Bonnes pratiques pour la gestion des opérations de sécurité AWSJulien SIMON
Modèle de sécurité partagée
Protection des données
Gestion des utilisateurs et des autorisations
Journalisation des données
Automatisation des vérifications
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMJulien SIMON
Webinaire 19/12/2016
Chiffrement et gestion des clés
Comment AWS protège vos données avec le chiffrement
Comment AWS KMS simplifie le chiffrement
Alternatives à AWS KMS : AWS CloudHSM et solutions partenaires
Nous présenterons certains des mécanismes clés pour l’utilisation de la plateforme AWS comme environnement de déploiement élastique ; nous discuterons aussi des clients qui utilisent actuellement AWS pour leurs développements et leurs tests ; enfin, nous vous donnerons quelques conseils pour vous aider à gérer votre infrastructure et rester compétitif.
Bonnes pratiques pour la gestion des opérations de sécurité AWSJulien SIMON
Modèle de sécurité partagée
Protection des données
Gestion des utilisateurs et des autorisations
Journalisation des données
Automatisation des vérifications
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMJulien SIMON
Webinaire 19/12/2016
Chiffrement et gestion des clés
Comment AWS protège vos données avec le chiffrement
Comment AWS KMS simplifie le chiffrement
Alternatives à AWS KMS : AWS CloudHSM et solutions partenaires
Nous présenterons certains des mécanismes clés pour l’utilisation de la plateforme AWS comme environnement de déploiement élastique ; nous discuterons aussi des clients qui utilisent actuellement AWS pour leurs développements et leurs tests ; enfin, nous vous donnerons quelques conseils pour vous aider à gérer votre infrastructure et rester compétitif.
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...Nathalie Richomme
Le « cloud » est le nouveau mot-clé pour créer le buzz dans l’IT. Grâce aux nouvelles apps, accessoires, etc., nous utilisons ou stockons tous des données dans le cloud parfois sans parfois s’en rendre compte. Amazon, au-delà de son si populaire site marchand, dispose d’un vaste catalogue de web services (AWS). Au sein de ces services, l’un d’entre eux dipose d’un grand potentiel pour les développeurs 4D. Il s’agit d’Amazon Simple Storage Service (S3). S3 constitue la solution Amazon de stockage sur le Cloud.
Construire des Applications Web Performantes - Rule Book WebinarAmazon Web Services
Premier d'une série de Webinaire "Voyage dans le Cloud AWS", nous allons voir comment construire des applications Web performantes en utilisant le Cloud AWS.
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Amazon Web Services
Amazon Elastic Compute Cloud (Amazon EC2) fournit une capacité de calcul redimensionnable dans le cloud et est souvent la première étape d’utilisation d’AWS. Cette session vous présentera les concepts fondamentaux d’Amazon EC2. En tant que participant vous vivrez l’expérience d’une première semaine d’utilisation d’Amazon EC2 au travers du déploiement d’une application réelle en production, de l’utilisation des AMI (Amazon Machine Image) sur les instances Amazon EC2 à la mise en œuvre de fonctionnalités avancées. Au cours de ce processus, vous identifierez les meilleures pratiques et les spécificités de déploiement dans le Cloud.
De nombreux clients choisissent AWS parce qu'ils ont besoin d'une plate-forme hautement fiable, évolutive et compétitive sur laquelle exécuter leurs applications. Le fait qu’avec AWS vous ne payez que ce que vous consommez et vous bénéficiez de fréquentes baisses de prix, ne sont que la première étape vers une optimisation globale des coûts. Dans cette session, vous apprendrez à utiliser quelques outils de monitoring simples permettant d’assurer le suivi et la gestion de l’utilisation de vos ressources AWS. Vous découvrirez également un ensemble de fonctions innovantes permettant d’opérer à moindre coût : Trusted Advisor, rapports d'utilisation, alertes de facturation, détection des ressources inactives, Auto Scaling pour Amazon EC2, instances Spot et réservées.
Présentation d'Amazon Web Services - Human Talks GrenobleBastien Libersa
Talk d'introduction à Amazon Web Services : qu'est-ce qu'AWS ? A quoi ça sert ? Comment on l'utilise ?
