© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Alex Coqueiro

Gerente de Arquitetura para o Setor Público

Junho, 2016

Expandindo seu Datacenter com

uma infraestrutura híbrida

@alexbcbr#AWSSummit

Cloud é uma proposição de TUDO ou NADA

Modelo de Convivência

Corporate

Data Centers

Recursos

On-Premises

Recursos

CloudIntegração

TI Híbrida

TI Híbrida: Definição

http://www.gartner.com/technology/research/technical-professionals/hybrid-cloud.jsp

”TI Hibrida é o resultado da combinação de serviços

internos e externos, usualmente a partir de recursos

internos e cloud públicas provendo valor ao negócio”

http://www.gartner.com/technology/research/technical-professionals/hybrid-cloud.jsp

”TI Hibrida é o resultado da combinação de serviços

internos e externos, usualmente a partir de recursos

internos e cloud públicas provendo valor ao negócio”

TI Híbrida: Definição

O seu Datacenter

O seu Datacenter

Estendendo o seu Datacenter com a AWS

O seu Datacenter

AWS VPC

Integração

de Redes

# 10.0.100.0

# 10.0.200.0

Integração de Recursos Existentes

Controle de

Acesso

Integrado

Microsoft Active

Directory

LDAP

Workloads

Hibridos

App 1

AWS Storage Gateway

Governança

Centralizada

Integração

Corporativa

Integração

de Redes

# 10.0.100.0

# 10.0.200.0

Nosso foco hoje …

Workloads

HibridosIntegração

Corporativa

Amazon VPC

Availability Zone

Virtual Private Cloud

AWS Cloud

Subnet Pública

Internet

Virtual Private Cloud

Availability Zone

Subnet Privada

Availability Zone

VPN Subnet

Servidores de Aplicação

Servidor Web Servidor Web

NAT

Corporate Network

R

Banco de Dados

Amazon VPC

Rede CorporativaInternet

ISP 2(BGP)

FIREWALL

Internet ISP 1

InternetISP 3

OS

PF

Router

Public IP

Router

BGPInside GRE Tunnels

Over IPSEC

FIREWALL

InternetISP 4

InternetISP 5

OS

PF

.1

Wireless Controller

Backup GRE Tunnels

Router

Rede Corporativa

Ambiente

Ambiente

Ambiente

CORP

Ferramentas

Virtual Private Cloud

Route Tables

Internet Gateway

Virtual Private Gateway

VPN Connection

Customer Gateway

AWS Direct Connect

Ferramentas

VPC

Route Tables

IGW

VGW

VPN

CGW

DX

Opções de Conectividade

AWS Hardware VPN

Software VPN

AWS Direct Connect

AWS Software VPN

AWS Hardware VPN

Internet Protocol Security (IPsec) é um conjunto de protocolos para a

segurança na comunicação no tráfego IP por meio da autenticação e

encriptação de cada pacote IP por meio de uma sessão de comunicação.

IPsec incluí protocolos para o estabelecimento de autenticação mútua entre

agentes no inicio da sessão e na negociação de chaves criptográficas para

serem usadas durante a sessão.

http://en.wikipedia.org/wiki/IPsec

VPN Connection – IPsec

AWS VPN

• Rotas estáticas ou dinâmicas (BGP)

