© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Felipe Garcia, Solutions Architect
Diego Noya, R...
Instancia EC2
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
VPC
¿Qué esperar de esta sesión?
• Familiarizarse con los conceptos de VPC
• Aprender a través de una configuración básica de ...
Tutorial: Configuración de una
VPC conectada a Internet
Creación de una VPC conectada a Internet :
Pasos
Eligiendo un rango
de direcciones
Creando subredes
en Availability
Zones
...
Eligiendo un rango de
direcciones
Revisión de la notación CIDR
Ejemplo de rango CIDR:
172.31.0.0/16
1010 1100 0001 1111 0000 0000 0000 0000
Eligiendo un rango de direcciones para su VPC
172.31.0.0/16
Recomendado:
RFC1918 range
Recomendado :
/16
(64K addresses)
Creando subnets en Availability
Zones
Eligiendo un rango de direcciones para su subred
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC s...
Auto-asignar IP pública:
Todas las instancias obtendrán una IP pública asignada
automáticamente
Más sobre subredes
• Recomendado para la mayoría de los
clientes:
• / 16 VPC (64K direcciones)
• / 24 subredes (251 direcc...
Creación de una ruta a Internet
Enrutamiento en la VPC
• Tablas de rutas contienen reglas para
decir para donde los paquetes van
• Su VPC tiene una tabla ...
El tráfico destinado a mi
VPC se queda en mi VPC
Internet gateway
Enviar paquetes que si desea
enviar hacia Internet
Todo lo que no va hacia la VPC: Se envía
a Internet
Autorizando tráfico: Network
ACLs y Security Groups
Network ACLs = reglas de firewall sin Estado
Traducción a español: Permitir todo el
tráfico
Se puede aplicar sobre una sub...
Los Security Groups siguen la estructura de su
aplicación
“MyWebServers” Security Group
“MyBackends” Security Group
Permit...
Security Groups = Firewall con estado
En español: Los miembros de este grupo son
accesibles desde Internet por el puerto 8...
Security Groups = Firewall con estado
En español: Únicamente instancias en el Security
Group MyWebServer, pueden alcanzar ...
Security Groups en VPCs: Notas adicionales
• VPC permite la creácion de reglas de seguridad de
ingreso y egreso
• Best pra...
Opciones de Conectividad de
una VPC
Más allá de la conectividad a Internet
Opciones de
enrutamiento en la
Subred
Conexión a la red
corporativa
Conexión a otra...
Enrutamiento en Subredes:
Subreds internas
Diferentes tablas de rutas para diferentes subredes
VPC subnet
VPC subnet
Tiene ruta a Internet
No tiene ninguna ruta a
In...
El acceso a Internet a través de NAT con EC2
VPC subnet VPC subnet
NAT
0.0.0.0/0
0.0.0.0/0
Instancia EC2 con Imagen
(AMI) ...
El acceso a Internet a través de NAT con NAT Gateway
VPC subnet VPC subnet
NAT
0.0.0.0/0
0.0.0.0/0
NAT Gateway altamente
d...
Conexión a otra VPC:
VPC peering
VPC de Servicios compartidos con VPC
Peering (Hub-and-Spoke)
Servicios Core
• Autenticación/Directorio
• Monitoreo
• Loggi...
VPC peering
VPC Peering
172.31.0.0/16 10.55.0.0/16
