Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS Summit Bogotá Track Avanzado: Virtual Private Cloud

673 views

Published on

Presentación del Track Avanzado del Summit de AWS en Bogotá: Virtual Private Cloud presentada en conjunto con Level3

Published in: Technology
  • Be the first to comment

  • Be the first to like this

AWS Summit Bogotá Track Avanzado: Virtual Private Cloud

  1. 1. BOGOTÁ
  2. 2. Virtual Private Cloud a Profundidad Ivan Salazar – Arquitecto de Soluciones, AWS Diego Noya – Product Manager, Level 3
  3. 3. Pláticas relacionadas – búsque los videos! •  ARC205 – VPC Fundamentals and Connectivity •  ARC401 – Black Belt Networking for Cloud Ninja –  Centrado en la aplicación; monitoreo, gestión, floating IPs •  ARC403 – From One to Many: Evolving VPC Design •  SDD302 – A Tale of One Thousand Instances –  Ejemplo de clientes con EC2-Classic adoptando VPC •  SDD419 – Amazon EC2 Networking Deep Dive –  Rendimiento de la red, placement groups, enhanced networking
  4. 4. aws vpc –-expert-mode
  5. 5. Temas de hoy
  6. 6. Opciones de redes virtuales EC2-Classic Comience de manera simple – todas las instancias tienen conexión a Internet, direcciones IP públicas y privadas asignadas automáticamente Grupos de seguridad tráfico de salida Default VPC Lo mejor de ambos Comience usando la experiencia EC2-Classic Cuando se requiera comience a usar cualquier función de VPC que necesite VPC Servicios avanzados de redes virtuales: ENIs y tablas de ruteo para múltiples IPs grupos de seguridad tráfico de salida NACLs conexiones privadas Enhanced Networking Y más...
  7. 7. Opciones de redes virtuales EC2-Classic Comience de manera simple – todas las instancias tienen conexión a Internet, direcciones IP públicas y privadas asignadas automáticamente Grupos de seguridad tráfico de salida Default VPC Lo mejor de ambos Comience usando la experiencia EC2-Classic Cuando se requiera comience a usar cualquier función de VPC que necesite VPC Servicios avanzados de redes virtuales: ENIs y tablas de ruteo para múltiples IPs grupos de seguridad tráfico de salida NACLs conexiones privadas Enhanced Networking Y más... Todas las cuentas creadas después del 4/12/2013 soportan únicamente VPC y tienen una VPC por defecto en cada región
  8. 8. Confirmando su VPC por defecto describe-account-attributes Únicamente VPC
  9. 9. Ruteo y conexiones privadas
  10. 10. Implementando una arquitectura híbrida Centro de datos corporativo
  11. 11. Crear una VPC aws ec2 create-vpc --cidr 10.10.0.0/16 aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.1.0/24 --a us-west-2a aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.2.0/24 --a us-west-2b Centro de datos corporativo
  12. 12. Crear una conexión VPN aws ec2 create-vpn-gateway --type ipsec.1 aws ec2 attach-vpn-gateway --vpn vgw-f9da06e7 --vpc vpc-c15180a4 aws ec2 create-customer-gateway --type ipsec.1 --public 54.64.1.2 --bgp 6500 aws ec2 create-vpn-connection --vpn vgw-f9da06e7 --cust cgw-f4d905ea --t ipsec.1 Centro de datos corporativo
  13. 13. Lanzar instancias aws ec2 run-instances --image ami-d636bde6 --sub subnet-d83d91bd --count 3 aws ec2 run-instances --image ami-d636bde6 --sub subnet-b734f6c0 --count 3 Centro de datos corporativo
  14. 14. Usar AWS Direct Connect aws directconnect create-connection --loc EqSE2 --b 1Gbps --conn My_First aws directconnect create-private-virtual-interface --conn dxcon-fgp13h2s --new virtualInterfaceName=Foo, vlan=10, asn=60, authKey=testing, amazonAddress=192.168.0.1/24, customerAddress=192.168.0.2/24, virtualGatewayId=vgw-f9da06e7 Centro de datos corporativo
  15. 15. Configurar la tabla de ruteo Centro de datos corporativo 192.168.0.0/16 aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id vgw-f9da06e7 Cada VPC cuenta con una tabal de ruteo al momento de crearse, usada por todas las subredes
  16. 16. Mejores prácticas para conectividad remota Centro de datos corporativo Zona de disponibilidad Zona de disponibilidad Cada conexión VPN consta de 2 túneles IPSec. Use BGP para recuperación en caso de falla.
  17. 17. BGP Un par de conexiones VPN (4 túneles IPSec en total) lo protege en caso de falla de su puerta de enlace. BGP Mejores prácticas para conectividad remota Zona de disponibilidad Zona de disponibilidad Centro de datos corporativo
