9. ¿Qué significa para nosotros “integración híbrida”?
Recursos On-
Premises
Datacenter
Servicios
Infraestructura en
la Nube
Migración e
Integración de Workloads
Herramientas
de Gestión
Autenticación y
Control de Acceso
Conectividad
13. AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
14. Directory
Server
Database
Server
Application
Server
Client
Configuración de la VPC
• VPC CIDR : 10.100.0.0/16
• VPC Subred 1: 10.100.0.0/24
• VPC Subred 2: 10.100.2.0/24
• Security Group: HTTP, HTTPS, SSH, ICMP
Configuración en el Datacenter
• Red corporativa: 10.96.0.0/16
• Red Datacenter: 10.96.24.0/24
• IP del Gateway : 54.254.241.240
VPC - Virtual Private Cloud
Application
Server
Availability Zone BAvailability Zone A
15. Directory
Server
Database
Server
Application
Server
Client
Características
• Varias VPCs por cuenta
• Instancias EC2 con múltiples NIC
• Múltiples direcciones IP por interfaz
• Las interfaces de red se pueden mover entre
instancias
• Control de acceso con Security Groups y NACL
• VPC Peering
• Soporte a instancias dedicadas
• Servicio maduro (ofrecido desde 2009)
• Altamente escalable
• Diseñado para integración corporativa
VPC - Virtual Private Cloud
Application
Server
Availability Zone BAvailability Zone A
16. VPC subnet
Availability Zone
Security group
VPC subnet
Availability Zone
Security group
Virtual
Gateway
AWS Virtual Private
Network (VPN IPSec)
o Conexión IPSec, basada en
hardware Appliances VPN
homologados:
https://aws.amazon.com/vpc/faqs/#C9
o Canal encriptado
o Direccionamiento IP: RFC 1918
o Usa BGP (opcional) para
enrutamiento y alta-disponibilidad
o Provee end-points redundantes
http://docs.aws.amazon.com/AmazonVPC/latest/UserGui
de/VPC_VPN.html
Corporate
data center
Users
Data center router
Servers
Internet
IPSec VPN
17. AWS Direct Connect
o Usa BGP (A/A ó A/P) para
enrutamiento.
o Cada DX está mapeado a una
región AWS
o Requiere una conexión de fibra
(Layer 2 single mode 1000BASE-
LX o 10GBASE-LR)
o Usa VLAN tagging (802.1Q)
http://aws.amazon.com/directconnect/
Corporate
data center
Users
VPC subnet
Availability Zone
Security group
VPC subnet
Availability Zone
Security group
Data center router
Customer
router
Servers
AWS Direct Connect
location
AWS Direct Connect
routers
Virtual
Gateway
18. VPC Subnet
Availability Zone
Security group
VPC subnet
Availability Zone
Security group
AWS Direct Connect +
AWS VPN
Ventajas:
o Camino dedicado con ancho
de banda predefinido
o No usa Internet
o Costo reducido de
transferencias IPSEC
o Nivel adicional de seguridad
http://aws.amazon.com/directconnect/
Corporate
data center
Users
Data center router
Customer
Router
Servers
IPSec VPN
AWS Direct Connect
location
AWS Direct Connect
routers
Virtual
Gateway
19. AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
25. Level 3 Cloud Connect
US East
(Virginia)
US West
(N.
California)
US West
(Oregon)
EU West
Ireland
Sao Paulo Singapore Tokio Sydney
26. Level 3 Cloud Connect
Cloud Connect IPVPN
• Conectividad Full Mesh
• Flexibilidad para crecimiento
• Instalación simple y competitiva para
cliente existente
• Valor agregado a IPVPN
• Permite ofrecer más servicios a
clientes nuevos
• Aplicaciones en la nube
Cloud Connect EVPL
• Conectividad P2P
• Configuración de cliente
simple
• Conexión de un DC a la
nube (nube híbrida)
NNI
NNI
27. Opciones de Conectividad
Internet IPVPN EVPL/VPLS PL/EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte best
effort (jitter,
packet loss)
Requiere
encriptado para
mejorar
seguridad.
