3. conectando o seu data center de forma segura na aws

São Paulo

Conectando o seu

Data Center na AWS

Alex Coqueiro

Arquiteto de Soluções para o Setor Público

Agenda

• Paradigma dos Data Centers

• Conceitos de uma VPC (Virtual Private Cloud)

• Casos de uso para VPC

• Componentes da VPC

• Melhores Práticas

Paradigma dos Data Center

©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved

Data Center

Corporativo

Construir um data center…

grande tempo gasto em construção e

operacionalização

Amazon VPC

Data Center

Corporativo

Projeto ZAprovado

Data Center

Corporativo

Finalizado

Projeto XAprovado

Data Center

Corporativo

Projeto XAprovado

Projeto YAprovado

Data Center

Corporativo

Extensão do DC com Recursos Integrados

Mais simples … Ele é um Data

Center Virtual que você pode

construir e gerenciar na AWS!

Casos de Uso de uma VPC


Aplicações Web Públicas

Object Storage

CDN

User

Web

DNS

http://www.example.com

Internet Gateway

Aplicações Privadas

Internal

User

VPN Gateway

Router / Firewall

Corporate Data Center

http://internal-app

Web

VPN over

the Internet

Data Center virtual na AWS

Active Directory

Configuração de Rede

Encriptação

Backup

Apps on-premises

Usuários e Grupos

Rede Privada

HSM appliance

Cloud backups

Cloud apps

AWS Direct Connect

Data Center Corporativo

Web

Server

Application

Server

DB

Server

Data Volume

EC2 Web

Server

EC2

Application

Server

EC2 DB

Server

Amazon Elastic Block

Store (EBS) Data Volume

Data Mirroring /

Replication

Instancias estão

paradase são

inicializadas

somente se

aplicação primária

está indisponiível

Amazon Route 53

User


Repoint DNS in an

Outage

DR (Disaster Recovery)

DemoCriação de uma VPC

Componentes da VPC


Componentes da VPC

Route table Elastic network

interface

Amazon VPC RouterInternet

gateway

Customer

gateway

Virtual

private

gateway

VPN

connectionSubnet

Elastic IP

• Range de IP’s na VPC

• Reside em uma AZ

• Segurança com ACL

(access control lists)

• Pode rotear pacotes entre

subnets

• Default VPC subnets

VPC subnet

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

VPC CIDR: 10.1.0.0 /16

• IGW = Internet Gateway

• Habilita a sua instância

conectar a Internet

• Default VPC inclui IGW

Internet Gateway

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

Internet

Gateway

VPC CIDR: 10.1.0.0 /16

InternetAWS Public

API Endpoints

• VGW = virtual private gateway

• A VPG é uma construção lógica

que representa um endpoint

para conexões com on-

premises

Virtual Private Gateway

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

VPC CIDR: 10.1.0.0 /16

Internal

User

VPN Gateway

Customer Gateway


VPN over

the Internet

• CGW = customer gateway

• Dispositivo fisico ou software

appliance do seu lado para

fechar a conexão de VPN

• Tipicamente um roteador ou

firewall

Customer Gateway

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

VPC CIDR: 10.1.0.0 /16

Internal

User

VPN Gateway

Customer Gateway


VPN over

the Internet

• Contem um conjunto de regras

para rotas que são utilizadas

para determinar o tráfego de

rede

• Cada Subnet tem somente

uma tabela rota

• Controla rotas entre IGW e

VGW

• Uma tabela de rotas pode

pertencer a múltiplas subnets

Route Table

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

Internet

Gateway

VPC CIDR: 10.1.0.0 /16

InternetAWS Public

API Endpoints

Route Table

Destination Target

10.1.0.0/16 local

0.0.0.0/0 igw

• A VPN connection refere-se a

conexão entre a VPC e sua

rede

• Consiste em um par de túneis

IPSEC entre o VGW e CGW

VPN connection

Subnet

Availability Zone A

Subnet

Availability Zone B

10.1.1.0/24 10.1.10.0/24

VPC CIDR: 10.1.0.0 /16

Internal User

VPN Gateway

Customer Gateway


VPN over

the Internet

• EIP = elastic IP

• Endereço de IP

estático

• Mantêm na sua conta

até ser liberado

• Pode ser movido

entre instâncias na

região

Elastic IP

Availability Zone A Availability Zone B

Subnet: 10.1.1.0/24

Internet

Gateway

VPC CIDR: 10.1.0.0 /16

InternetAWS Public

API Endpoints

Route Table

Destination Target

10.1.0.0/16 local

0.0.0.0/0 igw

Subnet: 10.1.10.0/24

EIP EIP

• ENI = elastic network interface

• Interface virtual de rede que

pode ser anexada a instância

• Cada instância tem uma

interface default eth0

• Consiste em MAC address e

IP’s (público e privado)

