Amazon VPC (Virtual Private Cloud) é a forma lógica de organização de rede na AWS. Nessa sessão, abordaremos os fundamentos desse serviço, assim como, aspectos de conectividadade com a AWS.
2. O que é esperado nessa sessão?
• Overview/conceitos de VPC;
• Setup básico de VPC;
• Conectividade com ambiente on-premises;
• Monitoramento do tráfego VPC;
• Caso da utilização da TV Globo;
3. E então, o que é VPC?
• VPC – Virtual Private Cloud;
• Isolamento lógico de rede;
• Permite a segregação de redes (Público e Privada);
• Serviço de escopo de região;
• Permite a escolha do seu proprio range de Ips;
• Provê conexão com infraestrutura on-premises;
11. Configurar ranges de IP address para sua
subnet
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
sa-east-1a sa-east-1b sa-east-1c
15. Rotas na sua VPC
• Tabelas de rotas possuem regras por
onde os pacotes trafegarão;
• Sua VPC possui tabela de rotas padrão;
• … você pode designar tabelas de rotas
diferentes para subnets diferentes.
40. VPN vs DirectConnect
• Ambos permitem conexão segura entre sua
rede e VPC;
• VPN é um par de túnel IPSec que trafegará
na Internet;
• DirectConnect é conexão dedicada e
latência controlada;
• Para workloads de alta disponibilidade:
Utilizar ambos
41. VPN: O que você precisa saber
Customer
Gateway
Virtual
Gateway
Dois tuneis IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
Seu device de rede
42. Rotas para o Virtual Private Gateway
Trafego para rede 192.168.0.0/16 irá
pelo túnel
45. EC2 DNS Hostnames in a VPC
Internal DNS hostname:
Resolve nome para IP Privado
External DNS name: Resolve para…
46. EC2 DNS Hostnames fora da VPC
C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Non-authoritative answer:
Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Address: 52.18.10.57
Fora da sua VPC:
IP público
47. EC2 DNS Hostnames dentro da VPC
[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A
;; ANSWER SECTION:
ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 22:32:56 2015
;; MSG SIZE rcvd: 81
Dentro da sua VPC:
IP Privado
48. Route53 Private Hosted Zones
• Controla resolução de nomes para domínio e
subdominios;
• Entradas de DNS tem validade somente dentro
de uma VPC específica;
• Pode ser utilizado para sobrepor DNS externo.
49. Criando zona privada no Route53
Private Hosted Zone
Associando com
uma ou mais VPCs
50. Criando uma entrada de DNS Route53
Private Hosted
Zone
example.demohostedzone.org
172.31.0.99
51. Querying Private Hosted Zone Records
https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/
[ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;example.demohostedzone.org. IN A
;; ANSWER SECTION:
example.demohostedzone.org. 60 IN A 172.31.0.99
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 00:13:33 2015
;; MSG SIZE rcvd: 60
52. VPC Flow Logs: Analise seu tráfego
Visibilidade da aplicabilidade
do Security Group;
Fazer troubleshooting de
conectividade de rede;
Possibilidade de analizar
tráfego.
55. “A oferta de serviços AWS nos possibilitou
criar um ambiente dinâmico que se encaixa
naturalmente em nossa arquitetura”
Maior rede de televisão do Brasil e
uma das maiores do mundo, a Globo
está presente em quase todo o
território nacional, através de 124
emissoras, incluindo as Afiliadas, e em
mais de 100 países, por meio da Globo
Internacional.
Com nosso talento de criar, produzir e
exibir programas que informem,
divirtam e eduquem, temos uma
importante contribuição para construir
uma sociedade ainda melhor.
“Qualidade e Inovação
fazem parte do DNA da
TV Globo. Com o apoio
da AWS criamos um
ambiente DINÂMICO,
ESTÁVEL e eficiente
em CUSTOS.”
- Carlos Octávio, Diretor
de Tecnologia e
Arquitetura
56. O Desafio
Criar novo ambiente de desenvolvimento
com gestão simplificada, flexível e
consumido sob demanda.
Focar na eficiência do consumo de
recursos e automatização do backend.
Respeitar a política de segurança e
aproveitar serviços integrados ao
ambiente interno da TV.