Application à un cas pratique : le site www.monaviscompte.fr
Une analyse de la sécurité d'Amazon Web services selon la norme ISO 27002 faite à l'occasion du séminaire cloud computing organisé par le centre de compétence technique (CCT) du CNES
http://cct.cnes.fr/cct05/public/2010/index.htm#seminaires
Track 1 - Atelier 2 - Distribution complète d’un site avec le cdn Amazon Clo...Amazon Web Services
Nous allons vous montrer comment utiliser Amazon CloudFront pour architecturer votre site de façon à pouvoir diffuser du contenu statique et dynamique. Vous découvrirez comment configurer des serveurs d'origines multiples dans Amazon CloudFront pour bénéficier de l’accélération fournie par Amazon CloudFront, que vous hébergiez vos sites sur Amazon EC2 ou sur vos serveurs actuels. Vous verrez comment paramétrer Amazon CloudFront pour personnaliser vos pages web pour chaque internaute, et comment protéger la distribution de contenus privés.
Cette session sera consacrée à la présentation d’Amazon Redshift, qui est un service d’entrepôt de données entièrement géré dont la taille va de quelques centaines de giga-octets à un ou plusieurs péta-octets, coûtant moins de 1 000 USD par téra-octet et par an, soit un dixième du coût de la plupart des solutions classiques d'entrepôt de données. Vous découvrirez la simplicité avec laquelle vous pouvez démarrer avec Amazon RedShift et analyser et lancer des rapports sur plusieurs millions de lignes d’enregistrements en quelques secondes.
Amazon Web Service par Bertrand Lehurt - 11 mars 2014SOAT
Attention, soirée spécial cloud computing!
IAAS, PASS, SAAS... Perdu avec autant d'acronyme qui représente des types de cloud computing?
Ça tombe bien, Bertrand Lehurt vous propose une soirée d'introduction à l'IAAS (Infrastructure As A Service) avec Amazon Web Services, suivi d'une séance les mains dans le cambouis.
Vous allez apprendre à déployer une petite application en utilisant les services nécessaires dans la jungle de ceux proposés (plus de 37). Au cours de la soirée, nous aborderons donc l'utilisation d'EC2, S3, ELB, EBS, Cloudfront et Auto scaling et les architectures types qui sont utilisées dans le cloud computing.
La vidéo de la présentation est visible ici : http://youtu.be/0AUJ_hcMNhQ
AWS Summit Paris - Track 3 - Session 1 - IoT Partie 1 - Connectez vos objets ...Amazon Web Services
Les objets de notre quotidien deviennent maintenant des objets-connectés quelque soit leur complexité, allant d'une simple lampe jusqu’à une voiture.
Nous verrons dans cette session les interfaces et architectures permettant de connecter ces objets au Cloud AWS afin de pouvoir ensuite exploiter ces données. Pour se faire nous utiliserons les services managés AWS permettant de traiter ces informations en temps réel et sur une échelle massive comme Amazon Kinesis et AWS Lambda.
Aperçu de la formation : Cette formation gratuite en ligne, qui fournira une présentation des services AWS de base pour le calcul, le stockage, les bases de données et la mise en réseau. Notre expert technique AWS présentera un aperçu d’AWS en parlant des principales fonctionnalités, des cas d’utilisation et des meilleures pratiques.
Qui devrait participer: Virtual AWSome Day est l’événement idéal pour les responsables informatiques, les ingénieurs système, les administrateurs système et les architectes qui souhaitent en savoir plus sur l’infonuagique et apprendre à utiliser le nuage AWS.
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...Nathalie Richomme
Le « cloud » est le nouveau mot-clé pour créer le buzz dans l’IT. Grâce aux nouvelles apps, accessoires, etc., nous utilisons ou stockons tous des données dans le cloud parfois sans parfois s’en rendre compte. Amazon, au-delà de son si populaire site marchand, dispose d’un vaste catalogue de web services (AWS). Au sein de ces services, l’un d’entre eux dipose d’un grand potentiel pour les développeurs 4D. Il s’agit d’Amazon Simple Storage Service (S3). S3 constitue la solution Amazon de stockage sur le Cloud.