Pasos para establecer un VPC Peering: Iniciar
solicitud
172.31.0.0/16 10.55.0.0/16
Step 1
Initiate peering request
Pasos para establecer un VPC Peering: Iniciar
solicitud
Pasos para establecer un VPC Peering: Aceptar la
solicitud
172.31.0.0/16 10.55.0.0/16
Step 1
Iniciar solicitud
Step 2
Acep...
Pasos para establecer un VPC Peering: Aceptar la solicitud
Pasos para establecer un VPC Peering: Crear ruta
172.31.0.0/16 10.55.0.0/16Step 1
Initiate peering request
Step 2
Accept p...
Conectando a su red:
AWS Hardware VPN &
AWS Direct Connect
Extender su propia red a la VPC
VPN
Direct Connect
VPN: Lo que necesitas saber
Customer
Gateway
(CGW)
Virtual Gateway
(VGW)
Dos túneles IPSec
192.168.0.0/16 172.31.0.0/16
19...
Enrutando a un Virtual Private Gateway (VGW)
En español: Tráfico a mi red
192.168.0.0/16 sale por el túnel VPN
VPN vs. Direct Connect
• Ambos permiten conexiones seguras
entre su red y su VPC
• VPN és un par de túneles a través de
In...
DNS en la VPC
Opciones de DNS en la VPC
Utilizar el servidor DNS de
Amazon
Hostname automático para
las instâncias EC2
EC2 DNS hostnames de EC2 en la VPC
Nombre DNS interno: Resuelve
a la dirección IP Privada
Nombre DNS externo: Resuelve…
EC2 DNS hostnames de EC2 trabajan desde
cualquier parte: Fuera de su VPC
C:>nslookup ec2-52-18-10-57.eu-west-1.compute.ama...
EC2 DNS hostnames de EC2 trabajan desde
cualquier parte: Dentro de su VPC
[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-5...
Amazon Route 53 zonas privadas
• La resolución de DNS para un dominio y
subdominios
• Los registros DNS sólo tienen efecto...
Creando una zona privada en Route 53
Zona Privada
Asociado con uno o
más VPCs
Creando un registro DNS en Amazon Route 53
Private Hosted
Zone
example.demohostedzone.org 
172.31.0.99
Consulta de registros en zonas privadas
https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/
[ec2-user@ip-172-31...
Y mucho más
VPC Flow Logs: Vea todo el tráfico
• La visibilidad de los efectos
de las reglas de Security
Group
• Solución de problemas...
Amazon VPC endpoints: Amazon S3 sin
un Internet gateway
ClassicLink: Conectar instancias de EC2-
Classic a su VPC
• Conectividad a través de la dirección
IP privada de instancias...
Maneje su red “like a boss…”
…si eres o no un experto en redes
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
...
Level 3
Acerca de Level 3
Level 3 LATAM
Level 3 Argentina
Sin una estrategia de red, no hay una estrategia de Nube
Red Pública vs Red Privada
https://www.youtube.com/watch?v=mUCTwhjQNOI
Level 3 Cloud Connect
US East
(Virginia)
US West
(N.
California)
US West
(Oregon)
EU West
Ireland
Sao Paulo Singapore Toki...
Level 3 Cloud Connect
Cloud Connect IPVPN
• Conectividad Full Mesh
• Flexibilidad para crecimiento
• Instalación simple y ...
Opciones de Conectividad
Internet IPVPN EVPL/VPLS PL/EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte...
Performance = Productividad
Gracias!
Próxima SlideShare
Cargando en…5
×

