Fundamentos de VPC y opciones de conectividad en el 2016 AWS Summit Buenos Aires

1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Felipe Garcia, Solutions Architect
Diego Noya, Regional Product Manager
Abril 2016
Creando su datacenter virtual
Fundamentos de VPC y opciones de conectividad

2. Instancia EC2

3. 172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
VPC

4. ¿Qué esperar de esta sesión?
• Familiarizarse con los conceptos de VPC
• Aprender a través de una configuración básica de VPC
• Aprender acerca de las maneras en que usted puede
adaptar su red virtual, para satisfacer sus necesidades

5. Tutorial: Configuración de una
VPC conectada a Internet

6. Creación de una VPC conectada a Internet :
Pasos
Eligiendo un rango
de direcciones
Creando subredes
en Availability
Zones
Creación de una
ruta a la Internet
Autorizando tráfico
a/desde la VPC

7. Eligiendo un rango de
direcciones

8. Revisión de la notación CIDR
Ejemplo de rango CIDR:
172.31.0.0/16
1010 1100 0001 1111 0000 0000 0000 0000

9. Eligiendo un rango de direcciones para su VPC
172.31.0.0/16
Recomendado:
RFC1918 range
Recomendado :
/16
(64K addresses)

10. Creando subnets en Availability
Zones

11. Eligiendo un rango de direcciones para su subred
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
eu-west-1a eu-west-1b eu-west-1c

12. Auto-asignar IP pública:
Todas las instancias obtendrán una IP pública asignada
automáticamente

13. Más sobre subredes
• Recomendado para la mayoría de los
clientes:
• / 16 VPC (64K direcciones)
• / 24 subredes (251 direcciones)
• Una subred por cada zona de
disponibilidad
• ¿Cuándo podría hacer otra cosa?

14. Creación de una ruta a Internet

15. Enrutamiento en la VPC
• Tablas de rutas contienen reglas para
decir para donde los paquetes van
• Su VPC tiene una tabla de ruta por
defecto
• ... Pero se pueden asignar diferentes
tablas de rutas a diferentes subredes

16. El tráfico destinado a mi
VPC se queda en mi VPC

17. Internet gateway
Enviar paquetes que si desea
enviar hacia Internet

18. Todo lo que no va hacia la VPC: Se envía
a Internet

19. Autorizando tráfico: Network
ACLs y Security Groups

20. Network ACLs = reglas de firewall sin Estado
Traducción a español: Permitir todo el
tráfico
Se puede aplicar sobre una subred

21. Los Security Groups siguen la estructura de su
aplicación
“MyWebServers” Security Group
“MyBackends” Security Group
Permitir sólo
“MyWebServers”

22. Security Groups = Firewall con estado
En español: Los miembros de este grupo son
accesibles desde Internet por el puerto 80 (HTTP)

23. Security Groups = Firewall con estado
En español: Únicamente instancias en el Security
Group MyWebServer, pueden alcanzar instancias
de este Segurity Group

24. Security Groups en VPCs: Notas adicionales
• VPC permite la creácion de reglas de seguridad de
ingreso y egreso
• Best practice: Siempre que sea posible, especifique por
referencia el trafico permitido (otros Security Groups)
• Muchas arquitecturas de aplicaciones tienen una
relación 1:1 con Security Groups (lo que puede llegar a
mi) y AWS Identity and Access Management (IAM) roles
(lo que puedo hacer)

25. Opciones de Conectividad de
una VPC

26. Más allá de la conectividad a Internet
Opciones de
enrutamiento en la
Subred
Conexión a la red
corporativa
Conexión a otras
VPCs

27. Enrutamiento en Subredes:
Subreds internas

28. Diferentes tablas de rutas para diferentes subredes
VPC subnet
VPC subnet
Tiene ruta a Internet
No tiene ninguna ruta a
Internet

29. El acceso a Internet a través de NAT con EC2
VPC subnet VPC subnet
NAT
0.0.0.0/0
0.0.0.0/0
Instancia EC2 con Imagen
(AMI) de NAT de Amazon:
amzn-ami-vpc-nat
SPoF

30. El acceso a Internet a través de NAT con NAT Gateway
VPC subnet VPC subnet
NAT
0.0.0.0/0
0.0.0.0/0
NAT Gateway altamente
disponible, por AWS

31. Conexión a otra VPC:
VPC peering

32. VPC de Servicios compartidos con VPC
Peering (Hub-and-Spoke)
Servicios Core
• Autenticación/Directorio
• Monitoreo
• Logging
• Administración Remota
• Scanning

33. VPC peering
VPC Peering
172.31.0.0/16 10.55.0.0/16

34. Pasos para establecer un VPC Peering: Iniciar
solicitud
172.31.0.0/16 10.55.0.0/16
Step 1
Initiate peering request

35. Pasos para establecer un VPC Peering: Iniciar
solicitud

36. Pasos para establecer un VPC Peering: Aceptar la
solicitud
172.31.0.0/16 10.55.0.0/16
Step 1
Iniciar solicitud
Step 2
Aceptar solicitud

