Extendiendo su centro de datos a la nube de AWS

Preview:

Citation preview

Extendiendo su centro de datos a la nube de AWS

Angel Leon

Arquitecto de Soluciones

Sector Público

Agosto 2017

Arquitecturas híbridas

Introducción a VPN & AWS Direct Connect

Arquitecturas de conexión

¿Qué vamos a conectar?

¿Que esperar de esta sesión?

¿Cuáles son las opciones para conectarse a AWS?

¿Qué es lo más apropiado para mis cargas de trabajo?

¿Cómo puedo iniciar y seguir creciendo?

Preguntas comunes

Conectándose hacía AWS

Arquitecturas híbridas

CORP

Escenario inicial

CORP

Web App DB

División e integración de componentes

CORP

DB

DB

DB

DB

Replicación de datos

CORP

Amazon S3

DB

App

Históricos

Almacenamiento / Respaldo / Histórico

CORP

Amazon WorkSpaces

App2

App1

Escritorios Virtuales

CORP

DB

Web

App

Recuperación de desastres - DR

CORP

Arquitectura híbrida

Arquitecturas de conexión

VPN & AWS Direct Connect

CORP

Conexión entre oficinas

CORP

Conexión hacía el exterior

CORP

VPC

VPC

VPC

Recursos en la nube de AWS

VPC

VPC

VPC

CORP

Internet

Escenario típico

VPN

Arquitectura de conexión

• Amazon VPC NO es igual a VPN

• Autenticación IPsec & cifrado

• Opciones de conexión hacía AWS• VPN gestionada por AWS (AWS Managed VPN)

• VPN por software (EC2)

Información general sobre VPN

VPC

VPC

VPC

CORP

Internet

Customer Gateway

Virtual Private Gateway

VPN gestionada por AWS

VPC

VPC

VPC

CORP

Internet

VGW

CGW

VPN gestionada por AWS

VPC

VPC

VPC

CORP

Internet

VGW

CGW

• AES-256• SHA-2• Phase 1 DH groups - 2, 14-18, 22, 23, and 24.• Phase 2 DH groups - 1, 2, 5, 14-18, 22, 23, and 24.• NAT-T

VPN gestionada por AWS

VPC

VPC

VPC

CORP

Internet

VGW

CGW

VPN gestionada por AWS

VPC

VPC

VPC

CORP

Internet

VGW

CGW

23.22.66.xx

50.16.172.yy

VPN gestionada por AWS

VPC

VPC

VPC

CORP

Internet

VGW

CGW

23.22.66.xx

50.16.172.yy

VPN gestionada por AWS

VPC

VPC

VPC

CORP

Internet

VGW

CGW

1 conexión VPN = 2 túneles VPN

23.22.66.xx

50.16.172.yy

VPN gestionada por AWS

VPC

VPC

VPC

CORP

Internet

VGW

CGW

VPN gestionada por AWS, 2 CGW

VPC

VPC

VPC

CORP

Internet

VGW

CGW

CGW

VPN gestionada por AWS, 2 CGW

VPC

VPC

VPC

CORP

Internet

VGW

CGW

CGW

VPN gestionada por AWS, 2 CGW

VPC

VPC

VPC

CORP

Internet

VGW

CGW

CGW

VPN gestionada por AWS, 2 CGW

2 conexiones VPN = 4 túneles VPN

VPC

VPC

VPC

CORP

Internet

VGW

CGW

CGW

VPN gestionada por AWS, 2 CGW

VPC

VPC

VPC

CORP

Internet

VGW

CGW

CGW

VPN gestionada por AWS, 2 CGW

VPC

VPC

VPC

CORP

Internet

VGW

CGW

CGW

VPN gestionada por AWS, 2 CGW

VPC

VPC

VPC

CORP

Internet

VGW

CGW

CGW

VGW

VPN gestionada por AWS, múltiples VPC

VPC

VPC

VPC

CORP

Internet

VGW

CGW

CGW

VGW

VPN gestionada por AWS, múltiples VPC

VPC

VPC

VPC

CORP

Internet

VGW

CGW

CGW

VGW

VPN gestionada por AWS, múltiples VPC

2 VPC x 2 CGW = 8 túneles VPN

Costos

Rendimiento

Flexibilidad

Resiliencia

• Fácil de instalar, setup en minutos

• Cifrado de última generación NAT-T,

AES-256, SHA-2 y DH groups

• Estático (1 prefijo) o BGP (<100

prefijos)

