Você gostaria de integrar o seu data center com a AWS ? Junte-se nessa sessão para entender mais sobre como prover conectividade utilizando uma infra-estrutura híbrida compartilhada/dedicada entre ambientes cobrindo aspectos relacionados a formas de implementação de serviços como AWS Direct Connect.
12. Amazon VPC
Availability Zone
Virtual Private Cloud
AWS Cloud
Subnet Pública
Internet
Virtual Private Cloud
Availability Zone
Subnet Privada
Availability Zone
VPN Subnet
Servidores de
Aplicação
Servidor Web Servidor Web
NAT
Corporate
Network
R
Banco de Dados
23. Internet Protocol Security (IPsec) é um conjunto de protocolos para a
segurança na comunicação no tráfego IP por meio da autenticação e
encriptação de cada pacote IP por meio de uma sessão de comunicação.
IPsec incluí protocolos para o estabelecimento de autenticação mútua entre
agentes no inicio da sessão e na negociação de chaves criptográficas para
serem usadas durante a sessão.
http://en.wikipedia.org/wiki/IPsec
VPN Connection – IPsec
24. AWS VPN
• Rotas estáticas ou dinâmicas (BGP)
• Conexões iniciadas pelo Customer Gateway
• IPSec Security Associations em modo de túnel
• IKE SA (Security Association) usando Pre-Shared Key
• AES 128-bit encryption, SHA-1 hashing function
• Diffie-Hellman Perfect Forward Secrecy – Grupo 2
• Necessário suporte a fragmentação de pacotes IP no
lado do gateway do cliente
25. VPN Estática
CORP
• 1 unico Security Association (SA) pair por tunel
• 1 inbound e 1 outbound
• 2 pares únicos para 2 tuneis – 4 SA’s
10.0.0.0 /16
10.0.0.0 /16
192.168.0.0 /16
192.168.0.0 /16
10.0.0.0 /16
26. BGP
• TCP na porta 179
• BGP Neighbors exchange routing information - prefixos
• Uso de Autonomous System Numbers
• iBGP – entre pares na mesma AS
• eBGP – entre pares entre diferentes AS
• AS_PATH – avalia a ”distância” entre redes
• Local Preference – pesos para prefixos idênticos
27. VPN Dinâmico
CORP
Tunnel 1
IP 169.254.169.1 /30
BGP AS 7224
Route Table
Destination Target
10.0.0.0/16 Local
172.16.0.0/16 VGW
Tunnel 2
IP 169.254.169.5 /30
BGP AS 7224
10.0.0.0 /16
Tunnel 1
IP 169.254.169.2 /30
BGP AS 65001
Tunnel 2
IP 169.254.169.6 /30
BGP AS 65001
172.16.0.0 /16
31. Reuso do Customer Gateway IP
• Atualizado para solução de VPN AWS
• Em implantação em todas as regiões
• Permite que o uso do mesmo IP de Customer Gateway
(CGW)
• Cria um novo VGW e VPN atachado a VPC
Obs: Apenas um VGW pode ser anexado a VPC por vez.
32. Como criar a Conexão VPN
1. Criar o VGW
2.
3.
4.
5.
6.
33. Como criar a Conexão VPN
1. Criar o VGW
2. Anexá-lo na VPC
3.
4.
5.
6.
34. Como criar a Conexão VPN
1. Criar o VGW
2. Anexá-lo na VPC
3. Criar o CGW
4.
5.
6.
35. Como criar a Conexão VPN
1. Criar o VGW
2. Anexá-lo na VPC
3. Criar o CGW
4. Criar a VPN
5.
6.
36. Como criar a Conexão VPN
1. Criar o VGW
2. Anexá-lo na VPC
3. Criar o CGW
4. Criar a VPN
5. Atualizar tabela de rotas
6.
37. Como criar a Conexão VPN
1. Criar o VGW
2. Anexá-lo na VPC
3. Criar o CGW
4. Criar a VPN
5. Atualizar tabela de rotas
6. Configurar o CGW
42. Conexão dedicada e privada na AWS
Cobrança reduzida de data-out (data-in continua gratuito)
Performance consistente
Ao menos 1 local por região
Opção para conexões redundantes
Múltiplas contas AWS podem compartilhar a conexão
AWS Direct Connect
44. AWS Direct Connect - Locais
AWS Region AWS Direct Connect (Locais)
Asia Pacific (Singapore) Equinix SG2
Asia Pacific (Sydney) Equinix SY3
Asia Pacific (Sydney) Global Switch
Asia Pacific (Tokyo) Equinix OS1
Asia Pacific (Tokyo) Equinix TY2
China (Beijing) Sinnet JiuXianqiao IDC
China (Beijing) CIDS Jiachuang IDC
EU (Frankfurt) Equinix FR5
EU (Frankfurt) Interxion Frankfurt
EU (Ireland) Eircom Clonshaugh
EU (Ireland) TelecityGroup, London Docklands'
South America (São Paulo) Terremark NAP do Brasil – Barueri – São Paulo
South America (São Paulo) Tivit – Site Transamerica – Sao Paulo
US East (Virginia) CoreSite NY1 & NY2
US East (Virginia) Equinix DC1 - DC6 & DC10
US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA
US West (Northern California) Equinix SV1 & SV5
US West (Oregon) Equinix SE2 & SE3
US West (Oregon) Switch SUPERNAP, Las Vegas
48. Public e Private Virtual Interfaces
• 802.1Q VLAN
• eBGP Session
• Private Virtual Interface – Acesso pela VPC
Obs: Não suporta VPC Endpoints ou conexão transitiva com VPC Peering
• Public Virtual Interface – Acesso a serviços fora da VPC
50. Porta dedicada do AWS Direct Connect via Parceiro
CORP
AWS Direct
Connect
Routers
Colocation
DX Location
Partner Network
AWS Backbone
Network
Cross
Connect
Customer
Router
Partner
Network
Access
Circuit
Demarcação
Partner
Equipment
51. AWS Direct Connect com MPLS
CORP
AWS Direct
Connect
Routers
Partner
PE Router
Colocation
DX Location
MPLS Core
`
AWS Backbone
Network
Cross
Connect
Provider
Edge
Partner MPLS
Core
Access
Circuit to CE
Demarcação
`
`
CE Router
CE Router
52. Duplo DX – Único Local
CORP
AWS Direct
Connect
Routers
Customer
Routers
Colocation
DX Location
`
Service Provider
Network
`
53. Único DX – Mais de um Local
CORP
Customer
Routers
Colocation
DX Location 1
`
Customer
Routers
Colocation
DX Location 2
`
Service Provider
Network
AWS Direct
Connect Routers
AWS Direct
Connect Routers
54. Duplo VIF – Ativo/Ativo
IP 169.254.254.9 /30
IP 169.254.254.13 /30
60. Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
61. Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a Conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
62. Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
63. Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
64. Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
65. Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
66. O que vimos …
Cenários de TI Híbrida
Conectividade via VPN – Estático & Dinâmico
Conectividade via AWS Direct Connect – Pública & Privada
Uso dos serviços de forma prática