Criando e conectando seu datacenter virtual
0 gostou775 visualizações
O documento apresenta uma sessão sobre a criação e conectividade de um datacenter virtual usando o Amazon VPC, detalhando conceitos e passos essenciais como a configuração de subnets, tabelas de rotas e conectividade com ambientes on-premises. Também aborda casos de uso, incluindo a implementação pela TV Globo, e discute soluções como VPC Peering e direct connect. Enfatiza a importância de segurança e gerenciamento de tráfego dentro da infraestrutura VPC.
![EC2 DNS Hostnames dentro da VPC
[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A
;; ANSWER SECTION:
ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 22:32:56 2015
;; MSG SIZE rcvd: 81
Dentro da sua VPC:
IP Privado](https://image.slidesharecdn.com/criandoeconectandoseudatacentervirtual-160607193555/85/Criando-e-conectando-seu-datacenter-virtual-47-320.jpg)
![Querying Private Hosted Zone Records
https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/
[ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;example.demohostedzone.org. IN A
;; ANSWER SECTION:
example.demohostedzone.org. 60 IN A 172.31.0.99
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 00:13:33 2015
;; MSG SIZE rcvd: 60](https://image.slidesharecdn.com/criandoeconectandoseudatacentervirtual-160607193555/85/Criando-e-conectando-seu-datacenter-virtual-51-320.jpg)
Criando e conectando seu datacenter virtual
- 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Cláudio Freire Júnior, Solutions Architect AWS Summit São Paulo, 2016 Criando e conectando seu datacenter virtual
- 2. O que é esperado nessa sessão? • Overview/conceitos de VPC; • Setup básico de VPC; • Conectividade com ambiente on-premises; • Monitoramento do tráfego VPC; • Caso da utilização da TV Globo;
- 3. E então, o que é VPC? • VPC – Virtual Private Cloud; • Isolamento lógico de rede; • Permite a segregação de redes (Público e Privada); • Serviço de escopo de região; • Permite a escolha do seu proprio range de Ips; • Provê conexão com infraestrutura on-premises;
- 5. Criando VPC
- 6. Criando VPC: Passo a Passo Escolher o range de IPs Configurar subnets nas Availability Zones Criar rota para Internet Autorizar tráfego de/para VPC
- 7. Escolher o range de IPs
- 8. Notação CIDR CIDR range example: 172.31.0.0/16 ~ Máscara: 255.255.0.0 172.31.0.0-172.31.255.255
- 9. Escolher os ranges para sua VPC 172.31.0.0/16 Recomendado: RFC1918 Recomendado: /16 (64K endereços)
- 10. Configurar subnets nas Availability Zones
- 11. Configurar ranges de IP address para sua subnet 172.31.0.0/16 Availability Zone Availability Zone Availability Zone VPC subnet VPC subnet VPC subnet 172.31.0.0/24 172.31.1.0/24 172.31.2.0/24 sa-east-1a sa-east-1b sa-east-1c
- 12. Demo Criação de VPC e subnets
- 14. Criar rotas para Internet
- 15. Rotas na sua VPC • Tabelas de rotas possuem regras por onde os pacotes trafegarão; • Sua VPC possui tabela de rotas padrão; • … você pode designar tabelas de rotas diferentes para subnets diferentes.
- 16. Tráfego destinado para VPC ficam na VPC.
- 17. Internet Gateway Componente para envio de pacote, se o destino for Internet.
- 18. Tudo que não tem destino para VPC, é enviado para Internet.
