Post on 25-Jul-2015
transcript
São Paulo
Conectando o seu
Data Center na AWS
Alex Coqueiro
Arquiteto de Soluções para o Setor Público
Agenda
• Paradigma dos Data Centers
• Conceitos de uma VPC (Virtual Private Cloud)
• Casos de uso para VPC
• Componentes da VPC
• Melhores Práticas
Paradigma dos Data Center
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
Data Center
Corporativo
Data Center
Corporativo
Data Center
Corporativo
Construir um data center…
grande tempo gasto em construção e
operacionalização
Amazon VPC
Data Center
Corporativo
Projeto ZAprovado
Data Center
Corporativo
Finalizado
Projeto XAprovado
Data Center
Corporativo
Projeto XAprovado
Projeto YAprovado
Data Center
Corporativo
Extensão do DC com Recursos Integrados
Mais simples … Ele é um Data
Center Virtual que você pode
construir e gerenciar na AWS!
Casos de Uso de uma VPC
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
Aplicações Web Públicas
Object Storage
CDN
User
Web
DNS
http://www.example.com
Internet Gateway
Aplicações Privadas
Internal
User
VPN Gateway
Router / Firewall
Corporate Data Center
http://internal-app
Web
VPN over
the Internet
Data Center virtual na AWS
Active Directory
Configuração de Rede
Encriptação
Backup
Apps on-premises
Usuários e Grupos
Rede Privada
HSM appliance
Cloud backups
Cloud apps
AWS Direct Connect
Data Center Corporativo
Web
Server
Application
Server
DB
Server
Data Volume
EC2 Web
Server
EC2
Application
Server
EC2 DB
Server
Amazon Elastic Block
Store (EBS) Data Volume
Data Mirroring /
Replication
Instancias estão
paradase são
inicializadas
somente se
aplicação primária
está indisponiível
Amazon Route 53
User
Corporate Data Center
Repoint DNS in an
Outage
DR (Disaster Recovery)
DemoCriação de uma VPC
Componentes da VPC
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
Componentes da VPC
Route table Elastic network
interface
Amazon VPC RouterInternet
gateway
Customer
gateway
Virtual
private
gateway
VPN
connectionSubnet
Elastic IP
• Range de IP’s na VPC
• Reside em uma AZ
• Segurança com ACL
(access control lists)
• Pode rotear pacotes entre
subnets
• Default VPC subnets
VPC subnet
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
• IGW = Internet Gateway
• Habilita a sua instância
conectar a Internet
• Default VPC inclui IGW
Internet Gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
• VGW = virtual private gateway
• A VPG é uma construção lógica
que representa um endpoint
para conexões com on-
premises
Virtual Private Gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal
User
VPN Gateway
Customer Gateway
Corporate Data Center
VPN over
the Internet
• CGW = customer gateway
• Dispositivo fisico ou software
appliance do seu lado para
fechar a conexão de VPN
• Tipicamente um roteador ou
firewall
Customer Gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal
User
VPN Gateway
Customer Gateway
Corporate Data Center
VPN over
the Internet
• Contem um conjunto de regras
para rotas que são utilizadas
para determinar o tráfego de
rede
• Cada Subnet tem somente
uma tabela rota
• Controla rotas entre IGW e
VGW
• Uma tabela de rotas pode
pertencer a múltiplas subnets
Route Table
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
• A VPN connection refere-se a
conexão entre a VPC e sua
rede
• Consiste em um par de túneis
IPSEC entre o VGW e CGW
VPN connection
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal User
VPN Gateway
Customer Gateway
Corporate Data Center
VPN over
the Internet
• EIP = elastic IP
• Endereço de IP
estático
• Mantêm na sua conta
até ser liberado
• Pode ser movido
entre instâncias na
região
Elastic IP
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
