4. What to Expect from the Session
• Familiarizarse con los conceptos de VPC
• Tutorial de una configuración básica de VPC
• Aprenda acerca de las diferentes maneras con
las cuales usted puede personalizar su red
virtual para cumplir sus necesidades
¿Qué esperar de la sesión?
6. Creando una VPC conectada a Internet: Pasos
Seleccionar un
rango de
direcciones
Configurar las
subredes en Zonas
de Disponibilidad
Crear una ruta
hacia Internet
Autorizar el tráfico
hacia/desde la VPC
13. Más acerca de las subredes
• Recomendado para la mayoría de los clientes:
• /16 VPC (64K direcciones)
• /24 subredes (251 direcciones)
• Una subred por Zona de Disponibilidad
• Cuándo debe hacer algo diferente?
15. Ruteo en su VPC
• Las tablas de ruteo contienen reglas para qué
paquetes van a dónde
• Su VPC tiene una tabla de ruteo por defecto
• … pero usted puede asignar diferentes tablas
de ruteo a diferentes subredes
20. Network ACLs = reglas sin estado de firewall
Traducción: Permite TODO el
tráfico de entrada
Se pueden aplicar por subred
21. Los grupos de seguridad siguen la
estructura de su aplicacón
“MyWebServers” Security Group
“MyBackends” Security Group
Sólo permite a “MyWebServers”
22. Grupos de seguridad = firewall con estado
En español: Los hosts de este grupo son
alcanzables desde internet en el puerto 80
(HTTP)
23. En español: Sólo las instancias en el grupo de
seguridad MyWebServers pueden alcanzar
instancias en este grupo de seguridad
Grupos de seguridad = firewall con estado
24. Grupos de seguridad en VPCs: Notas
• Las VPC permiten la creación de reglas de grupos de
seguridad tanto de ingreso como de egreso
• Mejores prácticas: Cuando sea posible, especifique tráfico
permitido por referencia (otros grupos de seguridad)
• Muchas arquitecturas de aplicaciones los lleva a sí mismos
a una relación 1:1 entre grupos de seguridad (quién me
puede alcanzar) y roles de AWS Identity and Access
Management IAM (qué puedo hacer).
35. Pasos para establecer conexión: Aceptar la
solicitud
172.31.0.0/16 10.55.0.0/16
Paso 1
Iniciar solicitud de peering
Paso 2
Aceptar la solicitu de peering
37. Pasos para establecer conexión: Crear ruta
172.31.0.0/16 10.55.0.0/16Paso 1
Iniciar la solicitud de peering
Paso 2
Aceptar la solicitud de peering
Paso 3
Crear ruta
En español: El tráfico destinado para
VPC interconectada debe de ir al
peering
38. Conexión a su Red:
AWS VPN de Hardware &
AWS Direct Connect
40. VPN: Lo que necesita saber
Customer
Gateway
Virtual
Gateway
Dos túneles IPSec
192.168.0.0/16 172.31.0.0/16
192.168/16
Su dispositivo de red
41. Ruteo a un virtual private gateway (VPG)
En español: El tráfico a mi red
192.168.0.0/16 va a través del túnel VPN
42. VPN vs. Direct Connect
• Ambas son conexiones seguras entre
su red y su VPC
• VPN consiste de un par de túneles
sobre Internet
• Direct Connect es un enlace dedicado
con baja tarifa por transferencia de
datos
• Para alta disponibilidad: Use ambos
44. Opciones de DNS en la VPC
Use el servidor de DNS de
Amazon
Haga que EC2 auto-asigne nombres
de DNS a las instances
45. EC2 DNS hostnames in a VPC
Nombre de dominio interno: Resuelve a
la dirección IP privada
Nombre de DNS externo: Resuelve a…
46. Los nombre de dominio DNS en EC2 funcionan
desde cualquier lugar: Fuera de su VPC
C:>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Server: globaldnsanycast.amazon.com
Address: 10.4.4.10
Non-authoritative answer:
Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
Address: 52.18.10.57
Fuera de su VPC:
Dirección IP pública
47. Los nombre de dominio DNS en EC2 funcionan
desde cualquier lugar: Dentro de su VPC
[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A
;; ANSWER SECTION:
ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137
;; Query time: 2 msec
;; SERVER: 172.31.0.2#53(172.31.0.2)
;; WHEN: Wed Sep 9 22:32:56 2015
;; MSG SIZE rcvd: 81
Dentro de su VPC:
Dirección IP privada
48. Amazon Route 53 y hosted zones privadas
• Control de la resolución DNS para un dominio y
subdominios
• Los registros de DNS toman efecto sólo dentro
de las VPCs asociadas
• Se pueden usar para anular registros DNS en
“el exterior”
49. Crer una Amazon Route 53 hosted zone
privada
Hosted Zone Privada
Associada con una o
más VPCs
50. Crear un registro DNS de Amazon Route 53
Private Hosted
Zone
example.demohostedzone.org à
172.31.0.99
53. VPC Flow Logs: Observe todo su tráfico
• Visibilidad en actividad de
grupos de seguridad
• Resolución de problemas
de conectividad
• Habilidad de analizar el
tráfico
55. ClassicLink: Conectar instancias en
EC2-Classic a su VPC
• Conectividad para direcciones IP
privadas entre instancias vinculadas
en EC2-Classic and VPC
• Las instancias en Classic pueden
tomar propiedad en los grupos de
seguridad de VPC
56. Administre su red como un maestro..
… sin importar si es o no un experto en redes
172.31.0.128
172.31.0.129
172.31.1.24
172.31.1.27
54.4.5.6
54.2.3.4