O documento apresenta uma introdução sobre Virtual Private Clouds (VPCs) na AWS, incluindo: (1) VPCs permitem que usuários criem redes virtuais personalizadas na nuvem da AWS; (2) VPCs fornecem controle total sobre redes, incluindo endereçamento IP, tabelas de roteamento e segurança; (3) exemplos comuns de uso de VPCs incluem data centers virtuais, arquiteturas web multi-camadas e aplicações híbridas.
Os benefícios de migrar seus workloads de Big Data para a AWS
AWS Virtual Private Cloud (VPC): Isolando seus Recursos na Nuvem
1. AWS Virtual Private Cloud (VPC):
Como Isolar Seus Recursos
Na Nuvem
Fábio Silva
AWS Solutions Architect
silfabio@amazon.com
2. Agenda
• Regiões, Zonas de Disponibilidade e Pontos de Presença
• Elastic Compute Cloud (EC2)
• Virtual Private Cloud (VPC)
• O Que é uma VPC, Possibilidades e Definições
• Casos de uso comuns
• Direct Connect
• Demo
2
4. Infraestrutura Global
Deployment & Administration
App Services
Compute
Storage
Database
Regiões
Um conjunto isolado de data centers em uma
Networking
AWS Global Infrastructure
4
determinada geografia
5. Infraestrutura Global
Deployment & Administration
App Services
Compute
Storage
Database
Zonas de Disponibilidade
Projetadas para serem independentes.
Networking
Separadas fisicamente, porém com conectividade
rápida dentro da mesma região
AWS Global Infrastructure
5
6. Infraestrutura Global
Deployment & Administration
App Services
Compute
Storage
Pontos de Presença
Database
Edge Locations - CloudFront (CDN) e Route 53
Networking
(DNS)
Direciona automaticamente usuários finais para a
AWS Global Infrastructure
6
localização mais próxima conforme condições de
rede
8. Elastic Compute Cloud (EC2)
EC2
Servidores com recursos computacionais
29 tipos de instâncias (servidores) disponíveis,
Várias Opções
A partir de $0,02/hora
de micro a cluster compute
Configurações de CPU, memória disco local
Recurso
Flexível
Detalhes
Linux e Windows
Escalável
Várias configurações de
servidor
Imagens
Modificações podem ser salvas
como imagens (AMIs) e novas
instancias criadas a partir
destas
Controle
total
Controle de root e
administrador
Deployment & Administration
App Services
Compute
Storage
Database
Segura
Controle total do Firewall via
Security Groups
Barata
On-demand, Reservada e Spot
Networking
AWS Global Infrastructure
8
10. Virtual Private Cloud (VPC)
VPC
Crie seus recursos AWS dentro de uma rede virtual
com as suas configurações
Ambiente virtual com muita semelhança a uma rede
tradicional
Recurso
Flexível
Segura
Deployment & Administration
App Services
Compute
Storage
Serviços
Conectividad
e
Database
Disponível
Networking
AWS Global Infrastructure
10
Detalhes
Use seu endereçamento
Defina os níveis de acesso
Crie instâncias EC2, banco de
dados em RDS, EMR dentro das
VPCs
Através da Internet através de
VPN ou usando o Direct
Connect
Use a mesma VPC entre as
zonas de disponibilidade
11. VPC
O que é uma VPC?
