Creando su Datacenter Virtual: Fundamentos de VPC y opciones de conectividad

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Mayo 2016

Fundamentos de VPC y opciones de conectividad

Ivan Salazar, Enterprise Solutions Architect AWS

EC2 Instance

172.31.0.128

172.31.0.129

172.31.1.24

172.31.1.27

54.4.5.6

54.2.3.4

VPC

What to Expect from the Session

•  Familiarizarse con los conceptos de VPC •  Tutorial de una configuración básica de VPC •  Aprenda acerca de las diferentes maneras con

las cuales usted puede personalizar su red virtual para cumplir sus necesidades

¿Qué esperar de la sesión?

Tutorial: Configurar una VPC conectada a Internet

Creando una VPC conectada a Internet: Pasos

Seleccionar un rango de

direcciones

Configurar las subredes en Zonas de Disponibilidad

Crear una ruta hacia Internet

Autorizar el tráfico hacia/desde la VPC

Seleccionar un rango de direcciones

Notación CIDR

Ejemplo de rango CIDR:

172.31.0.0/1610101100000111110000000000000000

Seleccionar rangos de direcciones IP para la VPC

172.31.0.0/16

Recomendado: Rango RFC1918

Recomendado: /16

(64K addresses)

Configurar subredes

Seleccione rangos de direcciones para subredes

172.31.0.0/16

Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet VPC subnet

172.31.0.0/24 172.31.1.0/24 172.31.2.0/24

eu-west-1a eu-west-1b eu-west-1c

Auto-assign Public IP: Todas las instancias obtendrán una dirección IP pública asignada de manera automática

Más acerca de las subredes

•  Recomendado para la mayoría de los clientes: •  /16 VPC (64K direcciones) •  /24 subredes (251 direcciones) •  Una subred por Zona de Disponibilidad

•  Cuándo debe hacer algo diferente?

Crear una ruta hacia Internet

Ruteo en su VPC

•  Las tablas de ruteo contienen reglas para qué paquetes van a dónde

•  Su VPC tiene una tabla de ruteo por defecto •  … pero usted puede asignar diferentes tablas

de ruteo a diferentes subredes

El tráfico destinado para my VPC sequeda en mi VPC

Internet gateway

Mande los paquetes aquí si quiere que salgan a Internet

Todo lo que no está destinado a la VPC: Mandarlo a Internet

Autorizar el tráfico: Network ACLs Grupos de seguridad

Network ACLs = reglas sin estado de firewall

Traducción: Permite TODO el tráfico de entrada

Se pueden aplicar por subred

Los grupos de seguridad siguen la estructura de su aplicacón

“MyWebServers” Security Group

“MyBackends” Security Group

Sólo permite a “MyWebServers”

Grupos de seguridad = firewall con estado

En español: Los hosts de este grupo son alcanzables desde internet en el puerto 80 (HTTP)

En español: Sólo las instancias en el grupo de seguridad MyWebServers pueden alcanzar instancias en este grupo de seguridad

Grupos de seguridad = firewall con estado

Grupos de seguridad en VPCs: Notas

•  Las VPC permiten la creación de reglas de grupos de seguridad tanto de ingreso como de egreso

•  Mejores prácticas: Cuando sea posible, especifique tráfico permitido por referencia (otros grupos de seguridad)

•  Muchas arquitecturas de aplicaciones los lleva a sí mismos a una relación 1:1 entre grupos de seguridad (quién me puede alcanzar) y roles de AWS Identity and Access Management IAM (qué puedo hacer).

Opciones de conectividad para VPCs

Más allá de la conexión a Internet

Opciones de ruteo en subredes

Connexión a la red de su centro de datos

corporativo

Connexión a otras VPC

Ruteo en subredes: Subredes internas

Diferentes tablas de ruteo para diferentes subredes

VPC subnet

VPC subnet

Tiene ruta hacia Internet

No tiene ruta hacia Internet

Acceso por NAT a Internet

VPC subnet VPC subnet

NAT 0.0.

