Este documento presenta información sobre Amazon Virtual Private Cloud (VPC) y opciones de conectividad. Explica los componentes fundamentales de VPC como subredes, tablas de ruteo, puertas de enlace virtuales y grupos de seguridad. También describe opciones de conectividad como conexiones VPN, Direct Connect de AWS y Cloud Connect de Level 3, que ofrece conectividad privada a los servicios de AWS a través de la red de Level 3.

1. SAN FRANCISCO
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
LIMA

2. ©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
Virtual Private Cloud y opciones de
conectividad
Ivan Salazar – Arquitecto de Soluciones, AWS
@ivansalazarc
Luis Ladera – Director Data & Internet Products, Level 3 y
Presidente NAP Perú

3. Agenda
• ¿Qué es Amazon Virtual Private Cloud (VPC)?
• Casos de uso de alto nivel
• Los fundamentos de VPC
• Opciones de conectividad
• Cloud Connect (Level 3)

4. ¿Qué es Amazon VPC?

5. ¿Qué es Amazon VPC?
• Una sección aislada y privada de la nube de
AWS
• Una topología virtual de red que usted puede
desplegar y personalizar
• Control total de su red

6. En pocas palabras, es un centro de
datos virtual que puede construir y
controlar en AWS!

7. ¿Cuáles son algunos de los
casos de uso comúnes para
VPC?

8. Aplicaciones web públicas
Object Storage
CDN
User
Web
DNS
http://www.example.com
Internet Gateway

9. Aplicaciones Privadas
Usuario
interno
VPN Gateway
Router / Firewall
Centro de datos
corporativo
http://internal-app
Web
VPN por
Internet

10. Un centro de datos virtual en AWS
Directorios activos
Configuración de redes
Cifrado
Dispositivos de respaldo
Sus aplicaciones locales
Usuarios y reglas de acceso
Su red privada
Un dispositivo HSM
Respaldos en la nube
Sus aplicaciones en la nube
AWS Direct Connect
Centro de datos

11. Web
Server
Application
Server
DB
Server
Data Volume
EC2 Web
Server
EC2
Application
Server
EC2 DB
Server
Amazon Elastic Block
Store (EBS) Data Volume
Data Mirroring /
Replicación
Las instancias
Amazon Elastic
Compute Cloud
(EC2) están
detenidas. Se
puede reiniciar si la
aplicación primaria
falla
Instancia EC2
más pequeña,
pero pude
detenerse y re-
lanzarse como
una más grande
Amazon Route 53
User
Centro de datos
Modificar el DNS en
un evento
Recuperación de desastres

12. Los fundamentos de VPC

13. Los componentes de VPC
Route table Elastic network
interface
Amazon VPC Router
Internet
gateway
Customer
gateway
Virtual
private
gateway
VPN
connection
Subnet
Elastic IP

14. • VPC = Virtual Private Cloud
• Su centro de datos virtual en
AWS
• Bloques de Ips que definen su
red (norma RFC 1918)
• Pueden abarcar múltiples AZs
• Default VPCs
VPC
Availability Zone A Availability Zone B
VPC CIDR: 10.1.0.0 /16

15. • Rango de IPs dentro del
rango de IPs de la VPC
• Vive dentro de una AZ
• Puede proveer seguridad a
nivel de subred con ACLs
• Puede rutear a nivel de
subred
• Subredes públicas dentro
Default VPC
Subred de VPC
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16

16. • IGW = Internet gateway
• Permite a sus instancias
conectarse a Internet
• La Default VPC incluye un
IGW
Internet gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
AWS Public
API Endpoints

17. • VGW = virtual private gateway
• La VPG representa el punto de
acceso de la VPN para terminar
conexiónes de su centro de
datos
• Es también el punto de acceso
de Direct Connect
Virtual private gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal
User
VPN Gateway
Customer Gateway
Centro de datos
VPN over
the Internet

18. • CGW = customer gateway
• Un dispositivo físico o de
software de su lado de la
conexión
• Normalmente un ruteador o
firewall
Customer gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Usuario
interno
VPN Gateway
Customer Gateway
Centro de datos
VPN over
the Internet

