Architektura hybrydowa, to najczęściej przyjmowany model w dużych firmach. Bez względu na charakter rozwiązania opartego o chmurę publiczną oraz własne data center, bardzo ważną kwestią pozostaje spięcie ze sobą tych dwóch środowisk. Podczas mojej prezentacji pokaże Wam różne modele architektury hybrydowej. Na przykładzie AWS, przyjrzymy się dokładniej jak wygląda konfiguracja oraz czym charakteryzują się usługi VPN i Direct Connect.

1. Model Hybrydowy
Jak połączyć własne Data Center z chmurą publiczną
AWS.
Łukasz Dorosz
@mrdoro

2. Łukasz Dorosz
Presales Engineer w Integrated Solutions
O mnie
• 12 lat w branży IT
• System Administrator
• Network Engineer
• Public Cloud User Group
• Fan wszystkiego as a Service
• Prelegent (PLNOG, CloudCommunity, Cisco Forum)
• https://www.lukado.eu
@mrdoro @mrdoro lukaszdo

3. • Model Hybrydowy
• Metody połączenia
• VPN
• Direct Connect
• Transit VPC
Agenda
@mrdoro

4. Model Hybrydowy
@mrdoro

5. • Testing Environment,
• Disaster Recovery,
• Legacy Systems,
• Cloud Bursting,
• Leveraging Existing Infrastructure.
Dlaczego Hybryda?
@mrdoro

6. 100% ruchu do własnego DC
Przyzwoity Recovery Time
Niskie koszty utrzymania.
Replikacja danych.
Pilot Light and fast Recovery
@mrdoro

7. Mniejsza wersja środowiska PROD
Środowisko w trybie ON
Krótszy RT niż Pilot Light
Skalowane horyzontalnie
Warm Standby
@mrdoro

8. @mrdoro
Multi-Site Deployment
Active/ Active
RT blisko “zero”
Skalowalne horyzontalnie

9. • Tradycyjne BC/DR dużo kosztuje,
• Coraz więcej firm wybiera chmurę do DR.
• No hardware and software, niskie koszty opex
• Mechanizmy BC/DR by design.
• Prosta implementacja.
• “I could show Delta how to do it in an afternoon.” David
Linthicum
Delta Airlines
@mrdoro

10. Jak to połączyć?
@mrdoro

11. • AWS Hardware VPN
• AWS Direct Connect
• AWS VPN CloudHub
• Software VPN
Opcje połączenia
@mrdoro

12. Komponenty
@mrdoro

13. AWS Hardware VPN
@mrdoro

14. • Static or Dynamic(BGP)
• Połączenie inicjowane ze strony Klienta
• AES 128-bit encr, SHA-1 hashing fuction,
• D-H Perfect Forward Secret - Group 2, Dead Peer Detection
VPN Parametry
@mrdoro

15. Static VPN
@mrdoro

16. Static VPN
@mrdoro

17. • Dynamic Routing Protocol.
• BGP Neighbors exchange prefixes (routing information).
• More specific prefixes are preferred.
• Uses AS Numbers.
• AS_PATH - measure of network “distance”.
• Local Preference - weighting of identical prefixes.
BGP charakterystyka
@mrdoro

18. Dynamic VPN
@mrdoro

19. Dynamic VPN
@mrdoro

20. Rundancja
@mrdoro

21. Konfiguracja VPN
@mrdoro

22. Utworzyć nowy VGW
Konfiguracja połączenia VPN
@mrdoro

23. Utworzyć nowy VGW
Przypiąć do VPC
Konfiguracja połączenia VPN
@mrdoro

24. Utworzyć nowy VGW
Przypiąć do VPC
Utworzyć nowy CGW
Konfiguracja połączenia VPN
@mrdoro

25. Utworzyć nowy VGW
Przypiąć do VPC
Utworzyć nowy CGW
Utworzyć połączenie VPN
Konfiguracja połączenia VPN
@mrdoro

26. Utworzyć nowy VGW
Przypiąć do VPC
Utworzyć nowy CGW
Utworzyć połączenie VPN
Aktualizacja tablicy routingu
Konfiguracja połączenia VPN
@mrdoro

27. Utworzyć nowy VGW
Przypiąć do VPC
Utworzyć nowy CGW
Utworzyć połączenie VPN
Aktualizacja tablicy routingu
Konfiguracja CGW
Konfiguracja połączenia VPN
@mrdoro

28. AWS Direct Connect
@mrdoro

29. • Dedykowane połączenie do AWS
• Transmisja prywatna (VPC) i publiczna (np. S3)
• Stała “jakość” połączenia
• Współdzielenie połączenia między wieloma kontami.
• Niższe koszty transmisji
AWS Direct Connect - Cechy
@mrdoro

30. Locations
@mrdoro
EU West (Ireland) EU Central (Frankfurt)
Eircom Clonshaugh, Dublin, Ireland
Equinix AM3, Amsterdam,
Netherlands
Equinix LD4 - LD6, London, England Equinix FR5, Frankfurt, Germany
TelecityGroup, London Docklands',
London, England
Interxion Frankfurt, Germany
Telehouse Voltaire, Paris, France
Source: https://aws.amazon.com/directconnect/details/