• Conexões iniciadas pelo Customer Gateway

• IPSec Security Associations em modo de túnel

• IKE SA (Security Association) usando Pre-Shared Key

• AES 128-bit encryption, SHA-1 hashing function

• Diffie-Hellman Perfect Forward Secrecy – Grupo 2

• Necessário suporte a fragmentação de pacotes IP no

lado do gateway do cliente

VPN Estática

CORP

• 1 unico Security Association (SA) pair por tunel

• 1 inbound e 1 outbound

• 2 pares únicos para 2 tuneis – 4 SA’s

10.0.0.0 /16

10.0.0.0 /16

192.168.0.0 /16

192.168.0.0 /16

10.0.0.0 /16

BGP

• TCP na porta 179

• BGP Neighbors exchange routing information - prefixos

• Uso de Autonomous System Numbers

• iBGP – entre pares na mesma AS

• eBGP – entre pares entre diferentes AS

• AS_PATH – avalia a ”distância” entre redes

• Local Preference – pesos para prefixos idênticos

VPN Dinâmico

CORP

Tunnel 1

IP 169.254.169.1 /30

BGP AS 7224

Route Table

Destination Target

10.0.0.0/16 Local

172.16.0.0/16 VGW

Tunnel 2

IP 169.254.169.5 /30

BGP AS 7224

10.0.0.0 /16

Tunnel 1

IP 169.254.169.2 /30

BGP AS 65001

Tunnel 2

IP 169.254.169.6 /30

BGP AS 65001

172.16.0.0 /16

DemoConfiguração de uma

VPN

iBG

P

OS

PF

Resiliência na VPN (Dinâmica)

CORP

eBGP

Resiliência Dinâmica – Múltiplas VPC’s

CORP

Reuso do Customer Gateway IP

• Atualizado para solução de VPN AWS

• Em implantação em todas as regiões

• Permite que o uso do mesmo IP de Customer Gateway

(CGW)

• Cria um novo VGW e VPN atachado a VPCObs: Apenas um VGW pode ser anexado a VPC por vez.

Como criar a Conexão VPN

1. Criar o VGW

2.

3.

4.

5.

6.

Como criar a Conexão VPN

1. Criar o VGW

2. Anexá-lo na VPC

3.

4.

5.

6.

Como criar a Conexão VPN

1. Criar o VGW

2. Anexá-lo na VPC

3. Criar o CGW

4.

5.

6.

Como criar a Conexão VPN

1. Criar o VGW

2. Anexá-lo na VPC

3. Criar o CGW

4. Criar a VPN

5.

6.

Como criar a Conexão VPN

1. Criar o VGW

2. Anexá-lo na VPC

3. Criar o CGW

4. Criar a VPN

5. Atualizar tabela de rotas

6.

Como criar a Conexão VPN

1. Criar o VGW

2. Anexá-lo na VPC

3. Criar o CGW

4. Criar a VPN

5. Atualizar tabela de rotas

6. Configurar o CGW

AWS Software VPN

Software VPN

VPN

Software VPN

VPN

VPN

AWS Direct Connect

Conexão dedicada e privada na AWS

Cobrança reduzida de data-out (data-in continua gratuito)

Performance consistente

Ao menos 1 local por região

Opção para conexões redundantes

Múltiplas contas AWS podem compartilhar a conexão

AWS Direct Connect

AWS Direct Connect

CORP

AWS Direct

Connect

Routers

Customer

Router

Colocation

DX Location

Customer

Network`

AWS Backbone

Network

Cross

Connect

Customer

Router

Access

Circuit

Customers Network

Backbone

Access

Circuit

Demarcação

AWS Direct Connect - LocaisAWS Region AWS Direct Connect (Locais)

Asia Pacific (Singapore) Equinix SG2

Asia Pacific (Sydney) Equinix SY3

Asia Pacific (Sydney) Global Switch

Asia Pacific (Tokyo) Equinix OS1

Asia Pacific (Tokyo) Equinix TY2

China (Beijing) Sinnet JiuXianqiao IDC

China (Beijing) CIDS Jiachuang IDC

EU (Frankfurt) Equinix FR5

EU (Frankfurt) Interxion Frankfurt

EU (Ireland) Eircom Clonshaugh

EU (Ireland) TelecityGroup, London Docklands'

South America (São Paulo) Terremark NAP do Brasil – Barueri – São Paulo

South America (São Paulo) Tivit – Site Transamerica – Sao Paulo

US East (Virginia) CoreSite NY1 & NY2

US East (Virginia) Equinix DC1 - DC6 & DC10

US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA

US West (Northern California) Equinix SV1 & SV5

US West (Oregon) Equinix SE2 & SE3

US West (Oregon) Switch SUPERNAP, Las Vegas

DemoCriação de uma conexão

com Direct Connect

Camadas do Direct Connect

Single Mode Fiber – 1G or 10GCamada 1 – Físico

Ethernet – 802.1Q VLANCamada 2 – Enlace

Peer & Amazon IPCamada 3 - Rede

TCPCamada 4 - Transporte

BGPCamada 7 – Aplicação

Roteamento do Tráfego

Conexão Física

• Cross Connect

• Single Mode Fiber

- 1000Base-LX ou 10GBASE-LR

Public e Private Virtual Interfaces

• 802.1Q VLAN

• eBGP Session

• Private Virtual Interface – Acesso pela VPCObs: Não suporta VPC Endpoints ou conexão transitiva com VPC Peering

