SAN FRANCISCO
©2015,  Amazon  Web  Services,  Inc.  or  its  affiliates.  All  rights  reserved
LIMA
©2015,  Amazon  Web  Services,  Inc.  or  its  affiliates.  All  rights  reserved
Virtual Private Cloud y opciones de
conect...
Agenda
•  ¿Qué es Amazon Virtual Private Cloud (VPC)?
•  Casos de uso de alto nivel
•  Los fundamentos de VPC
•  Opciones ...
¿Qué es Amazon VPC?
¿Qué es Amazon VPC?
•  Una sección aislada y privada de la nube de
AWS
•  Una topología virtual de red que usted puede
des...
En pocas palabras, es un centro de
datos virtual que puede construir y
controlar en AWS!
¿Cuáles son algunos de los
casos de uso comúnes para
VPC?
Aplicaciones web públicas
Object Storage
CDN
User
Web
DNS
http://www.example.com
Internet Gateway
Aplicaciones Privadas
Usuario
interno
VPN Gateway
Router / Firewall
Centro de datos
corporativo
http://internal-app
Web
VP...
Un centro de datos virtual en AWS
Directorios activos
Configuración de redes
Cifrado
Dispositivos de respaldo
Sus aplicaci...
Web
Server
Application
Server
DB
Server
Data Volume
EC2 Web
Server
EC2
Application
Server
EC2 DB
Server
Amazon Elastic Blo...
Los fundamentos de VPC
Los componentes de VPC
Route table Elastic network
interface
Amazon VPC Router
Internet
gateway
Customer
gateway
Virtual
p...
•  VPC = Virtual Private Cloud
•  Su centro de datos virtual en
AWS
•  Bloques de Ips que definen su
red (norma RFC 1918)
...
•  Rango de IPs dentro del
rango de IPs de la VPC
•  Vive dentro de una AZ
•  Puede proveer seguridad a
nivel de subred co...
•  IGW = Internet gateway
•  Permite a sus instancias
conectarse a Internet
•  La Default VPC incluye un
IGW
Internet gate...
•  VGW = virtual private gateway
•  La VPG representa el punto de
acceso de la VPN para terminar
conexiónes de su centro d...
•  CGW = customer gateway
•  Un dispositivo físico o de
software de su lado de la
conexión
•  Normalmente un ruteador o
fi...
•  Por defecto cada subred
puede comunicarse con
cualquier otra subred
•  Esto es posible gracias a
un ruteador virtual qu...
•  Contiene una serie de reglas,
llamadas rutas, que se usan
para determinar hacia dónde
se direcciona el tráfico de red
•...
•  Una conexión VPN se refiere
a la conexión entre su VPC y
su red del centro de datos
•  Consiste en un par de túneles
IP...
•  EIP = elastic IP
•  IP elástica asociada a
su cuenta.
•  Permanece en su
cuenta mientras no la
libere
•  Se puede mover...
•  ENI = elastic network interface
•  Una ENI es una interfaz de red
virtual que se puede acoplar a una
instancia EC2
•  D...
•  NACL = network access
control list
•  Una capa opcional de
seguridad que actúa como un
firewall en una subred
•  Una li...
•  Un grupo de seguridad actúa
como un firewall virtual para
su instancia EC2
•  Una instancia EC2 puede
tener hasta 5 gru...
Controles de
seguridad de
VPC
Route 
Table
Route 
Table
Internet
Gateway
Virtual Private
Gateway
Virtual Router
VPC 10.1.0...
Vista de VPC
VPC Public Subnet
 VPC Private Subnet
NAT Instance
Public: 54.200.129.18
Private: 10.1.1.11 /24
Web Server
Pu...
Opciones de conectividad
Conexión VPN sencilla
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Customer Gateway
Cent...
Múltiples conexiones VPN
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Customer Gateway
C...
Túneles redundantes para su conexión VPN
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
IP...
Customer gateways redundantes
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Tunnel 1
Virt...
Direct Connect
•  Alternativa a usar Internet para acceder a los servicios
de nube de AWS
•  Una conexión de red privada e...
Opciones de Direct Connect
•  Dedicada o hospedada
•  Tipos de Conexión
–  Punto a punto (DWDM, private line, Ethernet vir...
©2015,  Amazon  Web  Services,  Inc.  or  its  affiliates.  All  rights  reserved
Level 3
Cloud Connect
Level 3 Cloud Connect
•  Introducción
•  Opciones de Conectividad
•  Conclusión
Company Overview
Footprint
http://maps.level3.com/default/
AWS Connected Sites by Level 3
AWS Connection in Progress by Level 3
Footprint
http://maps.level3.com/default/
Cloud Connect
Conectividad a los servicios de AWS a través de la red de Level 3.
Opciones de Conectividad
Parámetros de Performance
Latencia
Jitter
Packet Loss
Disponibilidad
Seguridad
Opciones de Conectividad
https://www.youtube.com/watch?v=mUCTwhjQNOI
DWDM
Anchos	
  de	
  banda	
  desde	
  1	
  G	
  
