Fundamentals of AWS Networking SVC302

Amazon VPC: Fundamentos, actualizaciones y cómo
usted también puede construir sus arquitecturas de

red en AWS
Eduardo Andrés Patiño Balaguera
Solutions Architect
Amazon Web Services
SUMMIT © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Introductorio – Nivel 200
Esta sesión proveerá una introducción sobre servicios de red de AWS y

características, asumimos que es un nuevo tópico para la audiencia. Esta
sesión resaltara casos de uso, características, funciones, beneficios y
lanzamientos recientes entorno a servicios de red de AWS.
?
Miremos AWS Region
Internet
más de cerca
Amazon S3 Amazon AWS Lambda Amazon SQS Amazon SNS
AWS IoT
DynamoDB Core
Availability Zone 1 Availability Zone 2
Public subnet Public subnet
Amazon EC2 Instance A Instance B

10.1.0.11/24 10.1.1.11/24
Private subnet Private subnet
Instance C Instance D
10.1.2.11/24 10.1.3.11/24
Amazon VPC
VPC CIDR 10.1.0.0/16 + Expand + IPv6

Espera, espera, espera…
más despacio
Conceptos y fundamentos de VPC
Direccionamiento IP Creación de Enrutamiento en DNS en VPC con Seguridad

subredes una VPC Amazon Route
53
Elegir un rango de
direcciones IP
Elegir un rango de direcciones IP para su VPC
Evite los rangos que se superponen

con otras redes a las que podría
conectarse
172.31.0.0/16
Recomendado:
Recomendado: RFC1918
/16
range
(65,536 direcciones IP)
Creando subredes en una
VPC
Subredes y zonas de disponibilidad
172.31.0.0/16
eu-west-1a eu-west-1b eu-west-1c
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24
VPC subnet VPC subnet VPC subnet
Availability Zone Availability Zone Availability Zone
IPv6 en su VPC
• Puede tener una VPC de doble stack agregando un CIDR Ipv6
• Tamaños fijos para VPC y subredes:
• /56 VPC (4,722,366,482,869,645,213,696 addresses)
• /64 subredes (18,446,744,073,709,551,616 addresses)
Subredes y zonas de disponibilidad
172.31.0.0/16 + Expansion
2600:1f16:14d:6300::/56
eu-west-1a eu-west-1b eu-west-1c
172.31.0.0/24 172.31.1.0/24 172.31.2.0/24

2600:1f16:14d:6300::/64 2600:1f16:14d:6301::/64 2600:1f16:14d:6302::/64
VPC subnet VPC subnet VPC subnet
Availability Zone Availability Zone Availability Zone
Enrutamiento en una VPC
Enrutamiento en su VPC
• Las tablas de enrutamiento contienen reglas hacia donde van los paquetes
• Su VPC tiene una tabla de enrutamiento predeterminada
• Pero…puedes crear y asignar diferentes tablas de enrutamiento a diferentes
subredes
El tráfico destinado a mi VPC
permanece en mi VPC
DNS en una VPC
VPC opciones DNS
Hacer que Amazon EC2 asigne

automáticamente nombres de Utilice el servidor DNS de
host DNS a instancias Amazon
Amazon Route 53 zonas privadas alojadas
example.demohostedzone.org →
Private Hosted Zone
172.31.0.99
Amazon Route 53 Resolver para nubes híbridas
Reglas de conditional
forwarding
Route 53 Resolver
endpoints
Grupos de seguridad Listas de control Flow logs
de acceso de red
(NACLs)
Seguridad en la red
Los grupos de seguridad siguen la estructura de
la aplicación
Internet
gateway
Web Web Web Web
“MyWebServers” security group
Permitir solo “MyWebServers”
App App App
“MyBackends” security group
Ejemplo de grupos de seguridad: Servidores web
Permitir tráfico HTTP desde

