MÉXICO
Virtual Private Cloud a
Profundidad
Ivan Salazar – Arquitecto de Soluciones, AWS - @ivansalazarc
Alejandro Girardotti – Sr...
Pláticas relacionadas – búsque los videos!
• ARC205 – VPC Fundamentals and Connectivity
• ARC401 – Black Belt Networking f...
aws vpc –-expert-mode
Temas de hoy
Opciones de redes virtuales
EC2-Classic
Comience de manera
simple – todas las
instancias tienen
conexión a Internet,
direc...
Opciones de redes virtuales
EC2-Classic
Comience de manera
simple – todas las
instancias tienen
conexión a Internet,
direc...
Confirmando su VPC por defecto
describe-account-attributes
Únicamente
VPC
Ruteo y conexiones privadas
Implementando una arquitectura híbrida
Centro de datos corporativo
Crear una VPC
aws ec2 create-vpc --cidr 10.10.0.0/16
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.1.0/24 --a us-w...
Crear una conexión VPN
aws ec2 create-vpn-gateway --type ipsec.1
aws ec2 attach-vpn-gateway --vpn vgw-f9da06e7 --vpc vpc-c...
Lanzar instancias
aws ec2 run-instances --image ami-d636bde6 --sub subnet-d83d91bd --count 3
aws ec2 run-instances --image...
Usar AWS Direct Connect
aws directconnect create-connection --loc EqSE2 --b 1Gbps --conn My_First
aws directconnect create...
Configurar la tabla de ruteo
Centro de datos corporativo
192.168.0.0/16
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0....
Mejores prácticas para conectividad remota
Centro de datos corporativo
Zona de disponibilidad Zona de disponibilidad
Cada ...
Un par de conexiones
VPN (4 túneles IPSec
en total) lo protege en
caso de falla de su
puerta de enlace.
Mejores prácticas ...
Remote connectivity best practices
Conexiones
redundantes de AWS
Direct Connect con una
VPN de respaldo
Zona de disponibil...
VPC con conectividad pública y privada
Centro de datos corporativo
192.168.0.0/16
aws ec2 create-internet-gateway
aws ec2 ...
Propagación automática de rutas del VGW
aws ec2 delete-route --ro rtb-ef36e58a --dest 192.168.0.0/16
aws ec2 enable-vgw-ro...
Aislando la conectividad por subred
Corporativo
192.168.0.0/16
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.3.0/2...
# VPC A
aws ec2 modify-network-interface-attribute --net eni-f832afcc --no-source-dest-check
aws ec2 create-route --ro rtb...
VPN de
software entre
estas instancias
VPN de software para conexiones VPC-a-VPC
Habilitar la comunicación entre
instancias en estas subredes;
Agregar rutas a la tabla de
ruteo por defecto
VPN de softwar...
Firewall de software hacia Internet
Rutear todo el tráfico de las
subredes hacia Internet a
través del firewall es
concept...
Interconexión entre VPCs
Servicios compartidos VPC usando interconexión de VPC
• Servicios comunes/core
– Autenticación/directorio
– Monitoreo
– Re...
Proveé zonas de infraestructura
• Desarrollo: VPC B
• Pruebas: VPC C
• Producción: VPC D
Interconexiones VPC para conectividad VPC-a-VPC
aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc...
Interconexión VPC entre cuentas
aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63
--peer...
Interconexión VPC – consideraciones adicionales
• Los grups de seguridad entre interconexiones no están
soportados
– Alter...
Interconexión VPC con firewall de software
VPC A - 10.10.0.0/16 VPC B - 10.20.0.0/16
# Default routing table directs Peer ...
Level 3
Cloud Connect
Level 3 Cloud Connect
• Introducción
• Opciones de Conectividad
• Conclusión
Company Overview
Footprint
http://maps.level3.com/default/
Cloud Connect
Conectividad a los servicios de AWS a través de la red de Level 3.
Opciones de Conectividad
Parámetros de Performance
Latencia
Jitter
Packet Loss
Disponibilidad
Seguridad
Opciones de Conectividad
https://www.youtube.com/watch?v=mUCTwhjQNOI
DWDM
Anchos de banda desde 1 G
Servicios no Protegidos
Servicio Transparente
Economías de Escala
Interconexión de DC
Inter...
Servicios Ethernet
• EVPL
(Ethernet P2P /MPLS)
• EPL
(Ethernet/SDH)
• VPLS
(Ethernet MP2MP/MPLS)
Ethernet E2E
Anillo SDH
S...
MPLS IPVPN
AWS Cloud
Red VPN capa 3
Topología Full Mesh
6 Clases de Servicio
Ancho de banda flexible
Facilidad para agrega...
Conclusión
Internet IPVPN EVPL/VPLS EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte best
effort (jit...
AWS Summits América Latina 2015  Virtual Private Cloud
Próxima SlideShare
Cargando en…5
×

