Arquiteturas híbridas - onde parte de um aplicativo roda em um data center, e outras partes rodam em um ou mais serviços de nuvens, públicas e privadas - oferecem o melhor de vários mundos: integração, segurança, alta disponibilidade, recuperação de desastres, otimização de custos. Nesta apresentação exploramos as alternativas, mostrando como a Abril, maior editora do Brasil, vem fazendo sua integração à nuvem AWS de forma consistente e exitosa.
3. Nossa jornada
Amazon VPCVPN
Backup & archive Expansão de
storage
Workloads comuns em
infraestrutura híbrida
Definição de infra-
estrutura híbrida
Conectividade
Integrado
AWS Direct
Connect
Autenticação
Integração
Enterprise
Federação
Operação
monitoramento
Início
4. “Consumo de Serviços
Cloud e On-Premises em
um pool de recursos
agregados.”
Benefícios:
• Eficiência de Custo
• Escalabilidade
• Flexibilidade
• Segurança
O que queremos dizer por “integração híbrida”?
On-Premises
Infrastructure
Serviços
Plataforma
Soluções
Serviços de
Cloud
Infraestrutura
6. AWS Virtual Private
Network (IPSec VPN)
o IPSec hardware VPN connection
Supported VPN appliances:
https://aws.amazon.com/vpc/faqs/#C9
o Criptografia e Validação
o Endereçamento Privado RFC 1918
o Usa Border Gateway Protocol
(BGP) para roteamento e fail-over
o VPN Service provê end-points
redundantes gerenciados
http://docs.aws.amazon.com/AmazonVPC/latest/U
serGuide/VPC_VPN.html
Virtual
Gateway
Corporate
data center
Users
Data center router
Servers
Internet
IPSec VPN
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
7. Customer
router
AWS Direct Connect
Location
AWS Direct Connect
routers
AWS Direct Connect
o Requer Layer 2 single mode fiber
1000BASE-LX ou 10GBASE-LR
o Requer 802.1Q VLANs na conexão.
Tagging do tráfego IP
o Roteamento usa BGP A/A or A/P
multipath.
o Cada DX é mapeado para uma
região AWS
http://aws.amazon.com/directconnect/
Corporate
data center
Users
Data center router
Servers
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
Virtual
Gateway
8. Customer
router
AWS Direct Connect
Location
AWS Direct Connect
routers
AWS Direct Connect
+ AWS VPN
o Link de rede dedicado com garantia
de banda.
o Mais seguro que VPN IPSec pela
Internet – não trafega pela Internet
o Reduz o custo de transferência de
dados no IPSec pela internet
o Adiciona uma camada de segurança
de rede
http://aws.amazon.com/directconnect/
Virtual
Gateway
Corporate
data center
Users
Data center router
Servers
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
IPSec VPN
10. Customer
router
AWS Direct Connect
Location
AWS Direct Connect
routers
Active Directory e LDAP
o Redução de tráfego para on-
premises
o Redução de Latência para
Autenticação
o Resiliência Adicional
o Duas opções:
Multi-Master Read/Write Domain
Controllers
Read-only Domain Controllers
(RODCs)
Requer IPSec VPN ou Direct
Connect
http://aws.amazon.com/microsoft/whitepapers/ad-
reference-architecture/
Virtual
Gateway
Corporate
data center
Users
Data center router
Servers
VPC Subnet
Availability Zone
Security Groups
VPC Subnet
Availability Zone
Security Groups
Type Port Number
TCP
54, 88, 135, 137, 139, 389, 445, 464, 636, 3268,
3269, 5722, 49152-65535
UDP
53,67,123, 138, 389, 445, 464, 2535, 5355, 49152-
65535
AD.Domain
Domain
controller
Domain
controller
Domain
controller
Active Directory
Replication
11. Customer
router
AWS Direct Connect
Location
AWS Direct Connect
routers
AWS Directory
Service
o Roda em 2 modos
Directory Service Connect
Simple AD – criado sobre o Samba 4
Active Directory compatible server
o Simplifica Federação IAM
Evita complexidade e custo para
hospedar uma federação baseada em
SAML.
Atua como proxy – nenhum dada é
armazenado na infraestrutura da AWS
Suporte MFA existente baseado em
RADIUS
Requer IPSec VPN ou conectividade
Direct Connect
http://aws.amazon.com/directoryservice/
Virtual
Gateway
Corporate
data center
Users
Data center router
Servers
VPC Subnet
Availability Zone
Security Groups
VPC Subnet
Availability Zone
Security Groups
AD.Domain
Domain
controller
AD Connector
AD Connector
AD Connector
12. AWS federação e governança de conta
Financial users,
controllers SOC/AuditorsGlobal AWS admin
Conta de
Pagamento
Software development
Conta não
produtiva #1
Conta de
Produção #1
Conta para
gerenciamento de
usuários
Conta de
Segurança/Auditor
ia
Conta não
produtiva #2
Donos de Apps
Time DevOps
Segurança/AuditoriaProduçãoDev/test/sandboxFinanceiro
Consolidated Billing,
Billing Alerts
Acesso somente
leitura para todas
as contas
13. Customer
router
AWS Direct Connect
Location
AWS Direct Connect
routers
Operações e
Monitoramento
o Pontos de Segurança e
Monitoramento integrados ao
CloudTrail e ao agregador SIEM.
o Logs com CloudTrail e SNMP MIBs
para o Agregador SIEM.
o Saúde da Platforma e App
enviados para o Agregador SIEM
via agente na instância EC2
o Acesso para Patching e
Atualizações para AMI por um
Updated Server on-premises.
