Extendiendo su centro de datos a la nube de AWS
Angel Leon
Arquitecto de Soluciones
Sector Público
Agosto 2017
Arquitecturas híbridas
Introducción a VPN & AWS Direct Connect
Arquitecturas de conexión
¿Qué vamos a conectar?
¿Que esperar de esta sesión?
¿Cuáles son las opciones para conectarse a AWS?
¿Qué es lo más apropiado para mis cargas de trabajo?
¿Cómo puedo iniciar y seguir creciendo?
Preguntas comunes
Conectándose hacía AWS
Arquitecturas híbridas
CORP
Escenario inicial
CORP
Web App DB
División e integración de componentes
CORP
DB
DB
DB
DB
Replicación de datos
CORP
Amazon S3
DB
App
Históricos
Almacenamiento / Respaldo / Histórico
CORP
Amazon WorkSpaces
App2
App1
Escritorios Virtuales
CORP
DB
Web
App
Recuperación de desastres - DR
CORP
Arquitectura híbrida
Arquitecturas de conexión
VPN & AWS Direct Connect
CORP
Conexión entre oficinas
CORP
Conexión hacía el exterior
CORP
VPC
VPC
VPC
Recursos en la nube de AWS
VPC
VPC
VPC
CORP
Internet
Escenario típico
VPN
Arquitectura de conexión
• Amazon VPC NO es igual a VPN
• Autenticación IPsec & cifrado
• Opciones de conexión hacía AWS• VPN gestionada por AWS (AWS Managed VPN)
• VPN por software (EC2)
Información general sobre VPN
VPC
VPC
VPC
CORP
Internet
Customer Gateway
Virtual Private Gateway
VPN gestionada por AWS
VPC
VPC
VPC
CORP
Internet
VGW
CGW
VPN gestionada por AWS
VPC
VPC
VPC
CORP
Internet
VGW
CGW
• AES-256• SHA-2• Phase 1 DH groups - 2, 14-18, 22, 23, and 24.• Phase 2 DH groups - 1, 2, 5, 14-18, 22, 23, and 24.• NAT-T
VPN gestionada por AWS
VPC
VPC
VPC
CORP
Internet
VGW
CGW
VPN gestionada por AWS
VPC
VPC
VPC
CORP
Internet
VGW
CGW
23.22.66.xx
50.16.172.yy
VPN gestionada por AWS
VPC
VPC
VPC
CORP
Internet
VGW
CGW
23.22.66.xx
50.16.172.yy
VPN gestionada por AWS
VPC
VPC
VPC
CORP
Internet
VGW
CGW
1 conexión VPN = 2 túneles VPN
23.22.66.xx
50.16.172.yy
VPN gestionada por AWS
VPC
VPC
VPC
CORP
Internet
VGW
CGW
VPN gestionada por AWS, 2 CGW
VPC
VPC
VPC
CORP
Internet
VGW
CGW
CGW
VPN gestionada por AWS, 2 CGW
VPC
VPC
VPC
CORP
Internet
VGW
CGW
CGW
VPN gestionada por AWS, 2 CGW
VPC
VPC
VPC
CORP
Internet
VGW
CGW
CGW
VPN gestionada por AWS, 2 CGW
2 conexiones VPN = 4 túneles VPN
VPC
VPC
VPC
CORP
Internet
VGW
CGW
CGW
VPN gestionada por AWS, 2 CGW
VPC
VPC
VPC
CORP
Internet
VGW
CGW
CGW
VPN gestionada por AWS, 2 CGW
VPC
VPC
VPC
CORP
Internet
VGW
CGW
CGW
VPN gestionada por AWS, 2 CGW
VPC
VPC
VPC
CORP
Internet
VGW
CGW
CGW
VGW
VPN gestionada por AWS, múltiples VPC
VPC
VPC
VPC
CORP
Internet
VGW
CGW
CGW
VGW
VPN gestionada por AWS, múltiples VPC
VPC
VPC
VPC
CORP
Internet
VGW
CGW
CGW
VGW
VPN gestionada por AWS, múltiples VPC
2 VPC x 2 CGW = 8 túneles VPN
Costos
Rendimiento
Flexibilidad
Resiliencia
• Fácil de instalar, setup en minutos
• Cifrado de última generación NAT-T,
AES-256, SHA-2 y DH groups
• Estático (1 prefijo) o BGP (<100
prefijos)
• Repetir por cada VPC
• $0.05/hora por conexión VPN
• Data transfer
• Alta disponibilidad por defecto, 2
túneles por VPC
• Considerar redundancia de CGW (4
túneles por VPC)
• Se pueden conseguir velocidades
Multi Gbps por VPC (limitado por el
VGW)
VPN gestionada por AWS
VPC
VPC
VPC
CORP
Internet
VPN por Software (EC2)
VPC
VPC
CORP
Internet
VPN por Software (EC2)
VPC