VPN capa 3
sobre MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
Topología full
mesh.
6 clases de
servicio.
Ethernet sobre
MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
El cliente debe
administrar
direcciones IP.
Punto a punto
transparente.
Transporte
TDM, no
conmutación
de paquetes.
Para usos
específicos
Anchos de
banda >
1Gbps.
Servicio no
protegido.
Longitud de
onda de uso
exclusivo.
29. AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
30. Active Directory y
LDAP
Ventajas
o Reducción del tráfico de back-end
o Reducción de latencia para
autenticación
o Resiliencia
o Soporta las dos implementaciones:
Multi-Master Read/Write Domain
Controllers
Read-only Domain Controllers
(RODCs)
Requires IPSec VPN or Direct Connect
connectivity
http://aws.amazon.com/microsoft/whitepapers/ad-reference-
architecture/
Active Directory
Replication
Corporate
data center
Users
AD.Domain
Servers
Domain
controller
Domain
controller
VPC subnet
Availability Zone
Security group
Virtual
Gateway
Domain
controller
VPC subnet
Availability Zone
Security group
Type Port Number
TCP
54, 88, 135, 137, 139, 389, 445,
464, 636, 3268, 3269, 5722,
49152-65535
UDP
53,67,123, 138, 389, 445, 464,
2535, 5355, 49152-65535
Replication
31. Directorios nuevos
en AWS
AWS Directory Service
Conectar directorios existentes a
AWS
Simple AD AD ConnectorBased on Samba 4
Federation proxy
On-premises
Microsoft AD
32. AWS Directory
Service
o Tres modos
Simple AD
MicrosoftAD
AD Connector
o Simplifica la federación IAM
Evita la complejidad de
implementar una infraestructura
SAML
Actúa como proxy (no guarda
información)
Soporta implementaciones
existentes de RADIUS (MFA)
Requires IPSec VPN or Direct Connect
connectivity
http://aws.amazon.com/directoryservice/
AWS Directory Service
Connect
Corporate
data center
Users
AD.Domain
Servers
Domain
controller
VPC subnet
Availability Zone
Security group
Virtual
Gateway
VPC subnet
Availability Zone
Security group
33. Y, ¿cómo son protegidos los recursos AWS?
AWS Identity and Access Management
• Permite controlar el acceso a servicios y recursos AWS
• Control granular de permisos, recursos y acciones. Usted define
quién puede hacer qué y sobre cuál recurso.
• Puede habilitar el uso de autenticación fuerte, con tokens de
hardware o software
• Crear usuarios y grupos
• Asignar permisos
• Desde dónde son permitidas las
acciones
Application
Server
• Quién crea subnets
• Quién modifica Security Groups
• Quién inicia instancias y en cuál
subnet
• Permite acceso de aplicaciones
a servicios AWS
• Rotación implícita de llaves
• No almacena llaves en el código
• Acceso seguro a la consola
• Puede ser solicitado para
llamadas API
34. Federación
Integre su sistema de IdM con AWS
• Acceso seguro a recursos AWS usando su IdM
• Implemente acceso SSO a la consola AWS o APIs
• Implemente su propia federación usando AWS STS o,
• Implemente federación con directorios on-premise como
Active Directory, TFIM, OAM o cualquier otro IdP
compatible con SAML 2.0
35. DevOps
Escalabilidad desde una hasta miles de instancias
Deploy sin interrupción de servicio
Control y monitoreo centralizado
Staging
CodeDeployv1, v2, v3
Production
Dev
(Como lo hace Amazon)
Application
revisions
Deployment groups
36. Defina su grupo destino (Nube o On-Premises)
Agent Agent Agent
Staging
Agent Agent
Agent Agent
Agent
Agent
Production
Deployment group (on-premises)Deployment group (AWS)
Grupos definidos por
• Auto Scaling group
• Tag:
– Amazon EC2
– On-premises
37. Operaciones en AWS (Monitoreo)
Integración con AWS
• Amazon Cloudwatch entrega información en tiempo
real de los servicios, integra métricas personalizadas y
crea/actúa en casos de alarma
• Amazon SNS permite integración con sus sistemas de
alerta
• Instale sus herramientas de monitoreo en instancias
EC2
• Herramientas comerciales de monitoreo integran con
las API de AWS
38. Operaciones en AWS
(Auditoria)
o Integración de Monitoreo de
Seguridad usando CloudTrail y
SIEM.