cualquier lugar
Ejemplo de grupos de seguridad: Backends
Ejemplo de grupos de
seguridad: Backends
de acceso de red
(NACLs)
Seguridad en la red
Grupos de seguridad vs NACLs
Security group Network ACL
Opera a nivel de instancia Opera a nivel de subred
Solo admite reglas de acceso Admite reglas de acceso y denegación
Tiene estado: el tráfico de retorno se permite No tiene estado: el tráfico de retorno debe estar
automáticamente independientemente de las reglas explícitamente permitido por las reglas
Todas las reglas evaluadas antes de decidir si permite Reglas evaluadas en orden para decidir si se debe
el tráfico permitir el tráfico
Se aplica solo a instancias asociadas explícitamente Se aplica automáticamente a todas las instancias
con el grupo de seguridad iniciadas en subredes asociadas
No filtra el tráfico hacia o desde direcciones locales de enlace (169.254.0.0/16) o direcciones IPv4 reservadas
por AWS; estas son las primeras cuatro direcciones IPv4 de la subred (incluido el servidor DNS de Amazon VPC)
de acceso de red
(NACLs)
Seguridad en la red
VPC Flow Logs
• Visibilidad
• Solución de
problemas
• Analizar tráfico
AZ 1 AZ 2
VPC Flow Logs
Amazon S3 Amazon CloudWatch Logs

VPC Flow Logs: Configuración
Metadatos de tráfico de
VPC guardados en
Amazon S3
o Amazon CloudWatch Logs
VPC Flow Logs: Formato
Opciones de conectividad para VPC
Conectarse a Conectanda a otras Conexión a su red local

internet, VPC
o no
Conectarse a internet o no
Miremos más de cerca
AWS Region
Internet

AWS IOT
DynamoDB
EIP - 10.1.0.11 : 54.23.12.43

EIP - 10.1.1.11 : 54.19.12.23
Internet gateway
Availability Zone 1 Availability Zone 2
Destination Target
10.1.0.0/16 Local
Internet
0.0.0.0/0 gateway
Instance A NAT
Instance
NAT-GW B
10.1.0.11/24 10.1.1.11/24

Destination Target
10.1.0.0/16 Local Instance C Instance D
0.0.0.0/0 NAT-GWB
Instance 10.1.2.11/24 10.1.3.11/24
SUMMIT VPC CIDR 10.1.0.0/16 + Expand + IPv6

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPC peering AWS Transit
Gateway
Conectando a otras VPCs
VPC peering
• Conectividad IP privada completa

entre dos VPC 10.0.0.0/16 10.1.0.0/16
• Puede enlazar VPCs entre regiones

• Pueden ser VPCs en diferentes cuentas
• Los rangos CIDR de la VPC no deben
superponerse
10.2.0.0/16 10.3.0.0/16
Establecer VPC peering: Iniciar solicitud
172.31.0.0/16 Paso 1 10.55.0.0/16
Iniciar solicitud de
emparejamiento
Establecer VPC peering: Aceptar petición
172.31.0.0/16 Paso 1 10.55.0.0/16
Iniciar solicitud de
emparejamiento
Paso 2
Aceptar solicitud
de intercambio
Establecer VPC peering: Crear rutas
172.31.0.0/16 Paso 1 10.55.0.0/16

El tráfico destinado a la VPC emparejada
Initiate peering
debe ir al emparejamiento, repetir para otras
request
VPC
Step 2
Aceptar solicitud
de intercambio
Paso 3, 4
VPC peering AWS Transit
Gateway
Conectando otras VPCs

y más allá…
Antes de AWS Transit Gateway
Customer VPN connection Amazon VPC VPC peering Amazon VPC

