Este documento presenta diferentes opciones de redes virtuales en AWS como EC2-Classic, VPC predeterminado y VPC, y describe cómo implementar conectividades privadas y públicas entre una VPC y un centro de datos corporativo local utilizando VPN y AWS Direct Connect. También cubre temas como interconexión de VPC, redes mejoradas y la solución Level 3 Cloud Connect para conectividad a AWS.
2. Virtual Private Cloud a
Profundidad
Ivan Salazar – Arquitecto de Soluciones, AWS
Diego Noya – Product Manager, Level 3
3. Pláticas relacionadas – búsque los videos!
• ARC205 – VPC Fundamentals and Connectivity
• ARC401 – Black Belt Networking for Cloud Ninja
– Centrado en la aplicación; monitoreo, gestión, floating IPs
• ARC403 – From One to Many: Evolving VPC
Design
• SDD302 – A Tale of One Thousand Instances
– Ejemplo de clientes con EC2-Classic adoptando VPC
• SDD419 – Amazon EC2 Networking Deep Dive
– Rendimiento de la red, placement groups, enhanced networking
6. Opciones de redes virtuales
EC2-Classic
Comience de manera
simple – todas las
instancias tienen
conexión a Internet,
direcciones IP públicas
y privadas asignadas
automáticamente
Grupos de seguridad
tráfico de salida
Default VPC
Lo mejor de ambos
Comience usando la
experiencia
EC2-Classic
Cuando se requiera
comience a usar
cualquier función de
VPC que necesite
VPC
Servicios avanzados de
redes virtuales:
ENIs y tablas de ruteo
para múltiples IPs
grupos de seguridad
tráfico de salida
NACLs
conexiones privadas
Enhanced Networking
Y más...
7. Opciones de redes virtuales
EC2-Classic
Comience de manera
simple – todas las
instancias tienen
conexión a Internet,
direcciones IP públicas
y privadas asignadas
automáticamente
Grupos de seguridad
tráfico de salida
Default VPC
Lo mejor de ambos
Comience usando la
experiencia
EC2-Classic
Cuando se requiera
comience a usar
cualquier función de
VPC que necesite
VPC
Servicios avanzados de
redes virtuales:
ENIs y tablas de ruteo
para múltiples IPs
grupos de seguridad
tráfico de salida
NACLs
conexiones privadas
Enhanced Networking
Y más...
Todas las cuentas creadas después
del 4/12/2013 soportan únicamente
VPC y tienen una VPC por defecto
en cada región
8. Confirmando su VPC por defecto
describe-account-attributes
Únicamente
VPC
11. Crear una VPC
aws ec2 create-vpc --cidr 10.10.0.0/16
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.1.0/24 --a us-west-2a
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.2.0/24 --a us-west-2b
Centro de datos corporativo
12. Crear una conexión VPN
aws ec2 create-vpn-gateway --type ipsec.1
aws ec2 attach-vpn-gateway --vpn vgw-f9da06e7 --vpc vpc-c15180a4
aws ec2 create-customer-gateway --type ipsec.1 --public 54.64.1.2 --bgp 6500
aws ec2 create-vpn-connection --vpn vgw-f9da06e7 --cust cgw-f4d905ea --t ipsec.1
Centro de datos corporativo
13. Lanzar instancias
aws ec2 run-instances --image ami-d636bde6 --sub subnet-d83d91bd --count 3
aws ec2 run-instances --image ami-d636bde6 --sub subnet-b734f6c0 --count 3
Centro de datos corporativo
14. Usar AWS Direct Connect
aws directconnect create-connection --loc EqSE2 --b 1Gbps --conn My_First
aws directconnect create-private-virtual-interface --conn dxcon-fgp13h2s --new
virtualInterfaceName=Foo, vlan=10, asn=60, authKey=testing,
amazonAddress=192.168.0.1/24, customerAddress=192.168.0.2/24,
virtualGatewayId=vgw-f9da06e7
Centro de datos corporativo
15. Configurar la tabla de ruteo
Centro de datos corporativo
192.168.0.0/16
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id vgw-f9da06e7
Cada VPC cuenta con una
tabal de ruteo al momento de
crearse, usada por todas las
subredes
16. Mejores prácticas para conectividad remota
Centro de datos corporativo
Zona de disponibilidad
Zona de disponibilidad
Cada conexión VPN
consta de 2 túneles
IPSec. Use BGP para
recuperación en caso de
falla.
17. BGP
Un par de conexiones
VPN (4 túneles IPSec
en total) lo protege en
caso de falla de su
puerta de enlace.