Servicios	
  no	
  Protegidos	
  
Servicio	
  Transparente	
  
Economías...
Servicios Ethernet
•  EVPL
(Ethernet P2P /MPLS)
•  EPL
(Ethernet/SDH)
•  VPLS
(Ethernet MP2MP/MPLS)
Ethernet E2E
Anillo SD...
MPLS IPVPN
AWS Cloud
Red	
  VPN	
  capa	
  3	
  
Topología	
  Full	
  Mesh	
  	
  
6	
  Clases	
  de	
  Servicio	
  
Ancho...
Conclusión
Internet IPVPN EVPL/VPLS EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte best
effort (jit...
SAN FRANCISCO
GRACIAS!
Próxima SlideShare
Cargando en…5
×

AWS Summit Lima 2015: VIrtual Private Cloud y opciones de conectividad con Level3

1.002 visualizaciones

Publicado el

VPC & Conectividad

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

AWS Summit Lima 2015: VIrtual Private Cloud y opciones de conectividad con Level3

  1. 1. SAN FRANCISCO ©2015,  Amazon  Web  Services,  Inc.  or  its  affiliates.  All  rights  reserved LIMA
  2. 2. ©2015,  Amazon  Web  Services,  Inc.  or  its  affiliates.  All  rights  reserved Virtual Private Cloud y opciones de conectividad Ivan Salazar – Arquitecto de Soluciones, AWS @ivansalazarc Luis Ladera – Director Data & Internet Products, Level 3 y Presidente NAP Perú
  3. 3. Agenda •  ¿Qué es Amazon Virtual Private Cloud (VPC)? •  Casos de uso de alto nivel •  Los fundamentos de VPC •  Opciones de conectividad •  Cloud Connect (Level 3)
  4. 4. ¿Qué es Amazon VPC?
  5. 5. ¿Qué es Amazon VPC? •  Una sección aislada y privada de la nube de AWS •  Una topología virtual de red que usted puede desplegar y personalizar •  Control total de su red
  6. 6. En pocas palabras, es un centro de datos virtual que puede construir y controlar en AWS!
  7. 7. ¿Cuáles son algunos de los casos de uso comúnes para VPC?
  8. 8. Aplicaciones web públicas Object Storage CDN User Web DNS http://www.example.com Internet Gateway
  9. 9. Aplicaciones Privadas Usuario interno VPN Gateway Router / Firewall Centro de datos corporativo http://internal-app Web VPN por Internet
  10. 10. Un centro de datos virtual en AWS Directorios activos Configuración de redes Cifrado Dispositivos de respaldo Sus aplicaciones locales Usuarios y reglas de acceso Su red privada Un dispositivo HSM Respaldos en la nube Sus aplicaciones en la nube AWS Direct Connect Centro de datos
  11. 11. Web Server Application Server DB Server Data Volume EC2 Web Server EC2 Application Server EC2 DB Server Amazon Elastic Block Store (EBS) Data Volume Data Mirroring / Replicación Las instancias Amazon Elastic Compute Cloud (EC2) están detenidas. Se puede reiniciar si la aplicación primaria falla Instancia EC2 más pequeña, pero pude detenerse y re- lanzarse como una más grande Amazon Route 53 User Centro de datos Modificar el DNS en un evento Recuperación de desastres
  12. 12. Los fundamentos de VPC
  13. 13. Los componentes de VPC Route table Elastic network interface Amazon VPC Router Internet gateway Customer gateway Virtual private gateway VPN connection Subnet Elastic IP
  14. 14. •  VPC = Virtual Private Cloud •  Su centro de datos virtual en AWS •  Bloques de Ips que definen su red (norma RFC 1918) •  Pueden abarcar múltiples AZs •  Default VPCs VPC Availability Zone A Availability Zone B VPC CIDR: 10.1.0.0 /16