31. Direct Connect Partners
@mrdoro
Source: https://aws.amazon.com/directconnect/partners/#emea

32. • Bezpośrednie przyłączenie po światłowodach.
• Single Mode Fiber (1000Base-LX, 10GBase-LR)
• Ewentualnie jako usługa od Partnera
• Podłączone do własnego routera.
Jak to wygląda?
@mrdoro

33. Podłączenie: w DX Location
@mrdoro

34. Podłączenie: poprzez Partnera
@mrdoro

35. • Private VIF : podłączenie do zasobów wewnątrz VPC
• Public VIF: podłączenie do serwisów publicznych np. S3
• 802.1Q VLAN
• Sesja eBGP
Private and Public Virtual Interface
@mrdoro

36. • Podłączenie do Virtual Private Gateway (jak przy VPN)
• Dowolna adresacja IP oraz ASN (BGP Peering)
• Każde VPC ma swojego VIF’a
• Hosted Connection: VIF udostępniony dla innego konta.
Private Virtual Interface
@mrdoro

37. Pojedynczy VIF
@mrdoro

38. Dual DX - Single Location
@mrdoro

39. Dual DX - Single Location
@mrdoro

40. Singel DX - Dual Location
@mrdoro

41. Dual DX - Dual Location
@mrdoro

42. Podwójny VIF
@mrdoro

43. Tryb Active/Avtive z perspektywy Routera
@mrdoro

44. Tryb Active/Avtive z perspektywy VGW
@mrdoro

45. Tryb Active/Passive z perspektywy Routera
@mrdoro

46. Tryb Active/Passive z perspektywy VGW
@mrdoro

47. Tryb Active/Passive z perspektywy VGW
@mrdoro

48. • Dostęp do serwisów zewnętrznych np S3
• Wymagane Publiczne IP do zestawienia BGP
• Klient musi posiadać publiczny ASN (ew. Private OK)
• Inter-Region ale tylko w US
Public Virtual Interface
@mrdoro

49. • Publiczny VIP otrzymuje prefixy wszystkich Regionów US
• Prefixy oznaczone poprzez BGP Community
• BGP Community również dla rozgłaszanych prefiksów.
Inter-Region, co to takiego?
@mrdoro

50. Public VIF
@mrdoro

51. Public VIF
@mrdoro

52. Public VIF
@mrdoro

53. Wybrać właściwy Region
Procedura zamawiania
@mrdoro

54. Wybrać właściwy Region
Utworzyć połączenie
Procedura zamawiania
@mrdoro

55. Wybrać właściwy Region
Utworzyć połączenie
Poczekać na LOA-CFA
Procedura zamawiania
@mrdoro

56. Wybrać właściwy Region
Utworzyć połączenie
Poczekać na LOA-CFA
Zamówienie połączenia
Procedura zamawiania
@mrdoro

57. Wybrać właściwy Region
Utworzyć połączenie
Poczekać na LOA-CFA
Zamówienie połączenia
Utworzyć virtual interface
Procedura zamawiania
@mrdoro

58. Wybrać właściwy Region
Utworzyć połączenie
Poczekać na LOA-CFA
Zamówienie połączenia
Utworzyć virtual interface
Konfiguracja CGW
Procedura zamawiania
@mrdoro

59. Zgłosić się do Partnera (potrzebny Account Number)
Akceptacja Hosted Connection
Utworzyć virtual interface
Konfiguracja CGW
Procedura zamawiania sub-1G u Partnera
@mrdoro

60. VPN:
Rozliczane godzinowo (połączenie)
Transfer danych (Internet rates)
Direct Connect
Rozliczane godzinowo (port)
Transfer (Reduced rates)
VPN over Direct Connect reduced rate
Koszty
@mrdoro

61. AWS CloudHub
@mrdoro

62. Software VPN
@mrdoro

63. VPC Peering ograniczony do jednego Regionu
Łączenie VPC rozproszonych geograficznie
Łączenie VPC z różnych kont AWS
Uproszczone zarządzanie: CloudFormation i AWS Lambda
Cisco CSR (również z BYOL)
Transit VPC
@mrdoro

64. • Różne modele DR.
• Cztery metody połączenia
• VPN - Routing Statyczny i Dynamiczny
• Direct Connect - zasoby publiczne i prywatne
• Transit VPC - sporo uproszenia i mniej konfiguracji.
Podsumowanie
@mrdoro

65. 13 Października Warszawa
Nowe biuro Aviva “Shire”
Jednym z prelegentów Danilo Poccia - Technical
Evangelist w Amazon Web Services
https://www.meetup.com/publiccloudpl/
Dla ciekawych
@mrdoro

66. Pytania?
@mrdoro

67. “In today's trillion-dollar enterprise IT landscape, the public cloud already claims 16.2% of all
enterprise workloads…”
“..CIOs expect that percentage to nearly triple within the next five years..”
Dziękuje!
@mrdoro
JP Morgan CIO survay