  18. 18. Remote connectivity best practices BGP Conexiones redundantes de AWS Direct Connect con una VPN de respaldo Zona de disponibilidad Zona de disponibilidad Centro de datos corporativo
  19. 19. VPC con conectividad pública y privada Centro de datos corporativo 192.168.0.0/16 aws ec2 create-internet-gateway aws ec2 attach-internet-gateway --internet igw-5a1ae13f --vpc vpc-c15180a4 aws ec2 delete-route --ro rtb-ef36e58a --dest 0.0.0.0/0 aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f aws ec2 create-route --ro rtb-ef36e58a --dest 192.168.0.0/16 --gateway-id vgw-f9da06e7
  20. 20. Propagación automática de rutas del VGW aws ec2 delete-route --ro rtb-ef36e58a --dest 192.168.0.0/16 aws ec2 enable-vgw-route-propagation --ro rtb-ef36e58a --gateway-id vgw-f9da06e7 Utilizado para actualizar de manera automática la(s) tabla(s) de ruteo con las rutas presentes en el VGW Centro de datos corporativo 192.168.0.0/16
  21. 21. Aislando la conectividad por subred Corporativo 192.168.0.0/16 aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.3.0/24 --a us-west-2b aws ec2 create-route-table --vpc vpc-c15180a4 aws ec2 associate-route-table --ro rtb-fc61b299 --subnet subnet-60975a17 aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f Subred únicamente con conectividad a otras instancias y hacia Internet a través del IGW
  22. 22. # VPC A aws ec2 modify-network-interface-attribute --net eni-f832afcc --no-source-dest-check aws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc # VPC B aws ec2 modify-network-interface-attribute --net eni-9c1b693a --no-source-dest-check aws ec2 create-route --ro rtb-67a2b31c --dest 10.10.0.0/16 –-instance-id i-9c1b693a VPN de software para conexiones VPC-a-VPC
  23. 23. VPN de software entre estas instancias VPN de software para conexiones VPC-a-VPC
  24. 24. Habilitar la comunicación entre instancias en estas subredes; Agregar rutas a la tabla de ruteo por defecto VPN de software para conexiones VPC-a-VPC
  25. 25. Firewall de software hacia Internet Rutear todo el tráfico de las subredes hacia Internet a través del firewall es conceptualmente similar # Default routing table directs traffic to the NAT/firewall instance aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --instance-id i-f832afcc # Routing table for 10.10.3.0/24 directs to the Internet aws ec2 create-route --ro rtb-67a2b31c --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
  26. 26. Interconexión entre VPCs
  27. 27. Servicios compartidos VPC usando interconexión de VPC •  Servicios comunes/core –  Autenticación/directorio –  Monitoreo –  Registro de logs –  Gestión remota –  Escaneo
  28. 28. Proveé zonas de infraestructura •  Desarrollo: VPC B •  Pruebas: VPC C •  Producción: VPC D
  29. 29. Interconexiones VPC para conectividad VPC-a-VPC aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63 aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87 VPC A> aws ec2 create-route --ro rtb-ef36e58a --des 10.20.0.0/16 --vpc-peer pcx-ee56be87 VPC B> aws ec2 create-route --ro rtb-67a2b31c --des 10.10.0.0/16 --vpc-peer pcx-ee56be87 VPC A - 10.10.0.0/16 vpc-c15180a4 VPC B - 10.20.0.0/16 vpc-062dfc63
  30. 30. Interconexión VPC entre cuentas aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63 --peer-owner 472752909333 # In owner account 472752909333 aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87 VPC A - 10.10.0.0/16 vpc-c15180a4 VPC B - 10.20.0.0/16 vpc-062dfc63 Account ID 472752909333
  31. 31. Interconexión VPC – consideraciones adicionales •  Los grups de seguridad entre interconexiones no están soportados –  Alternativa: especifique reglas por CIDR •  Sin capacidad “en tránsito” para VPN, AWS Direct Connect, o VPCs terciarias –  Ejemplo: No se puede acceder a la VPC C desde la VPC A a través de la VPC B –  Alternativa: Crear una interconexión directa de la VPC A a la VPC C •  Los rangos de las direcciones de las VPC interconectadas no se pueden encimar –  Pero, se puede interconectar con 2 o más VPCs que se enciman entre sí –  Use subredes/tablas de ruteo para elegir la VPC a utilizar
  32. 32. Interconexión VPC con firewall de software VPC A - 10.10.0.0/16 VPC B - 10.20.0.0/16 # Default routing table directs Peer traffic to the NAT/firewall instance aws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc # Routing table for 10.10.3.0/24 directs to the Peering aws ec2 create-route --ro rtb-67a2b31c --dest 10.20.0.0/16 --vpc-peer pcx-ee56be87
