#GlobalAzure
@CAT_zure
Enredando nubes
Sergi Morales
• CTO & Founder Expertos en TI, SL
Colabora
Local Sponsors
Global sponsors
π
Mi MVP
■Aplicación para gestionar regalos, Wishlist eCommerce agnostic.
■Todo con microservicios, Functions, etc…
■Tratamos datos personales de nivel alto
■Integramos con múltiples fuentes (FB, Google, Amazon, eBay, etc…)
■Para liarla, damos opción que nos den la VISA para gastar
■Al ser UGC, queremos DR fuera del proveedor (Azure -> “otro”)
■Presupuesto controlado
Sysadmins? IT? Almacenamiento? Servidores?
Qué nos queda?
■Arquitecto/Desarrollador/PO
■“Comerciales”
■DevOps
■Legislación/Regulación
■Redes?
■Tenemos integración de varios proveedores
■Todo lleno de cosas hablando entre ellas
■Sacamos datos fuera de la región y proveedor, egress carooooo
Mi MVP: Requerimientos
■Datos sensibles fuera de proveedor USA (que me lo pidan a mi)
■Vamos a permitir RTC entre los amigos con grabación (egress +
storage)
■Microservicios/Functions en múltiples regiones (HA mismo proveedor)
■DR en otro proveedor, solo datos (BD+UGC)
■Coste razonable
Mi MVP: Posible arquitectura
■Datos sensibles en HW mío, o me lo piden o no lo tienen
■Sistema de sincronización a otra región (A/A) y proveedor (A/P)
■Elasticidad y desbordamiento a nube pública
■Entorno 24x7 activado, en HW dedicado
Mi MVP: Posible solución
π
Ventajas: Coste
Ventajas: Coste
■Es un enlace dedicado entre Cliente y VNet
■Azure se compromete a >99.95% de disponibilidad y rendimiento adecuado al compromiso (de 50 Mb/s a 10Gb/s por circuito)
■Seguridad: Es igual de segura que la VNet, si no es suficiente, IPSec de Host a Host
■Rendimiento: Opciones de QoS, para voz u otros servicios
■Conexión a la Azure privado, Azure público o a SaaS Microsoft (Office365, Dynamics, etc…)
■Alta disponibilidad, 2 circuitos, routing dinámico (BGP)
Ventajas: Latencia, jitter y seguridad
https://docs.microsoft.com/en-us/azure/expressroute/expressroute-locations-providers
Configuración: Escoger sitio/proveedor
Location Service Providers
Amsterdam Aryaka Networks, AT&T NetBond, British Telecom, Colt, Equinix, euNetworks, GÉANT, InterCloud, Internet Solutions - Cloud Connect, Interxion, KPN, Level 3 Communications, Orange, Tata Communications, TeleCity Group, Telefonica+, Telenor, Verizon
Dublin Colt, Telecity Group
London AT&T NetBond, British Telecom, Colt, Equinix, InterCloud, Internet Solutions - Cloud Connect, Interxion, Jisc, Level 3 Communications, MTN, NTT Communications, Orange, Tata Communications, Telecity Group, Telehouse - KDDI, Telenor, Verizon, Vodafone, Zayo Group+
Paris Interxion, Equinix+
Configuración: usando Equinix
■Pedimos 1 rack con su electricidad
■Algo de Internet/MPLS para llegar
■Ponemos nuestros cacharros
■Servicio CloudExchange con 2 puertos (1 o 10Gb/s)■Opción de pagar por cada Circuito
■Opción de mete tantos Circuitos como puedas
■Para ancho de banda >1Gb/s mejor cable dedicado
Configuración: Requerimientos
■Plan de direccionamiento pensado. On-Premises y Cloud no solapan
■Dos routers con capacidad de hablar BGP4 (en la demo son VM)
■Switches/Routers con capacidad de VLAN (Dot1Q)
■Equipamiento dimensionado para el tipo de circuito
■Cuenta en Azure…
■Estar en la región que interesa
Básicamente, sentido común
“Demo”: Requerimientos
■Creamos una VNet con un Address Space > Subnet
■Nos hará falta para una Gateway Subnet
“Demo”: VirtualGW
■Tarda unos 20-30 minutos
■Un VirtualGateway de tipo ER para cada VNet a vincular
ERGateway
