3. Agenda
• ¿Qué es Amazon Virtual Private Cloud (VPC)?
• Casos de uso de alto nivel
• Los fundamentos de VPC
• Opciones de conectividad
• Cloud Connect (Level 3)
5. ¿Qué es Amazon VPC?
• Una sección aislada y privada de la nube de
AWS
• Una topología virtual de red que usted puede
desplegar y personalizar
• Control total de su red
6. En pocas palabras, es un centro de
datos virtual que puede construir y
controlar en AWS!
10. Un centro de datos virtual en AWS
Directorios activos
Configuración de redes
Cifrado
Dispositivos de respaldo
Sus aplicaciones locales
Usuarios y reglas de acceso
Su red privada
Un dispositivo HSM
Respaldos en la nube
Sus aplicaciones en la nube
AWS Direct Connect
Centro de datos
11. Web
Server
Application
Server
DB
Server
Data Volume
EC2 Web
Server
EC2
Application
Server
EC2 DB
Server
Amazon Elastic Block
Store (EBS) Data Volume
Data Mirroring /
Replicación
Las instancias
Amazon Elastic
Compute Cloud
(EC2) están
detenidas. Se
puede reiniciar si la
aplicación primaria
falla
Instancia EC2
más pequeña,
pero pude
detenerse y re-
lanzarse como
una más grande
Amazon Route 53
User
Centro de datos
Modificar el DNS en
un evento
Recuperación de desastres
13. Los componentes de VPC
Route table Elastic network
interface
Amazon VPC Router
Internet
gateway
Customer
gateway
Virtual
private
gateway
VPN
connection
Subnet
Elastic IP
14. • VPC = Virtual Private Cloud
• Su centro de datos virtual en
AWS
• Bloques de Ips que definen su
red (norma RFC 1918)
• Pueden abarcar múltiples AZs
• Default VPCs
VPC
Availability Zone A Availability Zone B
VPC CIDR: 10.1.0.0 /16
15. • Rango de IPs dentro del
rango de IPs de la VPC
• Vive dentro de una AZ
• Puede proveer seguridad a
nivel de subred con ACLs
• Puede rutear a nivel de
subred
• Subredes públicas dentro
Default VPC
Subred de VPC
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
16. • IGW = Internet gateway
• Permite a sus instancias
conectarse a Internet
• La Default VPC incluye un
IGW
Internet gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
AWS Public
API Endpoints
17. • VGW = virtual private gateway
• La VPG representa el punto de
acceso de la VPN para terminar
conexiónes de su centro de
datos
• Es también el punto de acceso
de Direct Connect
Virtual private gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal
User
VPN Gateway
Customer Gateway
Centro de datos
VPN over
the Internet
18. • CGW = customer gateway
• Un dispositivo físico o de
software de su lado de la
conexión
• Normalmente un ruteador o
firewall
Customer gateway
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Usuario
interno
VPN Gateway
Customer Gateway
Centro de datos
VPN over
the Internet
19. • Por defecto cada subred
puede comunicarse con
cualquier otra subred
• Esto es posible gracias a
un ruteador virtual que se
encuentra en una topología
de estrella entre las
subredes
• Para obtener este ruteador,
el servicio DHCP de VPC
entrega un default gateway
en .1 a cada instancia
generada en la subred (en
una subred /24)
Virtual router
Public Subnet
Availability Zone A
Private Subnet
Public Subnet
Availability Zone B
Private Subnet
Instance A
10.1.1.11 /24
Instance C
10.1.3.33 /24
Instance B
10.1.2.22 /24
Instance D
10.1.4.44 /24
VPC CIDR: 10.1.0.0 /16
.1
.1 .1
.1
20. • Contiene una serie de reglas,
llamadas rutas, que se usan
para determinar hacia dónde
se direcciona el tráfico de red
• Las Subredes tienen una tabla
de ruteo
• Controla el ruteo de una subred
al IGW y al VGW
• Una tabla de ruteo puede
pertenecer a varias subredes
Route table
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
AWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
21. • Una conexión VPN se refiere
a la conexión entre su VPC y
su red del centro de datos
• Consiste en un par de túneles
IPSEC entre su VGW y CGW
Conexión VPN
Subnet
Availability Zone A
Subnet
Availability Zone B
10.1.1.0/24 10.1.10.0/24
VPC CIDR: 10.1.0.0 /16
Internal User
VPN Gateway
Customer Gateway
Centro de datos
VPN over
the Internet
22. • EIP = elastic IP
• IP elástica asociada a
su cuenta.