gateway
VPN VPC peering VPC peering VPC peering AWS Direct Connect
connection Gateway
VPN connection Amazon VPC VPC peering Amazon VPC
A 1 B Destination
B
Target
Local
A PCX-1
C PCX-2
3 D PCX-3
E PCX-4
2 4
C
D E
Full mesh: ¿Cuántas conexiones de emparejamiento de
Amazon VPC necesito (full mesh)?
n(n-1)
2
VPC x 10
10(10-1)
2
VPC x 10
45
VPC x 10
100(100-1)
2
VPC x 100
4,500
VPC x 100
Rutas estáticas por tabla de Amazon VPC peering
enrutamiento de Amazon VPC conexiones por Amazon VPC
1,000* 125
*Por defecto son 50
Con AWS Transit Gateway
AWS Direct
Connect Gateway
(Nuevo)
Amazon VPC Amazon VPC
AWS Transit
Amazon VPC
Gateway Amazon VPC
VPN
connection
Customer
gateway
Con AWS Transit Gateway
A B Destination
B
Target
Local
0.0.0.0/0 TGW
AWS Transit Gateway tabla enrutamiento(s)

1 2
VPC A: Attachment 1
RT1
VPC B: Attachment 2
VPC C: Attachment 3
RT2
On-premises: VPN 4
3 AWS 4
Transit
Gateway
On premises
C
Adjuntar Asociar Propagar
La conexión de una VPC y La tabla de enrutamiento La tabla de enrutamiento
una VPN de Amazon a un utilizada para enrutar donde están instaladas las
AWS Transit Gateway paquetes provenientes de un rutas adjuntas
“adjuntar” (de una VPC y VPN
de Amazon)
Después: AWS Transit Gateway: la consola
Después: AWS
Transit Gateway:
la consola Unicorn TGW
This TGW is Awesome
Después: AWS Transit Gateway: la consola
AWS Transit Gateway por Ancho de banda máximo
cuenta/AWS Transit Gateway burstable por attachment
adjuntos por Amazon VPC
5 50 Gbps
Ancho de banda máximo por
conexión VPN
1.25 Gbps*
*Con ECMP, puede distribuir el tráfico en varios túneles;
por ejemplo, 8 túneles = 10 Gbps
!!!
Rutas por AWS Transit Numero de AWS Transit

Gateway Gateway attachments por
región por cuenta
10,000 5,000
¿Conectividad entre regiones?
AW S Tr a n s i t G a t e w a y e s u n a
construcción a nivel de región
Hoy
Instrucciones detalladas de AWS Transit Gateway:
h t t p s : / / a m z n .t o / 2 S k I 4 z V
AWS VPN AWS Direct Connect
Conexión a redes locales:
IPsec Tunnel 1 - Primary
IPsec Tunnel 2 - Secondary

On premises
The internet
Virtual private IPsec tunnel sobre Customer gateway

gateway internet CGW
VGW
IPsec Tunnel 1 - Primary
IPsec Tunnel 2 - Secondary

On premises
The internet
IPsec tunnel over Customer gateway

AWS
the internet CGW
Transit Gateway
Nuevo
Migrar VPN de sitio a sitio a
AWS Transit Gateway
h t t p s : / / a m z n .t o / 2 v w P c j 7
AWS VPN AWS Direct Connect
Conexión a redes locales:
AWS Direct Connect: ¿Que es eso?
AWS Region
Public VIF
Cross connect
Service provider
Private VIF network On premises
VGW Customer or 192.168.0.0/16
10.0.0.0/16 AWS cage partner cage
AWS Direct Connect location
AWS Direct Connect: ¿Qué es eso?
AWS Region
Public VIF
Cross Connect
Service Provider
Private VIF Network On premises
10.0.0.0/16 AWS cage partner cage
Private VIF
VGW
10.2.0.0/16
AWS Direct Connect Gateway
Una VIF privada → Multiples VPCs
AWS Region
Cross connect
Private VIF Service provider
network On premises
10.0.0.0/16 AWS cage
AWS Direct partner cage
Connect
Gateway
VGW
10.2.0.0/16
Una VIF privada → Multiple VPCs incluso multiples Regiones
AWS Region 1
Cross connect
network On premises
10.0.0.0/16 AWS cage
Connect
Gateway
AWS Region 2
VGW
10.2.0.0/16
Una VIF privada → Multiple VPCs multiples cuentas
AWS Account 1
Cross connect
network On premises
10.0.0.0/16 AWS cage
Connect
Gateway
AWS Account 2
VGW
Nuevo
10.2.0.0/16
Multi Account DX Gateway
Nuevo
Transit Gateway con AWS Direct Connect
h t t p s : / / a m z n .t o / 2 V D n n E t
Nuevo
Nuevas velocidades de conexión de nuestros partners
1, 2, 5, o 10 Gbps de capacidad
h t t p s : / / a m z n .t o / 2 Yt G N u e
…y hay más!
VPC Sharing
Antes
Amazon VPC Sharing
Dev Prod 1 Prod2
Barry Pegasus Llama