EIP EIP
• ENI = elastic network interface
• Interface virtual de rede que
pode ser anexada a instância
• Cada instância tem uma
interface default eth0
• Consiste em MAC address e
IP’s (público e privado)
Elastic Network Interface
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet
Gateway
VPC CIDR: 10.1.0.0 /16
InternetAWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
ENI
(eth0)ENI
(eth0)
Controles de
Segurança na
VPC
Route
Table
Route
Table
Internet
Gateway
Virtual Private
Gateway
Virtual Router
VPC 10.1.0.0/16
DemoMudança de um security
group
Melhores Práticas
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
Criar um VPC admin group via AWS Identity and Access Management (IAM)Examplo de chamadas de API a restringir:
AttachInternetGateway
AssociateRouteTable
CreateRoute
DeleteCustomerGateway
DeleteInternetGateway
DeleteNetworkAcl
DeleteNetworkAclEntry
DeleteRoute
DeleteRouteTable
DeleteDhcpOptions
ReplaceNetworkAclAssociation
DisassociateRouteTable
Planeje sua distribuição de IP antes de
criá-los• Considere extensão para outras regiões
• Considere conectividade com suas redes
internas
• Considere as aplicações hosteadas
• VPC entre /16 até /28
• CIDR não pode ser modificada após criação
• Overlapping IP = Problemas futuros
Planejamento de Subnet
• Suporte Multi-AZ
• Controle de Rota– Evitar conflitos
• Subnet-level access control
– Considere controles de acesso
• Security groups, multiple VPC architectures (e
VPC peering)
• Automação (Ex: Clouformation)
• Monitoração
Tag o mais cedo possível e com
frequência!• Estratégia de Tagging deve fazer parte do design
• Exemplos de tags: Código do Projeto, Centro de
Custo, Ambiente, Versão,Time, Unidade de
Negócios
• Tag recursos imediatamente após a sua criação
• AWS Billing também suporta tags
Redundância da VPN do Data
Center com a VPC
• Túneis redundantes com IPSEC
• Supporte a BGP e rota estática
• Redundância nos customer gateways
Conexão de VPN Simples
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Customer Gateway
Customer Network
VPN
Router Virtual Private Gateway
VPC Subnet
Multiplas Conexões de VPN
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet
Customer Gateway
Customer Network
New York
VPN
Router Virtual Private Gateway
Customer Gateway
Customer Network
Chicago
VPN
Customer Gateway
Customer Network
Los Angeles
VPN
Redundância de Túneis para Conectar a VPN
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
IPSEC
VPN
Virtual Private Gateway
Router
72.21.209.193Router
72.21.209.225
Tunnel 1 Tunnel 2
Customer Gateway
xxx.xxx.xxx.xxx
Customer Network
IPSEC
VPN
Redundancia de Customer Gateways
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Tunnel 1
Virtual Private Gateway
Router
72.21.209.193Router
72.21.209.225
Customer Gateway
xxx.xxx.xxx.xxx
Customer Network
Customer Gateway
xxx.xxx.xxx.yyy
Tunnel 2Tunnel 2
Tunnel 1
VPC Peering para conectar a VPC
10.1.0.0/16
10.0.0.0/16
• VPCs na mesma regiãoPeer
request
Peer
accept
• Mesma conta ou contas diferentes
• Não pode haver overlap de IP’s
Uso de Direct Connect
Direct Connect
Location
IPVPN
/ MPLS
Customer
Data Center
Customer
Office
Customer
Office
Customer
Office
Customer
Data Center
Nós temos vários POPs de AWS Direct Connect
Nós temos diversos parceiros
AWS Direct Connect partners
http://aws.amazon.com/directconnect/partners/
Uso do AWS Marketplace para necessidades
específicas de rede e segurança
• Instâncias com AWS
com “1-Click"
• Pague por hora, mês
ou ano
• Invoice integrado do
uso da AWS e
software sde parceiro
• Rede e appliances
virtuais no EC2• Web application
firewalls (WAF)
• Intrusion detection
• Routers / firewalls
Obrigado
São Paulo