throughput (up to)
VPN Gateway and
ER coexist
Standard SKU 1000 Mbps Yes
High
Performance2000 Mbps Yes
Ultra
Performance9000 Mbps Yes
“Demo”: ExpressRoute
■Escogemos proveedor
“Demo”: ExpressRoute
■Escogemos proveedor
■Ubicación
“Demo”: ExpressRoute
■Escogemos proveedor
■Ubicación
■Ancho de banda (upgrade fácil)
■Standard/Premium
■Metered/Unlimited
■Ubicación
“Demo”: ExpressRoute @ Azure
■Escogemos proveedor
■Ubicación
■Ancho de banda (upgrade fácil)
■Standard/Premium
■Metered/Unlimited
■Ubicación
“Demo”: ExpressRoute @ Equinix
“Demo”: ExpressRoute @ Equinix
“Demo”: ExpressRoute @ Equinix
■Le damos nombre
■Indicamos por qué VLAN y puertos
■Le pasamos la ServiceKey que nos ha dado el paso anterior en Azure
“Demo”: ExpressRoute @ Equinix
■Habla con Azure y sabe el ancho de banda
■Equinix factura 200 o 500 Mb/s
“Demo”: ExpressRoute @ Equinix
■Equinix terminado
■En Azure ya se nos muestraprovisionado
“Demo”: ExpressRoute @ Azure
■Indicamos VLAN
■Direccionamiento para losBGP, la IP impar nosotros, la IP par, Azure
■Esperamos unos 15 min y nuestros equipos ya podránpingar a los de Azure
■Hemos usado nuestro ASN, se puede usar uno privado
“Demo”: ExpressRoute @ Nosotros
■Instancia BGP vinculada a la VLAN que le hemos dicho
■La red de Azure serápingable, sino repasar
■Configuramos nuestro BGP
■10.1.0.0/24 és nuestra on-premises
64 bytes from 172.17.255.2: icmp_seq=220 ttl=255 time=0.533 ms64 bytes from 172.17.255.2: icmp_seq=221 ttl=255 time=0.329 ms64 bytes from 172.17.255.2: icmp_seq=222 ttl=255 time=0.314 ms
----------------------------------
router bgp 48305bgp router-id 172.17.255.1bgp log-neighbor-changesnetwork 10.1.0.0/24neighbor 172.17.255.2 remote-as 12076neighbor 172.17.255.2 password AzureBootCampBCN2017
!
“Demo”: ExpressRoute @ Azure
■Vinculamos ER al VGW
■Connections -> Add
“Demo”: ExpressRoute @ Azure
■Vinculamos ER al VGW
■Esperamos un rato y ya podemos acceder a VMs en Azure desde on-premises
“Demo”: ExpressRoute @ Azure
■Vinculamos ER al VGW
■Esperamos un rato y ya podemos acceder a VMs en Azure
“Demo”: ExpressRoute @ Azure
■Vinculamos ER al VGW
■Esperamos un rato y ya podemos acceder a VMs en Azure
“Demo”: ExpressRoute @ Azure
■Podemos tener varias VNet vinculadas en la misma georegion con Std o a casi todas con Premium
■Desde on-premises a región Azure local (UK Slough -> UK London)PING 172.16.254.4 (172.16.254.4) 56(84) bytes of data.64 bytes from 172.16.254.4: icmp_seq=1 ttl=62 time=2.19 ms64 bytes from 172.16.254.4: icmp_seq=2 ttl=62 time=2.23 ms
■Desde on-premises a región Azure remota (UK Slough -> EU West)PING 172.16.252.4 (172.16.252.4) 56(84) bytes of data.64 bytes from 172.16.252.4: icmp_seq=1 ttl=62 time=9.36 ms64 bytes from 172.16.252.4: icmp_seq=2 ttl=62 time=9.19 ms
■Desde región Azure local a on-premises (UK London -> UK Slough)PING 10.1.0.226 (10.1.0.226) 56(84) bytes of data.64 bytes from 10.1.0.226: icmp_seq=1 ttl=61 time=2.31 ms64 bytes from 10.1.0.226: icmp_seq=2 ttl=61 time=2.35 ms
■Desde región Azure local a remota (UK London -> EU West)PING 172.16.252.4 (172.16.252.4) 56(84) bytes of data.64 bytes from 172.16.252.4: icmp_seq=1 ttl=62 time=10.0 ms64 bytes from 172.16.252.4: icmp_seq=2 ttl=62 time=10.4 ms
“Demo”: Pings y parecido
El tráfico se va
■Tenemos 2 ER, uno para US West y otro en US East
■El enrutado en VNets locales se nos va por el camino no óptimo
El tráfico se va
■Damos más peso a la ruta local y ya tira por defecto por aquí
π
Colabora
Local Sponsors
Thanks!