4. ¿Qué esperar de esta sesión?
• Familiarizarse con los conceptos de VPC
• Aprender a través de una configuración básica de VPC
• Aprender acerca de las maneras en que usted puede
adaptar su red virtual, para satisfacer sus necesidades
6. Creación de una VPC conectada a Internet :
Pasos
Eligiendo un rango
de direcciones
Creando subredes
en Availability
Zones
Creación de una
ruta a la Internet
Autorizando tráfico
a/desde la VPC
11. Eligiendo un rango de direcciones para su subred
172.31.0.0/16
Availability Zone Availability Zone Availability Zone
VPC subnet VPC subnet VPC subnet
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
eu-west-1a eu-west-1b eu-west-1c
13. Más sobre subredes
• Recomendado para la mayoría de los
clientes:
• / 16 VPC (64K direcciones)
• / 24 subredes (251 direcciones)
• Una subred por cada zona de
disponibilidad
• ¿Cuándo podría hacer otra cosa?
15. Enrutamiento en la VPC
• Tablas de rutas contienen reglas para
decir para donde los paquetes van
• Su VPC tiene una tabla de ruta por
defecto
• ... Pero se pueden asignar diferentes
tablas de rutas a diferentes subredes
20. Network ACLs = reglas de firewall sin Estado
Traducción a español: Permitir todo el
tráfico
Se puede aplicar sobre una subred
21. Los Security Groups siguen la estructura de su
aplicación
“MyWebServers” Security Group
“MyBackends” Security Group
Permitir sólo
“MyWebServers”
22. Security Groups = Firewall con estado
En español: Los miembros de este grupo son
accesibles desde Internet por el puerto 80 (HTTP)
23. Security Groups = Firewall con estado
En español: Únicamente instancias en el Security
Group MyWebServer, pueden alcanzar instancias
de este Segurity Group
24. Security Groups en VPCs: Notas adicionales
• VPC permite la creácion de reglas de seguridad de
ingreso y egreso
• Best practice: Siempre que sea posible, especifique por
referencia el trafico permitido (otros Security Groups)
• Muchas arquitecturas de aplicaciones tienen una
relación 1:1 con Security Groups (lo que puede llegar a
mi) y AWS Identity and Access Management (IAM) roles
(lo que puedo hacer)
28. Diferentes tablas de rutas para diferentes subredes
VPC subnet
VPC subnet
Tiene ruta a Internet
No tiene ninguna ruta a
Internet
29. El acceso a Internet a través de NAT con EC2
VPC subnet VPC subnet
NAT
0.0.0.0/0
0.0.0.0/0
Instancia EC2 con Imagen
(AMI) de NAT de Amazon:
amzn-ami-vpc-nat
SPoF
30. El acceso a Internet a través de NAT con NAT Gateway
VPC subnet VPC subnet
NAT
0.0.0.0/0
0.0.0.0/0
NAT Gateway altamente
disponible, por AWS
38. Pasos para establecer un VPC Peering: Crear ruta
172.31.0.0/16 10.55.0.0/16Step 1
Initiate peering request
Step 2
Accept peering request
Step 3
Crear Rutas
En español: Tráfico destinado a la
preered VPC deberá ir por el peering
41. VPN: Lo que necesitas saber
Customer
Gateway
(CGW)
Virtual Gateway
(VGW)
Dos túneles IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
Su dispositivo de Red
42. Enrutando a un Virtual Private Gateway (VGW)
En español: Tráfico a mi red
192.168.0.0/16 sale por el túnel VPN
43. VPN vs. Direct Connect
• Ambos permiten conexiones seguras
entre su red y su VPC
• VPN és un par de túneles a través de
Internet
• Direct Connect es una línea dedicada
con un mejor costo por GB
• Para mayor alta disponibilidad: Use
ambos
45. Opciones de DNS en la VPC
Utilizar el servidor DNS de
Amazon
Hostname automático para
las instâncias EC2
46. EC2 DNS hostnames de EC2 en la VPC
Nombre DNS interno: Resuelve
a la dirección IP Privada
Nombre DNS externo: Resuelve…
47. EC2 DNS hostnames de EC2 trabajan desde
cualquier parte: Fuera de su VPC
C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Server: globaldnsanycast.amazon.com
Address: 10.4.4.10
Non-authoritative answer:
Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Address: 52.18.10.57
Fuera de su VPC:
Dirección IP Pública
48. EC2 DNS hostnames de EC2 trabajan desde
cualquier parte: Dentro de su VPC
[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A
;; ANSWER SECTION:
ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 22:32:56 2015
;; MSG SIZE rcvd: 81
Dentro de su VPC:
Dirección IP Privada
49. Amazon Route 53 zonas privadas
• La resolución de DNS para un dominio y
subdominios
• Los registros DNS sólo tienen efecto
dentro de las VPC asociadas
• Puede utilizarlo para anular registros DNS
"externos"
50. Creando una zona privada en Route 53
Zona Privada
Asociado con uno o
más VPCs
51. Creando un registro DNS en Amazon Route 53
Private Hosted
Zone
example.demohostedzone.org
172.31.0.99
52. Consulta de registros en zonas privadas
https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/
[ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;example.demohostedzone.org. IN A
;; ANSWER SECTION:
example.demohostedzone.org. 60 IN A 172.31.0.99
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 00:13:33 2015
;; MSG SIZE rcvd: 60
54. VPC Flow Logs: Vea todo el tráfico
• La visibilidad de los efectos
de las reglas de Security
Group
• Solución de problemas de
conectividad de red
• Capacidad para analizar el
tráfico
56. ClassicLink: Conectar instancias de EC2-
Classic a su VPC
• Conectividad a través de la dirección
IP privada de instancias vinculadas
entre EC2-Classic y VPC
• Instancias EC2-Classic pueden
ingresar en Security Groups de la
VPC
57. Maneje su red “like a boss…”
…si eres o no un experto en redes
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4
63. Red Pública vs Red Privada
https://www.youtube.com/watch?v=mUCTwhjQNOI
64. Level 3 Cloud Connect
US East
(Virginia)
US West
(N.
California)
US West
(Oregon)
EU West
Ireland
Sao Paulo Singapore Tokio Sydney
65. Level 3 Cloud Connect
Cloud Connect IPVPN
• Conectividad Full Mesh
• Flexibilidad para crecimiento
• Instalación simple y competitiva para
cliente existente
• Valor agregado a IPVPN
• Permite ofrecer más servicios a
clientes nuevos
• Aplicaciones en la nube
Cloud Connect EVPL
• Conectividad P2P
• Configuración de cliente
simple
• Conexión de un DC a la
nube (nube híbrida)
NNI
NNI
66. Opciones de Conectividad
Internet IPVPN EVPL/VPLS PL/EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte best
effort (jitter,
packet loss)
Requiere
encriptado para
mejorar
seguridad.
VPN capa 3
sobre MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
Topología full
mesh.
6 clases de
servicio.
Ethernet sobre
MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
El cliente debe
administrar
direcciones IP.
Punto a punto
transparente.
Transporte
TDM, no
conmutación
de paquetes.
Para usos
específicos
Anchos de
banda >
1Gbps.
Servicio no
protegido.
Longitud de
onda de uso
exclusivo.