10.1.0.0/16 10.2.0.0/16 10.3.0.0/16
Amazon EC2 Amazon RDS Amazon Redshift
Sue Steve Iguana

10.4.0.0/16 10.5.0.0/16 10.6.0.0/16
Amazon EC2 AWS Lambda Amazon EC2
SUMMIT Test Prod 3

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Prod 4
Después
Amazon VPC Sharing
Dev Prod 1 Prod2
Owner Owner Participant

Barry Pegasus Llama
10.1.0.0/16 10.2.0.0/16
Amazon EC2 Amazon RDS Amazon Redshift
Participant Participant Participant

Sue Steve Iguana
Amazon EC2 AWS Lambda Amazon EC2
SUMMIT Test Prod 3

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Prod 4
Amazon VPC Propietario
Los propietarios de Amazon VPC son responsables de crear,
administrar y eliminar todas las entidades de nivel VPC.
Los propietarios de Amazon VPC no pueden modificar ni eliminar

los recursos de los participantes.
Amazon VPC Participante
Los participantes que se encuentran en una VPC de Amazon compartida son
responsables de la creación, administración y eliminación de sus recursos, incluidas las
instancias de Amazon Elastic Compute Cloud (Amazon EC2), las bases de datos de
Amazon Relational Database Service (Amazon RDS) y los equilibradores de carga.
Sin embargo, no pueden modificar ninguna entidad de nivel de VPC de Amazon,

incluidas tablas de rutas, ACL de red o subredes (o ver/modificar recursos que
pertenecen a otros participantes).
¿Por qué usar Amazon VPC sharing?
Preservar espacio de IP Interconectividad

Use menos CIDR IPv4 No se requiere VPC peering
Separación de tareas Facturación y seguridad

Un equipo central puede crear y Continuar disfrutando de la
administrar su VPC de Amazon segregación con múltiples
cuentas
Dentro de la misma AZ el costo de data
transfer es nulo!
Amazon VPC Sharing detalles:
h t t p s : / / a m z n .t o / 2 A o v w 2 Z
AWS Global Accelerator
The
AWS Region internet

AWS IOT
NLB DynamoDB Amazon S3
AWS PrivateLink VPC

Service Provider VPC Flow Logs Amazon
EIP - 10.1.0.11 : 54.23.12.43 CloudWatch
EIP - 10.1.1.11 : 54.19.12.23
AWS PrivateLink
Enabled Services AWS On premises
VPCE Internet gateway
PrivateLink Availability Zone 1 Availability Zone 2
Destination Target AWS Transit