Construire des Applications Web Performantes - Rule Book WebinarAmazon Web Services
Premier d'une série de Webinaire "Voyage dans le Cloud AWS", nous allons voir comment construire des applications Web performantes en utilisant le Cloud AWS.
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Amazon Web Services
Amazon Elastic Compute Cloud (Amazon EC2) fournit une capacité de calcul redimensionnable dans le cloud et est souvent la première étape d’utilisation d’AWS. Cette session vous présentera les concepts fondamentaux d’Amazon EC2. En tant que participant vous vivrez l’expérience d’une première semaine d’utilisation d’Amazon EC2 au travers du déploiement d’une application réelle en production, de l’utilisation des AMI (Amazon Machine Image) sur les instances Amazon EC2 à la mise en œuvre de fonctionnalités avancées. Au cours de ce processus, vous identifierez les meilleures pratiques et les spécificités de déploiement dans le Cloud.
De nombreux clients choisissent AWS parce qu'ils ont besoin d'une plate-forme hautement fiable, évolutive et compétitive sur laquelle exécuter leurs applications. Le fait qu’avec AWS vous ne payez que ce que vous consommez et vous bénéficiez de fréquentes baisses de prix, ne sont que la première étape vers une optimisation globale des coûts. Dans cette session, vous apprendrez à utiliser quelques outils de monitoring simples permettant d’assurer le suivi et la gestion de l’utilisation de vos ressources AWS. Vous découvrirez également un ensemble de fonctions innovantes permettant d’opérer à moindre coût : Trusted Advisor, rapports d'utilisation, alertes de facturation, détection des ressources inactives, Auto Scaling pour Amazon EC2, instances Spot et réservées.
Présentation d'Amazon Web Services - Human Talks GrenobleBastien Libersa
Talk d'introduction à Amazon Web Services : qu'est-ce qu'AWS ? A quoi ça sert ? Comment on l'utilise ?
Application à un cas pratique : le site www.monaviscompte.fr
Une analyse de la sécurité d'Amazon Web services selon la norme ISO 27002 faite à l'occasion du séminaire cloud computing organisé par le centre de compétence technique (CCT) du CNES
http://cct.cnes.fr/cct05/public/2010/index.htm#seminaires
Track 1 - Atelier 2 - Distribution complète d’un site avec le cdn Amazon Clo...Amazon Web Services
Nous allons vous montrer comment utiliser Amazon CloudFront pour architecturer votre site de façon à pouvoir diffuser du contenu statique et dynamique. Vous découvrirez comment configurer des serveurs d'origines multiples dans Amazon CloudFront pour bénéficier de l’accélération fournie par Amazon CloudFront, que vous hébergiez vos sites sur Amazon EC2 ou sur vos serveurs actuels. Vous verrez comment paramétrer Amazon CloudFront pour personnaliser vos pages web pour chaque internaute, et comment protéger la distribution de contenus privés.
Cette session sera consacrée à la présentation d’Amazon Redshift, qui est un service d’entrepôt de données entièrement géré dont la taille va de quelques centaines de giga-octets à un ou plusieurs péta-octets, coûtant moins de 1 000 USD par téra-octet et par an, soit un dixième du coût de la plupart des solutions classiques d'entrepôt de données. Vous découvrirez la simplicité avec laquelle vous pouvez démarrer avec Amazon RedShift et analyser et lancer des rapports sur plusieurs millions de lignes d’enregistrements en quelques secondes.
Amazon Web Service par Bertrand Lehurt - 11 mars 2014SOAT
Attention, soirée spécial cloud computing!
IAAS, PASS, SAAS... Perdu avec autant d'acronyme qui représente des types de cloud computing?
Ça tombe bien, Bertrand Lehurt vous propose une soirée d'introduction à l'IAAS (Infrastructure As A Service) avec Amazon Web Services, suivi d'une séance les mains dans le cambouis.