BGP
Mejores prácticas para conectividad remota
Zona de disponibilidad
Zona de disponibilidad
Centro de datos corporativo
18. Remote connectivity best practices
BGP
Conexiones
redundantes de AWS
Direct Connect con una
VPN de respaldo
Zona de disponibilidad
Zona de disponibilidad
Centro de datos corporativo
19. VPC con conectividad pública y privada
Centro de datos corporativo
192.168.0.0/16
aws ec2 create-internet-gateway
aws ec2 attach-internet-gateway --internet igw-5a1ae13f --vpc vpc-c15180a4
aws ec2 delete-route --ro rtb-ef36e58a --dest 0.0.0.0/0
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
aws ec2 create-route --ro rtb-ef36e58a --dest 192.168.0.0/16 --gateway-id vgw-f9da06e7
20. Propagación automática de rutas del VGW
aws ec2 delete-route --ro rtb-ef36e58a --dest 192.168.0.0/16
aws ec2 enable-vgw-route-propagation --ro rtb-ef36e58a --gateway-id vgw-f9da06e7
Utilizado para actualizar de
manera automática la(s)
tabla(s) de ruteo con las rutas
presentes en el VGW
Centro de datos corporativo
192.168.0.0/16
21. Aislando la conectividad por subred
Corporativo
192.168.0.0/16
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.3.0/24 --a us-west-2b
aws ec2 create-route-table --vpc vpc-c15180a4
aws ec2 associate-route-table --ro rtb-fc61b299 --subnet subnet-60975a17
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
Subred únicamente con
conectividad a otras
instancias y hacia Internet a
través del IGW
24. Habilitar la comunicación entre
instancias en estas subredes;
Agregar rutas a la tabla de
ruteo por defecto
VPN de software para conexiones VPC-a-VPC
25. Firewall de software hacia Internet
Rutear todo el tráfico de las
subredes hacia Internet a
través del firewall es
conceptualmente similar
# Default routing table directs traffic to the NAT/firewall instance
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --instance-id i-f832afcc
# Routing table for 10.10.3.0/24 directs to the Internet
aws ec2 create-route --ro rtb-67a2b31c --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
30. Interconexión VPC entre cuentas
aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63
--peer-owner 472752909333
# In owner account 472752909333
aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87
VPC A - 10.10.0.0/16
vpc-c15180a4
VPC B - 10.20.0.0/16
vpc-062dfc63
Account ID 472752909333
31. Interconexión VPC – consideraciones adicionales
• Los grups de seguridad entre interconexiones no están
soportados
– Alternativa: especifique reglas por CIDR
• Sin capacidad “en tránsito” para VPN, AWS Direct
Connect, o VPCs terciarias
– Ejemplo: No se puede acceder a la VPC C desde la VPC A a través de la
VPC B
– Alternativa: Crear una interconexión directa de la VPC A a la VPC C
• Los rangos de las direcciones de las VPC interconectadas
no se pueden encimar
– Pero, se puede interconectar con 2 o más VPCs que se enciman entre sí
– Use subredes/tablas de ruteo para elegir la VPC a utilizar
32. Interconexión VPC con firewall de software
VPC A - 10.10.0.0/16 VPC B - 10.20.0.0/16
# Default routing table directs Peer traffic to the NAT/firewall instance
aws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc
# Routing table for 10.10.3.0/24 directs to the Peering
aws ec2 create-route --ro rtb-67a2b31c --dest 10.20.0.0/16 --vpc-peer pcx-ee56be87
38. SR-IOV: Esto ya está activo?
Puede ser!
Para muchas AMIs nuevas, la red
mejorada ya está activa:
• Las nuevas Amazon Linux AMIs
• Windows Server 2012 R2 AMI
No hay necesidad de configurar
39. SR-IOV: Esto ya está activo? (Linux)
No Si!
[ec2-user@ip-10-0-3-70 ~]
$ ethtool -i eth0
driver: vif
version:
firmware-version:
bus-info: vif-0
…
[ec2-user@ip-10-0-3-70 ~]$
ethtool -i eth0
driver: ixgbevf
version: 2.14.2+amzn
firmware-version: N/A
bus-info: 0000:00:03.0
…
60. DWDM
Anchos
de
banda
desde
1
G
Servicios
no
Protegidos
Servicio
Transparente
Economías
de
Escala
Interconexión
de
DC
Interfaces:
• 1 GigE, 2.5 G, 10 G, 40 G, 100 G
• FICON (1G, 2G, 4G, 8G)
• ESCON (1GbE & 10GbE)
• Fiber Channel (FC 1G, FC 2G, FC
4G, FC 8G and FC 10G)
61. Servicios Ethernet
• EVPL
(Ethernet P2P /MPLS)
• EPL
(Ethernet/SDH)
• VPLS
(Ethernet MP2MP/MPLS)
Ethernet E2E
Anillo SDH
Servicios
@po
LAN2LAN
R e q u i e r e
a d m i n i s t r a r
direcciones
IP.
SLA
para
jiIer,
latencia,
packet
drop.
6
Clases
de
Servicio
VPN
en
capa
2
sobre
MPLS
Cer@ficación
MEF
Servicio
Transparente
Asignación
está@ca
de
BW
Backbone
TDM
62. MPLS IPVPN
AWS Cloud
Red
VPN
capa
3
Topología
Full
Mesh
6
Clases
de
Servicio
Ancho
de
banda
flexible
Facilidad
para
agregar
si@os
Solución
Full
Managed
63. Conclusión
Internet IPVPN EVPL/VPLS EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte best
effort (jitter,
packet loss)
Requiere
encriptado para
mejorar
seguridad.
VPN capa 3
sobre MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
Topología full
mesh.
6 clases de
servicio.
Ethernet sobre
MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
El cliente debe
administrar
direcciones IP.
Punto a punto
Ethernet sobre
SDH.
Transporte
TDM, no
conmutación
de paquetes.
Para usos
específicos
Anchos de
banda >
1Gbps.
Servicio no
protegido.
Longitud de
onda de uso
exclusivo.