Fundamentals of AWS networking - SVC302 - Mexico City AWS Summit

© 2019, Amazon Web Services, Inc. or its affiliates.All rights reserved.S U M M I T
Amazon VPC: Fundamentos, actualizaciones y cómo
usted también puede construir sus arquitecturas de
red en AWS
Eduardo Andrés Patiño Balaguera
Solutions Architect
Amazon Web Services

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates.All rights reserved.
Introductorio – Nivel 200
Esta sesión proveeráunaintroducciónsobre servicios de red de AWS y
características, asumimosque es un nuevotópico para la audiencia. Esta
sesión resaltara casos de uso,características, funciones,beneficiosy
lanzamientosrecientes entornoa servicios de red de AWS.

© 2019, Amazon Web Services, Inc. or its affiliates.All rights reserved.S U M M I TS U M M I T
?

Miremos
más de cerca
AWS Region
Availability Zone 2Availability Zone 1
Private subnet Private subnet
Public subnet Public subnet
VPC CIDR 10.1.0.0/16 + Expand + IPv6
Amazon VPC
Amazon EC2 InstanceB
10.1.1.11/24
InstanceA
10.1.0.11/24
InstanceC
10.1.2.11/24
InstanceD
10.1.3.11/24
Internet
Amazon S3 Amazon
DynamoDB
AWS Lambda Amazon SQS Amazon SNS
AWS IoT
Core

Espera, espera, espera…
más despacio

Direccionamiento IP Creación de
subredes
Enrutamiento en
una VPC
Seguridad
Conceptos y fundamentos de VPC
DNS en VPC con
Amazon Route
53

Elegir un rango de
direcciones IP

Elegir un rango de direcciones IP para su VPC
172.31.0.0/16
Recomendado: RFC1918
range
Recomendado:
/16
(65,536 direcciones IP)
Evite los rangos que se superponen
con otras redes a las que podría
conectarse

Creando subredes en una
VPC

Subredes y zonas de disponibilidad
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
eu-west-1a eu-west-1b eu-west-1c

IPv6 en su VPC
• Puede tener una VPC de doble stack agregando un CIDR Ipv6
• Tamaños fijos para VPC y subredes:
• /56 VPC (4,722,366,482,869,645,213,696 addresses)
• /64 subredes (18,446,744,073,709,551,616 addresses)

Subredes y zonas de disponibilidad
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
eu-west-1a eu-west-1b eu-west-1c
2600:1f16:14d:6300::/56
2600:1f16:14d:6300::/64 2600:1f16:14d:6301::/64 2600:1f16:14d:6302::/64
+ Expansion

Enrutamiento en una VPC

Enrutamiento en su VPC
• Las tablas de enrutamiento contienen reglas hacia donde van los paquetes
• Su VPC tiene una tabla de enrutamiento predeterminada
• Pero…puedes crear y asignar diferentes tablas de enrutamiento a diferentes
subredes

El tráfico destinado a mi VPC
permanece en mi VPC

DNS en una VPC

VPC opciones DNS
Utilice el servidor DNS de
Amazon
Hacer que Amazon EC2 asigne
automáticamente nombres de
host DNS a instancias

Amazon Route 53 zonas privadas alojadas
Private Hosted Zone
example.demohostedzone.org →
172.31.0.99

Amazon Route 53 Resolver para nubes híbridas
Route 53 Resolver
endpoints
Reglas de conditional
forwarding

Flow logsListas de control
de acceso de red
(NACLs)
Grupos de seguridad
Seguridad en la red

“MyWebServers” security group
“MyBackends” security group
Permitir solo “MyWebServers”
Los grupos de seguridad siguen la estructura de
la aplicación
Web Web Web Web
App App App
Internet
gateway

Ejemplo de grupos de seguridad: Servidores web
Permitir tráfico HTTP desde
cualquier lugar

Ejemplo de grupos de seguridad: Backends
Ejemplo de grupos de
seguridad: Backends