• Repetir por cada VPC

• $0.05/hora por conexión VPN

• Data transfer

• Alta disponibilidad por defecto, 2

túneles por VPC

• Considerar redundancia de CGW (4

túneles por VPC)

• Se pueden conseguir velocidades

Multi Gbps por VPC (limitado por el

VGW)

VPN gestionada por AWS

VPC

VPC

VPC

CORP

Internet

VPN por Software (EC2)

VPC

VPC

CORP

Internet

VPN por Software (EC2)

VPC

VPC

CORP

Internet

VPN por Software (EC2)

VPC

VPC

CORP

Internet

VPN por Software (EC2)

VPC

VPC

CORP

Internet

VPN por Software (EC2)

VPC

VPC

CORP

Internet

VPN por Software (EC2)

Costos

Rendimiento

Flexibilidad

Resiliencia

• Open Source o productos comerciales

• Abierto a funcionalidad propietaria

• HA y escalado responsabilidad del cliente

• Soluciones avanzadas usando

automatización

• Licenciamiento del proveedor

• Costo por hora de EC2

• Costo de alta disponibilidad

• Data transfer

• HA vía instancia EC2 adicional en una

segunda AZ

• Se recomienda HA para clientes

• Determinado por tipo de instancia EC2

• Velocidades Multi Gbps por instancia

VPN (para todos los túneles)

• Es posible utilizar múltiples instancias

para la misma VPC

VPN por Software (EC2)

London DX

Seattle DX

Branch

Remote workforce

Global HQ

Regional HQ

us-west-2 region

Transit VPCVPC

VPC

eu-west-1 region

Transit VPC VPC

VPC

ap-northeast-1 region

Transit VPC VPC

VPC

VPN

VPN

Transit VPC Global VPN backbone

https://aws.amazon.com/answers/networking/transit-vpc/

AWS Direct Connect (DX)

Arquitectura de conexión

• Ofrecido desde 2011

• Conexión privada, separado de Internet

• Rendimiento de red consistente

• Más de 51 ubicaciones alrededor del mundo para conectarse

• Cada conexión se establece hacía 1 región AWS

• Múltiples ubicaciones para cada región AWS

• Reduce los costos de ancho de banda

AWS Direct Connect (DX)

Oregon

N. California

AWS Direct Connect (DX) en USA

N. Virginia

Ohio

Oregon

N. California

AWS Direct Connect (DX) en USA

SuperNAP

Equinix SE

CoreSite LA

N. Virginia

CoreSite NY

Equinix DC

CoreSite SV

OhioEquinix CHQTS Chicago

Equinix DA

CoreSite VA

Equinix LA

Equinix SV

TierPoint

EdgeConneXPittock Block

Oregon

N. California

AWS Direct Connect (DX) en USA

SuperNAP

Equinix SE

CoreSite LA

N. Virginia

CoreSite NY

Equinix DC

CoreSite SV

OhioEquinix CHQTS Chicago

Equinix DA

CoreSite VA

Equinix LA

Equinix SV

TierPoint

EdgeConneXPittock Block

Frankfurt

AWS Direct Connect (DX) en Europa y Asia Pacífico

Digital RealtyEircom Interxion Frankfurt

Sydney

Ireland

Tokyo

Singapore

Equinix OS

Beijing

Equinix TY

Equinix FR

Equinix SY

Global Switch

Equinix SG

CIDS

Sinnet

Eqinix LDInterxion

Interxion Madrid

Interxion Stockholm

Equinix AM

Global Switch

Mumbai

GPXSify Rabale

Seoul

KINX

Telehouse

CORP

VPC

VPC

VPC

AWS Direct Connect

Internet

CORP

DX Location

VPC

VPC

VPC

AWS Direct Connect

Internet

CORP

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

AWS Direct Connect

Internet

2) Circuito entre el datacenter del cliente y ubicación DX

3) Extendiendo la red del proveedor hacía ubicación DX

1) El cliente tiene presencia en ubicación DX

Escenarios de conexión AWS Direct Connect

CORP

Internet

AWS Direct

Connect

Routers

CustomerRouter

Colocation

DX Location

`

VPC

VPC

VPC

1. Router del cliente en colocation

Letter of Authorization and Connecting Facility Assignment

Please consider this letter as notification for connecting facility assignment for the purpose of

establishing or augmenting connectivity between the parties identified above. This document authorizes

a connection to the ports indicated above. All charges for the physical connection are the sole

responsibility of company.

