AWS Virtual Private Cloud (VPC): Isolando seus Recursos na Nuvem
-
Upload
amazon-web-services-latin-america -
Category
Technology
-
view
1.238 -
download
5
description
Transcript of AWS Virtual Private Cloud (VPC): Isolando seus Recursos na Nuvem
AWS Virtual Private Cloud (VPC):
Como Isolar Seus Recursos
Na Nuvem
Fábio Silva
AWS Solutions Architect
2
Agenda
• Regiões, Zonas de Disponibilidade e Pontos de Presença
• Elastic Compute Cloud (EC2)
• Virtual Private Cloud (VPC) • O Que é uma VPC, Possibilidades e Definições
• Casos de uso comuns
• Direct Connect
• Demo
4
Compute Storage
AWS Global Infrastructure
Database
App Services
Deployment & Administration
Networking
Infraestrutura Global
Regiões Um conjunto isolado de data centers em uma
determinada geografia
5
Compute Storage
AWS Global Infrastructure
Database
App Services
Deployment & Administration
Networking
Infraestrutura Global
Zonas de Disponibilidade Projetadas para serem independentes.
Separadas fisicamente, porém com conectividade
rápida dentro da mesma região
6
Compute Storage
AWS Global Infrastructure
Database
App Services
Deployment & Administration
Networking
Infraestrutura Global
Pontos de Presença Edge Locations - CloudFront (CDN) e Route 53
(DNS)
Direciona automaticamente usuários finais para a
localização mais próxima conforme condições de
rede
8
Compute Storage
AWS Global Infrastructure
Database
App Services
Deployment & Administration
Networking
EC2
Várias Opções
A partir de $0,02/hora
Elastic Compute Cloud (EC2) Servidores com recursos computacionais
29 tipos de instâncias (servidores) disponíveis,
de micro a cluster compute
Configurações de CPU, memória disco local
Recurso Detalhes
Flexível Linux e Windows
Escalável Várias configurações de servidor
Imagens Modificações podem ser salvas como imagens (AMIs) e novas instancias criadas a partir destas
Controle total
Controle de root e administrador
Segura Controle total do Firewall via Security Groups
Barata On-demand, Reservada e Spot
10
Networking
Storage
AWS Global Infrastructure
Database
App Services
Deployment & Administration
Virtual Private Cloud (VPC) Crie seus recursos AWS dentro de uma rede virtual
com as suas configurações
Ambiente virtual com muita semelhança a uma rede
tradicional
Recurso Detalhes
Flexível Use seu endereçamento
Segura Defina os níveis de acesso
Serviços Crie instâncias EC2, banco de dados em RDS, EMR dentro das VPCs
Conectividade
Através da Internet através de VPN ou usando o Direct Connect
Disponível Use a mesma VPC entre as zonas de disponibilidade
Compute
VPC
11
VPC
O que é uma VPC?
Uma seção privada e isolada da nuvem da AWS
Uma topologia de rede virtual que você pode instalar e customizar
Controle completo da sua rede privada na nuvem
12
VPC
Conectar sua VPC à sua
estrutura de TI local através
de túneis VPN encriptados
Armazenar dados no S3 e
defina permissões para
acesso apenas a partir de
dentro da sua VPC
Associar múltiplos endereços
IP através de múltiplas
interfaces de rede elásticas
(ENI em suas instâncias EC2
Controlar o tráfego de entrada
e saida de e para subredes
individuais Especificar sua própria faixa
de endereçamento IP de
acordo com a sua vontade
Dividir seu endereçamento IP
privado em uma ou mais
subredes públicas ou privadas
Único custo é
VPN por hardware
(opcional, $0.05/h)
Possibilidades
13
VPC
Definições VPC = Virtual Private Cloud (Nuvem Virtual Privada),
representada por uma faixa de endereçamento IP
Subnets = Sub-faixas de endereçamento IP dentro da VPC
Network ACLs = Listas de controle de acesso de tráfego das subredes
Route tables = Aplicadas a subredes, especificando as políticas de roteamento das mesmas
Conexão VPN = Um par de conexões redundantes e encriptadas entre seu datacenter (ou outra VPC) e a sua VPC na AWS
AWS Direct Connect = Conexão direta e privada entre o seu datacenter e a(s) sua(s) VPC(s)
14
VPC
Definições IGW = Internet gateway, provê acesso a internet (entrada e
saída) as instâncias das subredes públicas
VGW = Virtual gateway, provê acesso redundante ao datacenter do cliente (hardware VPN do lado da AWS)
CGW = Customer gateway, representação lógica que aponta para o roteador/firewall do cliente
NAT = Servidor de NAT (Network address translation), provê acesso de saida à internet as instâncias das subredes privadas
Security groups = Especificam políticas de entrada e saída de tráfego de rede para instâncias EC2
AZs = Availability Zones ou Zonas de Disponibilidade
16
VPC
Datacenter Virtual
Active Directory
Configuração de Rede
Encriptação
Dispositivos de Backup
Aplicações On-premise
Usuários e Acesso
Sua Rede Privada
Hardware de Criptografia
Backups na Nuvem
Aplicações na Nuvem
AWS Direct Connect
Data Center Corporativo
17
VPC
Arquiteturas Web Multi-Camadas
Amazon Simple Storage
Service (S3)
Amazon
CloudFront
User
Internet Gateway
Availability Zone A
Private Subnet
Private Subnet
Private Subnet
Availability Zone B
Private Subnet
Public ELB
Private Subnet
Private Subnet
Private ELB
Amazon RDS
Master
Amazon
RDS
Slave
Amazon RDS
Read Replica
Amazon RDS
Read Replica
Public Subnet Public Subnet
EC2 EC2
EC2 EC2
Amazon Route 53
Sta
tic
Asse
ts
18
VPC
Aplicações Híbridas
Availability Zone A
Private Subnet
Private Subnet
Private Subnet
Availability Zone B
Private Subnet
Private ELB
Private Subnet
Private Subnet
Private ELB
Amazon RDS
Master
Amazon
RDS
Slave
Amazon RDS
Read Replica
Amazon RDS
Read Replica
Private Subnet Private Subnet
EC2 EC2
EC2 EC2
Internal
User
Private or Internet
VPN Gateway
CGW
Corporate Data Center
19
VPC
Recuperação de Desastres
Web
Server
Application
Server
DB
Server
Data Volume
EC2 Web
Server
EC2
Application
Server
EC2 DB
Server
EBS Data
Volume
Data Mirroring/
Replication
Amazon Elastic Compute Cloud (EC2) instances are
stopped and AMIs
are created.