10.1.0.0/16 Local Gateway
0.0.0.0/0 IGW
S3.prefix.list VPCE-123 Intra- or
On-premises VGW
Instance A NAT
Instance
NAT-GW B inter- VPC-B
10.1.0.11/24 10.1.1.11/24 region
VPC-B PCX-123
Other Routes TGW VPC
AWS Direct
peering Connect
Destination Target DXGW
10.1.0.0/16 Local Instance C Instance D
0.0.0.0/0 NAT-GWB
Instance 10.1.2.11/24 10.1.3.11/24 On premises
S3.prefix.list VPCE-123
On-premises VGW
VPC-B PCX-123 VGW
Other Routes TGW
SUMMIT VPC CIDR 10.1.0.0/16 + Expand + IPv6
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPN
Networking study guide
Increíble:
https://amzn.to/2U9TczL
Altán Redes: Transformando las
telecomunicaciones en México desde la nube
Benjamin García
Gerente de Sistemas y Plataformas
Altán Redes
Agenda
¿Quién es Altán Redes?
Capacidades tecnológicas de la red de Altán
¿Por qué AWS?
Altán-AWS
¿Quién es Altán Redes?
Altán Redes
• Altán Redes es una empresa mexicana quien mediante la Asociación Público Privada firmada en enero 2017, obtuvo el derecho de uso de la banda de
700 MHz y un par de filamentos de fibra óptica (30,000 KM) durante 20 años por parte de PROMTEL y CFE respectivamente
Sobre Nosotros
• Es el responsable diseñar, instalar, desplegar, operar y comercializar la Red Compartida
Nuestro
• Conectar al 92.2% de los mexicanos, reduciendo la brecha digital, y promover un mercado abierto y de competencia
Objetivo
• Plasmada en la Constitución y piedra angular de la Reforma de Telecomunicaciones de 2013
Sobre el • Red mayorista de banda ancha: Prestará exclusivamente servicios a través de empresas comercializadoras y operadoras de redes de telecomunicación,
Proyecto en ningún caso de forma directa a los clientes.
• Garantizará un acceso efectivo y compartido a una moderna infraestructura en tecnología 4.5G-LTE
Capacidades tecnológicas de la red del Altán
Capacidades tecnológicas de la red del Altán
01 02 03 04 09
CORE API Gateway BSS Backhaul
C-RAN
Servicios en
la nube
En la solución de API Gateway se han

Plataformas COREs de red La capacidad del BSS para administrar
diseñado APIs propietarias de Altán Nuestra arquitectura de backhaul es
virtualizadas y totalmente redundadas usuarios, provisionar productos y
“5G-Ready
recargas en línea
05 06 07 08 Altán ha maximizado el uso

de los servicios en la nube
Big Data Lake Otras Modelo de Machine asegurando un mejor TCO,
Plataformas de Entrega Ágil Learning elasticidad, seguridad y
software e IA
desempeño. La apuesta de
Altán es migrar todas sus
aplicaciones a arquitecturas
Serverless
IA que van a mejorar la experiencia

Se utilizan otras plataformas de El Modelo de entrega está basado en
Altán ha implementado una del usuario final, la calidad del
software basadas en arquitecturas DevOps
plataforma Big Data Lake servicio y las ventas de nuestros
Cloud y/o Serverless
clientes.
¿Por qué AWS?
AWS nos ha permitido movernos a la velocidad que nuestros clientes nos exigen ,
permitiendo cambios diarios que seguramente otras empresas, quienes por su propia naturaleza no pueden responder a la
misma velocidad. Agilidad
AWS es una de las empresas tecnológicas más innovadoras en la actualidad, ya que constantemente
toma lo mejor de las comunidades y de la industria de TI, para ofrece soluciones en su nube que se pueden
utilizar para beneficio de nuestros clientes. Innovación
En Altán a pesar de tener amplia experiencia en data centers clásicos hemos podido dejar de lado el tener que pensar en la
instalación de cableado, switches, router, servidores y la energía del aire acondicionado, etc (y su costo) para sólo
pensar en nuestra plataforma en la nube con AWS. Es decir dejar de lado el capex y
sólo invertir en opex. Costo-Beneficio
Altán-AWS
• Construimos soluciones mucho más rápidas y eficientes como
nunca se habían hecho antes, usando desde lo más básico de la Amazon EC2,
hasta soluciones en contendedores del tipo serverless (Fargate, ECS) pasando por
DevOps, seguridad y conectividad.
• Hemos conectando a nuestros Clientes y a sus usuarios a una red