19. • Por defecto cada subred
puede comunicarse con
cualquier otra subred
• Esto es posible gracias a
un ruteador virtual que se
encuentra en una topología
de estrella entre las
subredes
• Para obtener este ruteador,
el servicio DHCP de VPC
entrega un default gateway
en .1 a cada instancia
generada en la subred (en
una subred /24)
Virtual router
Public Subnet
Availability Zone A
Private Subnet
Public Subnet
Availability Zone B
Private Subnet
Instance A
10.1.1.11 /24
Instance C
10.1.3.33 /24
Instance B
10.1.2.22 /24
Instance D
10.1.4.44 /24
VPC CIDR: 10.1.0.0 /16
.1
.1 .1
.1

20. • Contiene una serie de reglas,
llamadas rutas, que se usan
para determinar hacia dónde
se direcciona el tráfico de red
• Las Subredes tienen una tabla
de ruteo
• Controla el ruteo de una subred
al IGW y al VGW
• Una tabla de ruteo puede
pertenecer a varias subredes
Route table
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
AWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw

21. • Una conexión VPN se refiere
a la conexión entre su VPC y
su red del centro de datos
• Consiste en un par de túneles
IPSEC entre su VGW y CGW
Conexión VPN
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal User
VPN Gateway
Customer Gateway
Centro de datos
VPN over
the Internet

22. • EIP = elastic IP
• IP elástica asociada a
su cuenta.
• Permanece en su
cuenta mientras no la
libere
• Se puede mover entre
instancias EC2 en una
región
Elastic IP
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
AWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
EIP EIP

23. • ENI = elastic network interface
• Una ENI es una interfaz de red
virtual que se puede acoplar a una
instancia EC2
• Dentro de una VPC, cada
instancia tiene una interfaz por
defecto eth0
• Consiste de la MAC address, IP
privada, y IP pública
• Una ENI que no es la ENI por
defecto de una instancia (eth0) se
puede mover a otra instancia EC2
en la misma subred
Elastic network interface
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
AWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
ENI
(eth0)
ENI
(eth0)

24. • NACL = network access
control list
• Una capa opcional de
seguridad que actúa como un
firewall en una subred
• Una lista de reglas numerada
que se evalúan en orden
• No tienen estado y tienen
reglas de entrada/salida
separadas
Network access control list
Availability Zone A Availability Zone B
VPC CIDR: 10.1.0.0 /16
VPC Subnet with ACL VPC Subnet with ACL
VPC Subnet with ACL

25. • Un grupo de seguridad actúa
como un firewall virtual para
su instancia EC2
• Una instancia EC2 puede
tener hasta 5 grupos de
seguridad
• Los grupos de seguridad
operan a nivel de la instancia
no de la subred
• Los grupo de seguridad
mantienen el estado
Grupo de seguridad
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
VPC CIDR: 10.1.0.0 /16
Subnet: 10.1.10.0/24
Security Group

26. Controles de
seguridad de
VPC
Route
Table
Route
Table
Internet
Gateway
Virtual Private
Gateway
Virtual Router
VPC 10.1.0.0/16

27. Vista de VPC
VPC Public Subnet
VPC Private Subnet
NAT Instance
Public: 54.200.129.18
Private: 10.1.1.11 /24
Web Server
Public: 54.200.129.29
Private: 10.1.1.12 /24
Database Server
Private: 10.1.10.3 /24
Database Server
Private: 10.1.10.4 /24
Database Server
Private: 10.1.10.5 /24
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
AWS Public
API Endpoints
VPC 10.1.0.0/16
VPN or Direct Connect
Route Table
Destination Target
10.1.0.0/16 local
172.16.0.0/8 vgw
0.0.0.0/0 NAT
IGW VGW
CGW

28. Opciones de conectividad

29. Conexión VPN sencilla
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Customer Gateway
Centro de datos
VPN
Router
Virtual Private Gateway