Elastic Network Interface

Availability Zone A Availability Zone B

Subnet: 10.1.1.0/24

Internet

Gateway

VPC CIDR: 10.1.0.0 /16

InternetAWS Public

API Endpoints

Route Table

Destination Target

10.1.0.0/16 local

0.0.0.0/0 igw

Subnet: 10.1.10.0/24

ENI

(eth0)ENI

(eth0)

Controles de

Segurança na

VPC

Route

Table

Route

Table

Internet

Gateway

Virtual Private

Gateway

Virtual Router

VPC 10.1.0.0/16

DemoMudança de um security

group

Melhores Práticas


Criar um VPC admin group via AWS Identity and Access Management (IAM)Examplo de chamadas de API a restringir:

AttachInternetGateway

AssociateRouteTable

CreateRoute

DeleteCustomerGateway

DeleteInternetGateway

DeleteNetworkAcl

DeleteNetworkAclEntry

DeleteRoute

DeleteRouteTable

DeleteDhcpOptions

ReplaceNetworkAclAssociation

DisassociateRouteTable

Planeje sua distribuição de IP antes de

criá-los• Considere extensão para outras regiões

• Considere conectividade com suas redes

internas

• Considere as aplicações hosteadas

• VPC entre /16 até /28

• CIDR não pode ser modificada após criação

• Overlapping IP = Problemas futuros

Planejamento de Subnet

• Suporte Multi-AZ

• Controle de Rota– Evitar conflitos

• Subnet-level access control

– Considere controles de acesso

• Security groups, multiple VPC architectures (e

VPC peering)

• Automação (Ex: Clouformation)

• Monitoração

Tag o mais cedo possível e com

frequência!• Estratégia de Tagging deve fazer parte do design

• Exemplos de tags: Código do Projeto, Centro de

Custo, Ambiente, Versão,Time, Unidade de

Negócios

• Tag recursos imediatamente após a sua criação

• AWS Billing também suporta tags

Redundância da VPN do Data

Center com a VPC

• Túneis redundantes com IPSEC

• Supporte a BGP e rota estática

• Redundância nos customer gateways

Conexão de VPN Simples

Virtual Private Cloud

Availability ZoneAvailability Zone

VPC Subnet VPC Subnet

Customer Gateway

Customer Network

VPN

Router Virtual Private Gateway

VPC Subnet

Multiplas Conexões de VPN



VPC Subnet

Customer Gateway

Customer Network

New York

VPN

Router Virtual Private Gateway

Customer Gateway

Customer Network

Chicago

VPN

Customer Gateway

Customer Network

Los Angeles

VPN

Redundância de Túneis para Conectar a VPN




IPSEC

VPN


Router

72.21.209.193Router

72.21.209.225

Tunnel 1 Tunnel 2

Customer Gateway

xxx.xxx.xxx.xxx

Customer Network

IPSEC

VPN

Redundancia de Customer Gateways




Tunnel 1


Router

72.21.209.193Router

72.21.209.225

Customer Gateway

xxx.xxx.xxx.xxx

Customer Network

Customer Gateway

xxx.xxx.xxx.yyy

Tunnel 2Tunnel 2

Tunnel 1

VPC Peering para conectar a VPC

10.1.0.0/16

10.0.0.0/16

• VPCs na mesma regiãoPeer

request

Peer

accept

• Mesma conta ou contas diferentes

• Não pode haver overlap de IP’s

Uso de Direct Connect

Direct Connect

Location

IPVPN

/ MPLS

Customer

Data Center

Customer

Office

Customer

Office

Customer

Office

Customer

Data Center

Nós temos vários POPs de AWS Direct Connect

Nós temos diversos parceiros

AWS Direct Connect partners

http://aws.amazon.com/directconnect/partners/

http://aws.amazon.com/directconnect/partners/

Uso do AWS Marketplace para necessidades

específicas de rede e segurança

• Instâncias com AWS

com “1-Click"

• Pague por hora, mês

ou ano

• Invoice integrado do

uso da AWS e

software sde parceiro

• Rede e appliances

virtuais no EC2• Web application

firewalls (WAF)

• Intrusion detection

• Routers / firewalls

Obrigado

São Paulo

3. conectando o seu data center de forma segura na aws

Software

Transcript of 3. conectando o seu data center de forma segura na aws