- 19. Autorizar tráfego de/para VPC
- 20. Network ACLs = Regras stateless firewall Permitir todo o tráfego de entrada Aplicado no nível de subnet
- 21. Security Groups segue o fluxo da sua aplicação “MyWebServers” Security Group “MyBackends” Security Group Permitir acesso somente “MyWebServers”
- 22. Security Groups = stateful firewall
- 23. Security Groups = stateful firewall
- 24. Demo Criação de Internet Gateway/NAT e Security Groups
- 27. Além da conectividade com Internet Formas de roteamento de Subnet Conectando com a sua rede corporativa Conectando a outras VPCs
- 28. Roteamento no nível de subnets
- 29. Differentes tabelas de rotas para diferentes subnets VPC subnet VPC subnet Possui rota para Internet Não possui rota para Internet
- 30. Acesso à Internet via NAT Gateway VPC subnet VPC subnet 0.0.0.0/0 0.0.0.0/0 Public IP NAT Gateway
- 31. Conectando à outras VPC: VPC Peering
- 32. Serviços compartilhados: Utilizando VPC peering Serviços comuns/core • Autenticação/Diretório; • Monitoramento; • Logging; • Administração remota; • Scanning
- 33. Estabelecendo VPC Peering: Solicitação 172.31.0.0/16 10.55.0.0/16 Step 1 Initiate peering request
- 34. Estabelecendo VPC Peering: Solicitação
- 35. Estabelecendo VPC Peering: Aceitar solicitação 172.31.0.0/16 10.55.0.0/16 Step 1 Initiate peering request Step 2 Accept peering request
- 36. Estabelecendo VPC Peering: Aceitando
- 37. Estabelecendo VPC Peering: Criando rotas 172.31.0.0/16 10.55.0.0/16Step 1 Initiate peering request Step 2 Accept peering request Step 3 Create routes Trafego destinado para VPC peered irá para o elementento de peering
- 38. Conectando sua rede: Virtual Private Network & Direct Connect
- 39. Conectando sua rede com VPN/Direct Conenct VPN Direct Connect
- 40. VPN vs DirectConnect • Ambos permitem conexão segura entre sua rede e VPC; • VPN é um par de túnel IPSec que trafegará na Internet; • DirectConnect é conexão dedicada e latência controlada; • Para workloads de alta disponibilidade: Utilizar ambos
- 41. VPN: O que você precisa saber Customer Gateway Virtual Gateway Dois tuneis IPSec 192.168.0.0/16 172.31.0.0/16 192.168/16 Seu device de rede
- 42. Rotas para o Virtual Private Gateway Trafego para rede 192.168.0.0/16 irá pelo túnel
- 43. DNS dentro da VPC
- 44. VPC DNS Options Utilizar Amazon DNS server Possui EC2 auto-assign DNS hostnames para instâncias
- 45. EC2 DNS Hostnames in a VPC Internal DNS hostname: Resolve nome para IP Privado External DNS name: Resolve para…
- 46. EC2 DNS Hostnames fora da VPC C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Non-authoritative answer: Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com Address: 52.18.10.57 Fora da sua VPC: IP público
- 47. EC2 DNS Hostnames dentro da VPC [ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A ;; ANSWER SECTION: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 22:32:56 2015 ;; MSG SIZE rcvd: 81 Dentro da sua VPC: IP Privado
- 48. Route53 Private Hosted Zones • Controla resolução de nomes para domínio e subdominios; • Entradas de DNS tem validade somente dentro de uma VPC específica; • Pode ser utilizado para sobrepor DNS externo.
- 49. Criando zona privada no Route53 Private Hosted Zone Associando com uma ou mais VPCs
- 50. Criando uma entrada de DNS Route53 Private Hosted Zone example.demohostedzone.org 172.31.0.99
- 51. Querying Private Hosted Zone Records https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/ [ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;example.demohostedzone.org. IN A ;; ANSWER SECTION: example.demohostedzone.org. 60 IN A 172.31.0.99 ;; Query time: 2 msec ;; SERVER: 172.31.0.2#53(172.31.0.2) ;; WHEN: Wed Sep 9 00:13:33 2015 ;; MSG SIZE rcvd: 60
- 52. VPC Flow Logs: Analise seu tráfego Visibilidade da aplicabilidade do Security Group; Fazer troubleshooting de conectividade de rede; Possibilidade de analizar tráfego.
- 53. AWS VPC Endpoints: S3 sem Internet Gateway
- 54. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Daniel Ramos, Analista de Arquitetura Infraestrutura e Segurança AWS Summit São Paulo, 2016 Como utilizar VPC na situação real?
- 55. “A oferta de serviços AWS nos possibilitou criar um ambiente dinâmico que se encaixa naturalmente em nossa arquitetura” Maior rede de televisão do Brasil e uma das maiores do mundo, a Globo está presente em quase todo o território nacional, através de 124 emissoras, incluindo as Afiliadas, e em mais de 100 países, por meio da Globo Internacional. Com nosso talento de criar, produzir e exibir programas que informem, divirtam e eduquem, temos uma importante contribuição para construir uma sociedade ainda melhor. “Qualidade e Inovação fazem parte do DNA da TV Globo. Com o apoio da AWS criamos um ambiente DINÂMICO, ESTÁVEL e eficiente em CUSTOS.” - Carlos Octávio, Diretor de Tecnologia e Arquitetura
- 56. O Desafio Criar novo ambiente de desenvolvimento com gestão simplificada, flexível e consumido sob demanda. Focar na eficiência do consumo de recursos e automatização do backend. Respeitar a política de segurança e aproveitar serviços integrados ao ambiente interno da TV.
- 57. Solução
- 58. Recapitulando
- 59. Recapitulando • VPC; • Subnets Públicas vs Subnets Privadas; • Tabelas de Rota; • VPC VPN vs Direct Connect; • Endpoints na rede privada;
- 60. Obrigado!