS
Direct Connect con una VPN de respaldo
BGP
BGP
BGP
Zona de disponibilidad
Zona de disponibilidad
Centro de datos corporativo
VPC con conectividad pública y privada
Centro de datos corporativo192.168.0.0/16
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
aws ec2 create-internet-gatewayaws ec2 attach-internet-gateway --internet igw-5a1ae13f --vpc vpc-c15180a4aws ec2 delete-route --ro rtb-ef36e58a --dest 0.0.0.0/0aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13faws ec2 create-route --ro rtb-ef36e58a --dest 192.168.0.0/16 --gateway-id vgw-f9da06e7
Propagación automática de rutas del VGW
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
aws ec2 delete-route --ro rtb-ef36e58a --dest 192.168.0.0/16aws ec2 enable-vgw-route-propagation --ro rtb-ef36e58a --gateway-id vgw-f9da06e7
Utilizado para actualizar de manera automática la(s)
tabla(s) de ruteo con las rutas presentes en el VGW
Centro de datos corporativo192.168.0.0/16
Aislando la conectividad por subred
Corporativo192.168.0.0/16
10.10.0.0/16
10.10.1.0/24AZ A
10.10.2.0/24AZ B
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.3.0/24 --a us-west-2baws ec2 create-route-table --vpc vpc-c15180a4aws ec2 associate-route-table --ro rtb-fc61b299 --subnet subnet-60975a17aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
10.10.3.0/24AZ B Subred únicamente con
conectividad a otras instancias y hacia Internet a
través del IGW
# VPC Aaws ec2 modify-network-interface-attribute --net eni-f832afcc --no-source-dest-checkaws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc# VPC Baws ec2 modify-network-interface-attribute --net eni-9c1b693a --no-source-dest-checkaws ec2 create-route --ro rtb-67a2b31c --dest 10.10.0.0/16 –-instance-id i-9c1b693a
VPC A - 10.10.0.0/16
10.10.1.0/24AZ A
10.10.3.0/24AZ B
VPN
VPC B - 10.20.0.0/16
10.20.1.0/24AZ A
10.20.3.0/24AZ B
VPN
VPN de software para conexiones VPC-a-VPC
VPC A - 10.10.0.0/16
10.10.1.0/24AZ A
10.10.3.0/24AZ B
VPC B - 10.20.0.0/16
10.20.1.0/24AZ A
10.20.3.0/24AZ B
VPN VPN
VPN de software entre
estas instancias
VPN de software para conexiones VPC-a-VPC
VPC A - 10.10.0.0/16
10.10.1.0/24AZ A
10.10.3.0/24AZ B
VPC B - 10.20.0.0/16
10.20.1.0/24AZ A
10.20.3.0/24AZ B
VPN VPN
Habilitar la comunicación entre instancias en estas subredes;
Agregar rutas a la tabla de ruteo por defecto
VPN de software para conexiones VPC-a-VPC
Firewall de software hacia Internet
VPC A - 10.10.0.0/16
10.10.1.0/24AZ A
10.10.3.0/24AZ BNAT/
FW
Rutear todo el tráfico de las subredes hacia Internet a
través del firewall es conceptualmente similar
# Default routing table directs traffic to the NAT/firewall instanceaws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --instance-id i-f832afcc
# Routing table for 10.10.3.0/24 directs to the Internetaws ec2 create-route --ro rtb-67a2b31c --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
Interconexión entre VPCs
Servicios compartidos VPC usando interconexión de VPC
• Servicios comunes/core– Autenticación/directorio– Monitoreo– Registro de logs– Gestión remota– Escaneo
Proveé zonas de infraestructura
• Desarrollo: VPC B• Pruebas: VPC C• Producción: VPC D
Interconexiones VPC para conectividad VPC-a-VPC
aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87VPC A> aws ec2 create-route --ro rtb-ef36e58a --des 10.20.0.0/16 --vpc-peer pcx-ee56be87VPC B> aws ec2 create-route --ro rtb-67a2b31c --des 10.10.0.0/16 --vpc-peer pcx-ee56be87
VPC A - 10.10.0.0/16vpc-c15180a4
10.10.1.0/24AZ A
10.20.1.0/24AZ A
VPC B - 10.20.0.0/16vpc-062dfc63
Interconexión VPC entre cuentas
aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63 --peer-owner 472752909333# In owner account 472752909333aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87
VPC A - 10.10.0.0/16vpc-c15180a4
10.10.1.0/24AZ A
10.20.1.0/24AZ A
VPC B - 10.20.0.0/16vpc-062dfc63Account ID 472752909333
Interconexión VPC – consideraciones adicionales
• Los grups de seguridad entre interconexiones no están soportados– Alternativa: especifique reglas por CIDR
• Sin capacidad “en tránsito” para VPN, AWS Direct Connect, o VPCs terciarias– Ejemplo: No se puede acceder a la VPC C desde la VPC A a través de la VPC B– Alternativa: Crear una interconexión directa de la VPC A a la VPC C
• Los rangos de las direcciones de las VPC interconectadas no se pueden encimar– Pero, se puede interconectar con 2 o más VPCs que se enciman entre sí– Use subredes/tablas de ruteo para elegir la VPC a utilizar
Interconexión VPC con firewall de software
VPC A - 10.10.0.0/16
10.10.1.0/24AZ A
10.20.1.0/24AZ A
VPC B - 10.20.0.0/16
10.10.3.0/24AZ BNAT/
FW
# Default routing table directs Peer traffic to the NAT/firewall instanceaws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc
# Routing table for 10.10.3.0/24 directs to the Peeringaws ec2 create-route --ro rtb-67a2b31c --dest 10.20.0.0/16 --vpc-peer pcx-ee56be87
Level 3
Cloud Connect
Level 3 Cloud Connect
• Introducción• Opciones de Conectividad• Conclusión
Company Overview
Cloud Connect
Conectividad a los servicios de AWS a través de la red de Level 3.
Opciones de Conectividad
Parámetros de Performance
Latencia
Jitter
Packet Loss
Disponibilidad
Seguridad
Opciones de Conectividad
https://www.youtube.com/watch?v=mUCTwhjQNOI
DWDM
Anchos de banda desde 1 G
Servicios no Protegidos
Servicio Transparente
Economías de Escala
Interconexión de DC
Interfaces:
• 1 GigE, 2.5 G, 10 G, 40 G, 100 G• FICON (1G, 2G, 4G, 8G) • ESCON (1GbE & 10GbE)• Fiber Channel (FC 1G, FC 2G, FC
4G, FC 8G and FC 10G)
Servicios Ethernet
• EVPL (Ethernet P2P /MPLS)
• EPL (Ethernet/SDH)
• VPLS (Ethernet MP2MP/MPLS)
Ethernet E2E
Anillo SDH
Servicios tipo LAN2LAN Requiere administrar direcciones IP.
SLA para jitter, latencia, packet drop. 6 Clases de Servicio
VPN en capa 2 sobre MPLS Certificación MEF
Servicio Transparente
Asignación estática de BW
Backbone TDM
MPLS IPVPN
AWS Cloud
Red VPN capa 3
Topología Full Mesh
6 Clases de Servicio
Ancho de banda flexible
Facilidad para agregar sitios
Solución Full Managed
ConclusiónInternet IPVPN EVPL/VPLS EPL DWDM
Red pública compuesta por diferentes proveedores.
Transporte best effort (jitter, packet loss)
Requiere encriptado para mejorar seguridad.
VPN capa 3 sobre MPLS.
Ofrece SLA para jitter, latencia y packet loss.
Topología full mesh.
6 clases de servicio.
Ethernet sobre MPLS.
Ofrece SLA para jitter, latencia y packet loss.
El cliente debe administrar direcciones IP.
Punto a punto Ethernet sobre SDH.
Transporte TDM, no conmutación de paquetes.
Para usos específicos
Anchos de banda > 1Gbps.
Servicio no protegido.
Longitud de onda de uso exclusivo.