30. Múltiples conexiones VPN
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Customer Gateway
Centro de datos
New York
VPN
Router
Virtual Private Gateway
Customer Gateway
Centro de datos
Chicago
VPN
Customer Gateway
Centro de datos
Los Angeles
VPN

31. Túneles redundantes para su conexión VPN
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
IPSEC
VPN
Virtual Private Gateway
Router
72.21.209.193
Router
72.21.209.225
Tunnel 1 Tunnel 2
Customer Gateway
xxx.xxx.xxx.xxx
Customer Network
IPSEC
VPN

32. Customer gateways redundantes
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Tunnel 1
Virtual Private Gateway
Router
72.21.209.193
Router
72.21.209.225
Customer Gateway
xxx.xxx.xxx.xxx
Customer Network
Customer Gateway
xxx.xxx.xxx.yyy
Tunnel 2Tunnel 2
Tunnel 1

33. Direct Connect
• Alternativa a usar Internet para acceder a los servicios
de nube de AWS
• Una conexión de red privada entre AWS y su centro de
datos
• Puede reducir costos, incrementar el ancho de banda,
y proveer una experiencia de red más consistente que
las conexiones basadas en Internet

34. Opciones de Direct Connect
• Dedicada o hospedada
• Tipos de Conexión
– Punto a punto (DWDM, private line, Ethernet virtual private line)
– Full mesh (IPVPN / MPLS or VPLS)
Direct Connect
Location
Customer
Data Center
Customer
Office
Customer
Office
Customer
Office
Customer
Data Center

35. ©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
Level 3
Cloud Connect

36. Level 3 Cloud Connect
• Introducción
• Opciones de Conectividad
• Conclusión

37. Company Overview

38. Footprint
http://maps.level3.com/default/
AWS Connected Sites by Level 3
AWS Connection in Progress by Level 3

39. Footprint
http://maps.level3.com/default/

40. Cloud Connect
Conectividad a los servicios de AWS a través de la red de Level 3.

41. Opciones de Conectividad

42. Parámetros de Performance
Latencia
Jitter
Packet Loss
Disponibilidad
Seguridad

43. Opciones de Conectividad
https://www.youtube.com/watch?v=mUCTwhjQNOI

44. DWDM
Anchos
de
banda
desde
1
G
Servicios
no
Protegidos
Servicio
Transparente
Economías
de
Escala
Interconexión
de
DC
Interfaces:
• 1 GigE, 2.5 G, 10 G, 40 G, 100 G
• FICON (1G, 2G, 4G, 8G)
• ESCON (1GbE & 10GbE)
• Fiber Channel (FC 1G, FC 2G, FC
4G, FC 8G and FC 10G)

45. Servicios Ethernet
• EVPL
(Ethernet P2P /MPLS)
• EPL
(Ethernet/SDH)
• VPLS
(Ethernet MP2MP/MPLS)
Ethernet E2E
Anillo SDH
Servicios
@po
LAN2LAN
Requiere
administrar
direcciones
IP.
SLA
para
jiIer,
latencia,
packet
drop.
6
Clases
de
Servicio
VPN
en
capa
2
sobre
MPLS
Cer@ficación
MEF
Servicio
Transparente
Asignación
está@ca
de
BW
Backbone
TDM

46. MPLS IPVPN
AWS Cloud
Red
VPN
capa
3
Topología
Full
Mesh
6
Clases
de
Servicio
Ancho
de
banda
flexible
Facilidad
para
agregar
si@os
Solución
Full
Managed

47. Conclusión
Internet IPVPN EVPL/VPLS EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte best
effort (jitter,
packet loss)
Requiere
encriptado para
mejorar
seguridad.
VPN capa 3
sobre MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
Topología full
mesh.
6 clases de
servicio.
Ethernet sobre
MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
El cliente debe
administrar
direcciones IP.
Punto a punto
Ethernet sobre
SDH.
Transporte
TDM, no
conmutación
de paquetes.
Para usos
específicos
Anchos de
banda >
1Gbps.
Servicio no
protegido.
Longitud de
onda de uso
exclusivo.

48. SAN FRANCISCO
GRACIAS!