Este documento fornece uma introdução aos conceitos e funcionalidades da AWS VPC, incluindo: 1) Uma explicação dos conceitos-chave da VPC como isolamento lógico de rede e subnets públicas e privadas. 2) Um guia passo-a-passo para configurar uma VPC com subnets em múltiplas zonas de disponibilidade e conectividade à internet. 3) Opções para conectividade entre a VPC e redes corporativas locais usando VPN ou Direct Connect. 4) Detalhes sobre DNS privado na VPC usando hostnames de

1. © 2015, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Cláudio Freire Júnior, Solutions Architect
21/Junho/2016
Criando e Conectando
Seu Datacenter Virtual

2. O que é esperado nessa sessão?
• Overview sobre AWS;
• Conceitos de VPC;
• Setup básico de VPC;
• Conectividade com ambiente on-premises;
• Monitoramento do tráfego VPC;

3. O que é a AWS?
AWS provê uma plataforma de infraestrutura na nuvem altamente
confiável, escalável e de baixo custo que possibilita grandes ganhos para
mais de 1 milhão de empresas em 190 países ao redor do mundo.
Benefícios
• Baixo custo
• Elasticidade e Agilidade
• Plataforma aberta e flexível
• Segurança
• Alcance global

4. 10o Aniversário
Lançada em 14 de Março, 2006

5. Infraestrutura Global

6. E então, o que é VPC?
• VPC – Virtual Private Cloud;
• Isolamento lógico de rede;
• Permite a segregação de redes (Público e Privada);
• Serviço de escopo de região;
• Permite a escolha do seu proprio range de Ips;
• Provê conexão com infraestrutura on-premises;

7. 172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
VPC

8. Criando VPC

9. Criando VPC: Passo a Passo
Escolher o range de
IPs
Configurar subnets
nas Availability
Zones
Criar rota para
Internet
Autorizar tráfego
de/para VPC

10. Escolher o range de IPs

11. Notação CIDR
CIDR range example:
172.31.0.0/16 ~ Máscara: 255.255.0.0
172.31.0.0-172.31.255.255

12. Escolher os ranges para sua VPC
172.31.0.0/16
Recomendado:
RFC1918
Recomendado:
/16
(64K endereços)

13. Configurar subnets nas
Availability Zones

14. Configurar ranges de IP address para sua
subnet
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
sa-east-1a sa-east-1b sa-east-1c

15. Demo
Criação de VPC e
subnets

17. Criar rotas para Internet

18. Rotas na sua VPC
• Tabelas de rotas possuem regras por
onde os pacotes trafegarão;
• Sua VPC possui tabela de rotas padrão;
• … você pode designar tabelas de rotas
diferentes para subnets diferentes.

19. Tráfego destinado para
VPC ficam na VPC.

20. Internet Gateway
Componente para envio de
pacote, se o destino for
Internet.

21. Tudo que não tem destino para VPC, é
enviado para Internet.

22. Autorizar tráfego de/para VPC

23. Network ACLs = Regras stateless firewall
Permitir todo o tráfego de entrada
Aplicado no nível de subnet

24. Security Groups segue o fluxo da sua
aplicação
“MyWebServers” Security Group
“MyBackends” Security Group
Permitir acesso somente
“MyWebServers”

25. Security Groups = stateful firewall
Porta 80 aberta para o mundo

26. Security Groups = stateful firewall
Porta do App Server aberta somente
para frota de Web

27. Demo
Criação de Internet
Gateway/NAT e Security
Groups

29. Conectividade na AWS

30. Além da conectividade com Internet
Formas de roteamento
de Subnet
Conectando com a
sua rede corporativa
Conectando a outras
VPCs

31. Roteamento no nível de subnets

32. Differentes tabelas de rotas para diferentes
subnets
VPC subnet
VPC subnet
Possui rota para Internet
Não possui rota para
Internet

33. Acesso à Internet via NAT Gateway
VPC subnet VPC subnet
0.0.0.0/0
0.0.0.0/0
Public IP
NAT Gateway

34. Conectando à outras VPC:
VPC Peering

35. Serviços compartilhados: Utilizando VPC
peering
Serviços comuns/core
• Autenticação/Diretório;
• Monitoramento;
• Logging;
• Administração remota;
• Scanning

36. Estabelecendo VPC Peering: Solicitação
172.31.0.0/16 10.55.0.0/16
Step 1
Iniciar a solicitação de peering

37. Estabelecendo VPC Peering: Solicitação

38. Estabelecendo VPC Peering: Aceitar solicitação
172.31.0.0/16 10.55.0.0/16
Step 1
Iniciar solicitação de peering
Step 2
Accept peering request

39. Estabelecendo VPC Peering: Aceitando

40. Estabelecendo VPC Peering: Criando rotas
172.31.0.0/16 10.55.0.0/16Step 1
Initiate peering request
Step 2
Accept peering request
Step 3
Create routes
Trafego destinado para VPC peered irá
para o elementento de peering

