Criando e conectando seu datacenter virtual
Transferir como PPTX, PDF1 gostou387 visualizações
O documento apresenta uma introdução ao Amazon VPC (Virtual Private Cloud), discutindo conceitos, configuração e conectividade entre ambientes on-premises e a AWS. Detalha o processo de criação de VPCs, subnets, tabelas de rotas, e a implementação de regras de segurança através de ACLs e grupos de segurança. Também aborda opções de conectividade, como VPN e Direct Connect, e o uso de logs de fluxo VPC para análise de tráfego.
Criando e conectando seu datacenter virtual
- 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Glauber Gallego - Arquiteto de Soluções Setembro 2016 Criando e Conectando seu Datacenter Virtual AWS Experience Porto Alegre 2016
- 2. O que é esperado nessa sessão? • Conceitos de VPC; • Setup básico de VPC; • Conectividade com ambiente on-premises; • Monitoramento do tráfego VPC;
- 3. 10o Aniversário Lançada em 14 de Março, 2006
- 5. E então, o que é VPC? • VPC – Virtual Private Cloud; • Isolamento lógico de rede; • Permite a segregação de redes (Público e Privada); • Serviço de escopo de região; • Permite a escolha do seu proprio range de Ips; • Provê conexão com infraestrutura on-premises;
- 6. VPC
- 10. Criando uma VPC
- 11. Criando VPC: Passo a Passo Escolher o range de IPs Configurar subnets nas Availability Zones Criar rota para Internet (via Internet Gateway ou NAT) Autorizar tráfego de/para VPC
- 12. Escolher o range de IPs
- 13. Notação CIDR 172.31.0.0/16 ~ Máscara: 255.255.0.0
- 14. Notação CIDR 172.31.0.0/16 ~ Máscara: 255.255.0.0 = 65.531 IPs
- 15. Notação CIDR 172.31.0.0/16 ~ Máscara: 255.255.0.0 = 65.531 IPs = 172.31.0.0 - 172.31.255.255
- 16. Escolher os ranges para sua VPC 172.31.0.0/16 Recomendado: RFC1918 Recomendado: /16 (65K endereços) Evite que os ranges de IPs façam conflitos com as redes as quais deseja fazer roteamento. Não é possível mudar depois!
- 17. Configurar subnets nas AZs (zonas de disponibilidade)
- 18. Configurar ranges de IP address para sua subnet 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 sa-east-1a sa-east-1b sa-east-1c VPC subnet
- 19. Configurar ranges de IP address para sua subnet 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 sa-east-1a sa-east-1b sa-east-1c VPC subnet Recomendado: /24 (251 endereços)
- 20. Demo Criação de VPC e subnets
- 21. Criar rotas para Internet
- 22. Tabela de Rotas na sua VPC • Possuem regras por onde os pacotes trafegarão; • A VPC sempre possui uma tabela de rotas padrão; • … e você pode designar tabelas de rotas diferentes para subnets diferentes.
- 23. Rotas Internas dentro da VPC
- 24. Tráfego destinado para VPC ficam na VPC. Rotas Internas dentro da VPC
- 25. Internet Gateway (Utilizado para subnet Públicas) Componente para envio de pacote, se o destino for Internet.
- 26. Internet Gateway (Utilizado para subnet Públicas)
- 27. Tudo que não tem destino para VPC, é enviado para Internet. Internet Gateway (Utilizado para subnet Públicas)
- 28. Acesso à Internet via NAT Gateway Private subnet Public subnet
- 29. Acesso à Internet via NAT Gateway Private subnet Public subnet 0.0.0.0/0
- 30. Acesso à Internet via NAT Gateway Private subnet Public subnet 0.0.0.0/0 0.0.0.0/0
- 31. Acesso à Internet via NAT Gateway Private subnet Public subnet 0.0.0.0/0 0.0.0.0/0 Public IP NAT Gateway
- 32. Acesso à Internet via NAT Gateway Private subnet Public subnet 0.0.0.0/0 0.0.0.0/0 Public IP NAT Gateway
- 33. Autorizar tráfego de/para VPC
- 34. Network ACLs = Regras stateless firewall
- 35. Network ACLs = Regras stateless firewall Permitir todo o tráfego de entrada Aplicado no nível de subnet
- 36. Security Groups: definem o fluxo da app “MyBackends” Security Group
- 37. Security Groups: definem o fluxo da app “MyBackends” Security Group “MyWebServers” Security Group
- 38. Security Groups: definem o fluxo da app “MyBackends” Security Group “MyWebServers” Security Group
- 39. Security Groups: definem o fluxo da app “MyBackends” Security Group “MyWebServers” Security Group Permitir acesso somente “MyWebServers”
- 40. Security Groups = stateful firewall
- 41. Security Groups = stateful firewall Porta 80 aberta para o mundo
- 42. Security Groups = stateful firewall
- 43. Security Groups = stateful firewall Porta do App Server aberta somente para frota Web
- 44. Demo Criação de Internet Gateway e Security Groups
- 46. Além da conectividade com Internet Roteamento no nivel de Subnet Conectando com a sua rede corporativa Conectando a outras VPCs
- 47. Roteamento no nível de subnets
- 48. Diferentes tabelas de rotas para diferentes subnets “MyBackends” Security Group “MyWebServers” Security Group
- 49. Diferentes tabelas de rotas para diferentes subnets “MyBackends” Security Group “MyWebServers” Security Group