Grupos de seguridad vs NACLs
Security group Network ACL
Opera a nivel de instancia Opera a nivel de subred
Solo admite reglas de acceso Admite reglas de acceso y denegación
Tiene estado: el tráfico de retorno se permite
automáticamente independientemente de las reglas
No tiene estado: el tráfico de retorno debe estar
explícitamente permitido por las reglas
Todas las reglas evaluadas antes de decidir si permite
el tráfico
Reglas evaluadas en orden para decidir si se debe
permitir el tráfico
Se aplica solo a instancias asociadas explícitamente
con el grupo de seguridad
Se aplica automáticamente a todas las instancias
iniciadas en subredes asociadas
No filtra el tráfico hacia o desde direcciones locales de enlace (169.254.0.0/16) o direcciones IPv4 reservadas
por AWS; estas son las primeras cuatro direcciones IPv4 de la subred (incluido el servidor DNS de Amazon VPC)

VPC Flow Logs
AZ 2AZ 1
• Visibilidad
• Solución de
problemas
• Analizar tráfico
Amazon S3 Amazon CloudWatch Logs
VPC Flow Logs

VPC Flow Logs: Configuración
Metadatos de tráfico de
VPC guardados en
Amazon S3
o Amazon CloudWatch Logs

VPC Flow Logs: Formato

Conectarse a
internet,
Conectanda a otras
VPC
Conexión a su red local
Opciones de conectividad para VPC
o no

Conectarse a internet o no

NAT
InstanceB
10.1.1.11/24
Instance BNAT-GW
NAT-GW
0.0.0.0/0
AWS Region
Private subnet
Internet
Private subnet
Public subnet
InstanceA
Public subnet
Amazon S3
VPC CIDR 10.1.0.0/16
10.1.0.11/24
InstanceC
10.1.2.11/24
InstanceD
10.1.3.11/24
+ Expand + IPv6
Internet gateway
10.1.0.0/16 Local
0.0.0.0/0
Internet
gateway
Destination Target
10.1.0.0/16 Local
Destination Target
EIP - 10.1.0.11 : 54.23.12.43
EIP - 10.1.1.11 : 54.19.12.23
Miremos más de cerca
Amazon
DynamoDB
AWS Lambda Amazon SQS Amazon SNS
AWS IOT

Conectando a otras VPCs
VPC peering AWS Transit
Gateway

VPC peering
• Conectividad IP privada completa
entre dos VPC
• Puede enlazar VPCs entre regiones
• Pueden ser VPCs en diferentes cuentas
• Los rangos CIDR de la VPC no deben
superponerse
10.0.0.0/16
10.2.0.0/16
10.1.0.0/16
10.3.0.0/16

Establecer VPC peering: Iniciar solicitud
Paso 1
Iniciar solicitud de
emparejamiento
172.31.0.0/16 10.55.0.0/16

Establecer VPC peering: Aceptar petición
Paso 1
Iniciar solicitud de
emparejamiento
Paso 2
Aceptar solicitud
de intercambio
172.31.0.0/16 10.55.0.0/16

Establecer VPC peering: Crear rutas
Paso 1
Initiate peering
request
Step 2
Aceptar solicitud
de intercambio
Paso 3, 4
172.31.0.0/16 10.55.0.0/16
El tráfico destinado a la VPC emparejada
debe ir al emparejamiento, repetir para otras
VPC

VPC peering AWS Transit
Gateway
y más allá…
Conectando otras VPCs

VPN connectionCustomer
gateway
Amazon VPC Amazon VPC
AWS Direct Connect
Gateway
VPC peering
VPC peering VPC peering
Amazon VPC Amazon VPCVPC peering
VPN
connection
VPN connection
VPC peering
Antes de AWS Transit Gateway

1
3
2 4
B Local
A
C PCX-2
D PCX-3
E PCX-4
Destination Target
A B
C
D E
PCX-1

Full mesh: ¿Cuántas conexiones de emparejamiento de
Amazon VPC necesito (full mesh)?
n(n-1)
2
VPC x 10

10(10-1)
2
VPC x 10

VPC x 10
45

100(100-1)
2
VPC x 100

VPC x 100
4,500

Rutas estáticas por tabla de
enrutamiento de Amazon VPC
1,000*
Amazon VPC peering
conexiones por Amazon VPC
125
*Por defecto son 50

AWS Transit
Gateway
Amazon VPCAmazon VPC
Amazon VPCAmazon VPC
Customer
gateway
VPN
connection
AWS Direct
Connect Gateway
(Nuevo)
Con AWS Transit Gateway

B Local
0.0.0.0/0
Destination Target
A B
TGW
C
AWS
Transit
Gateway
1 2
3 4
AWS Transit Gateway tabla enrutamiento(s)
VPC A: Attachment 1
VPC B: Attachment 2
VPC C: Attachment 3
On-premises: VPN 4
RT1
RT2
On premises
Con AWS Transit Gateway