  15. 15. •  Rango de IPs dentro del rango de IPs de la VPC •  Vive dentro de una AZ •  Puede proveer seguridad a nivel de subred con ACLs •  Puede rutear a nivel de subred •  Subredes públicas dentro Default VPC Subred de VPC Subnet Availability Zone A Subnet Availability Zone B 10.1.1.0/24 10.1.10.0/24 VPC CIDR: 10.1.0.0 /16
  16. 16. •  IGW = Internet gateway •  Permite a sus instancias conectarse a Internet •  La Default VPC incluye un IGW Internet gateway Subnet Availability Zone A Subnet Availability Zone B 10.1.1.0/24 10.1.10.0/24 Internet Gateway VPC CIDR: 10.1.0.0 /16 Internet AWS Public API Endpoints
  17. 17. •  VGW = virtual private gateway •  La VPG representa el punto de acceso de la VPN para terminar conexiónes de su centro de datos •  Es también el punto de acceso de Direct Connect Virtual private gateway Subnet Availability Zone A Subnet Availability Zone B 10.1.1.0/24 10.1.10.0/24 VPC CIDR: 10.1.0.0 /16 Internal User VPN Gateway Customer Gateway Centro de datos VPN over the Internet
  18. 18. •  CGW = customer gateway •  Un dispositivo físico o de software de su lado de la conexión •  Normalmente un ruteador o firewall Customer gateway Subnet Availability Zone A Subnet Availability Zone B 10.1.1.0/24 10.1.10.0/24 VPC CIDR: 10.1.0.0 /16 Usuario interno VPN Gateway Customer Gateway Centro de datos VPN over the Internet
  19. 19. •  Por defecto cada subred puede comunicarse con cualquier otra subred •  Esto es posible gracias a un ruteador virtual que se encuentra en una topología de estrella entre las subredes •  Para obtener este ruteador, el servicio DHCP de VPC entrega un default gateway en .1 a cada instancia generada en la subred (en una subred /24) Virtual router Public Subnet Availability Zone A Private Subnet Public Subnet Availability Zone B Private Subnet Instance A 10.1.1.11 /24 Instance C 10.1.3.33 /24 Instance B 10.1.2.22 /24 Instance D 10.1.4.44 /24 VPC CIDR: 10.1.0.0 /16 .1 .1 .1 .1
  20. 20. •  Contiene una serie de reglas, llamadas rutas, que se usan para determinar hacia dónde se direcciona el tráfico de red •  Las Subredes tienen una tabla de ruteo •  Controla el ruteo de una subred al IGW y al VGW •  Una tabla de ruteo puede pertenecer a varias subredes Route table Subnet Availability Zone A Subnet Availability Zone B 10.1.1.0/24 10.1.10.0/24 Internet Gateway VPC CIDR: 10.1.0.0 /16 Internet AWS Public API Endpoints Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 igw
  21. 21. •  Una conexión VPN se refiere a la conexión entre su VPC y su red del centro de datos •  Consiste en un par de túneles IPSEC entre su VGW y CGW Conexión VPN Subnet Availability Zone A Subnet Availability Zone B 10.1.1.0/24 10.1.10.0/24 VPC CIDR: 10.1.0.0 /16 Internal User VPN Gateway Customer Gateway Centro de datos VPN over the Internet
  22. 22. •  EIP = elastic IP •  IP elástica asociada a su cuenta. •  Permanece en su cuenta mientras no la libere •  Se puede mover entre instancias EC2 en una región Elastic IP Availability Zone A Availability Zone B Subnet: 10.1.1.0/24 Internet Gateway VPC CIDR: 10.1.0.0 /16 Internet AWS Public API Endpoints Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 igw Subnet: 10.1.10.0/24 EIP EIP