- 50. Diferentes tabelas de rotas para diferentes subnets “MyBackends” Security Group “MyWebServers” Security Group Permitir acesso somente “MyWebServers”
- 51. Conectando à outras VPC: VPC Peering
- 52. Serviços compartilhados: Utilizando VPC peering Serviços comuns/core • Autenticação/Diretório; • Monitoramento; • Logging; • Administração remota; • Scanning
- 53. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16
- 54. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Passo 1 Iniciar a solicitação de peering
- 55. Estabelecendo VPC Peering: Solicitação
- 56. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Passo 1 Iniciar a solicitação de peering Passo 2 Aceitar solicitação de peering
- 57. Estabelecendo VPC Peering: Aceitando
- 58. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Passo 1 Iniciar a solicitação de peering Passo 2 Aceitar solicitação de peering Passo 3 Criação de Rotas
- 59. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Passo 1 Iniciar a solicitação de peering Passo 2 Aceitar solicitação de peering Passo 3 Criação de Rotas Trafego destinado para VPC peered irá para o elemento de peering
- 60. Conectando sua rede: Virtual Private Network & Direct Connect
- 61. Conectando sua rede com VPN/Direct Conenct VPN Direct Connect
- 62. AWS VPN • Rotas estáticas ou dinâmicas (BGP); • Conexões iniciadas pelo Customer Gateway (definição do appliance do cliente); • IPSec Security Associations em modo de túnel; • Sempre é disponibilizado 2 IPs para conexão (HA); • Conectividade feita pela Internet; • Baixo custo de serviço;
- 63. VPN: O que você precisa saber? 192.168.0.0/16 172.31.0.0/16
- 64. VPN: O que você precisa saber? 192.168.0.0/16 172.31.0.0/16 Seu device de rede Customer Gateway
- 65. VPN: O que você precisa saber? 192.168.0.0/16 172.31.0.0/16 Seu device de rede Customer Gateway Virtual Gateway
- 66. VPN: O que você precisa saber? 192.168.0.0/16 172.31.0.0/16 Seu device de rede Customer Gateway Virtual Gateway Dois tuneis IPSec
- 67. VPN: O que você precisa saber? 192.168.0.0/16 172.31.0.0/16 Seu device de rede Customer Gateway Virtual Gateway Dois tuneis IPSec 192.168.0.0/16
- 68. Rotas para o Virtual Private Gateway
- 69. Rotas para o Virtual Private Gateway Trafego para rede 192.168.0.0/16 irá pelo túnel
- 70. • Conexão dedicada e privada com a AWS; • Cobrança reduzida de data-out (data-in é gratuito); • Performance consistente; • Pelo menos 1 ponto de conexão por região; • Opção para conexões redundantes; • Múltiplas contas AWS podem compartilhar a conexão; • Portas de conexões de 50M a 10G; • 50-500M feita com parceiro; • 1G e 10G direto com a AWS; AWS Direct Connect
- 71. AWS Direct Connect - Locais AWS Region AWS Direct Connect (Locais) Asia Pacific (Singapore) Equinix SG2 Asia Pacific (Sydney) Equinix SY3 Asia Pacific (Sydney) Global Switch Asia Pacific (Tokyo) Equinix OS1 Asia Pacific (Tokyo) Equinix TY2 China (Beijing) Sinnet JiuXianqiao IDC China (Beijing) CIDS Jiachuang IDC EU (Frankfurt) Equinix FR5 EU (Frankfurt) Interxion Frankfurt EU (Ireland) Eircom Clonshaugh EU (Ireland) TelecityGroup, London Docklands' South America (São Paulo) Terremark NAP do Brasil South America (São Paulo) Tivit US East (Virginia) CoreSite NY1 & NY2 US East (Virginia) Equinix DC1 - DC6 & DC10 US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA US West (Northern California) Equinix SV1 & SV5 US West (Oregon) Equinix SE2 & SE3 US West (Oregon) Switch SUPERNAP, Las Vegas
- 72. AWS Region AWS Direct Connect (Locais) Asia Pacific (Singapore) Equinix SG2 Asia Pacific (Sydney) Equinix SY3 Asia Pacific (Sydney) Global Switch Asia Pacific (Tokyo) Equinix OS1 Asia Pacific (Tokyo) Equinix TY2 China (Beijing) Sinnet JiuXianqiao IDC China (Beijing) CIDS Jiachuang IDC EU (Frankfurt) Equinix FR5 EU (Frankfurt) Interxion Frankfurt EU (Ireland) Eircom Clonshaugh EU (Ireland) TelecityGroup, London Docklands' South America (São Paulo) Terremark NAP do Brasil South America (São Paulo) Tivit US East (Virginia) CoreSite NY1 & NY2 US East (Virginia) Equinix DC1 - DC6 & DC10 US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA US West (Northern California) Equinix SV1 & SV5 US West (Oregon) Equinix SE2 & SE3 US West (Oregon) Switch SUPERNAP, Las Vegas AWS Direct Connect - Locais South America (São Paulo) Terremark NAP do Brasil South America (São Paulo) Tivit
- 73. VPN vs DirectConnect • Ambos permitem conexão segura entre sua rede e VPC; • VPN é um par de túneis IPSec que trafegará pela Internet; • DirectConnect é conexão dedicada e latência controlada; • Para workloads de alta disponibilidade: Utilizar ambos (failover);
- 74. VPC Flow Logs: Analise seu tráfego Visibilidade da aplicabilidade do Security Group; Fazer troubleshooting de conectividade de rede; Possibilidade de analizar tráfego.
- 75. Muito Obrigado!