0.0/

0

0.0.0.0/0

Imagen de instancia NAT de Amazon: amzn-ami-vpc-nat

Conexión a otras VPCs: VPC peering

Servicios compartidos: VPC peering

Servicios comúnes/core •  Autenticación/directorio •  Monitoreo •  Logueo •  Administración remota •  Escaneo

VPC peering

VPC Peering

172.31.0.0/16 10.55.0.0/16

Pasos para establecer conexión: Iniciar Solicitud

172.31.0.0/16 10.55.0.0/16

Paso 1

Iniciar solicitud de peering

Pasos para establecer conexión: Iniciar Solicitud

Pasos para establecer conexión: Aceptar la solicitud

172.31.0.0/16 10.55.0.0/16

Paso 1

Iniciar solicitud de peering

Paso 2

Aceptar la solicitu de peering

Pasos para establecer conexión: Aceptar la solicitud

Pasos para establecer conexión: Crear ruta

172.31.0.0/16 10.55.0.0/16 Paso 1

Iniciar la solicitud de peering

Paso 2

Aceptar la solicitud de peering

Paso 3

Crear ruta

En español: El tráfico destinado para VPC interconectada debe de ir al peering

Conexión a su Red: AWS VPN de Hardware & AWS Direct Connect

Extienda su propia red a su VPC

VPN

Direct Connect

VPN: Lo que necesita saber

Customer Gateway

Virtual Gateway

Dos túneles IPSec

192.168.0.0/16 172.31.0.0/16

192.168/16

Su dispositivo de red

Ruteo a un virtual private gateway (VPG)

En español: El tráfico a mi red 192.168.0.0/16 va a través del túnel VPN

VPN vs. Direct Connect

•  Ambas son conexiones seguras entre su red y su VPC

•  VPN consiste de un par de túneles sobre Internet

•  Direct Connect es un enlace dedicado con baja tarifa por transferencia de datos

•  Para alta disponibilidad: Use ambos

DNS dentro de una VPC

Opciones de DNS en la VPC

Use el servidor de DNS de Amazon

Haga que EC2 auto-asigne nombres de DNS a las instances

EC2 DNS hostnames in a VPC

Nombre de dominio interno: Resuelve a la dirección IP privada

Nombre de DNS externo: Resuelve a…

Los nombre de dominio DNS en EC2 funcionan desde cualquier lugar: Fuera de su VPC C:\>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Server: globaldnsanycast.amazon.com Address: 10.4.4.10 Non-authoritative answer: Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Address: 52.18.10.57

Fuera de su VPC: Dirección IP pública

Los nombre de dominio DNS en EC2 funcionan desde cualquier lugar: Dentro de su VPC [ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A ;; ANSWER SECTION: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 22:32:56 2015 ;; MSG SIZE rcvd: 81

Dentro de su VPC: Dirección IP privada

Amazon Route 53 y hosted zones privadas

•  Control de la resolución DNS para un dominio y subdominios

•  Los registros de DNS toman efecto sólo dentro de las VPCs asociadas

•  Se pueden usar para anular registros DNS en “el exterior”

Crer una Amazon Route 53 hosted zone privada

Hosted Zone Privada

Associada con una o más VPCs

Crear un registro DNS de Amazon Route 53

Private Hosted Zone example.demohostedzone.org à

172.31.0.99

Consultando registros hosted zone

https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/ [ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;example.demohostedzone.org. IN A ;; ANSWER SECTION: example.demohostedzone.org. 60 IN A 172.31.0.99 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 00:13:33 2015 ;; MSG SIZE rcvd: 60

Y mucho, mucho más…

VPC Flow Logs: Observe todo su tráfico

•  Visibilidad en actividad de grupos de seguridad

•  Resolución de problemas de conectividad

•  Habilidad de analizar el tráfico

Amazon VPC endpoints: Amazon S3 sin un gateway de Internet

ClassicLink: Conectar instancias en EC2-Classic a su VPC

•  Conectividad para direcciones IP privadas entre instancias vinculadas en EC2-Classic and VPC

•  Las instancias en Classic pueden tomar propiedad en los grupos de seguridad de VPC

Administre su red como un maestro..

… sin importar si es o no un experto en redes

172.31.0.128

172.31.0.129

172.31.1.24

172.31.1.27

54.4.5.6

54.2.3.4

Gracias!