Uma seção privada e isolada da nuvem da AWS
Uma topologia de rede virtual que você pode instalar e
customizar
Controle completo da sua rede privada na nuvem
11
12. VPC
Possibilidades
Dividir seu endereçamento IP
privado em uma ou mais
subredes públicas ou privadas
Especificar sua própria faixa
de endereçamento IP de
acordo com a sua vontade
Conectar sua VPC à sua
estrutura de TI local através
de túneis VPN encriptados
Único custo é
VPN por hardware
(opcional, $0.05/h)
Associar múltiplos endereços
IP através de múltiplas
interfaces de rede elásticas
(ENI em suas instâncias EC2
12
Controlar o tráfego de entrada
e saida de e para subredes
individuais
Armazenar dados no S3 e
defina permissões para
acesso apenas a partir de
dentro da sua VPC
13. VPC
Definições
VPC = Virtual Private Cloud (Nuvem Virtual Privada),
representada por uma faixa de endereçamento IP
Subnets = Sub-faixas de endereçamento IP dentro da VPC
Network ACLs = Listas de controle de acesso de tráfego
das subredes
Route tables = Aplicadas a subredes, especificando as
políticas de roteamento das mesmas
Conexão VPN = Um par de conexões redundantes e
encriptadas entre seu datacenter (ou outra VPC) e a sua
VPC na AWS
13
AWS Direct Connect = Conexão direta e privada entre o
seu datacenter e a(s) sua(s) VPC(s)
14. VPC
Definições
IGW = Internet gateway, provê acesso a internet (entrada e
saída) as instâncias das subredes públicas
VGW = Virtual gateway, provê acesso redundante ao
datacenter do cliente (hardware VPN do lado da AWS)
CGW = Customer gateway, representação lógica que
aponta para o roteador/firewall do cliente
NAT = Servidor de NAT (Network address translation),
provê acesso de saida à internet as instâncias das
subredes privadas
Security groups = Especificam políticas de entrada e saída
de tráfego de rede para instâncias EC2
14
AZs = Availability Zones ou Zonas de Disponibilidade
16. VPC
Datacenter Virtual
Data Center Corporativo
Active Directory
Usuários e Acesso
Configuração de Rede
Sua Rede Privada
Encriptação
Hardware de Criptografia
Dispositivos de Backup
Backups na Nuvem
Aplicações On-premise
Aplicações na Nuvem
AWS Direct Connect
16
17. VPC
Arquiteturas Web Multi-Camadas
Internet Gateway
Amazon
Route 53
Static
Assets
User
Public ELB
Public Subnet
Public Subnet
Amazon
CloudFront
EC2
EC2
Private Subnet
Private Subnet
Private ELB
EC2
EC2
Amazon
Simple
Storage
Service (S3)
Private Subnet
Amazon RDS
Read Replica
Private Subnet
Availability Zone A
17
Private Subnet
Amazon RDS
Master
Amazon
RDS
Slave
Amazon RDS
Read Replica
Private Subnet
Availability Zone B
18. VPC
Aplicações Híbridas
Private
or Internet
VPN Gateway
Private ELB
CGW
Private Subnet
Private Subnet
EC2
Internal
User
EC2
Private Subnet
Private Subnet
Corporate Data Center
Private ELB
EC2
EC2
Private Subnet
Private Subnet
Amazon RDS
Read Replica
Private Subnet
Availability Zone A
18
Amazon RDS
Master
Amazon
RDS
Slave
Amazon RDS
Read Replica
Private Subnet
Availability Zone B
19. VPC
Recuperação de Desastres
Route 53
User
Web
Server
Repoint DNS in an
Outage
Application
Server
EC2
Application
Server
DB
Server
Data Mirroring/
Replication
Data Volume
Corporate Data Center
19
Amazon Elastic
Compute Cloud
(EC2) instances are
stopped and AMIs
are created.
Instances can be
restarted if primary
application goes
down.
EC2 Web
Server
EC2 DB
Server
Smaller EC2 Instance for
DB but may be stopped
and restarted as a larger
EC2 instance.
EBS Data
Volume
20. VPC
Rede pública (sem VPC)
Internet
São atribuídos IPs privados da rede interna da Amazon para as
instâncias EC2. As instâncias compartilham um enorme bloco de
endereçamento com todas as instâncias.
Zona de Disponibilidade 1a
20
Zona de Disponibilidade 1b
21. VPC
Rede pública (sem VPC)
Internet
São atribuídos IPs privados da rede interna da Amazon para as
instâncias EC2. As instâncias compartilham um enorme bloco de
endereçamento com todas as instâncias.
10.218.5.17
10.1.2.3
10.141.9.8
10.16.22.33
Zona de Disponibilidade 1a
Cliente 1
21
Zona de Disponibilidade 1b
22. VPC
Rede pública (sem VPC)
Internet
São atribuídos IPs privados da rede interna da Amazon para as
instâncias EC2. As instâncias compartilham um enorme bloco de
endereçamento com todas as instâncias.