VPC
CORP
Internet
VPN por Software (EC2)
VPC
VPC
CORP
Internet
VPN por Software (EC2)
VPC
VPC
CORP
Internet
VPN por Software (EC2)
VPC
VPC
CORP
Internet
VPN por Software (EC2)
Costos
Rendimiento
Flexibilidad
Resiliencia
• Open Source o productos comerciales
• Abierto a funcionalidad propietaria
• HA y escalado responsabilidad del cliente
• Soluciones avanzadas usando
automatización
• Licenciamiento del proveedor
• Costo por hora de EC2
• Costo de alta disponibilidad
• Data transfer
• HA vía instancia EC2 adicional en una
segunda AZ
• Se recomienda HA para clientes
• Determinado por tipo de instancia EC2
• Velocidades Multi Gbps por instancia
VPN (para todos los túneles)
• Es posible utilizar múltiples instancias
para la misma VPC
VPN por Software (EC2)
London DX
Seattle DX
Branch
Remote workforce
Global HQ
Regional HQ
us-west-2 region
Transit VPCVPC
VPC
eu-west-1 region
Transit VPC VPC
VPC
ap-northeast-1 region
Transit VPC VPC
VPC
VPN
VPN
Transit VPC Global VPN backbone
https://aws.amazon.com/answers/networking/transit-vpc/
AWS Direct Connect (DX)
Arquitectura de conexión
• Ofrecido desde 2011
• Conexión privada, separado de Internet
• Rendimiento de red consistente
• Más de 51 ubicaciones alrededor del mundo para conectarse
• Cada conexión se establece hacía 1 región AWS
• Múltiples ubicaciones para cada región AWS
• Reduce los costos de ancho de banda
AWS Direct Connect (DX)
Oregon
N. California
AWS Direct Connect (DX) en USA
N. Virginia
Ohio
Oregon
N. California
AWS Direct Connect (DX) en USA
SuperNAP
Equinix SE
CoreSite LA
N. Virginia
CoreSite NY
Equinix DC
CoreSite SV
OhioEquinix CHQTS Chicago
Equinix DA
CoreSite VA
Equinix LA
Equinix SV
TierPoint
EdgeConneXPittock Block
Oregon
N. California
AWS Direct Connect (DX) en USA
SuperNAP
Equinix SE
CoreSite LA
N. Virginia
CoreSite NY
Equinix DC
CoreSite SV
OhioEquinix CHQTS Chicago
Equinix DA
CoreSite VA
Equinix LA
Equinix SV
TierPoint
EdgeConneXPittock Block
Frankfurt
AWS Direct Connect (DX) en Europa y Asia Pacífico
Digital RealtyEircom Interxion Frankfurt
Sydney
Ireland
Tokyo
Singapore
Equinix OS
Beijing
Equinix TY
Equinix FR
Equinix SY
Global Switch
Equinix SG
CIDS
Sinnet
Eqinix LDInterxion
Interxion Madrid
Interxion Stockholm
Equinix AM
Global Switch
Mumbai
GPXSify Rabale
Seoul
KINX
Telehouse
CORP
VPC
VPC
VPC
AWS Direct Connect
Internet
CORP
DX Location
VPC
VPC
VPC
AWS Direct Connect
Internet
CORP
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
AWS Direct Connect
Internet
2) Circuito entre el datacenter del cliente y ubicación DX
3) Extendiendo la red del proveedor hacía ubicación DX
1) El cliente tiene presencia en ubicación DX
Escenarios de conexión AWS Direct Connect
CORP
Internet
AWS Direct
Connect
Routers
CustomerRouter
Colocation
DX Location
`
VPC
VPC
VPC
1. Router del cliente en colocation
Letter of Authorization and Connecting Facility Assignment
Please consider this letter as notification for connecting facility assignment for the purpose of
establishing or augmenting connectivity between the parties identified above. This document authorizes
a connection to the ports indicated above. All charges for the physical connection are the sole
responsibility of company.