• Permanece en su
cuenta mientras no la
libere
• Se puede mover entre
instancias EC2 en una
región
Elastic IP
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
AWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
EIP EIP
23. • ENI = elastic network interface
• Una ENI es una interfaz de red
virtual que se puede acoplar a una
instancia EC2
• Dentro de una VPC, cada
instancia tiene una interfaz por
defecto eth0
• Consiste de la MAC address, IP
privada, y IP pública
• Una ENI que no es la ENI por
defecto de una instancia (eth0) se
puede mover a otra instancia EC2
en la misma subred
Elastic network interface
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
AWS Public
API Endpoints
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Subnet: 10.1.10.0/24
ENI
(eth0)
ENI
(eth0)
24. • NACL = network access
control list
• Una capa opcional de
seguridad que actúa como un
firewall en una subred
• Una lista de reglas numerada
que se evalúan en orden
• No tienen estado y tienen
reglas de entrada/salida
separadas
Network access control list
Availability Zone A Availability Zone B
VPC CIDR: 10.1.0.0 /16
VPC Subnet with ACL VPC Subnet with ACL
VPC Subnet with ACL
25. • Un grupo de seguridad actúa
como un firewall virtual para
su instancia EC2
• Una instancia EC2 puede
tener hasta 5 grupos de
seguridad
• Los grupos de seguridad
operan a nivel de la instancia
no de la subred
• Los grupo de seguridad
mantienen el estado
Grupo de seguridad
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
VPC CIDR: 10.1.0.0 /16
Subnet: 10.1.10.0/24
Security Group
27. Vista de VPC
VPC Public Subnet
VPC Private Subnet
NAT Instance
Public: 54.200.129.18
Private: 10.1.1.11 /24
Web Server
Public: 54.200.129.29
Private: 10.1.1.12 /24
Database Server
Private: 10.1.10.3 /24
Database Server
Private: 10.1.10.4 /24
Database Server
Private: 10.1.10.5 /24
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
AWS Public
API Endpoints
VPC 10.1.0.0/16
VPN or Direct Connect
Route Table
Destination Target
10.1.0.0/16 local
172.16.0.0/8 vgw
0.0.0.0/0 NAT
IGW VGW
CGW
29. Conexión VPN sencilla
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Customer Gateway
Centro de datos
VPN
Router
Virtual Private Gateway
30. Múltiples conexiones VPN
Virtual Private Cloud
Availability ZoneAvailability Zone
VPC Subnet VPC Subnet
Customer Gateway
Centro de datos
New York
VPN
Router
Virtual Private Gateway
Customer Gateway
Centro de datos
Chicago
VPN
Customer Gateway
Centro de datos
Los Angeles
VPN
33. Direct Connect
• Alternativa a usar Internet para acceder a los servicios
de nube de AWS
• Una conexión de red privada entre AWS y su centro de
datos
• Puede reducir costos, incrementar el ancho de banda,
y proveer una experiencia de red más consistente que
las conexiones basadas en Internet
34. Opciones de Direct Connect
• Dedicada o hospedada
• Tipos de Conexión
– Punto a punto (DWDM, private line, Ethernet virtual private line)
– Full mesh (IPVPN / MPLS or VPLS)
Direct Connect
Location
Customer
Data Center
Customer
Office
Customer
Office
Customer
Office
Customer
Data Center
44. DWDM
Anchos
de
banda
desde
1
G
Servicios
no
Protegidos
Servicio
Transparente
Economías
de
Escala
Interconexión
de
DC
Interfaces:
• 1 GigE, 2.5 G, 10 G, 40 G, 100 G
• FICON (1G, 2G, 4G, 8G)
• ESCON (1GbE & 10GbE)
• Fiber Channel (FC 1G, FC 2G, FC
4G, FC 8G and FC 10G)
46. MPLS IPVPN
AWS Cloud
Red
VPN
capa
3
Topología
Full
Mesh
6
Clases
de
Servicio
Ancho
de
banda
flexible
Facilidad
para
agregar
si@os
Solución
Full
Managed
47. Conclusión
Internet IPVPN EVPL/VPLS EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte best
effort (jitter,
packet loss)
Requiere
encriptado para
mejorar
seguridad.
VPN capa 3
sobre MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
Topología full
mesh.
6 clases de
servicio.
Ethernet sobre
MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
El cliente debe
administrar
direcciones IP.
Punto a punto
Ethernet sobre
SDH.
Transporte
TDM, no
conmutación
de paquetes.
Para usos
específicos
Anchos de
banda >
1Gbps.
Servicio no
protegido.
Longitud de
onda de uso
exclusivo.