Vous allez apprendre à déployer une petite application en utilisant les services nécessaires dans la jungle de ceux proposés (plus de 37). Au cours de la soirée, nous aborderons donc l'utilisation d'EC2, S3, ELB, EBS, Cloudfront et Auto scaling et les architectures types qui sont utilisées dans le cloud computing.
La vidéo de la présentation est visible ici : http://youtu.be/0AUJ_hcMNhQ
AWS Summit Paris - Track 3 - Session 1 - IoT Partie 1 - Connectez vos objets ...Amazon Web Services
Les objets de notre quotidien deviennent maintenant des objets-connectés quelque soit leur complexité, allant d'une simple lampe jusqu’à une voiture.
Nous verrons dans cette session les interfaces et architectures permettant de connecter ces objets au Cloud AWS afin de pouvoir ensuite exploiter ces données. Pour se faire nous utiliserons les services managés AWS permettant de traiter ces informations en temps réel et sur une échelle massive comme Amazon Kinesis et AWS Lambda.
Aperçu de la formation : Cette formation gratuite en ligne, qui fournira une présentation des services AWS de base pour le calcul, le stockage, les bases de données et la mise en réseau. Notre expert technique AWS présentera un aperçu d’AWS en parlant des principales fonctionnalités, des cas d’utilisation et des meilleures pratiques.
Qui devrait participer: Virtual AWSome Day est l’événement idéal pour les responsables informatiques, les ingénieurs système, les administrateurs système et les architectes qui souhaitent en savoir plus sur l’infonuagique et apprendre à utiliser le nuage AWS.
An introduction to serverless architectures (February 2017)Julien SIMON
An introduction to serverless
AWS Lambda
Amazon API Gateway
Demo: writing your first Lambda function
Demo: building a serverless pipeline
Additional resources
Developing and deploying serverless applications (February 2017)Julien SIMON
What’s new on AWS Lambda?
Simplifying development
Demo: The Serverless framework
Demo: Gordon
Demo: Chalice
Other tools
Simplifying deployment
Demo: AWS Serverless Application Model
Additional resources
Stranger Danger: Securing Third Party Components (Tech2020)Guy Podjarny
Building software today involves more assembly than actual coding. Much of our code is in fact pulled in open source packages, and the applications heavily rely on surrounding third party binaries. These third parties make us more productive - but they also introduce an enormous risk. Each third party component is a potential source of vulnerabilities or malicious code, each third party service a potential door into our system.
This talk contains more information about this risk, create a framework for digesting and tackling it, and lists a myriad of tools that can help.
Аты-жөні:Наринбаева Асия Нуруаевна
Қызметі:Математика пәнінің оқытушысы
Жұмыс орны:Алматы сервистік қызмет көрсету колледжі
Бағыты:Физика-математикалық
Presentation in Norwegian on Internet of Things and Privacy.
Presentation is mostly images and bullet points, not intended as a standalone presentation.
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)Kevin Penalva-Halpin
Study of the densification of the 20th century belt
http://buur.be/project-item/labo-xx-antwerpen/
https://www.antwerpen.be/nl/info/577bc9d7bb42c47b4b247ada/labo-xx
Following a competition organised by the City of Antwerp, BUUR in association with ‘Futureproofed’, was selected with three other teams for the realisation of a prestigious research project entitled ‘Labo XX’. The mission included the development of a strategy for urban renewal and densification of the twentieth century belt around the city of Antwerp. The strategy aimed to create housing for another 100,000 inhabitants by 2030.
The belt around the city centre is as an amalgam of; monotonous neighbourhoods lacking a strong identity, fragments of industry, transformed historic towns, beautifully landscaped parks, undefined residual spaces, remnants of agricultural landscapes and so on. It was thus clear that all the elements were in place in order to create a quality urban environment, including: housing, parks and open spaces, economy and employment and local urban centres. We found a remarkable number of attractions at both the urban and regional scale.
Through creating links, BUUR studied the possibilities of progressively integrating existing functions to transform the belt into a pleasant and attractive area that is complementary to Antwerp’s city centre. In order to create distinguishable areas, it was necessary to define additional functions. The existing radial tramlines could be integrated by a north-south tangental line to form a ‘network’ at the local a urban level.
