expandindo seu data center com uma infraestrutura hibrida
Post on 16-Apr-2017
627 Views
Preview:
TRANSCRIPT
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Alex Coqueiro
Gerente de Arquitetura para o Setor Público
Junho, 2016
Expandindo seu Datacenter com
uma infraestrutura híbrida
@alexbcbr#AWSSummit
Cloud é uma proposição de TUDO ou NADA
Modelo de Convivência
Corporate
Data Centers
Recursos
On-Premises
Recursos
CloudIntegração
TI Híbrida
TI Híbrida: Definição
http://www.gartner.com/technology/research/technical-professionals/hybrid-cloud.jsp
”TI Hibrida é o resultado da combinação de serviços
internos e externos, usualmente a partir de recursos
internos e cloud públicas provendo valor ao negócio”
http://www.gartner.com/technology/research/technical-professionals/hybrid-cloud.jsp
”TI Hibrida é o resultado da combinação de serviços
internos e externos, usualmente a partir de recursos
internos e cloud públicas provendo valor ao negócio”
TI Híbrida: Definição
O seu Datacenter
O seu Datacenter
Estendendo o seu Datacenter com a AWS
O seu Datacenter
AWS VPC
Integração
de Redes
# 10.0.100.0
# 10.0.200.0
Integração de Recursos Existentes
Controle de
Acesso
Integrado
Microsoft Active
Directory
LDAP
Workloads
Hibridos
App 1
AWS Storage Gateway
Governança
Centralizada
Integração
Corporativa
Integração
de Redes
# 10.0.100.0
# 10.0.200.0
Nosso foco hoje …
Workloads
HibridosIntegração
Corporativa
Amazon VPC
Availability Zone
Virtual Private Cloud
AWS Cloud
Subnet Pública
Internet
Virtual Private Cloud
Availability Zone
Subnet Privada
Availability Zone
VPN Subnet
Servidores de Aplicação
Servidor Web Servidor Web
NAT
Corporate Network
R
Banco de Dados
Amazon VPC
Rede CorporativaInternet
ISP 2(BGP)
FIREWALL
Internet ISP 1
InternetISP 3
OS
PF
Router
Public IP
Router
BGPInside GRE Tunnels
Over IPSEC
FIREWALL
InternetISP 4
InternetISP 5
OS
PF
.1
Wireless Controller
Backup GRE Tunnels
Router
Rede Corporativa
Ambiente
Ambiente
Ambiente
CORP
Ferramentas
Virtual Private Cloud
Route Tables
Internet Gateway
Virtual Private Gateway
VPN Connection
Customer Gateway
AWS Direct Connect
Ferramentas
VPC
Route Tables
IGW
VGW
VPN
CGW
DX
Opções de Conectividade
AWS Hardware VPN
Software VPN
AWS Direct Connect
AWS Software VPN
AWS Hardware VPN
Internet Protocol Security (IPsec) é um conjunto de protocolos para a
segurança na comunicação no tráfego IP por meio da autenticação e
encriptação de cada pacote IP por meio de uma sessão de comunicação.
IPsec incluí protocolos para o estabelecimento de autenticação mútua entre
agentes no inicio da sessão e na negociação de chaves criptográficas para
serem usadas durante a sessão.
http://en.wikipedia.org/wiki/IPsec
VPN Connection – IPsec
AWS VPN
• Rotas estáticas ou dinâmicas (BGP)
• Conexões iniciadas pelo Customer Gateway
• IPSec Security Associations em modo de túnel
• IKE SA (Security Association) usando Pre-Shared Key
• AES 128-bit encryption, SHA-1 hashing function
• Diffie-Hellman Perfect Forward Secrecy – Grupo 2
• Necessário suporte a fragmentação de pacotes IP no
lado do gateway do cliente
VPN Estática
CORP
• 1 unico Security Association (SA) pair por tunel
• 1 inbound e 1 outbound
• 2 pares únicos para 2 tuneis – 4 SA’s
10.0.0.0 /16
10.0.0.0 /16
192.168.0.0 /16
192.168.0.0 /16
10.0.0.0 /16
BGP
• TCP na porta 179
• BGP Neighbors exchange routing information - prefixos
• Uso de Autonomous System Numbers
• iBGP – entre pares na mesma AS
• eBGP – entre pares entre diferentes AS
• AS_PATH – avalia a ”distância” entre redes
• Local Preference – pesos para prefixos idênticos
VPN Dinâmico
CORP
Tunnel 1
IP 169.254.169.1 /30
BGP AS 7224
Route Table
Destination Target
10.0.0.0/16 Local
172.16.0.0/16 VGW
Tunnel 2
IP 169.254.169.5 /30
BGP AS 7224
10.0.0.0 /16
Tunnel 1
IP 169.254.169.2 /30
BGP AS 65001
Tunnel 2
IP 169.254.169.6 /30
BGP AS 65001
172.16.0.0 /16
DemoConfiguração de uma
VPN
iBG
P
OS
PF
Resiliência na VPN (Dinâmica)
CORP
eBGP
Resiliência Dinâmica – Múltiplas VPC’s
CORP
Reuso do Customer Gateway IP
• Atualizado para solução de VPN AWS
• Em implantação em todas as regiões
• Permite que o uso do mesmo IP de Customer Gateway
(CGW)
• Cria um novo VGW e VPN atachado a VPCObs: Apenas um VGW pode ser anexado a VPC por vez.
Como criar a Conexão VPN
1. Criar o VGW
2.
3.
4.
5.
6.
Como criar a Conexão VPN
1. Criar o VGW
2. Anexá-lo na VPC
3.
4.
5.