Virtual
Gateway
Corporate
data center
Users
Data center router
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
Update
Servers
SIEM
Aggregator
CloudTrail
CloudWatch
CloudTrail S3
Bucket
15. Customer
router
AWS Direct Connect
Location
AWS Direct Connect
routers
Storage expansion
o Volumes virtuais apresentados como
uma interface local de rede iSCSI, NFS
e CIFS.
o Cache de disco local para prover
acesso rápido on-premises.
o Criptografia do lado do Gateway para
segurança
Virtual
Gateway
Corporate
data center
Users
Data center router
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
Amazon S3
AWS Storage
Gateway
iSCSI
Storage
Appliance
AWS Storage
Gateway
iSCSI
Servers
AWS Storage
Gateway
Cloud ONTAP Secure Cloud-
Integrated Backup
Panzura Global NAS
TwinStrata CloudArray
AWS Marketplace Partners
16. Customer
router
AWS Direct Connect
Location
AWS Direct Connect
routers
Backup and
archiving
o Backup gateways se integram ao
Amazon S3
o Utilizam arquivamento do Amazon
S3 para Amazon Glacier
o Tira vantagem do uso de
investimentos e soluções já
existentes para opções como:
o De-duplicação
o Compressão
o Aceleração WAN
Virtual
Gateway
Corporate
data center
Users
Data center router
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
Amazon S3
Amazon Glacier
AWS Storage
Gateway
iSCSI
Backup
System
AWS Storage
Gateway
iSCSI
Servers
AWS Storage
Gateway
Symantec Net Backup
Veeam Backup & Replication
Cloud ONTAP Secure Cloud-
Integrated Backup
AWS Marketplace Partners
18. Desafios para adoção
• Planejamento de segurança na segmentação
do ambiente
• Conectividade com o ambiente on premise
• Adequação de receitas do puppet
19. Arquitetura Híbrida
• On Premise
– Ferramentas de integração contínua,
Autenticação, Storage
• Serviços AWS
– Servidores de desenvolvimento
hardenizados e orquestrados via puppet
– Gestão de acesso de usuários
– Armazenamento de logs de segurança
– DNS para desenvolvimento
– Mysql, MongoDB
– Redis e Memcached
– Métricas de Ambiente
– Auditoria de Segurança
Virtual
Gateway
On Premise
Data center router
• Puppet Master
• Koji
• SpaceWalk
• LDAP
• NFS
Internet
IPSec VPN
EC2 + Puppet
RDS ElastiCache
S3 GlacierIAM
Route 53
Cloud TrailCloudWatch
20. Próximos passos
• Federação com Active Directory corporativo
• ‘Containerização’ de aplicações
• Ampliar o uso da plataforma
21. Exemplo do Roadmap de Adoção de Nuvem
Discovery
Workshop
Cloud
Business
Case
Define
Security
Requirements
Define
Network
Environment
Organizational
Structure
Operational
Integration
Security
Operations
Playbook
Cloud
Environment
Optimization
Application
Portfolio
Analysis
Cost and
Billing
Analysis
Skills and
Competencies
Define Cloud
Environments
Define EA
Policies and
Practices
Continuous
Integration &
Delivery
22. Perspectiva da Plataforma
Ajuda arquitetos e times de
tecnologia entenderem o
relacionamento e abstrações usadas
para modelar recursos de nuvem que
são comuns em grandes empresas.
Perspectiva de componentes da
plataforma descrevem a organização
fundamental de sistemas híbridos de
TI em múltiplos ambientes, que
contemplam seus componentes, o
relacionamentos entre eles e seu
design e evolução.
The Cloud Adoption Framework
whitepaper: http://bit.ly/AWSCAF
23. AWS Marketplace
software
• Launch software on
AWS with 1-click
• Pay-by-the-hour,
monthly, or annual
• Single invoice for AWS
usage & software
• Quick deployment without friction
• Cost reduction by using BYOL functionality in Marketplace
• Used extensively by large enterprises
24. Takeaways
• Conectividade é um fator de sucesso chave para integração
híbrida entre a nuvem e o seu datacenter corporativo
• Autenticação e Autorização é uma pedra fundamental na
Integração Enterprise
• Infraestrutura híbrida permite a implementação de uma
variedade de implementações híbridas.
• Migração de Aplicações é somente um pedaço da adoção de
nuvem em larga escala.
– The Cloud Adoption Framework whitepaper: http://bit.ly/AWSCAF