Adjuntar
La conexión de una VPC y
una VPN de Amazon a un
AWS Transit Gateway
Asociar
La tabla de enrutamiento
utilizada para enrutar
paquetes provenientes de un
“adjuntar” (de una VPC y VPN
de Amazon)
Propagar
La tabla de enrutamiento
donde están instaladas las
rutas adjuntas

Después: AWS Transit Gateway: la consola

Unicorn TGW
This TGW is Awesome
Después: AWS
Transit Gateway:
la consola

AWS Transit Gateway por
cuenta/AWS Transit Gateway
adjuntos por Amazon VPC
5
Ancho de banda máximo
burstable por attachment
50Gbps

Ancho de banda máximo por
conexión VPN
1.25Gbps*
*Con ECMP, puede distribuir el tráfico en varios túneles;
por ejemplo, 8 túneles = 10 Gbps

Rutas por AWS Transit
Gateway
10,000
Numero de AWS Transit
Gateway attachments por
región por cuenta
5,000
!!!

¿Conectividad entre regiones?
AWS Transit Gateway es una
construcción a nivel de región
Hoy

Instrucciones detalladas de AWS Transit Gateway:
https://amzn.to/2SkI4zV

Conexión a redes locales:
AWS VPN AWS Direct Connect

On premises
IPsec Tunnel 1 - Primary
IPsec Tunnel 2 - Secondary
Virtual private
gateway
VGW
IPsec tunnel sobre
internet
Customer gateway
CGW
The internet

On premises
IPsec Tunnel 1 - Primary
IPsec Tunnel 2 - Secondary
IPsec tunnel over
the internet
The internet
AWS
Transit Gateway
Customer gateway
CGW

Migrar VPN de sitio a sitio a
AWS Transit Gateway
https://amzn.to/2vwPcj7
Nuevo

Customer or
partner cage
Service provider
network
AWS Direct Connect: ¿Que es eso?
AWS Region
On premises
AWS Direct Connect location
AWS cage
Cross connect
10.0.0.0/16
192.168.0.0/16
Private VIF
Public VIF
VGW

Customer or
partner cage
Service Provider
Network
AWS Region
On premises
AWS cage
Cross Connect
10.0.0.0/16
192.168.0.0/16
Private VIF
Public VIF
10.2.0.0/16
VGW
VGW
Private VIF
AWS Direct Connect: ¿Qué es eso?

Customer or
partner cage
Service provider
network
AWS Direct Connect Gateway
AWS Region
On premises
AWS cage
Cross connect
10.0.0.0/16
192.168.0.0/16
Private VIF
10.2.0.0/16
VGW
VGW
U n a V I F p r i v a d a → M u l t i p l e s V P C s
AWS Direct
Connect
Gateway

Customer or
partner cage
Service provider
network
AWS Region 1
On premises
AWS cage
Cross connect
10.0.0.0/16
192.168.0.0/16
Private VIF
10.2.0.0/16
VGW
VGW
U n a V I F p r i v a d a → M u l t i p l e V P C s i n c l u s o m u l t i p l e s R e g i o n e s
AWS Region 2
AWS Direct
Connect
Gateway

Customer or
partner cage
Service provider
network
AWS Account 1
On premises
AWS cage
Cross connect
10.0.0.0/16
192.168.0.0/16
Private VIF
10.2.0.0/16
VGW
VGW
U n a V I F p r i v a d a → M u l t i p l e V P C s m u l t i p l e s c u e n t a s
AWS Account 2
AWS Direct
Connect
Gateway
Multi Account DX Gateway
Nuevo

Transit Gateway con AWS Direct Connect
https://amzn.to/2VDnnEt
Nuevo

Nuevas velocidades de conexión de nuestros partners
1, 2, 5, o 10 Gbps de capacidad
https://amzn.to/2YtGNue
Nuevo

VPC Sharing
…y hay más!