10.1.2.3
10.134.2.3
10.27.45.16
10.218.5.17
10.141.9.8
10.99.42.97
10.16.22.33
Zona de Disponibilidade 1a
Cliente 1
22
Cliente 2
10.131.7.28
Zona de Disponibilidade 1b
23. VPC
Rede pública (sem VPC)
Internet
São atribuídos IPs privados da rede interna da Amazon para as
instâncias EC2. As instâncias compartilham um enorme bloco de
endereçamento com todas as instâncias.
10.134.2.3
10.1.2.3
10.27.45.16
10.8.55.5
10.243.3.5
10.141.9.8
10.99.42.97
10.6.78.201
10.16.22.33
Zona de Disponibilidade 1a
Cliente 1
23
10.218.5.17
Cliente 2
10.131.7.28
10.155.6.7
Zona de Disponibilidade 1b
Cliente 3
24. VPC
Rede pública (EC2-Classic)
Internet
Cada instância também tem um endereço IP público e pode
acessar diretamente a internet através da borda da AWS
10.134.2.3
10.1.2.3
10.27.45.16
10.8.55.5
10.243.3.5
10.141.9.8
10.99.42.97
10.6.78.201
10.16.22.33
Zona de Disponibilidade 1a
Cliente 1
24
10.218.5.17
Cliente 2
10.131.7.28
10.155.6.7
Zona de Disponibilidade 1b
Cliente 3
25. VPC
Rede pública (EC2-Classic)
Internet
Cada instância também tem um endereço IP público e pode
acessar diretamente a internet através da borda da AWS
10.134.2.3
10.1.2.3
10.27.45.16
10.8.55.5
10.243.3.5
10.141.9.8
10.99.42.97
10.6.78.201
10.16.22.33
Zona de Disponibilidade 1a
Cliente 1
25
10.218.5.17
Cliente 2
10.131.7.28
10.155.6.7
Zona de Disponibilidade 1b
Cliente 3
26. VPC
Rede Privada
Internet
Os clientes da VPC podem criar instâncias dentro da sua rede
Zona de Disponibilidade 1a
Zona de Disponibilidade 1b
Cliente VPC
26
27. VPC
Rede Privada
Internet
Os clientes da VPC podem criar instâncias dentro da sua rede
Zona de Disponibilidade 1a
Zona de Disponibilidade 1b
Cliente VPC
27
28. VPC
Rede Privada
Internet
Os clientes da VPC podem criar instâncias dentro da sua rede
VPC Subnet
VPC Subnet
VPC Subnet
Zona de Disponibilidade 1a
Zona de Disponibilidade 1b
Cliente VPC
28
29. VPC
Rede Privada
Internet
Você pode atribuir seu próprio endereçamento IP dentro da VPC
VPC Subnet
VPC Subnet
10.0.0.5
10.0.1.5
10.0.1.6
VPC Subnet
10.0.0.6
10.0.3.5
10.0.1.8
10.0.1.25
10.0.3.17
Zona de Disponibilidade 1a
Zona de Disponibilidade 1b
Cliente VPC
29
30. VPC
Rede Privada
Adicione um Virtual Private Gateway (VPG) na sua VPC. Todo o tráfego
com origem ou destino da VPC passam pela conexão VPN. A VPC se torna
uma extensão do seu datacenter.
VPC Subnet
VPC Subnet
10.0.0.5
10.0.1.6
10.0.1.5
VPC Subnet
10.0.0.6
10.0.3.5
10.0.1.8
10.0.1.25
10.0.3.17
Zona de Disponibilidade 1a
Virtual Private Gateway
Zona de Disponibilidade 1b
VPN Connection
Cliente Gateway
Cliente Data Center
30
Cliente VPC
31. VPC
Rede Privada
Internet
Adicione um Internet Gateway
diretamente à Internet.
(IGW) para as instâncias conectarem
Internet Gateway
VPC Subnet
VPC Subnet
10.0.0.5
10.0.1.6
10.0.1.5
VPC Subnet
10.0.0.6
10.0.3.5
10.0.1.8
10.0.1.25
10.0.3.17
Zona de Disponibilidade 1a
Virtual Private Gateway
Zona de Disponibilidade 1b
VPN Connection
Cliente Gateway
Cliente Data Center
31
Cliente VPC