Through the study, BUUR analysed the integration of an urban system that is tangental to the existing radial network while looking at densification and renovation opportunities.
LOCATION: Antwerp
PERIOD: 2013 > 2014
CLIENT: City of Antwerp
TEAM: BUUR with Futureproofed
Cette fiche applicative est la suite de la fiche « Génération de certificats SSL ». Elle présente la configuration d’un tunnel OpenVPN SSL entre un routeur WeOS Westermo et le client SecurePoint SSL VPN.
Cette session passe en revue des nouveautés autour de l’infrastructure dans Microsoft Azure. Nous verrons toutes les dernières évolutions : les templates de VM, le stockage, le réseau, la console …
Cette session passe en revue des nouveautés autour de l’infrastructure dans Microsoft Azure. Nous verrons toutes les dernières évolutions : les templates de VM, le stockage, le réseau, la console …
Amazon web services fonctionnement de quelques servicesPape Moussa SONKO
Ce document contient la description et le fonctionnement de quelques Services d'Amazon Web Services(AWS). Ce n'est pas un guide complet mais plutôt une aide pour tous débutants qui cherche à avoir dles bases avec AWS.
An introduction to computer vision with Hugging FaceJulien SIMON
In this code-level talk, Julien will show you how to quickly build and deploy computer vision applications based on Transformer models. Along the way, you'll learn about the portfolio of open source and commercial Hugging Face solutions, and how they can help you deliver high-quality solutions faster than ever before.
Starting your AI/ML project right (May 2020)Julien SIMON
In this talk, we’ll see how you can put your AI/ML project on the right track from the get-go. Applying common sense and proven best practices, we’ll discuss skills, tools, methods, and more. We’ll also look at several real-life projects built by AWS customers in different industries and startups.
Building Machine Learning Inference Pipelines at Scale (July 2019)Julien SIMON
Talk at OSCON, Portland, 18/07/2019
Real-life Machine Learning applications require more than a single model. Data may need pre-processing: normalization, feature engineering, dimensionality reduction, etc. Predictions may need post-processing: filtering, sorting, combining, etc.
Our goal: build scalable ML pipelines with open source (Spark, Scikit-learn, XGBoost) and managed services (Amazon EMR, AWS Glue, Amazon SageMaker)
Optimize your Machine Learning Workloads on AWS (July 2019)Julien SIMON
Talk at Floor 28, Tel Aviv.
Infrastructure, tips to speed up training, hyperparameter optimization, model compilation, Amazon SageMaker Neo, cost optimization, Amazon Elastic Inference
4. Configurations réseau
EC2-Classic
Simple à démarrer –
toutes les instances
ont une connectivité
Internet, des
adresses IP privées
et publiques auto-
attribuées
Groupes de sécurité
entrants
VPC par défaut
Le meilleur des deux
Mise en route avec
l'expérience EC2-
Classic
Si et quand cela
s'avère nécessaire,
commencez à utiliser la
fonctionnalité VPC dont
vous avez besoin
VPC
Services de mise en
réseau avancée :
ENI et plusieurs IP,
Tables de routage,
Groupes de sécurité,
ACL réseau,
Connectivité privée,
Mise en réseau
améliorée,
etc.
5. VPC
Services de mise en
réseau avancée :
ENI et plusieurs IP
Tables de routage
Groupes de sécurité
ACL réseau
Connectivité privée
Mise en réseau
améliorée
Etc.
Configurations réseau
VPC par défaut
Le meilleur des deux
Mise en route avec
l'expérience EC2-
Classic
Si et quand cela
s'avère nécessaire,
commencez à utiliser la
fonctionnalité VPC dont
vous avez besoin
EC2-Classic
Simple à démarrer –
toutes les instances
ont une connectivité
Internet, des
adresses IP privées
et publiques auto-
attribuées
Groupes de sécurité
entrants
Tous les comptes créés après
le 04/12/2013 prennent en
charge VPC uniquement et
ont un VPC par défaut
dans chaque région
6. Identifier le VPC par défaut
describe-account-attributes
Configuration VPC
VPC par défaut
13. Bonnes pratiques pour la connexion à distance
Centre de données
d'entreprise
Zone de disponibilité
Zone de disponibilité
Chaque connexion VPN est composée
de 2 tunnels IPSec redondants.
