Integrando infraestruturas híbridas
-
Upload
amazon-web-services-latin-america -
Category
Software
-
view
169 -
download
0
Transcript of Integrando infraestruturas híbridas
SÃO PAULO
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
Integrando infraestruturas
híbridas28 de Maio | São Paulo, SP
Ricardo Geh, Enterprise Solutions Architect
Nossa jornada
Amazon VPCVPNBackup & archive Expansão de
storage
Workloads comuns em infraestrutura híbrida
Definição de infra-estrutura híbrida
Conectividade
Integrado
AWS Direct Connect
Autenticação
Integração Enterprise
Federação
Operação
monitoramento
Início
“Consumo de Serviços
Cloud e On-Premises em
um pool de recursos
agregados.”
Benefícios:
• Eficiência de Custo
• Escalabilidade
• Flexibilidade
• Segurança
O que queremos dizer por “integração híbrida”?
On-Premises
Infrastructure
Serviços
Plataforma
Soluções
Serviços de
Cloud
Infraestrutura
Conectividade
AWS Virtual Private
Network (IPSec VPN)
o IPSec hardware VPN connection
Supported VPN appliances:
https://aws.amazon.com/vpc/faqs/#C9
o Criptografia e Validação
o Endereçamento Privado RFC 1918
o Usa Border Gateway Protocol
(BGP) para roteamento e fail-over
o VPN Service provê end-points
redundantes gerenciados
http://docs.aws.amazon.com/AmazonVPC/latest/U
serGuide/VPC_VPN.htmlVirtual
Gateway
Corporate data center
Users
Data center router
Servers
Internet
IPSec VPN
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
Customer router
AWS Direct ConnectLocation
AWS Direct Connect routers
AWS Direct Connect
o Requer Layer 2 single mode fiber
1000BASE-LX ou 10GBASE-LR
o Requer 802.1Q VLANs na conexão.
Tagging do tráfego IP
o Roteamento usa BGP A/A or A/P
multipath.
o Cada DX é mapeado para uma
região AWS
http://aws.amazon.com/directconnect/
Corporate data center
Users
Data center router
Servers
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
VirtualGateway
Customer router
AWS Direct ConnectLocation
AWS Direct Connect routers
AWS Direct Connect
+ AWS VPN
o Link de rede dedicado com garantia
de banda.
o Mais seguro que VPN IPSec pela
Internet – não trafega pela Internet
o Reduz o custo de transferência de
dados no IPSec pela internet
o Adiciona uma camada de segurança
de rede
http://aws.amazon.com/directconnect/
VirtualGateway
Corporate data center
Users
Data center router
Servers
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
IPSec VPN
Integração Enterprise
Customer router
AWS Direct ConnectLocation
AWS Direct Connect routers
Active Directory e LDAP
o Redução de tráfego para on-
premises
o Redução de Latência para
Autenticação
o Resiliência Adicional
o Duas opções:
Multi-Master Read/Write Domain Controllers
Read-only Domain Controllers(RODCs)
Requer IPSec VPN ou DirectConnect
http://aws.amazon.com/microsoft/whitepapers/ad-reference-architecture/
VirtualGateway
Corporate data center
Users
Data center router
Servers
VPC Subnet
Availability Zone
Security Groups
VPC Subnet
Availability Zone
Security Groups
Type Port Number
TCP54, 88, 135, 137, 139, 389, 445, 464, 636, 3268, 3269, 5722, 49152-65535
UDP53,67,123, 138, 389, 445, 464, 2535, 5355, 49152-65535
AD.Domain
Domain controller
Domain controller
Domain controller
Active Directory Replication
Customer router
AWS Direct ConnectLocation
AWS Direct Connect routers
AWS Directory
Service o Roda em 2 modos
Directory Service Connect
Simple AD – criado sobre o Samba 4
Active Directory compatible server
o Simplifica Federação IAM
Evita complexidade e custo para
hospedar uma federação baseada em
SAML.
Atua como proxy – nenhum dada é
armazenado na infraestrutura da AWS
Suporte MFA existente baseado em
RADIUS
Requer IPSec VPN ou conectividade
Direct Connecthttp://aws.amazon.com/directoryservice/
VirtualGateway
Corporate data center
Users
Data center router
Servers
VPC Subnet
Availability Zone
Security Groups
VPC Subnet
Availability Zone
Security Groups
AD.Domain
Domain controller
AD Connector
AD Connector
AD Connector
AWS federação e governança de conta
Financial users, controllers SOC/AuditorsGlobal AWS admin
Conta de Pagamento
Software development
Conta não produtiva #1
Conta de Produção #1
Conta para gerenciamento de
usuários
Conta de Segurança/Auditor
ia
Conta não produtiva #2
Donos de AppsTime DevOps
Segurança/AuditoriaProduçãoDev/test/sandboxFinanceiro
Consolidated Billing, Billing Alerts
Acesso somente leitura para todas
as contas
Customer router
AWS Direct ConnectLocation
AWS Direct Connect routers
Operações e
Monitoramento
o Pontos de Segurança e
Monitoramento integrados ao
CloudTrail e ao agregador SIEM.
o Logs com CloudTrail e SNMP MIBs
para o Agregador SIEM.
o Saúde da Platforma e App
enviados para o Agregador SIEM
via agente na instância EC2
o Acesso para Patching e
Atualizações para AMI por um
Updated Server on-premises.