AWS Summits América Latina 2015 Virtual Private Cloud

497 visualizaciones

Publicado el

AWS Summits América Latina 2015 Virtual Private Cloud

Publicado en: Tecnología
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
497
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
18
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

AWS Summits América Latina 2015 Virtual Private Cloud

  1. 1. MÉXICO
  2. 2. Virtual Private Cloud a Profundidad Ivan Salazar – Arquitecto de Soluciones, AWS - @ivansalazarc Alejandro Girardotti – Sr Product Manager, Level 3
  3. 3. Pláticas relacionadas – búsque los videos! • ARC205 – VPC Fundamentals and Connectivity • ARC401 – Black Belt Networking for Cloud Ninja – Centrado en la aplicación; monitoreo, gestión, floating IPs • ARC403 – From One to Many: Evolving VPC Design • SDD302 – A Tale of One Thousand Instances – Ejemplo de clientes con EC2-Classic adoptando VPC • SDD419 – Amazon EC2 Networking Deep Dive – Rendimiento de la red, placement groups, enhanced networking
  4. 4. aws vpc –-expert-mode
  5. 5. Temas de hoy
  6. 6. Opciones de redes virtuales EC2-Classic Comience de manera simple – todas las instancias tienen conexión a Internet, direcciones IP públicas y privadas asignadas automáticamente Grupos de seguridad tráfico de salida Default VPC Lo mejor de ambos Comience usando la experiencia EC2-Classic Cuando se requiera comience a usar cualquier función de VPC que necesite VPC Servicios avanzados de redes virtuales: ENIs y tablas de ruteo para múltiples IPs Grupos de seguridad tráfico de salida NACLs Conexiones privadas Redes Mejoradas Y más...
  7. 7. Opciones de redes virtuales EC2-Classic Comience de manera simple – todas las instancias tienen conexión a Internet, direcciones IP públicas y privadas asignadas automáticamente Grupos de seguridad tráfico de salida Default VPC Lo mejor de ambos Comience usando la experiencia EC2-Classic Cuando se requiera comience a usar cualquier función de VPC que necesite VPC Servicios avanzados de redes virtuales: ENIs y tablas de ruteo para múltiples IPs grupos de seguridad tráfico de salida NACLs conexiones privadas Enhanced Networking Y más... Todas las cuentas creadas después del 4/12/2013 soportan únicamente VPC y tienen una VPC por defecto en cada región
  8. 8. Confirmando su VPC por defecto describe-account-attributes Únicamente VPC
  9. 9. Ruteo y conexiones privadas
  10. 10. Implementando una arquitectura híbrida Centro de datos corporativo
  11. 11. Crear una VPC aws ec2 create-vpc --cidr 10.10.0.0/16 aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.1.0/24 --a us-west-2a aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.2.0/24 --a us-west-2b Centro de datos corporativo
  12. 12. Crear una conexión VPN aws ec2 create-vpn-gateway --type ipsec.1 aws ec2 attach-vpn-gateway --vpn vgw-f9da06e7 --vpc vpc-c15180a4 aws ec2 create-customer-gateway --type ipsec.1 --public 54.64.1.2 --bgp 6500 aws ec2 create-vpn-connection --vpn vgw-f9da06e7 --cust cgw-f4d905ea --t ipsec.1 Centro de datos corporativo
  13. 13. Lanzar instancias aws ec2 run-instances --image ami-d636bde6 --sub subnet-d83d91bd --count 3 aws ec2 run-instances --image ami-d636bde6 --sub subnet-b734f6c0 --count 3 Centro de datos corporativo
  14. 14. Usar AWS Direct Connect aws directconnect create-connection --loc EqSE2 --b 1Gbps --conn My_First aws directconnect create-private-virtual-interface --conn dxcon-fgp13h2s --new virtualInterfaceName=Foo, vlan=10, asn=60, authKey=testing, amazonAddress=192.168.0.1/24, customerAddress=192.168.0.2/24, virtualGatewayId=vgw-f9da06e7 Centro de datos corporativo
