© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Jesús Humberto Contreras Rancurello
Solutions Architect, AWS
SRV323
Diseñando Arquitecturas de Red en
AWS

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS
Servicios base Cómputo
Almacena-
miento
Bases de
datos
Redes
Infraestructura Regiones
Zonas de
Disponibilidad
Ubicaciones
frontera
Servicios de
Plataforma
Analíticos IoT
Implementa-
ción
Móvil
Escritorios
virtuales
Colaboración
Entrega de
aplicaciones
Correo
electrónico
Control de
accesos
Auditoría Monitoreo EncripciónSeguridad
Aplicaciones
A
P
I
&
S
D
K
s

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Cimientos: Amazon VPC
Tu sección privada de la nube de AWS

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Direccionamiento de red
en tu VPC = 10.1.0.0/16
Availability Zone A Availability Zone B
Public Subnet Public Subnet
Private Subnet Private Subnet
Instance A
10.1.1.11 /24
Instance B
10.1.2.22 /24
Instance C
10.1.3.33 /24
Instance D
10.1.4.44 /24
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
Una puerta de salida a internet y
un concentrador de VPN por VPC

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Region - eg: US-WEST1
El mismo VPC de la pantalla anterior
Región de AWS
Servicios a nivel regional (hay muchos más)
Servicios internos de tu VPC (por ejemplo
Amazon EMR, balanceadores de carga,
Amazon RDS)
Salida a internet y/o salida a otros
servicios de nivel regional
Instance A
10.1.1.11 /24
Availability Zone A Availability Zone B
Public Subnet Public Subnet
Private Subnet Private Subnet
Instance B
10.1.2.22 /24
Instance C
10.1.3.33 /24
Instance D
10.1.4.44 /24
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
Amazon SNS
Amazon SQS
Amazon SWF
Amazon SES
Amazon S3
Amazon Glacier
Amazon DynamoDB
AWS Lambda

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPC avanzada o ytros servicios
Vamos a agregar un par de servicios además de VPC

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPC
Peering
Internet
Centro de
datos local
VPC
Amazon
CloudWatch
VPN
AWS
Direct Connect
Amazon
EC2
Amazon
VPC
Availability Zone A Availability Zone B
Instance C
10.1.3.33/24
Instance A
10.1.1.11/24
Instance B
10.1.2.22/24
Instance D
10.1.4.44/24
Public subnet Public subnet
Private subnet Private subnet
NAT
VGW
IGW
VPC Flow
LogsElastic IP address:
54.1.13.43=10.1.1.11
NAT
Gateway

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Interregion
VPC peering
Internet
Centro de
datos local
VPC
VPN
Availability Zone A Availability Zone B
Instance C
10.1.3.33/24
Instance A
10.1.1.11/24
Instance B
10.1.2.22/24
Instance D
10.1.4.44/24
Public subnet Public subnet
Private subnet Private subnet
NAT
VGW
IGW
NAT
gateway
VPC CIDR 10.1.0.0/16,10.2.0.0/16
VPN BYO tunnel IP
and custom PSK
Grupos de
seguridad /
Descripciones
VPC con IPv6
Expande tu VPC existente

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Internet
Availability Zone A Availability Zone B
Instance C
10.1.3.33/24
Instance A
10.1.1.11/24
Instance B
10.1.2.22/24
Instance D
10.1.4.44/24
Public subnet Public subnet
Private subnet Private subnet
NAT
IGW
NAT
gateway
VPC CIDR 10.1.0.0/16,10.2.0.0/16
Grupos de
seguridad /
Descripciones
VPC con IPv6
Interregion
VPC peering
Direct
Connect
VGW Centro de
datos local
VPC
Direct Connect gateway, link
aggregation, new PoPs, and
global public access

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Internet
Availability Zone A Availability Zone B
Instance C
10.1.3.33/24
Instance A
10.1.1.11/24
Instance B
10.1.2.22/24
Instance D
10.1.4.44/24
Public subnet Public subnet
Private subnet Private subnet
NAT
IGW
VPC CIDR 10.1.0.0/16,10.2.0.0/16
Grupos de
seguridad /
Descripciones
VPC con IPv6
Inter-region
VPC peering
Direct
Connect
VGW Centro de
datos local
VPC
Métricas de
CloudWatch para
VPN, DX, y
NATGW
Amazon EC2
Elastic Load Balancing
Kinesis Streams
AWS Service Catalog
AWS Systems Manager
Links privados para
servicios de AWS y
de terceros

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Endpoints de VPC
AWS Lambda

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Endpoints de VPC
¿Cómo funcionan? Sin endpoints:
• Tus instancias
necesitarían
conectividad
pública
• Los grupos de
seguridad
requerirían
bloquear acceso
desde fuera
• Los clientes
tendrían que salir a
internet
Endpoint privado virtual

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Endpoints de VPC
¿Cómo funcionan? Ya no es necesario lo
siguiente para tener
acceso a Amazon S3:
• IP Elástica por
instancia
• Rutas por defecto
apuntanto a una
puerta de enlace a
internet
• Instancia de NAT
• ¡O incluso una
salida a internet!