VirtualGateway
Corporate data center
Users
Data center router
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
UpdateServers
SIEMAggregator
CloudTrail
CloudWatch
CloudTrail S3 Bucket
Workloads comuns em
infraestrutura híbrida
Customer router
AWS Direct ConnectLocation
AWS Direct Connect routers
Storage expansiono Volumes virtuais apresentados como
uma interface local de rede iSCSI, NFS
e CIFS.
o Cache de disco local para prover
acesso rápido on-premises.
o Criptografia do lado do Gateway para
segurança
VirtualGateway
Corporate data center
Users
Data center router
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
Amazon S3
AWS Storage Gateway
iSCSI
Storage Appliance
AWS Storage Gateway
iSCSI
Servers
AWS Storage Gateway
Cloud ONTAP Secure Cloud-
Integrated Backup
Panzura Global NAS
TwinStrata CloudArray
AWS Marketplace Partners
Customer router
AWS Direct ConnectLocation
AWS Direct Connect routers
Backup and
archivingo Backup gateways se integram ao
Amazon S3
o Utilizam arquivamento do Amazon
S3 para Amazon Glacier
o Tira vantagem do uso de
investimentos e soluções já
existentes para opções como:
o De-duplicação
o Compressão
o Aceleração WAN
VirtualGateway
Corporate data center
Users
Data center router
VPC Subnet
Availability Zone
Security Group
VPC Subnet
Availability Zone
Security Group
Amazon S3
Amazon Glacier
AWS Storage Gateway
iSCSI
Backup System
AWS Storage Gateway
iSCSI
Servers
AWS Storage Gateway
Symantec Net Backup
Veeam Backup & Replication
Cloud ONTAP Secure Cloud-
Integrated Backup
AWS Marketplace Partners
Roberto Leite
Arquitetura Funcional
Desafios para adoção
• Planejamento de segurança na segmentação
do ambiente
• Conectividade com o ambiente on premise
• Adequação de receitas do puppet
Arquitetura Híbrida• On Premise
– Ferramentas de integração contínua,
Autenticação, Storage
• Serviços AWS
– Servidores de desenvolvimento
hardenizados e orquestrados via puppet
– Gestão de acesso de usuários
– Armazenamento de logs de segurança
– DNS para desenvolvimento
– Mysql, MongoDB
– Redis e Memcached
– Métricas de Ambiente
– Auditoria de Segurança
VirtualGateway
On Premise
Data center router
• Puppet Master• Koji• SpaceWalk• LDAP• NFS
Internet
IPSec VPN
EC2 + Puppet
RDS ElastiCache
S3 GlacierIAM
Route 53
Cloud TrailCloudWatch
Próximos passos
• Federação com Active Directory corporativo
• ‘Containerização’ de aplicações
• Ampliar o uso da plataforma
Exemplo do Roadmap de Adoção de Nuvem
Discovery
Workshop
Cloud Business
Case
Define
Security
Requirements
Define
Network
Environment
Organizational
Structure
Operational
Integration
Security
Operations
Playbook
Cloud
Environment
Optimization
Application
Portfolio
Analysis
Cost and
Billing
Analysis
Skills and
Competencies
Define Cloud
Environments
Define EA
Policies and
Practices
Continuous
Integration &
Delivery
Perspectiva da Plataforma
Ajuda arquitetos e times de
tecnologia entenderem o
relacionamento e abstrações usadas
para modelar recursos de nuvem que
são comuns em grandes empresas.
Perspectiva de componentes da
plataforma descrevem a organização
fundamental de sistemas híbridos de
TI em múltiplos ambientes, que
contemplam seus componentes, o
relacionamentos entre eles e seu
design e evolução.
The Cloud Adoption Framework
whitepaper: http://bit.ly/AWSCAF
AWS Marketplace
software
• Launch software on
AWS with 1-click
• Pay-by-the-hour,
monthly, or annual
• Single invoice for AWS
usage & software
• Quick deployment without friction
• Cost reduction by using BYOL functionality in Marketplace
• Used extensively by large enterprises
Takeaways
• Conectividade é um fator de sucesso chave para integração
híbrida entre a nuvem e o seu datacenter corporativo
• Autenticação e Autorização é uma pedra fundamental na
Integração Enterprise
• Infraestrutura híbrida permite a implementação de uma
variedade de implementações híbridas.
• Migração de Aplicações é somente um pedaço da adoção de
nuvem em larga escala.– The Cloud Adoption Framework whitepaper: http://bit.ly/AWSCAF
OBRIGADO