  15. 15. Configurar la tabla de ruteo Centro de datos corporativo 192.168.0.0/16 aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id vgw-f9da06e7 Cada VPC cuenta con una tabal de ruteo al momento de crearse, usada por todas las subredes
  16. 16. Mejores prácticas para conectividad remota Centro de datos corporativo Zona de disponibilidad Zona de disponibilidad Cada conexión VPN consta de 2 túneles IPSec. Use BGP para recuperación en caso de falla.
  17. 17. Un par de conexiones VPN (4 túneles IPSec en total) lo protege en caso de falla de su puerta de enlace. Mejores prácticas para conectividad remota Zona de disponibilidad Zona de disponibilidad Centro de datos corporativo
  18. 18. Remote connectivity best practices Conexiones redundantes de AWS Direct Connect con una VPN de respaldo Zona de disponibilidad Zona de disponibilidad Centro de datos corporativo
  19. 19. VPC con conectividad pública y privada Centro de datos corporativo 192.168.0.0/16 aws ec2 create-internet-gateway aws ec2 attach-internet-gateway --internet igw-5a1ae13f --vpc vpc-c15180a4 aws ec2 delete-route --ro rtb-ef36e58a --dest 0.0.0.0/0 aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f aws ec2 create-route --ro rtb-ef36e58a --dest 192.168.0.0/16 --gateway-id vgw-f9da06e7
  20. 20. Propagación automática de rutas del VGW aws ec2 delete-route --ro rtb-ef36e58a --dest 192.168.0.0/16 aws ec2 enable-vgw-route-propagation --ro rtb-ef36e58a --gateway-id vgw-f9da06e7 Utilizado para actualizar de manera automática la(s) tabla(s) de ruteo con las rutas presentes en el VGW Centro de datos corporativo 192.168.0.0/16
  21. 21. Aislando la conectividad por subred Corporativo 192.168.0.0/16 aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.3.0/24 --a us-west-2b aws ec2 create-route-table --vpc vpc-c15180a4 aws ec2 associate-route-table --ro rtb-fc61b299 --subnet subnet-60975a17 aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f Subred únicamente con conectividad a otras instancias y hacia Internet a través del IGW
  22. 22. # VPC A aws ec2 modify-network-interface-attribute --net eni-f832afcc --no-source-dest-check aws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc # VPC B aws ec2 modify-network-interface-attribute --net eni-9c1b693a --no-source-dest-check aws ec2 create-route --ro rtb-67a2b31c --dest 10.10.0.0/16 –-instance-id i-9c1b693a VPN de software para conexiones VPC-a-VPC
  23. 23. VPN de software entre estas instancias VPN de software para conexiones VPC-a-VPC
  24. 24. Habilitar la comunicación entre instancias en estas subredes; Agregar rutas a la tabla de ruteo por defecto VPN de software para conexiones VPC-a-VPC
  25. 25. Firewall de software hacia Internet Rutear todo el tráfico de las subredes hacia Internet a través del firewall es conceptualmente similar # Default routing table directs traffic to the NAT/firewall instance aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --instance-id i-f832afcc # Routing table for 10.10.3.0/24 directs to the Internet aws ec2 create-route --ro rtb-67a2b31c --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
  26. 26. Interconexión entre VPCs
  27. 27. Servicios compartidos VPC usando interconexión de VPC • Servicios comunes/core – Autenticación/directorio – Monitoreo – Registro de logs – Gestión remota – Escaneo
  28. 28. Proveé zonas de infraestructura • Desarrollo: VPC B • Pruebas: VPC C • Producción: VPC D