Amazon VPC Sharing
Antes

L l a m a
10.3.0.0/16
P e g a s u s
10.2.0.0/16
B a r r y
10.1.0.0/16
I g u a n a
10.6.0.0/16
S t e v e
10.5.0.0/16
S u e
10.4.0.0/16
AWS Lambda Amazon EC2
Amazon RedshiftAmazon RDS
Amazon EC2
Amazon EC2
Prod 1Dev
Test
Prod2
Prod 3 Prod 4

Amazon VPC Sharing
Después

L l a m aP e g a s u s
10.2.0.0/16
B a r r y
10.1.0.0/16
I g u a n aS t e v eS u e
AWS Lambda Amazon EC2
Amazon RedshiftAmazon RDS
Amazon EC2
Amazon EC2
Prod 1Dev
Test
Prod2
Prod 3 Prod 4
Owner
Participant
Owner
Participant Participant
Participant

Los propietarios de Amazon VPC son responsables de crear,
administrar y eliminar todas las entidades de nivel VPC.
Los propietarios de Amazon VPC no pueden modificar ni eliminar
los recursos de los participantes.
Amazon VPC Propietario

Los participantes que se encuentran en una VPC de Amazon compartida son
responsables de la creación, administración y eliminación de sus recursos, incluidas las
instancias de Amazon Elastic Compute Cloud (Amazon EC2), las bases de datos de
Amazon Relational Database Service (Amazon RDS) y los equilibradores de carga.
Sin embargo, no pueden modificar ninguna entidad de nivel de VPC de Amazon,
incluidas tablas de rutas, ACL de red o subredes (o ver/modificar recursos que
pertenecen a otros participantes).
Amazon VPC Participante

¿Por qué usar Amazon VPC sharing?
P reser va r espa c i o de IP
U se me no s CID R IP v4
Interco nec ti vi da d
N o se requi ere V P C peeri ng
Fa c t u ra c i ó n y s e g u r i d a d
C o n t i n u a r d i s f r u t a n d o d e l a
s e g r e ga c i ó n c o n m ú l t i p l e s
c u e n t a s
S e p a ra c i ó n d e t a r e a s
U n e q u i p o c e n t ra l p u e d e c r e a r y
a d m i n i s t ra r s u V P C d e A m a z o n
D e n t r o d e l a m i s m a A Z e l c o s t o d e d a t a
t r a n s f e r e s n u l o !

Amazon VPC Sharing detalles:
https://amzn.to/2Aovw2Z

NAT
InstanceB
10.1.1.11/24
Instance BNAT-GW
NAT-GW
0.0.0.0/0
AWS Region
Private subnet
VGW
VPC
peering
VPC
Flow Logs
VPN
The
internet
Private subnet
Public subnet
InstanceA
Public subnet
Amazon S3
VPC CIDR 10.1.0.0/16
10.1.0.11/24
InstanceC
10.1.2.11/24
InstanceD
10.1.3.11/24
DXGW
+ Expand + IPv6
Internet gatewayVPCE
10.1.0.0/16 Local
0.0.0.0/0 IGW
S3.prefix.list VPCE-123
On-premises VGW
VPC-B PCX-123
Destination Target
Intra- or
inter-
region
10.1.0.0/16 Local
S3.prefix.list VPCE-123
On-premises VGW
VPC-B PCX-123
Destination Target
AWS PrivateLink
Service Provider VPC
NLB
On premises
VPC-B
EIP - 10.1.0.11 : 54.23.12.43
EIP - 10.1.1.11 : 54.19.12.23
Amazon
DynamoDB
AWS Lambda
AWS Direct
Connect
Amazon SQS Amazon SNS
AWS IOT
Amazon
CloudWatch
AWS
PrivateLink
AWS Transit
Gateway
Onpremises
AWS PrivateLink
Enabled Services
Other Routes TGW
Other Routes TGW
Amazon S3
AWS Global Accelerator

Increíble:
Networking study guide
https://amzn.to/2U9TczL

Benjamin García
Gerente de Sistemas y Plataformas
Altán Redes
Altán Redes: Transformando las
telecomunicaciones en México desde la nube

Agenda
¿Quién es Altán Redes?
Capacidades tecnológicas de la red de Altán
¿Por qué AWS?
Altán-AWS

Altán Redes
Sobre Nosotros
• Altán Redes es una empresa mexicana quien mediante la Asociación Público Privada firmada en enero 2017, obtuvo el derecho de uso de la banda de
700 MHz y un par de filamentos de fibra óptica (30,000 KM) durante 20 años por parte de PROMTEL y CFE respectivamente
• Es el responsable diseñar, instalar, desplegar, operar y comercializar la Red Compartida
Nuestro
Objetivo
• Conectar al 92.2% de los mexicanos, reduciendo la brecha digital, y promover un mercado abierto y de competencia
Sobre el
Proyecto
• Plasmada en la Constitución y piedra angular de la Reforma de Telecomunicaciones de 2013
• Red mayorista de banda ancha: Prestará exclusivamente servicios a través de empresas comercializadoras y operadoras de redes de telecomunicación,
en ningún caso de forma directa a los clientes.
• Garantizará un acceso efectivo y compartido a una moderna infraestructura en tecnología 4.5G-LTE
¿Quién es Altán Redes?