4.5G-LTE para que tanto las localidades más lejanas como las
grandes ciudades puedan beneficiarse de la Red Compartida
• Desde el principio de nuestra relación

con AWS ha habido una gran
empatía debido a nuestros valores compartidos
• Conectar la nube de AWS con otras nubes competencia de AWS, lo hemos realizado
utilizando lo mejor de cada proveedor. El avance tecnológico de estos últimos 2 años es
impresionante ya que vemos soluciones cada vez más inteligentes,
que permiten analizar la información para predecir el comportamiento
de los usuarios
• Grandes desafíos nos depara nuestro presente, en la búsqueda de conectar al

92.2% de la población mexicana, retos que lograremos alcanzar gracias a
nuestro trabajo conjunto con socios estratégicos como AWS
¡Gracias!
Eduardo Andrés Patiño Balaguera Benjamin García
Solutions Architect Gerente de Plataformas y Sistemas en la nube
Amazon Web Services Altan Redes
[email protected]

Fundamentals of AWS Networking SVC302

Cargado por

Copyright:

Formatos disponibles

Fundamentals of AWS Networking SVC302

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fundamentals of AWS Networking SVC302

Cargado por

Copyright:

Formatos disponibles

Amazon VPC: Fundamentos, actualizaciones y cómo

usted también puede construir sus arquitecturas de

Esta sesión proveerá una introducción sobre servicios de red de AWS y

Availability Zone 1 Availability Zone 2

Public subnet Public subnet

Amazon EC2 Instance A Instance B

Private subnet Private subnet

VPC CIDR 10.1.0.0/16 + Expand + IPv6

Direccionamiento IP Creación de Enrutamiento en DNS en VPC con Seguridad

Evite los rangos que se superponen

eu-west-1a eu-west-1b eu-west-1c

172.31.0.0/24 172.31.1.0/24 172.31.2.0/24

VPC subnet VPC subnet VPC subnet

Availability Zone Availability Zone Availability Zone

• /64 subredes (18,446,744,073,709,551,616 addresses)

eu-west-1a eu-west-1b eu-west-1c

172.31.0.0/24 172.31.1.0/24 172.31.2.0/24

VPC subnet VPC subnet VPC subnet

Availability Zone Availability Zone Availability Zone

Hacer que Amazon EC2 asigne

“MyWebServers” security group

Permitir solo “MyWebServers”

App App App

“MyBackends” security group

Permitir tráfico HTTP desde

VPC Flow Logs

Amazon S3 Amazon CloudWatch Logs

o Amazon CloudWatch Logs

Conectarse a Conectanda a otras Conexión a su red local

Amazon S3 Amazon AWS Lambda Amazon SQS Amazon SNS

EIP - 10.1.0.11 : 54.23.12.43

Private subnet Private subnet

SUMMIT VPC CIDR 10.1.0.0/16 + Expand + IPv6

Conectando a otras VPCs

• Conectividad IP privada completa

• Puede enlazar VPCs entre regiones

172.31.0.0/16 Paso 1 10.55.0.0/16

172.31.0.0/16 Paso 1 10.55.0.0/16

172.31.0.0/16 Paso 1 10.55.0.0/16

Conectando otras VPCs

Customer VPN connection Amazon VPC VPC peering Amazon VPC

VPN connection Amazon VPC VPC peering Amazon VPC

Amazon VPC Amazon VPC

AWS Transit Gateway tabla enrutamiento(s)

This TGW is Awesome

Rutas por AWS Transit Numero de AWS Transit

Conexión a redes locales:

IPsec Tunnel 2 - Secondary

Virtual private IPsec tunnel sobre Customer gateway

IPsec Tunnel 2 - Secondary

IPsec tunnel over Customer gateway

Conexión a redes locales:

AWS Direct Connect location

AWS Direct Connect location

AWS Direct Connect location

Barry Pegasus Llama

Amazon EC2 Amazon RDS Amazon Redshift

Sue Steve Iguana

Amazon EC2 AWS Lambda Amazon EC2