Utilisez BGP pour le routage.
14. Bonnes pratiques pour la connexion à distance
Centre de données
d'entreprise
Zone de disponibilité
Zone de disponibilité
BGP
Deux connexions VPN
(4 tunnels IPSec au total)
sur des équipements différents
éliminent le SPOF côté client
BGP
15. Bonnes pratiques pour la connexion à distance
Centre de données d'entreprise
Zone de disponibilité
Zone de disponibilité
BGP
Connexions Direct
Connect redondantes
+ VPN auxiliaire
BGP choisit la
meilleure route
https://aws.amazon.com/fr/directconnect/partners/
16. Sélection de routes (site client à VGW)
En cas de connexions multiples, plusieurs routes vers le VPN
Gateway peuvent co-exister sur votre passerelle.
• A vous de jouer.
• Routes statiques : gare au failover !
• BGP est la meilleure solution
• Actif / passif : vous pouvez privilégier un chemin, par ex. DX > VPN#
(Cisco : attributs WEIGHT et LOCAL_PREFERENCE)
• Actif / actif : vous pouvez faire du BGP Multipath #
(Cisco : BGP Link Bandwidth)
17. Sélection de routes (VGW à site client)
En cas de connexions multiples, plusieurs routes vers la même destination
peuvent co-exister sur votre Virtual Private Gateway.
1. Le préfixe IP le plus spécifique est privilégié (10.0.0.0/24 > 10.0.0.0/16)
2. Egalité du préfixe ? Les routes statiques sont préférées aux routes BGP.
3. Routes BGP multiples ? Le chemin d'AS le plus court est privilégié.
• Vous pouvez ajouter le préfixe AS_PATH pour défavoriser une route.
• Lorsque les chemins d'AS sont de même longueur, la comparaison porte
sur l'origine du chemin (IGP > EGP > inconnue).
http://docs.aws.amazon.com/fr_fr/AmazonVPC/latest/NetworkAdminGuide/Introduction.html#MultipleVPNConnections
18. Routage : route par défaut
Centre de données d'entreprise
192.168.0.0/16
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id vgw-f9da06e7
Chaque VPC a une table de
routage utilisée par
tous les sous-réseaux
20. Routage : propagation des routes du VGW vers le VPC
Centre de données d'entreprise
192.168.0.0/16
aws ec2 delete-route --ro rtb-ef36e58a --dest 192.168.0.0/16
aws ec2 enable-vgw-route-propagation --ro rtb-ef36e58a --gateway-id vgw-f9da06e7
Utilisé pour mettre à jour automatiquement
la ou les tables de routage du VPC
avec les routes connues par le VGW
21. Routage : table spécifique à un sous-réseau
Entreprise
192.168.0.0/16
aws ec2 create-subnet --vpc vpc-c15180a4 --cidr 10.10.3.0/24 --a us-west-2b
aws ec2 create-route-table --vpc vpc-c15180a4
aws ec2 associate-route-table --ro rtb-fc61b299 --subnet subnet-60975a17
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
Sous-réseau
avec connectivité vers Internet
et les autres sous-réseaux
mais pas vers l’entreprise
22. VPN logiciel sur EC2 pour relier deux VPCs
# VPC A
aws ec2 modify-network-interface-attribute --net eni-f832afcc --no-source-dest-check
# VPC B
aws ec2 modify-network-interface-attribute --net eni-9c1b693a --no-source-dest-check
23. VPN logiciel sur EC2 pour relier deux VPCs
Tunnel entre ces
instances
24. VPN logiciel sur EC2 pour relier deux VPCs
Activation de la communication
entre les instances de ces sous-
réseaux ; ajout d’une route à la