Creando su datacenter virtual

578 visualizaciones

Publicado el

Fundamentos de VPC y opciones de conectividad en el 2016 AWS Summit Buenos Aires

Publicado en: Tecnología
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
578
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
29
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.
  • Timing: 5:30
  • 19:36
  • 33 Azs
    12 Regions
  • /24 = 256 Ips

    Actually 251 because we reserve the low 4 Ips for broadcast
  • Timing: ~8
  • Creando su datacenter virtual

    1. 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Felipe Garcia, Solutions Architect Diego Noya, Regional Product Manager Abril 2016 Creando su datacenter virtual Fundamentos de VPC y opciones de conectividad
    2. 2. Instancia EC2
    3. 3. 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 54.4.5.6 54.2.3.4 VPC
    4. 4. ¿Qué esperar de esta sesión? • Familiarizarse con los conceptos de VPC • Aprender a través de una configuración básica de VPC • Aprender acerca de las maneras en que usted puede adaptar su red virtual, para satisfacer sus necesidades
    5. 5. Tutorial: Configuración de una VPC conectada a Internet
    6. 6. Creación de una VPC conectada a Internet : Pasos Eligiendo un rango de direcciones Creando subredes en Availability Zones Creación de una ruta a la Internet Autorizando tráfico a/desde la VPC
    7. 7. Eligiendo un rango de direcciones
    8. 8. Revisión de la notación CIDR Ejemplo de rango CIDR: 172.31.0.0/16 1010 1100 0001 1111 0000 0000 0000 0000
    9. 9. Eligiendo un rango de direcciones para su VPC 172.31.0.0/16 Recomendado: RFC1918 range Recomendado : /16 (64K addresses)
    10. 10. Creando subnets en Availability Zones
    11. 11. Eligiendo un rango de direcciones para su subred 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 eu-west-1a eu-west-1b eu-west-1c
    12. 12. Auto-asignar IP pública: Todas las instancias obtendrán una IP pública asignada automáticamente
    13. 13. Más sobre subredes • Recomendado para la mayoría de los clientes: • / 16 VPC (64K direcciones) • / 24 subredes (251 direcciones) • Una subred por cada zona de disponibilidad • ¿Cuándo podría hacer otra cosa?
    14. 14. Creación de una ruta a Internet
    15. 15. Enrutamiento en la VPC • Tablas de rutas contienen reglas para decir para donde los paquetes van • Su VPC tiene una tabla de ruta por defecto • ... Pero se pueden asignar diferentes tablas de rutas a diferentes subredes
    16. 16. El tráfico destinado a mi VPC se queda en mi VPC
    17. 17. Internet gateway Enviar paquetes que si desea enviar hacia Internet
    18. 18. Todo lo que no va hacia la VPC: Se envía a Internet
    19. 19. Autorizando tráfico: Network ACLs y Security Groups
    20. 20. Network ACLs = reglas de firewall sin Estado Traducción a español: Permitir todo el tráfico Se puede aplicar sobre una subred
    21. 21. Los Security Groups siguen la estructura de su aplicación “MyWebServers” Security Group “MyBackends” Security Group Permitir sólo “MyWebServers”
    22. 22. Security Groups = Firewall con estado En español: Los miembros de este grupo son accesibles desde Internet por el puerto 80 (HTTP)
    23. 23. Security Groups = Firewall con estado En español: Únicamente instancias en el Security Group MyWebServer, pueden alcanzar instancias de este Segurity Group
    24. 24. Security Groups en VPCs: Notas adicionales • VPC permite la creácion de reglas de seguridad de ingreso y egreso • Best practice: Siempre que sea posible, especifique por referencia el trafico permitido (otros Security Groups) • Muchas arquitecturas de aplicaciones tienen una relación 1:1 con Security Groups (lo que puede llegar a mi) y AWS Identity and Access Management (IAM) roles (lo que puedo hacer)
    25. 25. Opciones de Conectividad de una VPC
    26. 26. Más allá de la conectividad a Internet Opciones de enrutamiento en la Subred Conexión a la red corporativa Conexión a otras VPCs
    27. 27. Enrutamiento en Subredes: Subreds internas
    28. 28. Diferentes tablas de rutas para diferentes subredes VPC subnet VPC subnet Tiene ruta a Internet No tiene ninguna ruta a Internet
    29. 29. El acceso a Internet a través de NAT con EC2 VPC subnet VPC subnet NAT 0.0.0.0/0 0.0.0.0/0 Instancia EC2 con Imagen (AMI) de NAT de Amazon: amzn-ami-vpc-nat SPoF
    30. 30. El acceso a Internet a través de NAT con NAT Gateway VPC subnet VPC subnet NAT 0.0.0.0/0 0.0.0.0/0 NAT Gateway altamente disponible, por AWS
    31. 31. Conexión a otra VPC: VPC peering
    32. 32. VPC de Servicios compartidos con VPC Peering (Hub-and-Spoke) Servicios Core • Autenticación/Directorio • Monitoreo • Logging • Administración Remota • Scanning
    33. 33. VPC peering VPC Peering 172.31.0.0/16 10.55.0.0/16
    34. 34. Pasos para establecer un VPC Peering: Iniciar solicitud 172.31.0.0/16 10.55.0.0/16 Step 1 Initiate peering request
    35. 35. Pasos para establecer un VPC Peering: Iniciar solicitud