37. Pasos para establecer un VPC Peering: Aceptar la solicitud

38. Pasos para establecer un VPC Peering: Crear ruta
172.31.0.0/16 10.55.0.0/16Step 1
Initiate peering request
Step 2
Accept peering request
Step 3
Crear Rutas
En español: Tráfico destinado a la
preered VPC deberá ir por el peering

39. Conectando a su red:
AWS Hardware VPN &
AWS Direct Connect

40. Extender su propia red a la VPC
VPN
Direct Connect

41. VPN: Lo que necesitas saber
Customer
Gateway
(CGW)
Virtual Gateway
(VGW)
Dos túneles IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
Su dispositivo de Red

42. Enrutando a un Virtual Private Gateway (VGW)
En español: Tráfico a mi red
192.168.0.0/16 sale por el túnel VPN

43. VPN vs. Direct Connect
• Ambos permiten conexiones seguras
entre su red y su VPC
• VPN és un par de túneles a través de
Internet
• Direct Connect es una línea dedicada
con un mejor costo por GB
• Para mayor alta disponibilidad: Use
ambos

44. DNS en la VPC

45. Opciones de DNS en la VPC
Utilizar el servidor DNS de
Amazon
Hostname automático para
las instâncias EC2

46. EC2 DNS hostnames de EC2 en la VPC
Nombre DNS interno: Resuelve
a la dirección IP Privada
Nombre DNS externo: Resuelve…

47. EC2 DNS hostnames de EC2 trabajan desde
cualquier parte: Fuera de su VPC
C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Server: globaldnsanycast.amazon.com
Address: 10.4.4.10
Non-authoritative answer:
Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Address: 52.18.10.57
Fuera de su VPC:
Dirección IP Pública

48. EC2 DNS hostnames de EC2 trabajan desde
cualquier parte: Dentro de su VPC
[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A
;; ANSWER SECTION:
ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 22:32:56 2015
;; MSG SIZE rcvd: 81
Dentro de su VPC:
Dirección IP Privada

49. Amazon Route 53 zonas privadas
• La resolución de DNS para un dominio y
subdominios
• Los registros DNS sólo tienen efecto
dentro de las VPC asociadas
• Puede utilizarlo para anular registros DNS
"externos"

50. Creando una zona privada en Route 53
Zona Privada
Asociado con uno o
más VPCs

51. Creando un registro DNS en Amazon Route 53
Private Hosted
Zone
example.demohostedzone.org 
172.31.0.99

52. Consulta de registros en zonas privadas
https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/
[ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;example.demohostedzone.org. IN A
;; ANSWER SECTION:
example.demohostedzone.org. 60 IN A 172.31.0.99
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 00:13:33 2015
;; MSG SIZE rcvd: 60

53. Y mucho más

54. VPC Flow Logs: Vea todo el tráfico
• La visibilidad de los efectos
de las reglas de Security
Group
• Solución de problemas de
conectividad de red
• Capacidad para analizar el
tráfico

55. Amazon VPC endpoints: Amazon S3 sin
un Internet gateway

56. ClassicLink: Conectar instancias de EC2-
Classic a su VPC
• Conectividad a través de la dirección
IP privada de instancias vinculadas
entre EC2-Classic y VPC
• Instancias EC2-Classic pueden
ingresar en Security Groups de la
VPC

57. Maneje su red “like a boss…”
…si eres o no un experto en redes
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4

58. Level 3

59. Acerca de Level 3

60. Level 3 LATAM

61. Level 3 Argentina

62. Sin una estrategia de red, no hay una estrategia de Nube

63. Red Pública vs Red Privada
https://www.youtube.com/watch?v=mUCTwhjQNOI

64. Level 3 Cloud Connect
US East
(Virginia)
US West
(N.
California)
US West
(Oregon)
EU West
Ireland
Sao Paulo Singapore Tokio Sydney

65. Level 3 Cloud Connect
Cloud Connect IPVPN
• Conectividad Full Mesh
• Flexibilidad para crecimiento
• Instalación simple y competitiva para
cliente existente
• Valor agregado a IPVPN
• Permite ofrecer más servicios a
clientes nuevos
• Aplicaciones en la nube
Cloud Connect EVPL
• Conectividad P2P
• Configuración de cliente
simple
• Conexión de un DC a la
nube (nube híbrida)
NNI
NNI

66. Opciones de Conectividad
Internet IPVPN EVPL/VPLS PL/EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte best
effort (jitter,
packet loss)
Requiere
encriptado para
mejorar
seguridad.
VPN capa 3
sobre MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
Topología full
mesh.
6 clases de
servicio.
Ethernet sobre
MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
El cliente debe
administrar
direcciones IP.
Punto a punto
transparente.
Transporte
TDM, no
conmutación
de paquetes.
Para usos
específicos
Anchos de
banda >
1Gbps.
Servicio no
protegido.
Longitud de
onda de uso
exclusivo.

67. Performance = Productividad

68. Gracias!