2. Virtual Private Cloud a
Profundidad
Ivan Salazar – Arquitecto de Soluciones, AWS - @ivansalazarc
Alejandro Girardotti – Sr Product Manager, Level 3
3. Pláticas relacionadas – búsque los videos!
• ARC205 – VPC Fundamentals and Connectivity
• ARC401 – Black Belt Networking for Cloud Ninja
– Centrado en la aplicación; monitoreo, gestión, floating IPs
• ARC403 – From One to Many: Evolving VPC
Design
• SDD302 – A Tale of One Thousand Instances
– Ejemplo de clientes con EC2-Classic adoptando VPC
• SDD419 – Amazon EC2 Networking Deep Dive
– Rendimiento de la red, placement groups, enhanced networking
6. Opciones de redes virtuales
EC2-Classic
Comience de manera
simple – todas las
instancias tienen
conexión a Internet,
direcciones IP públicas
y privadas asignadas
automáticamente
Grupos de seguridad
tráfico de salida
Default VPC
Lo mejor de ambos
Comience usando la
experiencia
EC2-Classic
Cuando se requiera
comience a usar
cualquier función de
VPC que necesite
VPC
Servicios avanzados de
redes virtuales:
ENIs y tablas de ruteo
para múltiples IPs
Grupos de seguridad
tráfico de salida
NACLs
Conexiones privadas
Redes Mejoradas
Y más...
7. Opciones de redes virtuales
EC2-Classic
Comience de manera
simple – todas las
instancias tienen
conexión a Internet,
direcciones IP públicas
y privadas asignadas
automáticamente
Grupos de seguridad
tráfico de salida
Default VPC
Lo mejor de ambos
Comience usando la
experiencia
EC2-Classic
Cuando se requiera
comience a usar
cualquier función de
VPC que necesite
VPC
Servicios avanzados de
redes virtuales:
ENIs y tablas de ruteo
para múltiples IPs
grupos de seguridad
tráfico de salida
NACLs
conexiones privadas
Enhanced Networking
Y más...
Todas las cuentas creadas después
del 4/12/2013 soportan únicamente
VPC y tienen una VPC por defecto
en cada región
8. Confirmando su VPC por defecto
describe-account-attributes
Únicamente
VPC
11. Crear una VPC
aws ec2 create-vpc --cidr 10.10.0.0/16
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.1.0/24 --a us-west-2a
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.2.0/24 --a us-west-2b
Centro de datos corporativo
12. Crear una conexión VPN
aws ec2 create-vpn-gateway --type ipsec.1
aws ec2 attach-vpn-gateway --vpn vgw-f9da06e7 --vpc vpc-c15180a4
aws ec2 create-customer-gateway --type ipsec.1 --public 54.64.1.2 --bgp 6500
aws ec2 create-vpn-connection --vpn vgw-f9da06e7 --cust cgw-f4d905ea --t ipsec.1
Centro de datos corporativo
13. Lanzar instancias
aws ec2 run-instances --image ami-d636bde6 --sub subnet-d83d91bd --count 3
aws ec2 run-instances --image ami-d636bde6 --sub subnet-b734f6c0 --count 3
Centro de datos corporativo
14. Usar AWS Direct Connect
aws directconnect create-connection --loc EqSE2 --b 1Gbps --conn My_First
aws directconnect create-private-virtual-interface --conn dxcon-fgp13h2s --new
virtualInterfaceName=Foo, vlan=10, asn=60, authKey=testing,
amazonAddress=192.168.0.1/24, customerAddress=192.168.0.2/24,
virtualGatewayId=vgw-f9da06e7
Centro de datos corporativo
15. Configurar la tabla de ruteo
Centro de datos corporativo
192.168.0.0/16
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id vgw-f9da06e7
Cada VPC cuenta con una
tabal de ruteo al momento de
crearse, usada por todas las
subredes
16. Mejores prácticas para conectividad remota
Centro de datos corporativo
Zona de disponibilidad Zona de disponibilidad
Cada conexión VPN
consta de 2 túneles
IPSec. Use BGP para
recuperación en caso de
falla.
17. Un par de conexiones
VPN (4 túneles IPSec
en total) lo protege en
caso de falla de su
puerta de enlace.