6.
Como criar a Conexão VPN
1. Criar o VGW
2. Anexá-lo na VPC
3. Criar o CGW
4.
5.
6.
Como criar a Conexão VPN
1. Criar o VGW
2. Anexá-lo na VPC
3. Criar o CGW
4. Criar a VPN
5.
6.
Como criar a Conexão VPN
1. Criar o VGW
2. Anexá-lo na VPC
3. Criar o CGW
4. Criar a VPN
5. Atualizar tabela de rotas
6.
Como criar a Conexão VPN
1. Criar o VGW
2. Anexá-lo na VPC
3. Criar o CGW
4. Criar a VPN
5. Atualizar tabela de rotas
6. Configurar o CGW
AWS Software VPN
Software VPN
VPN
Software VPN
VPN
VPN
AWS Direct Connect
Conexão dedicada e privada na AWS
Cobrança reduzida de data-out (data-in continua gratuito)
Performance consistente
Ao menos 1 local por região
Opção para conexões redundantes
Múltiplas contas AWS podem compartilhar a conexão
AWS Direct Connect
AWS Direct Connect
CORP
AWS Direct
Connect
Routers
Customer
Router
Colocation
DX Location
Customer
Network`
AWS Backbone
Network
Cross
Connect
Customer
Router
Access
Circuit
Customers Network
Backbone
Access
Circuit
Demarcação
AWS Direct Connect - LocaisAWS Region AWS Direct Connect (Locais)
Asia Pacific (Singapore) Equinix SG2
Asia Pacific (Sydney) Equinix SY3
Asia Pacific (Sydney) Global Switch
Asia Pacific (Tokyo) Equinix OS1
Asia Pacific (Tokyo) Equinix TY2
China (Beijing) Sinnet JiuXianqiao IDC
China (Beijing) CIDS Jiachuang IDC
EU (Frankfurt) Equinix FR5
EU (Frankfurt) Interxion Frankfurt
EU (Ireland) Eircom Clonshaugh
EU (Ireland) TelecityGroup, London Docklands'
South America (São Paulo) Terremark NAP do Brasil – Barueri – São Paulo
South America (São Paulo) Tivit – Site Transamerica – Sao Paulo
US East (Virginia) CoreSite NY1 & NY2
US East (Virginia) Equinix DC1 - DC6 & DC10
US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA
US West (Northern California) Equinix SV1 & SV5
US West (Oregon) Equinix SE2 & SE3
US West (Oregon) Switch SUPERNAP, Las Vegas
DemoCriação de uma conexão
com Direct Connect
Camadas do Direct Connect
Single Mode Fiber – 1G or 10GCamada 1 – Físico
Ethernet – 802.1Q VLANCamada 2 – Enlace
Peer & Amazon IPCamada 3 - Rede
TCPCamada 4 - Transporte
BGPCamada 7 – Aplicação
Roteamento do Tráfego
Conexão Física
• Cross Connect
• Single Mode Fiber
- 1000Base-LX ou 10GBASE-LR
Public e Private Virtual Interfaces
• 802.1Q VLAN
• eBGP Session
• Private Virtual Interface – Acesso pela VPCObs: Não suporta VPC Endpoints ou conexão transitiva com VPC Peering
• Public Virtual Interface – Acesso a serviços fora da VPC
DemoConfiguração de uma
Private Virtual Interface
Porta dedicada do AWS Direct Connect via Parceiro
CORP
AWS Direct
Connect
Routers
Colocation
DX Location
Partner Network
AWS Backbone
Network
Cross
Connect
Customer
Router
Partner
Network
Access
Circuit
Demarcação
Partner
Equipment
AWS Direct Connect com MPLS
CORP
AWS Direct
Connect
Routers
Partner
PE Router
Colocation
DX Location
MPLS Core`
AWS Backbone
Network
Cross
Connect
Provider
Edge
Partner MPLS
Core
Access
Circuit to CE
Demarcação
`
`
CE Router
CE Router
Duplo DX – Único Local
CORP
AWS Direct
Connect
Routers
Customer
Routers
Colocation
DX Location
`
Service Provider
Network
`
Único DX – Mais de um Local
CORP
Customer
Routers
Colocation
DX Location 1
`
Customer
Routers
Colocation
DX Location 2
`
Service Provider
Network
AWS Direct
Connect Routers
AWS Direct
Connect Routers
Duplo VIF – Ativo/Ativo
IP 169.254.254.9 /30
IP 169.254.254.13 /30
Ativo/Ativo – Perpectiva do VGW
IP 169.254.254.10 /30
IP 169.254.254.14 /30
Duplo VIF – Ativo/Passivo
IP 169.254.254.9 /30
IP 169.254.254.13 /30
Ativo/Passivo – Perspectiva do VGW
IP 169.254.254.10 /30
IP 169.254.254.14 /30
Duplo VIF – Ativo/Passivo
IP 169.254.254.9 /30
IP 169.254.254.13 /30
Ativo/Passivo – Perspectiva do VGW
IP 169.254.254.10 /30
IP 169.254.254.14 /30
Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a Conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
Habilitar o AWS Direct Connect
1. Selecione uma região
2. Crie a conexão
3. Receba o LOA-CFA
4. Cross Connect
5. Criar a Virtual Interface
6. Configurar o Customer Router
O que vimos …
Cenários de TI Híbrida
Conectividade via VPN – Estático & Dinâmico
Conectividade via AWS Direct Connect – Pública & Privada
Uso dos serviços de forma prática
Muito ObrigadoAlex Coqueiro
Gerente de Arquitetura para o Setor Público
@alexbcbr#AWSSummit
top related