  29. 29. Interconexiones VPC para conectividad VPC-a-VPC aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63 aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87 VPC A> aws ec2 create-route --ro rtb-ef36e58a --des 10.20.0.0/16 --vpc-peer pcx-ee56be87 VPC B> aws ec2 create-route --ro rtb-67a2b31c --des 10.10.0.0/16 --vpc-peer pcx-ee56be87 VPC A - 10.10.0.0/16 vpc-c15180a4 VPC B - 10.20.0.0/16 vpc-062dfc63
  30. 30. Interconexión VPC entre cuentas aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63 --peer-owner 472752909333 # In owner account 472752909333 aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87 VPC A - 10.10.0.0/16 vpc-c15180a4 VPC B - 10.20.0.0/16 vpc-062dfc63 Account ID 472752909333
  31. 31. Interconexión VPC – consideraciones adicionales • Los grups de seguridad entre interconexiones no están soportados – Alternativa: especifique reglas por CIDR • Sin capacidad “en tránsito” para VPN, AWS Direct Connect, o VPCs terciarias – Ejemplo: No se puede acceder a la VPC C desde la VPC A a través de la VPC B – Alternativa: Crear una interconexión directa de la VPC A a la VPC C • Los rangos de las direcciones de las VPC interconectadas no se pueden encimar – Pero, se puede interconectar con 2 o más VPCs que se enciman entre sí – Use subredes/tablas de ruteo para elegir la VPC a utilizar
  32. 32. Interconexión VPC con firewall de software VPC A - 10.10.0.0/16 VPC B - 10.20.0.0/16 # Default routing table directs Peer traffic to the NAT/firewall instance aws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc # Routing table for 10.10.3.0/24 directs to the Peering aws ec2 create-route --ro rtb-67a2b31c --dest 10.20.0.0/16 --vpc-peer pcx-ee56be87
  33. 33. Level 3 Cloud Connect
  34. 34. Level 3 Cloud Connect • Introducción • Opciones de Conectividad • Conclusión
  35. 35. Company Overview
  36. 36. Footprint http://maps.level3.com/default/
  37. 37. Cloud Connect Conectividad a los servicios de AWS a través de la red de Level 3.
  38. 38. Opciones de Conectividad
  39. 39. Parámetros de Performance Latencia Jitter Packet Loss Disponibilidad Seguridad
  40. 40. Opciones de Conectividad https://www.youtube.com/watch?v=mUCTwhjQNOI
  41. 41. DWDM Anchos de banda desde 1 G Servicios no Protegidos Servicio Transparente Economías de Escala Interconexión de DC Interfaces: • 1 GigE, 2.5 G, 10 G, 40 G, 100 G • FICON (1G, 2G, 4G, 8G) • ESCON (1GbE & 10GbE) • Fiber Channel (FC 1G, FC 2G, FC 4G, FC 8G and FC 10G)
  42. 42. Servicios Ethernet • EVPL (Ethernet P2P /MPLS) • EPL (Ethernet/SDH) • VPLS (Ethernet MP2MP/MPLS) Ethernet E2E Anillo SDH Servicios tipo LAN2LAN Requiere administrar direcciones IP. SLA para jitter, latencia, packet drop. 6 Clases de Servicio VPN en capa 2 sobre MPLS Certificación MEF Servicio Transparente Asignación estática de BW Backbone TDM
  43. 43. MPLS IPVPN AWS Cloud Red VPN capa 3 Topología Full Mesh 6 Clases de Servicio Ancho de banda flexible Facilidad para agregar sitios Solución Full Managed
  44. 44. Conclusión Internet IPVPN EVPL/VPLS EPL DWDM Red pública compuesta por diferentes proveedores. Transporte best effort (jitter, packet loss) Requiere encriptado para mejorar seguridad. VPN capa 3 sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. Topología full mesh. 6 clases de servicio. Ethernet sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. El cliente debe administrar direcciones IP. Punto a punto Ethernet sobre SDH. Transporte TDM, no conmutación de paquetes. Para usos específicos Anchos de banda > 1Gbps. Servicio no protegido. Longitud de onda de uso exclusivo.

×