  33. 33. Redes mejoradas
  34. 34. Latencia: Paquetes por segundo Instancia 1 Instancia 2 ...........
  35. 35. Procesamiento de paquetes en Amazon EC2: VIF Capa de virtualización eth0 eth1 Instancia NICs virtual NIC físico
  36. 36. Procesamiento de paquetes en Amazon EC2: SR-IOV eth0 Instancia VF Driver eth1 VF Capa de virtualización NIC físico
  37. 37. Latencia entre instancias
  38. 38. SR-IOV: Esto ya está activo? Puede ser! Para muchas AMIs nuevas, la red mejorada ya está activa: •  Las nuevas Amazon Linux AMIs •  Windows Server 2012 R2 AMI No hay necesidad de configurar
  39. 39. SR-IOV: Esto ya está activo? (Linux) No Si! [ec2-user@ip-10-0-3-70 ~] $ ethtool -i eth0 driver: vif version: firmware-version: bus-info: vif-0 … [ec2-user@ip-10-0-3-70 ~]$ ethtool -i eth0 driver: ixgbevf version: 2.14.2+amzn firmware-version: N/A bus-info: 0000:00:03.0 …
  40. 40. SRIOV: Esto ya está activo? (Windows) No Si!
  41. 41. AMI/instancias con soporte para SR-IOV •  Familias de instancias C3, C4, I2, D2, R3, M4 •  Virtualización HVM •  Versión de kernel requerida –  Linux: 2.6.32+ –  Windows: Server 2008 R2+ •  Driver VF apropiado –  Linux: ixgbevf 2.14.2+ module –  Windows: Intel® 82599 Virtual Function driver
  42. 42. Guía: Habilitando red mejorada (Amazon Linux) amzn-ami-hvm-2012.03.1.x86_64-ebs hvm
  43. 43. --attribute sriovNetSupport InstanceId i-37c5d1d9 Aún no! Guía: Habilitando red mejorada (Amazon Linux)
  44. 44. [ec2-user@ip-10-0-3-125 ~]$ sudo yum update Actualizar SO Guía: Habilitando red mejorada (Amazon Linux)
  45. 45. reboot-instances Reboot (Actualización de SO) Guía: Habilitando red mejorada (Amazon Linux)
  46. 46. Guía: Habilitando red mejorada (Windows)
  47. 47. Agregar al repositorio de drivers de Windows Guía: Habilitando red mejorada (Windows)
  48. 48. stop-instances Detener la instancia Guía: Habilitando red mejorada Instancias con volumen de arranque EBS
  49. 49. stop-instances --sriov-net-support simple Habilitar SRIOV No se puede deshacer Guía: Habilitando red mejorada Instancias con volumen de arranque EBS
  50. 50. start-instances Iniciar Guía: Habilitando red mejorada Instancias con volumen de arranque EBS
  51. 51. start-instances --attribute sriovNetSupport InstanceId i-37c5d1d9 Value simple Estamos listos! Guía: Habilitando red mejorada Instancias con volumen de arranque EBS
  52. 52. Level 3 Cloud Connect
  53. 53. Level 3 Cloud Connect •  Introducción •  Opciones de Conectividad •  Conclusión
  54. 54. Company Overview
  55. 55. Footprint http://maps.level3.com/default/
  56. 56. Cloud Connect Conectividad a los servicios de AWS a través de la red de Level 3.
  57. 57. Opciones de Conectividad
  58. 58. Parámetros de Performance Latencia Jitter Packet Loss Disponibilidad Seguridad
  59. 59. Opciones de Conectividad https://www.youtube.com/watch?v=mUCTwhjQNOI
  60. 60. DWDM Anchos  de  banda  desde  1  G   Servicios  no  Protegidos   Servicio  Transparente   Economías  de  Escala   Interconexión  de  DC   Interfaces: •  1 GigE, 2.5 G, 10 G, 40 G, 100 G •  FICON (1G, 2G, 4G, 8G) •  ESCON (1GbE & 10GbE) •  Fiber Channel (FC 1G, FC 2G, FC 4G, FC 8G and FC 10G)
  61. 61. Servicios Ethernet •  EVPL (Ethernet P2P /MPLS) •  EPL (Ethernet/SDH) •  VPLS (Ethernet MP2MP/MPLS) Ethernet E2E Anillo SDH Servicios  @po  LAN2LAN   R e q u i e r e   a d m i n i s t r a r   direcciones  IP.   SLA   para   jiIer,   latencia,   packet  drop.   6  Clases  de  Servicio   VPN  en  capa  2  sobre  MPLS   Cer@ficación  MEF   Servicio  Transparente   Asignación  está@ca  de  BW   Backbone  TDM  
  62. 62. MPLS IPVPN AWS Cloud Red  VPN  capa  3   Topología  Full  Mesh     6  Clases  de  Servicio   Ancho  de  banda  flexible   Facilidad  para  agregar   si@os   Solución  Full  Managed    
  63. 63. Conclusión Internet IPVPN EVPL/VPLS EPL DWDM Red pública compuesta por diferentes proveedores. Transporte best effort (jitter, packet loss) Requiere encriptado para mejorar seguridad. VPN capa 3 sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. Topología full mesh. 6 clases de servicio. Ethernet sobre MPLS. Ofrece SLA para jitter, latencia y packet loss. El cliente debe administrar direcciones IP. Punto a punto Ethernet sobre SDH. Transporte TDM, no conmutación de paquetes. Para usos específicos Anchos de banda > 1Gbps. Servicio no protegido. Longitud de onda de uso exclusivo.

×