    36. 36. Pasos para establecer un VPC Peering: Aceptar la solicitud 172.31.0.0/16 10.55.0.0/16 Step 1 Iniciar solicitud Step 2 Aceptar solicitud
    37. 37. Pasos para establecer un VPC Peering: Aceptar la solicitud
    38. 38. Pasos para establecer un VPC Peering: Crear ruta 172.31.0.0/16 10.55.0.0/16Step 1 Initiate peering request Step 2 Accept peering request Step 3 Crear Rutas En español: Tráfico destinado a la preered VPC deberá ir por el peering
    39. 39. Conectando a su red: AWS Hardware VPN & AWS Direct Connect
    40. 40. Extender su propia red a la VPC VPN Direct Connect
    41. 41. VPN: Lo que necesitas saber Customer Gateway (CGW) Virtual Gateway (VGW) Dos túneles IPSec 192.168.0.0/16 172.31.0.0/16 192.168/16 Su dispositivo de Red
    42. 42. Enrutando a un Virtual Private Gateway (VGW) En español: Tráfico a mi red 192.168.0.0/16 sale por el túnel VPN
    43. 43. VPN vs. Direct Connect • Ambos permiten conexiones seguras entre su red y su VPC • VPN és un par de túneles a través de Internet • Direct Connect es una línea dedicada con un mejor costo por GB • Para mayor alta disponibilidad: Use ambos
    44. 44. DNS en la VPC
    45. 45. Opciones de DNS en la VPC Utilizar el servidor DNS de Amazon Hostname automático para las instâncias EC2
    46. 46. EC2 DNS hostnames de EC2 en la VPC Nombre DNS interno: Resuelve a la dirección IP Privada Nombre DNS externo: Resuelve…
    47. 47. EC2 DNS hostnames de EC2 trabajan desde cualquier parte: Fuera de su VPC C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Server: globaldnsanycast.amazon.com Address: 10.4.4.10 Non-authoritative answer: Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Address: 52.18.10.57 Fuera de su VPC: Dirección IP Pública
    48. 48. EC2 DNS hostnames de EC2 trabajan desde cualquier parte: Dentro de su VPC [ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A ;; ANSWER SECTION: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 22:32:56 2015 ;; MSG SIZE rcvd: 81 Dentro de su VPC: Dirección IP Privada
    49. 49. Amazon Route 53 zonas privadas • La resolución de DNS para un dominio y subdominios • Los registros DNS sólo tienen efecto dentro de las VPC asociadas • Puede utilizarlo para anular registros DNS "externos"
    50. 50. Creando una zona privada en Route 53 Zona Privada Asociado con uno o más VPCs
    51. 51. Creando un registro DNS en Amazon Route 53 Private Hosted Zone example.demohostedzone.org  172.31.0.99
    52. 52. Consulta de registros en zonas privadas https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/ [ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;example.demohostedzone.org. IN A ;; ANSWER SECTION: example.demohostedzone.org. 60 IN A 172.31.0.99 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 00:13:33 2015 ;; MSG SIZE rcvd: 60
    53. 53. Y mucho más
    54. 54. VPC Flow Logs: Vea todo el tráfico • La visibilidad de los efectos de las reglas de Security Group • Solución de problemas de conectividad de red • Capacidad para analizar el tráfico
    55. 55. Amazon VPC endpoints: Amazon S3 sin un Internet gateway
    56. 56. ClassicLink: Conectar instancias de EC2- Classic a su VPC • Conectividad a través de la dirección IP privada de instancias vinculadas entre EC2-Classic y VPC • Instancias EC2-Classic pueden ingresar en Security Groups de la VPC
    57. 57. Maneje su red “like a boss…” …si eres o no un experto en redes 172.31.0.128 172.31.0.129 172.31.1.24 172.31.1.27 54.4.5.6 54.2.3.4
    58. 58. Level 3
    59. 59. Acerca de Level 3
    60. 60. Level 3 LATAM
    61. 61. Level 3 Argentina
    62. 62. Sin una estrategia de red, no hay una estrategia de Nube
    63. 63. Red Pública vs Red Privada https://www.youtube.com/watch?v=mUCTwhjQNOI
    64. 64. Level 3 Cloud Connect US East (Virginia) US West (N. California) US West (Oregon) EU West Ireland Sao Paulo Singapore Tokio Sydney
    65. 65. Level 3 Cloud Connect Cloud Connect IPVPN • Conectividad Full Mesh • Flexibilidad para crecimiento • Instalación simple y competitiva para cliente existente • Valor agregado a IPVPN • Permite ofrecer más servicios a clientes nuevos • Aplicaciones en la nube Cloud Connect EVPL • Conectividad P2P • Configuración de cliente simple • Conexión de un DC a la nube (nube híbrida) NNI NNI
    66. 66. Opciones de Conectividad Internet IPVPN EVPL/VPLS PL/EPL DWDM Red pública compuesta por diferentes proveedores. Transporte best effort (jitter, packet loss) Requiere encriptado para mejorar seguridad. VPN capa 3 sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. Topología full mesh. 6 clases de servicio. Ethernet sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. El cliente debe administrar direcciones IP. Punto a punto transparente. Transporte TDM, no conmutación de paquetes. Para usos específicos Anchos de banda > 1Gbps. Servicio no protegido. Longitud de onda de uso exclusivo.
    67. 67. Performance = Productividad
    68. 68. Gracias!

    ×