table de routage par défaut
# VPC A
aws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc
# VPC B
aws ec2 create-route --ro rtb-67a2b31c --dest 10.10.0.0/16 –-instance-id i-9c1b693a
25. Routage vers un pare-feu logiciel sur EC2
Le routage de tout le trafic des
sous-réseaux vers Internet via
un pare-feu est similaire du
point de vue conceptuel
aws ec2 modify-network-interface-attribute --net eni-f832afcc --no-source-dest-check
# La table de routage par défaut dirige le trafic vers l'instance NAT/de pare-feu
aws ec2 create-route --ro rtb-ef36e58a --dest 0.0.0.0/0 --instance-id i-f832afcc
# Table de routage pour 10.10.3.0/24 dirige vers Internet
aws ec2 create-route --ro rtb-67a2b31c --dest 0.0.0.0/0 --gateway-id igw-5a1ae13f
27. Partager un VPC de services grâce au peering
Services de base
• Authentification / annuaire
• Monitoring
• Journalisation
• Administration à distance
• Audits de sécurité
29. Peering entre VPC du même compte
aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63
aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87
VPC A> aws ec2 create-route --ro rtb-ef36e58a --des 10.20.0.0/16 --vpc-peer pcx-ee56be87
VPC B> aws ec2 create-route --ro rtb-67a2b31c --des 10.10.0.0/16 --vpc-peer pcx-ee56be87
VPC A - 10.10.0.0/16
vpc-c15180a4
VPC B - 10.20.0.0/16
vpc-062dfc63
30. Peering entre VPC de comptes différents
aws ec2 create-vpc-peering-connection --vpc-id vpc-c15180a4 --peer-vpc vpc-062dfc63
--peer-owner 472752909333
# Dans le compte propriétaire 472752909333
aws ec2 accept-vpc-peering-connection --vpc-peer pcx-ee56be87
VPC A - 10.10.0.0/16
vpc-c15180a4
VPC B - 10.20.0.0/16
vpc-062dfc63
ID de compte 472752909333
31. Peering de VPC avec une pare-feu dans EC2
VPC A - 10.10.0.0/16 VPC B - 10.20.0.0/16
# La table de routage par défaut dirige le trafic peeré vers l'instance pare-feu
aws ec2 create-route --ro rtb-ef36e58a --dest 10.20.0.0/16 --instance-id i-f832afcc
# Table de routage pour 10.10.3.0/24 dirige vers le peer
aws ec2 create-route --ro rtb-67a2b31c --dest 10.20.0.0/16 --vpc-peer pcx-ee56be87
32. Peering de VPC – considérations supplémentaires
Les VPC doivent être dans la même région.
Les plages d'adresses des VPC ne peuvent pas se chevaucher.
Routage : utilisez les adresses privées IPv4 ou IPv6 (depuis Décembre 2016).
Security groups: depuis mars 2016, il est possible de les référencer entre VPCs.
DNS: depuis juillet 2016, il est possible de résoudre les adresses privées entre VPCs.
#
Pas de transitivité pour VPN, Direct Connect ou les VPC tiers
• Exemple : impossible d'accéder au VPC C à partir du VPC A via le VPC B
• Solution : créez un peering entre le VPC A vers le VPC C
35. Traitement des paquets dans Amazon EC2 : VIF
Couche de virtualisation
eth0
eth1
Instance
Carte réseau
virtuelle
Carte réseau
physique
36. Traitement des paquets dans Amazon EC2 :
SRIOV (Single Root I/O Virtualization)
eth0
Instance
Pilote VF
eth1
VF
Couche de virtualisation
Carte réseau
physique
Les paquets ne
traversent plus la
couche de virtualisation.
Le pilote réseau de
votre instance a
directement accès à
l’interface physique.
Il doit être configuré sur
votre instance.