Capacidades tecnológicas de la red del Altán

01
CORE
Plataformas COREs de red
virtualizadas y totalmente redundadas
02
API Gateway
En la solución de API Gateway se han
diseñado APIs propietarias de Altán
03
BSS
La capacidad del BSS para administrar
usuarios, provisionar productos y
recargas en línea
04
Backhaul
C-RAN
Nuestra arquitectura de backhaul es
“5G-Ready
05
Big Data Lake
Altán ha implementado una
plataforma Big Data Lake
06
Otras
Plataformas de
software
Se utilizan otras plataformas de
software basadas en arquitecturas
Cloud y/o Serverless
07
Modelo de
Entrega Ágil
El Modelo de entrega está basado en
DevOps
08
Machine
Learning
e IA
IA que van a mejorar la experiencia
del usuario final, la calidad del
servicio y las ventas de nuestros
clientes.
09
Servicios en
la nube
Altán ha maximizado el uso
de los servicios en la nube
asegurando un mejor TCO,
elasticidad, seguridad y
desempeño. La apuesta de
Altán es migrar todas sus
aplicaciones a arquitecturas
Serverless
Capacidades tecnológicas de la red del Altán

AWS nos ha permitido movernos a la velocidad que nuestros clientes nos exigen,
permitiendo cambios diarios que seguramente otras empresas, quienes por su propia naturaleza no pueden responder a la
misma velocidad. Agilidad
AWS es una de las empresas tecnológicas más innovadoras en la actualidad, ya que constantemente
toma lo mejor de las comunidades y de la industria de TI, para ofrece soluciones en su nube que se pueden
utilizar para beneficio de nuestros clientes. Innovación
En Altán a pesar de tener amplia experiencia en data centers clásicos hemos podido dejar de lado el tener que pensar en la
instalación de cableado, switches, router, servidores y la energía del aire acondicionado, etc (y su costo) para sólo
pensar en nuestra plataforma en la nube con AWS. Es decir dejar de lado el capex y
sólo invertir en opex. Costo-Beneficio
¿Por qué AWS?

• Construimos soluciones mucho más rápidas y eficientes como
nunca se habían hecho antes, usando desde lo más básico de la Amazon EC2,
hasta soluciones en contendedores del tipo serverless (Fargate, ECS) pasando por
DevOps, seguridad y conectividad.
• Hemos conectando a nuestros Clientes y a sus usuarios a una red
4.5G-LTE para que tanto las localidades más lejanas como las
grandes ciudadespuedan beneficiarse de la Red Compartida
• Desde el principio de nuestra relación con AWS ha habido una gran
empatíadebido a nuestros valores compartidos
• Conectar la nube de AWS con otras nubes competencia de AWS, lo hemos realizado
utilizando lo mejor de cada proveedor. El avance tecnológico de estos últimos 2 años es
impresionante ya que vemos soluciones cada vez más inteligentes,
que permiten analizar la información para predecir el comportamiento
de los usuarios
• Grandes desafíosnos depara nuestro presente, en la búsqueda de conectar al
92.2% de la población mexicana, retos que lograremos alcanzar gracias a
nuestro trabajo conjunto con socios estratégicos como AWS
Altán-AWS

¡Gracias!
Eduardo Andrés Patiño Balaguera
Solutions Architect
Amazon Web Services
Benjamin García
Gerente de Plataformas y Sistemas en la nube
Altan Redes
benjamin.garcia@altanredes.com

Fundamentals of AWS networking - SVC302 - Mexico City AWS Summit

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Fundamentals of AWS networking - SVC302 - Mexico City AWS Summit

Similar a Fundamentals of AWS networking - SVC302 - Mexico City AWS Summit (20)

Más de Amazon Web Services

Más de Amazon Web Services (20)

Fundamentals of AWS networking - SVC302 - Mexico City AWS Summit