For location specific information on requesting a cross-connect, visit the "Requesting Cross-Connects"

section of the user guide:

http://docs.aws.amazon.com/DirectConnect/latest/UserGuide/Colocation.html

The requester(s) use of AWS services will be governed by the terms of the AWS Customer Agreement

(available at http://aws.amazon.com/agreement), or a separate agreement between the requester(s)

and AWS.

EXPIRATION NOTICE The authorized connectivity must be completed within 90 days of this LOA-CFA's

issue date or this LOA-CFA will expire.

* Amazon Corporate LLC is a subsidiary of Amazon.com, Inc.

Issue Date .

Oct 13, 2016

Issued By* .

Amazon Web Services Spain S.L.

Facility - Meet Me Room .

Interxion MAD2 – MAD2.211

Customer Demarcation/ZSide .

Rack: R77B1.R99B09 Patch Panel: PP2:SOUTH Strands: 40818

Requested By .

Company requesting name

Issued To .

Interxion, Madrid, ESP

Connection ID ..

MAD50_Test

Optic and Connector Types ..

1000BASE-LX Single Mode Fiber (SMF) Lucent Connector (LC)

Letter of Authorization

and Connecting

Facility Assignment

AWS Direct Connect

CORP

AWS Direct

Connect

Routers

Customer Router

Colocation

DX Location

`

VPC

VPC

VPC Speeds1 Gbps10 Gbps

1. Router del cliente en colocation

Internet

CORP

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

2. Circuito vía Partner

Internet

https://aws.amazon.com/directconnect/partners/

APN Partners de AWS Direct Connect

CORP

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Speeds50Mbps100Mbps200Mbps300Mbps400Mbps500Mbps

2. Circuito vía Partner

Internet

CORP

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

3. Red del proveedor de servicio

Internet

CORP

AWS Direct

Connect

Routers

DX Location

Service ProviderNetwork

VPC

VPC

VPC

3. Red del proveedor de servicio

Internet

CORP

AWS Direct

Connect

Routers

DX Location

Service ProviderNetwork

VPC

VPC

VPC

3. Red del proveedor de servicio

Internet

Consideraciones de conexión DX

2) Circuito entre el datacenter del cliente y ubicación DX

3) Red del proveedor extendiendo hacía ubicación DX

Cuenta del cliente, control de interface, ruteo. Costo: puerto + data transfer

Depende de la oferta del proveedor de interconexión

1) El cliente tiene presencia en ubicación DX

Consideraciones de conexión DX

Igual que el punto anterior; más costo del circuito (partner)