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Endpoints de VPC
¿Cómo funcionan? Después de que el
endpoint de VPC haya
sido creado:
• Los prefijos
necesarios deben
ser agregados en las
tablas de ruteo
• Ahora todo el tráfico
que va hacia el
endpoint interno,
seguirá el camino del
Endpoint VPC en vez
de la puerta de
salida a internet

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Endpoints de VPC
¿Cómo funcionan?
Restricciones de acceso
hacia Amazon S3:
• Política de IAM en
los Endpoints VPC
restringiendo acceso
• Política de IAM en el
bucket de S3
restringiendo acceso
Política de IAM en el
Endpoint VPC restringiendo
las acciones que el VPC
puede hacer en Amazon S3
Politica de acceso IAM en el Bucket de
Amazon S3: Hacer accesibles los
datos solamente desde el Endpoint
VPC

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Conectándonos a AWS

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Centro de
datos local
Conectividad VPN
1. Construye tu infraestructura en AWS
2. Crea tu virtual private gateway (VGW) y conéctalo a tu VPC
3. Define tu customer gateway
4. Crea tu conexión VPN entre el VGW y el customer gateway
5. Descarga la configuración base dependiendo de tu customer
gateway
6. Configura tu customer gateway con ayuda de la configurción
descargada
7. Tu VPN comenzará a funcionar
Acceso vía internet
Tunel IPsec 1 - Primario
Tunel IPsec 2- Secundario
Internet

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
Customer DCColocation Facility - e.g. Equinix SV1
VPC CIDR 10.1.0.0/16
Customer Subnet
192.168.0.0/16
Punto de presencia de Direct Connect
Ubicacion o colocation
Dispositivo del cliente o del partner
AWS Direct Connect
Point of Presence
Customer Gateway
CrossConexión
Centro de datos del cliente
Red del proveedor de servicio
Anatomía de Direct Connect
Interfaz privada virtual (VIF)
Configuración del customer gateway
VPC VGW

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Interfaz estándar y BGP configuration
interface GigabitEthernet0/1
no ip address
interface GigabitEthernet0/1.807
description "Direct Connect to your Amazon VPC or AWS Cloud"
encapsulation dot1Q 807
ip address 172.16.7.5 255.255.255.252
router bgp 65001
neighbor 172.16.7.6 remote-as 7224
neighbor 172.16.7.6 password 7 $1$zVOvlUSp$UrqWP2awtiG8ZbXo9BwcB
network 0.0.0.0
exit
Intefaz física en donde está conectada la fibra
Sub-interfaz. Generalmente es el mísmo número que la VLAN.
Asociación de la VLAN
/30 direccionamiento privado para la conexión P2P
Sistema autónomo BGP
Ruta(s) anunciadas a AWS
Contraseña MD5 BGP
Direccionamiento del vecino

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
VPC CIDR 10.1.0.0/16
Customer DCColocation Facility - e.g. Equinix SV1
Customer Subnet
192.168.0.0/16
Customer Gateway
BGP levanta y los prefijos son anunciados
%BGP-5-ADJCHANGE: neighbor 172.16.6.6 Up
AWS Direct Connect
Point of Presence
Anatomía de Direct Connect (continuación)

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
VPC CIDR 10.1.0.0/16
Customer DCColocation Facility - e.g. Equinix SV1
Customer Subnet
172.160.0.0/16
Anatomía de Direct Connect (continuación)
Customer Gateway
AWS Direct Connect
Point of Presence
La interfaz está arriba. ¿y ahora?
¿Que pasa con mis buckets de Amazon S3 o mis tablas en Amazon DynamoDB
- Para eso están las interfases públicas