  23. 23. •  ENI = elastic network interface •  Una ENI es una interfaz de red virtual que se puede acoplar a una instancia EC2 •  Dentro de una VPC, cada instancia tiene una interfaz por defecto eth0 •  Consiste de la MAC address, IP privada, y IP pública •  Una ENI que no es la ENI por defecto de una instancia (eth0) se puede mover a otra instancia EC2 en la misma subred Elastic network interface Availability Zone A Availability Zone B Subnet: 10.1.1.0/24 Internet Gateway VPC CIDR: 10.1.0.0 /16 Internet AWS Public API Endpoints Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 igw Subnet: 10.1.10.0/24 ENI (eth0) ENI (eth0)
  24. 24. •  NACL = network access control list •  Una capa opcional de seguridad que actúa como un firewall en una subred •  Una lista de reglas numerada que se evalúan en orden •  No tienen estado y tienen reglas de entrada/salida separadas Network access control list Availability Zone A Availability Zone B VPC CIDR: 10.1.0.0 /16 VPC Subnet with ACL VPC Subnet with ACL VPC Subnet with ACL
  25. 25. •  Un grupo de seguridad actúa como un firewall virtual para su instancia EC2 •  Una instancia EC2 puede tener hasta 5 grupos de seguridad •  Los grupos de seguridad operan a nivel de la instancia no de la subred •  Los grupo de seguridad mantienen el estado Grupo de seguridad Availability Zone A Availability Zone B Subnet: 10.1.1.0/24 VPC CIDR: 10.1.0.0 /16 Subnet: 10.1.10.0/24 Security Group
  26. 26. Controles de seguridad de VPC Route Table Route Table Internet Gateway Virtual Private Gateway Virtual Router VPC 10.1.0.0/16
  27. 27. Vista de VPC VPC Public Subnet VPC Private Subnet NAT Instance Public: 54.200.129.18 Private: 10.1.1.11 /24 Web Server Public: 54.200.129.29 Private: 10.1.1.12 /24 Database Server Private: 10.1.10.3 /24 Database Server Private: 10.1.10.4 /24 Database Server Private: 10.1.10.5 /24 Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 igw AWS Public API Endpoints VPC 10.1.0.0/16 VPN or Direct Connect Route Table Destination Target 10.1.0.0/16 local 172.16.0.0/8 vgw 0.0.0.0/0 NAT IGW VGW CGW
  28. 28. Opciones de conectividad
  29. 29. Conexión VPN sencilla Virtual Private Cloud Availability ZoneAvailability Zone VPC Subnet VPC Subnet Customer Gateway Centro de datos VPN Router Virtual Private Gateway
  30. 30. Múltiples conexiones VPN Virtual Private Cloud Availability ZoneAvailability Zone VPC Subnet VPC Subnet Customer Gateway Centro de datos New York VPN Router Virtual Private Gateway Customer Gateway Centro de datos Chicago VPN Customer Gateway Centro de datos Los Angeles VPN
  31. 31. Túneles redundantes para su conexión VPN Virtual Private Cloud Availability ZoneAvailability Zone VPC Subnet VPC Subnet IPSEC VPN Virtual Private Gateway Router 72.21.209.193 Router 72.21.209.225 Tunnel 1 Tunnel 2 Customer Gateway xxx.xxx.xxx.xxx Customer Network IPSEC VPN