o Auditoría con CloudTrail y SNMP
MIBs con SIEM.
o Monitoreo de plataformas y
aplicaciones utilizando agentes en
las instancias EC2.
o Servidor de Updates (on-
premises) accesible desde AWS.
VPC subnet
Availability Zone
Security group
VPC subnet
Availability Zone
Security group
Virtual
Gateway
Corporate
data center
Users
Data center router
Update
Servers
Conectividad
AWS CloudTrail
Amazon
CloudWatch
SIEM
Aggregator
39. Operación del ambiente AWS usando herramientas
existentes
Management
Portal for vCenter
Management Pack
for SCOM
Systems Manager
for SCVMM
40. AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
43. Servidor de backup (On-Premise) integrado
con S3
• Use soluciones corporativas de backup
• Integre con S3 para almacenamiento de los backups
• Elimine la necesidad de cintas, hardware y
almacenamiento externo
• Reduzca sus gastos de capital en infraestructura de
backup
• No se preocupe con la durabilidad
• Nunca se quede sin espacio para almacenamiento
• Reduzca costos utilizando Amazon Glacier
Caso 1: Backup / Archiving
Corporate
data center
Amazon Simple
Storage Service
(S3)
Amazon
Glacier
Application
server
Virtual
server
File
server
Database
server
AWS
Storage
Gateway
Backup
system
iSCSI
44. Algunas de las soluciones que integran
nativamente con S3:
Veeam Backup & Replication
Symantec Net Backup
Oracle RMAN and Secure Backup Module
CommVault Simpana
AWS Storage Gateway VTL
Riverbed Whitewater
Caso 1: Backup / Archiving
Corporate
data center
Amazon Simple
Storage Service
(S3)
Amazon
Glacier
Application
server
Virtual
server
File
server
Database
server
AWS
Storage
Gateway
Backup
system
iSCSI
45. Appliance On-premises integrado con S3
• Volúmenes virtuales presentados en la red local como
volúmenes iSCSI, NFS y CIFS
• Caché en disco local, para acceso rápido a datos
frecuentemente requeridos
• Appliance integrado con S3
• Reduzca sus gastos de capital en infraestructura de backup
• No se preocupe con la durabilidad
• Nunca se quede sin espacio para almacenamiento
• Reduzca costos utilizando Amazon Glacier
Caso 2: Expansión de Storage
Corporate
data center
Application
server
Virtual
server
File
server
Database
server
Storage
appliance
AWS Storage
Gateway
iSCSI
Amazon Simple
Storage Service
(S3)
Amazon
Glacier
46. Algunas soluciones:
NetApp AltaVault
Riverbed Whitewater
Panzura Global NAS
Aspera on-demand
AWS Storage Gateway Cached Volumes
Caso 2: Expansión de Storage
StorReduce Appliance
Corporate
data center
Application
server
Virtual
server
File
server
Database
server
Storage
appliance
AWS Storage
Gateway
iSCSI
Amazon Simple
Storage Service
(S3)
Amazon
Glacier
47. AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
48. En resumen
• Conectividad es un aspecto clave para una integración
exitosa entre la nube y su datacenter
• Una infraestructura híbrida habilita la implementación
de muchos casos de uso para aprovechar las ventajas
de la nube