For location specific information on requesting a cross-connect, visit the "Requesting Cross-Connects"
section of the user guide:
http://docs.aws.amazon.com/DirectConnect/latest/UserGuide/Colocation.html
The requester(s) use of AWS services will be governed by the terms of the AWS Customer Agreement
(available at http://aws.amazon.com/agreement), or a separate agreement between the requester(s)
and AWS.
EXPIRATION NOTICE The authorized connectivity must be completed within 90 days of this LOA-CFA's
issue date or this LOA-CFA will expire.
* Amazon Corporate LLC is a subsidiary of Amazon.com, Inc.
Issue Date .
Oct 13, 2016
Issued By* .
Amazon Web Services Spain S.L.
Facility - Meet Me Room .
Interxion MAD2 – MAD2.211
Customer Demarcation/ZSide .
Rack: R77B1.R99B09 Patch Panel: PP2:SOUTH Strands: 40818
Requested By .
Company requesting name
Issued To .
Interxion, Madrid, ESP
Connection ID ..
MAD50_Test
Optic and Connector Types ..
1000BASE-LX Single Mode Fiber (SMF) Lucent Connector (LC)
Letter of Authorization
and Connecting
Facility Assignment
AWS Direct Connect
CORP
AWS Direct
Connect
Routers
Customer Router
Colocation
DX Location
`
VPC
VPC
VPC Speeds1 Gbps10 Gbps
1. Router del cliente en colocation
Internet
CORP
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
2. Circuito vía Partner
Internet
https://aws.amazon.com/directconnect/partners/
APN Partners de AWS Direct Connect
CORP
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Speeds50Mbps100Mbps200Mbps300Mbps400Mbps500Mbps
2. Circuito vía Partner
Internet
CORP
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
3. Red del proveedor de servicio
Internet
CORP
AWS Direct
Connect
Routers
DX Location
Service ProviderNetwork
VPC
VPC
VPC
3. Red del proveedor de servicio
Internet
CORP
AWS Direct
Connect
Routers
DX Location
Service ProviderNetwork
VPC
VPC
VPC
3. Red del proveedor de servicio
Internet
Consideraciones de conexión DX
2) Circuito entre el datacenter del cliente y ubicación DX
3) Red del proveedor extendiendo hacía ubicación DX
Cuenta del cliente, control de interface, ruteo. Costo: puerto + data transfer
Depende de la oferta del proveedor de interconexión
1) El cliente tiene presencia en ubicación DX
Consideraciones de conexión DX
Igual que el punto anterior; más costo del circuito (partner)
Datos de entrada $0; datos de salida difieren por región
Considerar costos del circuito
Calcular costos de conexión vía VPN
Consideraciones de costos DX
Hora de puerto + data transfer
AWS Direct Connect – Resiliencia
Arquitecturas de conexión
CORP
Internet
AWS Direct
Connect
Routers
Customer Router
Colocation
DX Location
`
VPC
VPC
VPC
AWS Direct Connect
CORP
Internet
AWS Direct
Connect
Routers
Customer Router
Colocation
DX Location
`
VPC
VPC
VPC
AWS Direct Connect
CORP
Internet
AWS Direct
Connect
Routers
Customer Router
Colocation
DX Location
`
VPC
VPC
VPC
AWS Direct Connect + VPN
CORP
Internet
CustomerRouter
Colocation
DX Location
`
AWS Direct
Connect
Routers
VPC
VPC
VPC
2 puertos DX
Internet
CORP
Colocation
DX Location
`
AWS Direct
Connect
Routers
CustomerRouters
`
VPC
VPC
VPC
2 puertos DX, 2 routers de cliente
CORP
DX Location
AWS Direct
Connect
Routers
VPC
VPC
VPC
2 puertos DX, 2 circuitos
Internet
CORP
DX Location
AWS Direct
Connect
Routers
VPC
VPC
VPC
Internet
2 puertos DX, 2 circuitos en 2 datacenters
CORP
Internet
DX Location
AWS Direct
Connect
Routers
10 Gbps active
10 Gbps active
20 Gbps
VPC
VPC
VPC
2 DX, activo/activo
CORP
Internet
DX Location
AWS Direct
Connect
Routers
10 Gbps standby
10 Gbps
10 Gbps active
VPC
VPC
VPC
2 DX, activo/standby
CORP
Internet
DX Location
AWS Direct
Connect
Routers
VPC
VPC
VPC
Fallo de las instalaciones
CORP
Internet
CustomerRouters