41. Conectando sua rede:
Virtual Private Network &
Direct Connect

42. Conectando sua rede com VPN/Direct Conenct
VPN
Direct Connect

43. AWS VPN
• Rotas estáticas ou dinâmicas (BGP);
• Conexões iniciadas pelo Customer Gateway (definição
do appliance do cliente);
• IPSec Security Associations em modo de túnel;
• Sempre é disponibilizado 2 Ips para conexão (HA);
• Conectividade feita pela Internet;
• Baixo custo de serviço;

44. VPN: O que você precisa saber
Customer
Gateway
Virtual
Gateway
Dois tuneis IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
Seu device de rede

45. Rotas para o Virtual Private Gateway
Trafego para rede 192.168.0.0/16 irá
pelo túnel

46. • Conexão dedicada e privada com a AWS;
• Cobrança reduzida de data-out (data-in continua
gratuito);
• Performance consistente;
• Pelo menos 1 ponto de conexão por região;
• Opção para conexões redundantes;
• Múltiplas contas AWS podem compartilhar a conexão;
• Portas de conexões de 50M a 10G;
• 50-500M feita com parceiro;
• 1G e 10G direto com a AWS;
AWS Direct Connect

47. AWS Direct Connect - Locais
AWS Region AWS Direct Connect (Locais)
Asia Pacific (Singapore) Equinix SG2
Asia Pacific (Sydney) Equinix SY3
Asia Pacific (Sydney) Global Switch
Asia Pacific (Tokyo) Equinix OS1
Asia Pacific (Tokyo) Equinix TY2
China (Beijing) Sinnet JiuXianqiao IDC
China (Beijing) CIDS Jiachuang IDC
EU (Frankfurt) Equinix FR5
EU (Frankfurt) Interxion Frankfurt
EU (Ireland) Eircom Clonshaugh
EU (Ireland) TelecityGroup, London Docklands'
South America (São Paulo) Terremark NAP do Brasil
South America (São Paulo) Tivit
US East (Virginia) CoreSite NY1 & NY2
US East (Virginia) Equinix DC1 - DC6 & DC10
US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA
US West (Northern California) Equinix SV1 & SV5
US West (Oregon) Equinix SE2 & SE3
US West (Oregon) Switch SUPERNAP, Las Vegas

48. AWS VPN
• Serviço em HA;
• Dois túneis para conexão;
• Rotas estáticas ou dinâmicas (BGP);
• Conexão segura e direta com a AWS;
• Conexões iniciadas pelo Customer Gateway;
• IPSec Security Associations em modo de túnel;
• Redundância de Direct Connect;

49. VPN vs DirectConnect
• Ambos permitem conexão segura entre sua
rede e VPC;
• VPN é um par de túnel IPSec que trafegará
na Internet;
• DirectConnect é conexão dedicada e
latência controlada;
• Para workloads de alta disponibilidade:
Utilizar ambos (failover);

50. DNS dentro da VPC

51. VPC DNS Options
Utilizar Amazon DNS server
Possui EC2 auto-assign DNS
hostnames para instâncias

52. EC2 DNS Hostnames na VPC
Internal DNS hostname:
Resolve nome para IP Privado
External DNS name: Resolve para…

53. EC2 DNS Hostnames fora da VPC
C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Non-authoritative answer:
Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Address: 52.18.10.57
Fora da sua VPC:
IP público

54. EC2 DNS Hostnames dentro da VPC
[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A
;; ANSWER SECTION:
ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 22:32:56 2015
;; MSG SIZE rcvd: 81
Dentro da sua VPC:
IP Privado

55. Route53 Private Hosted Zones
• Controla resolução de nomes para domínio e
subdominios;
• Entradas de DNS tem validade somente dentro
de uma VPC específica;
• Pode ser utilizado para sobrepor DNS externo.

56. Criando zona privada no Route53
Private Hosted Zone
Associando com
uma ou mais VPCs

57. Criando uma entrada de DNS Route53
Private Hosted
Zone
example.demohostedzone.org 
172.31.0.99

58. Querying Private Hosted Zone Records
https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/
[ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;example.demohostedzone.org. IN A
;; ANSWER SECTION:
example.demohostedzone.org. 60 IN A 172.31.0.99
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 00:13:33 2015
;; MSG SIZE rcvd: 60

59. VPC Flow Logs: Analise seu tráfego
Visibilidade da aplicabilidade
do Security Group;
Fazer troubleshooting de
conectividade de rede;
Possibilidade de analizar
tráfego.

60. AWS VPC Endpoints: S3 sem Internet
Gateway

61. Recapitulando

62. Recapitulando
• VPC;
• Subnets Públicas vs Subnets Privadas;
• Tabelas de Rota;
• VPC VPN vs Direct Connect;
• Endpoints na rede privada.

63. Obrigado!
Cláudio Freire Júnior – freirec@amazon.com