Instances can be
restarted if primary
application goes
down.
Smaller EC2 Instance for
DB but may be stopped
and restarted as a larger
EC2 instance.
Route 53
User
Corporate Data Center
Repoint DNS in an
Outage
20
VPC Rede pública (sem VPC)
Internet
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
São atribuídos IPs privados da rede interna da Amazon para as instâncias EC2. As instâncias compartilham um enorme bloco de endereçamento com todas as instâncias.
21
VPC
Internet
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
São atribuídos IPs privados da rede interna da Amazon para as instâncias EC2. As instâncias compartilham um enorme bloco de endereçamento com todas as instâncias.
10.1.2.3
10.16.22.33
10.218.5.17
10.141.9.8
Cliente 1
Rede pública (sem VPC)
22
VPC
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
São atribuídos IPs privados da rede interna da Amazon para as instâncias EC2. As instâncias compartilham um enorme bloco de endereçamento com todas as instâncias.
10.1.2.3 10.27.45.16
10.16.22.33
10.99.42.97
10.134.2.3 10.218.5.17
10.131.7.28
10.141.9.8
Cliente 2 Cliente 1
Internet
Rede pública (sem VPC)
23
VPC
Internet
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
São atribuídos IPs privados da rede interna da Amazon para as instâncias EC2. As instâncias compartilham um enorme bloco de endereçamento com todas as instâncias.
10.1.2.3 10.27.45.16
10.16.22.33 10.6.78.201
10.8.55.5
10.99.42.97
10.134.2.3
10.243.3.5
10.218.5.17
10.155.6.7 10.131.7.28
10.141.9.8
Cliente 2 Cliente 1 Cliente 3
Rede pública (sem VPC)
24
VPC
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
10.1.2.3 10.27.45.16
10.16.22.33 10.6.78.201
10.8.55.5
10.99.42.97
10.134.2.3
10.243.3.5
10.218.5.17
10.155.6.7 10.131.7.28
10.141.9.8
Cliente 2 Cliente 1 Cliente 3
Cada instância também tem um endereço IP público e pode acessar diretamente a internet através da borda da AWS
Rede pública (EC2-Classic)
Internet
25
VPC
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
10.1.2.3 10.27.45.16
10.16.22.33 10.6.78.201
10.8.55.5
10.99.42.97
10.134.2.3
10.243.3.5
10.218.5.17
10.155.6.7 10.131.7.28
10.141.9.8
Cliente 2 Cliente 1 Cliente 3
Cada instância também tem um endereço IP público e pode acessar diretamente a internet através da borda da AWS
Rede pública (EC2-Classic)
Internet
26
VPC
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
Rede Privada
Internet
Os clientes da VPC podem criar instâncias dentro da sua rede
Cliente VPC
27
VPC
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
Internet
Rede Privada
Os clientes da VPC podem criar instâncias dentro da sua rede
Cliente VPC
28
VPC
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
VPC Subnet
VPC Subnet
VPC Subnet
Internet
Rede Privada
Os clientes da VPC podem criar instâncias dentro da sua rede
Cliente VPC
29
VPC
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
10.0.0.5
10.0.0.6
10.0.3.17
10.0.3.5
10.0.1.5
10.0.1.25
10.0.1.8
10.0.1.6
VPC Subnet
VPC Subnet
VPC Subnet
Internet
Rede Privada
Você pode atribuir seu próprio endereçamento IP dentro da VPC
Cliente VPC
30
VPC Rede Privada
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
10.0.0.5
10.0.0.6
10.0.3.17
10.0.3.5
10.0.1.5
10.0.1.25
10.0.1.8
10.0.1.6
VPC Subnet
VPC Subnet
VPC Subnet
Virtual Private Gateway
Cliente Gateway
VPN Connection
Adicione um Virtual Private Gateway (VPG) na sua VPC. Todo o tráfego com origem ou destino da VPC passam pela conexão VPN. A VPC se torna uma extensão do seu datacenter.
Cliente Data Center Cliente VPC
31
VPC Rede Privada
Zona de Disponibilidade 1a Zona de Disponibilidade 1b
Internet
10.0.0.5
10.0.0.6
10.0.3.17
10.0.3.5
10.0.1.5
10.0.1.25
10.0.1.8
10.0.1.6
VPC Subnet
VPC Subnet
VPC Subnet
Virtual Private Gateway
Cliente Gateway
VPN Connection
Internet Gateway
Adicione um Internet Gateway (IGW) para as instâncias conectarem diretamente à Internet.
Cliente Data Center Cliente VPC
OBRIGADO! aws.typepad.com/brasil
slideshare.net/AmazonWebServicesLATAM
facebook.com/brasilaws
Fábio Silva
AWS Solutions Architect