Mejores prácticas para conectividad remota
Zona de disponibilidad Zona de disponibilidad
Centro de datos corporativo
18. Remote connectivity best practices
Conexiones
redundantes de AWS
Direct Connect con una
VPN de respaldo
Zona de disponibilidad Zona de disponibilidad
Centro de datos corporativo
19. VPC con conectividad pública y privada
Centro de datos corporativo
192.168.0.0/16
aws ec2 create-internet-gateway
aws ec2 attach-internet-gateway --internet igw-5a1ae13f --vpc vpc-c15180a4
aws ec2 delete-route --ro rtb-ef36e58a --dest 0.0.0.0/0
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
aws ec2 create-route --ro rtb-ef36e58a --dest 192.168.0.0/16 --gateway-id vgw-f9da06e7
20. Propagación automática de rutas del VGW
aws ec2 delete-route --ro rtb-ef36e58a --dest 192.168.0.0/16
aws ec2 enable-vgw-route-propagation --ro rtb-ef36e58a --gateway-id vgw-f9da06e7
Utilizado para actualizar de
manera automática la(s)
tabla(s) de ruteo con las rutas
presentes en el VGW
Centro de datos corporativo
192.168.0.0/16
21. Aislando la conectividad por subred
Corporativo
192.168.0.0/16
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.3.0/24 --a us-west-2b
aws ec2 create-route-table --vpc vpc-c15180a4
aws ec2 associate-route-table --ro rtb-fc61b299 --subnet subnet-60975a17
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
Subred únicamente con
conectividad a otras
instancias y hacia Internet a
través del IGW
24. Habilitar la comunicación entre
instancias en estas subredes;
Agregar rutas a la tabla de
ruteo por defecto
VPN de software para conexiones VPC-a-VPC
25. Firewall de software hacia Internet
Rutear todo el tráfico de las
subredes hacia Internet a
través del firewall es
conceptualmente similar
# Default routing table directs traffic to the NAT/firewall instance
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --instance-id i-f832afcc
# Routing table for 10.10.3.0/24 directs to the Internet
aws ec2 create-route --ro rtb-67a2b31c --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
30. Interconexión VPC entre cuentas
aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63
--peer-owner 472752909333
# In owner account 472752909333
aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87
VPC A - 10.10.0.0/16
vpc-c15180a4
VPC B - 10.20.0.0/16
vpc-062dfc63
Account ID 472752909333
31. Interconexión VPC – consideraciones adicionales
• Los grups de seguridad entre interconexiones no están
soportados
– Alternativa: especifique reglas por CIDR
• Sin capacidad “en tránsito” para VPN, AWS Direct
Connect, o VPCs terciarias
– Ejemplo: No se puede acceder a la VPC C desde la VPC A a través de la
VPC B
– Alternativa: Crear una interconexión directa de la VPC A a la VPC C
• Los rangos de las direcciones de las VPC interconectadas
no se pueden encimar
– Pero, se puede interconectar con 2 o más VPCs que se enciman entre sí
– Use subredes/tablas de ruteo para elegir la VPC a utilizar
32. Interconexión VPC con firewall de software
VPC A - 10.10.0.0/16 VPC B - 10.20.0.0/16
# Default routing table directs Peer traffic to the NAT/firewall instance
aws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc
# Routing table for 10.10.3.0/24 directs to the Peering
aws ec2 create-route --ro rtb-67a2b31c --dest 10.20.0.0/16 --vpc-peer pcx-ee56be87
41. DWDM
Anchos de banda desde 1 G
Servicios no Protegidos
Servicio Transparente
Economías de Escala
Interconexión de DC
Interfaces:
• 1 GigE, 2.5 G, 10 G, 40 G, 100 G
• FICON (1G, 2G, 4G, 8G)
• ESCON (1GbE & 10GbE)
• Fiber Channel (FC 1G, FC 2G, FC
4G, FC 8G and FC 10G)
42. Servicios Ethernet
• EVPL
(Ethernet P2P /MPLS)
• EPL
(Ethernet/SDH)
• VPLS
(Ethernet MP2MP/MPLS)
Ethernet E2E
Anillo SDH
Servicios tipo LAN2LAN
Requiere administrar
direcciones IP.
SLA para jitter, latencia,
packet drop.
6 Clases de Servicio
VPN en capa 2 sobre MPLS Certificación MEF
Servicio Transparente
Asignación estática de BW
Backbone TDM
43. MPLS IPVPN
AWS Cloud
Red VPN capa 3
Topología Full Mesh
6 Clases de Servicio
Ancho de banda flexible
Facilidad para agregar
sitios
Solución Full Managed
44. Conclusión
Internet IPVPN EVPL/VPLS EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte best
effort (jitter,
packet loss)
Requiere
encriptado para
mejorar
seguridad.
VPN capa 3
sobre MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
Topología full
mesh.
6 clases de
servicio.
Ethernet sobre
MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
El cliente debe
administrar
direcciones IP.
Punto a punto
Ethernet sobre
SDH.
Transporte
TDM, no
conmutación
de paquetes.
Para usos
específicos
Anchos de
banda >
1Gbps.
Servicio no
protegido.
Longitud de
onda de uso
exclusivo.