38. SR-IOV : Est-ce prêt ?
Pour un grand nombre d'AMI récentes,
Enhanced Networking est déjà activé :
• AMI Amazon Linux les plus récentes
• AMI Windows Server 2012 R2
Aucune configuration nécessaire
40. Support de SRIOV
• Familles d'instances :#
C3, C4, I2, D2, R3, R4, M4, P2, X1
• Virtualisation HVM
• Version de noyau obligatoire
• Linux : 2.6.32+
• Windows : Server 2008 R2+
• Pilote VF approprié
• Linux : module ixgbevf 2.14.2+
• Windows : Pilote de fonction virtuel Intel® 82599
53. Points de terminaison VPC pour Amazon S3
Utile pour les sous-réseaux privés qui
n’ont pas d’accès direct à Internet,
voire pas d’accès du tout
Possibilité d’utiliser S3 à l’intérieur du
VPC, sans passer par Internet (via VPN
ou Direct Connect)
Optimisation de la bande passante,
meilleures performances et sécurité
accrue
54. Points de terminaison VPC pour Amazon S3
Compartiment
'mypics'
Instance
Routage
VPC
région
Point de terminaison VPC
vpce-abcd1234
56. Points de terminaison VPC pour Amazon S3
Compartiment
'mypics'
Instance
Routeur
VPC
région
Point de terminaison VPC
vpce-abcd1234
L'application résout mypics.s3.amazonaws.com
Le DNS répond avec les adresses IP habituelles d’Amazon S3
L'application se connecte à l'adresse IP sélectionnée
57. Points de terminaison VPC pour Amazon S3
Compartiment
'mypics'
Instance
Routeur
VPC
région
Point de terminaison VPC
vpce-abcd1234
Destination Cible
pl-1a2b3c4d vpce-abcd1234
Liste de préfixe
com.amazonaws.us-west-1.s3
58. Points de terminaison VPC pour Amazon S3
Compartiment
'mypics'
Instance
Routeur
VPC
région
Point de terminaison VPC
vpce-abcd1234
Stratégie IAM sur le point de terminaison VPC vpe-abcd1234
• Autoriser l'accès au compartiment ’mypics’
• Refuser l'accès aux autres compartiments
60. Points de terminaison VPC pour Amazon S3
Compartiment
'mypics'
Instance
Routeur
VPC
région
Point de terminaison VPC
vpce-abcd1234
Stratégie IAM sur le compartiment ‘mypics’
• Autoriser l'accès à partir de vpce-abcd1234
• Refuser tous les autres
63. Ressources complémentaires
AWS re:Invent 2016: Tuesday Night Live with James Hamilton
https://www.youtube.com/watch?v=AyOAjFNPAbA
AWS re:Invent 2016: Creating Your Virtual Data Center: VPC Fundamentals and Connectivity (NET201)#
https://www.youtube.com/watch?v=Ul2NsPNh9Ik
AWS re:Invent 2016: NEW LAUNCH IPv6 in the Cloud: Protocol and AWS Service Overview (NET204)
https://www.youtube.com/watch?v=Uvgyxncu9MY
AWS re:Invent 2016: NextGen Networking: New Capabilities for Amazon’s Virtual Private Cloud (NET303)
https://www.youtube.com/watch?v=G24h4PuAOrs
AWS re:Invent 2016: Extending Datacenters to the Cloud (NET305)
https://www.youtube.com/watch?v=F2AWkGem7Sw
AWS re:Invent 2016: Another Day, Another Billion Packets (NET401)
https://www.youtube.com/watch?v=St3SE4LWhKo
AWS re:Invent 2016: Deep Dive: AWS Direct Connect and VPNs (NET402)
https://www.youtube.com/watch?v=Qep11X1r1QA
64. Merci !
Julien Simon
Principal Technical Evangelist, AWS
julsimon@amazon.fr
@julsimon
Lundi
• Bonnes pratiques d'authentification avec AWS IAM
• Chiffrez vos données avec AWS
Mardi
• Fireside chat avec Matthieu Bouthors et Julien Simon
• Re:Invent update 1
Mercredi
• Deep dive : Amazon Virtual Private Cloud
• Bonnes pratiques anti-DDoS
Jeudi
• Re:Invent update 2
• Gérez les incidents de sécurité avec AWS CloudTrail
Vendredi
• Automatisez vos audits de sécurité avec Amazon Inspector
• Bonnes pratiques de sécurité sur AWS