Colocation
DX Location 1
`
CustomerRouters
Colocation
DX Location 2
`
AWS Direct
Connect Routers
AWS Direct
Connect Routers
VPC
VPC
VPC
2 DX, 2 ubicaciones DX
CORP
Internet
CustomerRouters
Colocation
DX Location 1
`
CustomerRouters
Colocation
DX Location 2
`
AWS Direct
Connect Routers
AWS Direct
Connect Routers
VPC
VPC
VPC
2 DX, 2 ubicaciones DX
CORP
Internet
CustomerRouters
Colocation
DX Location 1
`
CustomerRouters
Colocation
DX Location 2
`
AWS Direct
Connect Routers
AWS Direct
Connect Routers
VPC
VPC
VPC
VPN como respaldo
Costos
Rendimiento
Flexibilidad
Resiliencia
• 16 regiones AWS, 51 POPs worldwide
• LOA provista en menos de 72 horas
• El tiempo de habilitación del circuito
podría tomar semanas
• Hora puerto
• Transferencia saliente
• Proveedor del circuito / MPLS
• Rack para Colo (en caso de aplicar)
2 DX en 2 ubicaciones + VPN
2 DX en 2 ubicaciones separadas
2 DX en 1 ubicación DX
DX + VPN
DX
• Puerto de 1 Gbps o 10 Gbps
• Velocidades de 50, 100, 200, 300,
400 o 500 Mbps vía Partners
AWS Direct Connect (DX)
• Comenzar con 1 VPN gestionada por AWS
• Usar VPN mientras DX es habilitado
• El puerto se cobra cuando DX esta arriba o después de 90 días
• DX tiene preferencia sobre VPN cuando existen ambos
• Agregar puertos DX adicionales para resistencia / ancho de banda
• Planear para fallas, incluir falla de instalaciones
• Control de flujo de tráfico usando BGP y ruteo
• Levantar tickets de soporte en AWS en caso de dudas
Adaptación de la arquitectura
¿A que nos estamos conectando?
Arquitecturas de conexión
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
CustomerRouter
Múltiples VPC
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
Prod
Test
Dev
Múltiples VPC
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
Prod
Test
Dev
VPC
VPC
VPC
No
n-P
rod
Pro
d
Múltiples VPC
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
Prod
Test
Dev
VPC
VPC
VPC
No
n-P
rod
Pro
d
Interconexión vía VPC peering
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
Prod
Test
Dev
VPC
VPC
VPC
No
n-P
rod
Pro
d
VLAN 400
Interface privada virtual
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
Prod
Test
Dev
VPC
VPC
VPC
No
n-P
rod
Pro
d
VLAN 400
BGP
BGP
Interface privada virtual
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
Prod
Test
Dev
VPC
VPC
VPC
No
n-P
rod
Pro
dVLAN 500
VLAN 400
Interface privada virtual
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
Prod
Test
Dev
VPC
VPC
VPC
No
n-P
rod
Pro
dVLAN 500
VLAN 400
VLAN 600
Interface privada virtual
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
Prod
Test
Dev
VPC
VPC
VPC
No
n-P
rod
Pro
d
BGP
BGP
BGP
BGP
BGP
Interface privada virtual
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
CustomerRouter
Prod
Test
Dev
VPC
VPC
VPC
No
n-P
rod
Pro
d
Acceso a recursos de la VPC
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
Prod
Test
Dev
VPC
VPC
VPC
No
n-P
rod
Pro
d
Acceso a recursos de la VPC
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
Prod
Test
Dev
VPC
VPC
VPC
No
n-P
rod
Pro
d
Acceso a recursos de la VPC
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
VPC
VPC
VPC
Interface pública virtual
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
Customer Router
VPC
VPC
VPC
VLAN 800
BGP
BGP
Interface pública virtual
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
CustomerRouter
VPC
VPC
VPC
No
n-P
rod
Pro
d
VPC Endpoints
Acceso a Amazon S3 usando VPC endpoints
AWS Direct
Connect
Routers
DX Location
VPC
VPC
VPC
CustomerRouterN
on
-Pro
dP
rod
VPC Endpoints
VPC Endpoint for Amazon DynamoDB Nuevo!!
En resumen
Flexibilidad
La elección del mecanismo de conexión dependerá de
Costos
Resiliencia
Rendimiento
¡No olvide llenar su
evaluación!
¡Gracias!