Datos de entrada $0; datos de salida difieren por región

Considerar costos del circuito

Calcular costos de conexión vía VPN

Consideraciones de costos DX

Hora de puerto + data transfer

AWS Direct Connect – Resiliencia

Arquitecturas de conexión

CORP

Internet

AWS Direct

Connect

Routers

Customer Router

Colocation

DX Location

`

VPC

VPC

VPC

AWS Direct Connect

CORP

Internet

AWS Direct

Connect

Routers

Customer Router

Colocation

DX Location

`

VPC

VPC

VPC

AWS Direct Connect

CORP

Internet

AWS Direct

Connect

Routers

Customer Router

Colocation

DX Location

`

VPC

VPC

VPC

AWS Direct Connect + VPN

CORP

Internet

CustomerRouter

Colocation

DX Location

`

AWS Direct

Connect

Routers

VPC

VPC

VPC

2 puertos DX

Internet

CORP

Colocation

DX Location

`

AWS Direct

Connect

Routers

CustomerRouters

`

VPC

VPC

VPC

2 puertos DX, 2 routers de cliente

CORP

DX Location

AWS Direct

Connect

Routers

VPC

VPC

VPC

2 puertos DX, 2 circuitos

Internet

CORP

DX Location

AWS Direct

Connect

Routers

VPC

VPC

VPC

Internet

2 puertos DX, 2 circuitos en 2 datacenters

CORP

Internet

DX Location

AWS Direct

Connect

Routers

10 Gbps active

10 Gbps active

20 Gbps

VPC

VPC

VPC

2 DX, activo/activo

CORP

Internet

DX Location

AWS Direct

Connect

Routers

10 Gbps standby

10 Gbps

10 Gbps active

VPC

VPC

VPC

2 DX, activo/standby

CORP

Internet

DX Location

AWS Direct

Connect

Routers

VPC

VPC

VPC

Fallo de las instalaciones

CORP

Internet

CustomerRouters

Colocation

DX Location 1

`

CustomerRouters

Colocation

DX Location 2

`

AWS Direct

Connect Routers

AWS Direct

Connect Routers

VPC

VPC

VPC

2 DX, 2 ubicaciones DX

CORP

Internet

CustomerRouters

Colocation

DX Location 1

`

CustomerRouters

Colocation

DX Location 2

`

AWS Direct

Connect Routers

AWS Direct

Connect Routers

VPC

VPC

VPC

2 DX, 2 ubicaciones DX

CORP

Internet

CustomerRouters

Colocation

DX Location 1

`

CustomerRouters

Colocation

DX Location 2

`

AWS Direct

Connect Routers

AWS Direct

Connect Routers

VPC

VPC

VPC

VPN como respaldo

Costos

Rendimiento

Flexibilidad

Resiliencia

• 16 regiones AWS, 51 POPs worldwide

• LOA provista en menos de 72 horas

• El tiempo de habilitación del circuito

podría tomar semanas

• Hora puerto

• Transferencia saliente

• Proveedor del circuito / MPLS

• Rack para Colo (en caso de aplicar)

2 DX en 2 ubicaciones + VPN

2 DX en 2 ubicaciones separadas

2 DX en 1 ubicación DX

DX + VPN

DX

• Puerto de 1 Gbps o 10 Gbps

• Velocidades de 50, 100, 200, 300,

400 o 500 Mbps vía Partners

AWS Direct Connect (DX)

• Comenzar con 1 VPN gestionada por AWS

• Usar VPN mientras DX es habilitado

• El puerto se cobra cuando DX esta arriba o después de 90 días

• DX tiene preferencia sobre VPN cuando existen ambos

• Agregar puertos DX adicionales para resistencia / ancho de banda

• Planear para fallas, incluir falla de instalaciones

• Control de flujo de tráfico usando BGP y ruteo

• Levantar tickets de soporte en AWS en caso de dudas

Adaptación de la arquitectura

¿A que nos estamos conectando?

Arquitecturas de conexión

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

CustomerRouter

Múltiples VPC

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

Prod

Test

Dev

Múltiples VPC

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

Prod

Test

Dev

VPC

VPC

VPC

No

n-P

rod

Pro

d

Múltiples VPC

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

Prod

Test

Dev

VPC

VPC

VPC

No

n-P

rod

Pro

d

Interconexión vía VPC peering

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

Prod

Test

Dev

VPC

VPC

VPC

No

n-P

rod

Pro

d

VLAN 400

Interface privada virtual

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

Prod

Test

Dev

VPC

VPC

VPC

No

n-P

rod

Pro

d

VLAN 400

BGP

BGP

Interface privada virtual

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

Prod

Test

Dev

VPC

VPC

VPC

No

n-P

rod

Pro

dVLAN 500

VLAN 400

Interface privada virtual

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

Prod

Test

Dev

VPC

VPC

VPC

No

n-P

rod

Pro

dVLAN 500

VLAN 400

VLAN 600

Interface privada virtual

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

Prod

Test

Dev

VPC

VPC

VPC

No

n-P

rod

Pro

d

BGP

BGP

BGP

BGP

BGP

Interface privada virtual

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

CustomerRouter

Prod

Test

Dev

VPC

VPC

VPC

No

n-P

rod

Pro

d

Acceso a recursos de la VPC

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

Prod

Test

Dev

VPC

VPC

VPC

No

n-P

rod

Pro

d

Acceso a recursos de la VPC

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

Prod

Test

Dev

VPC

VPC

VPC

No

n-P

rod

Pro

d

Acceso a recursos de la VPC

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

VPC

VPC

VPC

Interface pública virtual

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

Customer Router

VPC

VPC

VPC

VLAN 800

BGP

BGP

Interface pública virtual

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

CustomerRouter

VPC

VPC

VPC

No

n-P

rod

Pro

d

VPC Endpoints

Acceso a Amazon S3 usando VPC endpoints

AWS Direct

Connect

Routers

DX Location

VPC

VPC

VPC

CustomerRouterN

on

-Pro

dP

rod

VPC Endpoints

VPC Endpoint for Amazon DynamoDB Nuevo!!

En resumen

Flexibilidad

La elección del mecanismo de conexión dependerá de

Costos

Resiliencia

Rendimiento

¡No olvide llenar su

evaluación!

¡Gracias!

Recommended