  32. 32. Customer gateways redundantes Virtual Private Cloud Availability ZoneAvailability Zone VPC Subnet VPC Subnet Tunnel 1 Virtual Private Gateway Router 72.21.209.193 Router 72.21.209.225 Customer Gateway xxx.xxx.xxx.xxx Customer Network Customer Gateway xxx.xxx.xxx.yyy Tunnel 2Tunnel 2 Tunnel 1
  33. 33. Direct Connect •  Alternativa a usar Internet para acceder a los servicios de nube de AWS •  Una conexión de red privada entre AWS y su centro de datos •  Puede reducir costos, incrementar el ancho de banda, y proveer una experiencia de red más consistente que las conexiones basadas en Internet
  34. 34. Opciones de Direct Connect •  Dedicada o hospedada •  Tipos de Conexión –  Punto a punto (DWDM, private line, Ethernet virtual private line) –  Full mesh (IPVPN / MPLS or VPLS) Direct Connect Location Customer Data Center Customer Office Customer Office Customer Office Customer Data Center
  35. 35. ©2015,  Amazon  Web  Services,  Inc.  or  its  affiliates.  All  rights  reserved Level 3 Cloud Connect
  36. 36. Level 3 Cloud Connect •  Introducción •  Opciones de Conectividad •  Conclusión
  37. 37. Company Overview
  38. 38. Footprint http://maps.level3.com/default/ AWS Connected Sites by Level 3 AWS Connection in Progress by Level 3
  39. 39. Footprint http://maps.level3.com/default/
  40. 40. Cloud Connect Conectividad a los servicios de AWS a través de la red de Level 3.
  41. 41. Opciones de Conectividad
  42. 42. Parámetros de Performance Latencia Jitter Packet Loss Disponibilidad Seguridad
  43. 43. Opciones de Conectividad https://www.youtube.com/watch?v=mUCTwhjQNOI
  44. 44. DWDM Anchos  de  banda  desde  1  G   Servicios  no  Protegidos   Servicio  Transparente   Economías  de  Escala   Interconexión  de  DC   Interfaces: •  1 GigE, 2.5 G, 10 G, 40 G, 100 G •  FICON (1G, 2G, 4G, 8G) •  ESCON (1GbE & 10GbE) •  Fiber Channel (FC 1G, FC 2G, FC 4G, FC 8G and FC 10G)
  45. 45. Servicios Ethernet •  EVPL (Ethernet P2P /MPLS) •  EPL (Ethernet/SDH) •  VPLS (Ethernet MP2MP/MPLS) Ethernet E2E Anillo SDH Servicios  @po  LAN2LAN   Requiere  administrar   direcciones  IP.   SLA  para  jiIer,  latencia,   packet  drop.   6  Clases  de  Servicio   VPN  en  capa  2  sobre  MPLS   Cer@ficación  MEF   Servicio  Transparente   Asignación  está@ca  de  BW   Backbone  TDM  
  46. 46. MPLS IPVPN AWS Cloud Red  VPN  capa  3   Topología  Full  Mesh     6  Clases  de  Servicio   Ancho  de  banda  flexible   Facilidad  para  agregar   si@os   Solución  Full  Managed    
  47. 47. Conclusión Internet IPVPN EVPL/VPLS EPL DWDM Red pública compuesta por diferentes proveedores. Transporte best effort (jitter, packet loss) Requiere encriptado para mejorar seguridad. VPN capa 3 sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. Topología full mesh. 6 clases de servicio. Ethernet sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. El cliente debe administrar direcciones IP. Punto a punto Ethernet sobre SDH. Transporte TDM, no conmutación de paquetes. Para usos específicos Anchos de banda > 1Gbps. Servicio no protegido. Longitud de onda de uso exclusivo.
  48. 48. SAN FRANCISCO GRACIAS!

×