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
VPC CIDR 10.1.0.0/16
Amazon SNS
Amazon SQS
Amazon SWF
Amazon SES
Amazon S3 Amazon DynamoDB
AWS Region - eg: US-WEST1
AWS LambdaAmazon Glacier
Customer DCColocation Facility - e.g. Equinix SV1
Customer Subnet
172.160.0.0/16
Customer Gateway
Las regiones de AWS son mucho más que lo que está dentro de una VPC
Crear una VIF
Configure customer gateway
BGP levanta, los prefijos son anunciados (solo públicos)
%BGP-5-ADJCHANGE: neighbor 203.50.24.5 Up
Anatomía de Direct Connect (continuación)
AWS Direct Connect
Point of Presence

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Anatomía de Direct Connect redundante
Customer Subnet
172.160.0.0/16
Doble
conectividad en el
centro de datos
local
La conectividad estándar que construimos anteriormenteVPC VGW
PoPs redundantes de Direct Connect
Otros servicios de AWS
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
VPC CIDR 10.1.0.0/16
Amazon SNS
Amazon SQS
Amazon SWF
Amazon SES
Amazon S3 Amazon DynamoDB
AWS Region - eg: US-WEST1
AWS LambdaAmazon Glacier

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Arquitecturas avanzadas

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
¿Como se ve el ruteo transitivo?
¿Puedo hacer algo para que este diseño no sea tan
acoplado?Usando un VPC de tránsito:
Advertencias:
• ECMP no soportado
• Puedes ser devuelto a VPN v1
perdiendo las capacidades de la
VPN v2
• El throughput de la VPN aplica
• Necesitamos escalabilidad en el
VGW
• Se necesita NAT en el FW
• pueden aplicar cargos cross-AZ
• El modelado no es statefull

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Sandwich de balanceadores de carga
Implementando firewalls en línea
El sandwich del balanceador de cargas:
• Funciona si hablamos de tráfico web. Y aún mejor si necesitamos un AWS WAF

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Auto Scaling
Group
Escalando el sandwich de balanceadores de
carga
CloudWatch
Custom Metrics
can trigger alarms
Time
VPN Users
Capacity
Time
Bandwidth
Capacity
Launch More
InstancesAmazon
CloudWatch

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
¿Cómo inicializas un firewall?
Simple Queue
Service
Route 53
Auto Scaling
Event
Auto Scaling
Group
Worker Node puts VPN
instance into service when
configured

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Direct
Connect
gateway
Una misma VIF puede ser conectada a varios VGWs
Y ahora: AWS Direct Connect
gateway
Centro de
datos local
PoP de Direct
Connect
Partner de DC
Service provider
network
VLAN BPrivate VIF

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Nota: los VPCs deben estar en la
misma cuenta de AWS
Private VIF
Cuenta 1
Centro de
datos local
PoP de Direct
Connect
Partner de DC
Service provider
network
VLAN B
Direct
Connect
gateway

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Nota: el direccionamiento de red
de los VPCs no debe traslaparseCuenta 1
10.1.0.0/16
10.2.0.0/16
10.3.0.0/16
Private VIF
Centro de
datos local
PoP de Direct
Connect
Partner de DC
Service provider
network
VLAN B
Direct
Connect
gateway

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Multiples VIFs conectadas al mismo
gateway, hasta 10
Multiples conexiones VGW/VPC al
mismo gateway, hasta 10
Las VIFs y los VGWs pueden
estar en cualquier región

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VIFs privados cross-región
On-premises
Direct Connect
PoP
Customer or
partner cage
Service provider
network
VLAN BPrivate VIF
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
Region 1
Region 2
Direct
Connect
gateway

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Hay algunas rutas no permitidas
Centro de
datos local
Direct Connect
PoP
Customer or
partner cage
Service provider
network
VLAN BPrivate VIF
X
X
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
10.1.1.0/16
10.1.2.0/16
10.1.3.0/16
Region 1
Region 2
Conexiones VPN
X
X
Direct Connect secundarios
VIF privado a VIF privado
VGW a VGW
VIF privado a VPN
Direct
Connect
gateway

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Material adicional
Sesiones de re:Invent
Otro dia, otro millón de paquetes.
https://www.youtube.com/watch?v=3qln2u1Vr2E
De uno a muchos. Evolucionando diseños de VPC.
https://www.youtube.com/watch?v=3Gv47NASmU4
Creando tu centro de datos virtual. Fundamentos de VPC y
opciones de conectividad.
https://www.youtube.com/watch?v=Ul2NsPNh9Ik

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Seguimiento
Whitepapers de AWS:
https://aws.amazon.com/whitepapers/
Arquitecturas de referencia:
https://aws.amazon.com/architecture/

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Gracias