• Public Virtual Interface – Acesso a serviços fora da VPC

DemoConfiguração de uma

Private Virtual Interface

Porta dedicada do AWS Direct Connect via Parceiro

CORP

AWS Direct

Connect

Routers

Colocation

DX Location

Partner Network

AWS Backbone

Network

Cross

Connect

Customer

Router

Partner

Network

Access

Circuit

Demarcação

Partner

Equipment

AWS Direct Connect com MPLS

CORP

AWS Direct

Connect

Routers

Partner

PE Router

Colocation

DX Location

MPLS Core`

AWS Backbone

Network

Cross

Connect

Provider

Edge

Partner MPLS

Core

Access

Circuit to CE

Demarcação

`

`

CE Router

CE Router

Duplo DX – Único Local

CORP

AWS Direct

Connect

Routers

Customer

Routers

Colocation

DX Location

`

Service Provider

Network

`

Único DX – Mais de um Local

CORP

Customer

Routers

Colocation

DX Location 1

`

Customer

Routers

Colocation

DX Location 2

`

Service Provider

Network

AWS Direct

Connect Routers

AWS Direct

Connect Routers

Duplo VIF – Ativo/Ativo

IP 169.254.254.9 /30

IP 169.254.254.13 /30

Ativo/Ativo – Perpectiva do VGW

IP 169.254.254.10 /30

IP 169.254.254.14 /30

Duplo VIF – Ativo/Passivo

IP 169.254.254.9 /30

IP 169.254.254.13 /30

Ativo/Passivo – Perspectiva do VGW

IP 169.254.254.10 /30

IP 169.254.254.14 /30

Duplo VIF – Ativo/Passivo

IP 169.254.254.9 /30

IP 169.254.254.13 /30

Ativo/Passivo – Perspectiva do VGW

IP 169.254.254.10 /30

IP 169.254.254.14 /30

Habilitar o AWS Direct Connect

1. Selecione uma região

2. Crie a conexão

3. Receba o LOA-CFA

4. Cross Connect

5. Criar a Virtual Interface

6. Configurar o Customer Router

Habilitar o AWS Direct Connect

1. Selecione uma região

2. Crie a Conexão

3. Receba o LOA-CFA

4. Cross Connect

5. Criar a Virtual Interface

6. Configurar o Customer Router

Habilitar o AWS Direct Connect

1. Selecione uma região

2. Crie a conexão

3. Receba o LOA-CFA

4. Cross Connect

5. Criar a Virtual Interface

6. Configurar o Customer Router

Habilitar o AWS Direct Connect

1. Selecione uma região

2. Crie a conexão

3. Receba o LOA-CFA

4. Cross Connect

5. Criar a Virtual Interface

6. Configurar o Customer Router

Habilitar o AWS Direct Connect

1. Selecione uma região

2. Crie a conexão

3. Receba o LOA-CFA

4. Cross Connect

5. Criar a Virtual Interface

6. Configurar o Customer Router

Habilitar o AWS Direct Connect

1. Selecione uma região

2. Crie a conexão

3. Receba o LOA-CFA

4. Cross Connect

5. Criar a Virtual Interface

6. Configurar o Customer Router

O que vimos …

Cenários de TI Híbrida

Conectividade via VPN – Estático & Dinâmico

Conectividade via AWS Direct Connect – Pública & Privada

Uso dos serviços de forma prática

Muito ObrigadoAlex Coqueiro

Gerente de Arquitetura para o Setor Público

@alexbcbr#AWSSummit