Comenzando con la nube híbrida

50
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Mayo, 2016 Comenzando con la nube híbrida

Transcript of Comenzando con la nube híbrida

Page 1: Comenzando con la nube híbrida

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Mayo, 2016

Comenzando con la nube híbrida

Page 2: Comenzando con la nube híbrida

La migración para la nube es una

decisión de TODO o NADA

Page 3: Comenzando con la nube híbrida

Buenas noticias: la respuesta no es binaria …

Data Centers

Corporativos

Recursos

On-Premises

Recursos en

la nubeIntegración

Page 4: Comenzando con la nube híbrida

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Mauricio Muñoz

Enterprise Solutions Architect, AWS

Mayo, 2016

Comenzando con la nube híbrida

Page 5: Comenzando con la nube híbrida

AWS Direct

Connect

VPN

Backup &

Archive

Extensión

de Storage

Workloads

Comunes

¿Qué es

Infraestructura

Híbrida?

Conectividad Próximos

Pasos

Control de

Acceso

Integración

Corporativa

Nuestra jornada de hoy

DevOps

Amazon

VPC

Inicio

Level 3

Page 6: Comenzando con la nube híbrida

AWS Direct

Connect

VPN

Backup &

Archive

Extensión

de Storage

Workloads

Comunes

¿Qué es

Infraestructura

Híbrida?

Conectividad Próximos

Pasos

Control de

Acceso

Integración

Corporativa

Nuestra jornada de hoy

DevOps

Amazon

VPC

Inicio

Level 3

Page 7: Comenzando con la nube híbrida

Hybrid IT:

http://www.gartner.com/technology/research/technical-professionals/hybrid-cloud.jsp

“Hybrid IT is the result of combining internal and

external services, usually from a combination of

internal and public clouds, in support of a business

outcome.”

Page 8: Comenzando con la nube híbrida

http://www.gartner.com/technology/research/technical-professionals/hybrid-cloud.jsp

“Hybrid IT is the result of combining internal and

external services, usually from a combination of

internal and public clouds, in support of a business

outcome.”

Hybrid IT:

Page 9: Comenzando con la nube híbrida

¿Qué significa para nosotros “integración híbrida”?

Recursos On-Premises

Datacenter

Servicios

Infraestructura enla Nube

Migración e

Integración de Workloads

Herramientas

de Gestión

Autenticación y

Control de Acceso

Conectividad

Page 10: Comenzando con la nube híbrida

Your Data Center

En el inicio de los tiempos ....

Page 11: Comenzando con la nube híbrida

Your Data Center

Con el pasar del tiempo ....

Page 12: Comenzando con la nube híbrida

La nube como respuesta

Your Data Center

AWS VPC

Page 13: Comenzando con la nube híbrida

AWS Direct

Connect

VPN

Backup &

Archive

Extensión

de Storage

Workloads

Comunes

¿Qué es

Infraestructura

Híbrida?

Conectividad Próximos

Pasos

Control de

Acceso

Integración

Corporativa

Nuestra jornada de hoy

DevOps

Amazon

VPC

Inicio

Level 3

Page 14: Comenzando con la nube híbrida

Directory

Server

Database

Server

Application

Server

Client

Configuración de la VPC• VPC CIDR : 10.100.0.0/16

• VPC Subred 1: 10.100.0.0/24

• VPC Subred 2: 10.100.2.0/24

• Security Group: HTTP, HTTPS, SSH, ICMP

Configuración en el Datacenter• Red corporativa: 10.96.0.0/16

• Red Datacenter: 10.96.24.0/24

• IP del Gateway : 54.254.241.240

VPC - Virtual Private Cloud

Application

Server

Availability Zone BAvailability Zone A

Page 15: Comenzando con la nube híbrida

Directory

Server

Database

Server

Application

Server

Client

Características

• Varias VPCs por cuenta

• Instancias EC2 con múltiples NIC

• Múltiples direcciones IP por interfaz

• Las interfaces de red se pueden mover entre

instancias

• Control de acceso con Security Groups y NACL

• VPC Peering

• Soporte a instancias dedicadas

• Servicio maduro (ofrecido desde 2009)

• Altamente escalable

• Diseñado para integración corporativa

VPC - Virtual Private Cloud

Application

Server

Availability Zone BAvailability Zone A

Page 16: Comenzando con la nube híbrida

VPC subnet

Availability Zone

Security group

VPC subnet

Availability Zone

Security group

VirtualGateway

AWS Virtual Private

Network (VPN IPSec)

o Conexión IPSec, basada en

hardware Appliances VPN

homologados:

https://aws.amazon.com/vpc/faqs/#C9

o Canal encriptado

o Direccionamiento IP: RFC 1918

o Usa BGP (opcional) para

enrutamiento y alta-disponibilidad

o Provee end-points redundantes

http://docs.aws.amazon.com/AmazonVPC/latest/UserGui

de/VPC_VPN.html

Corporate data center

Users

Data center router

Servers

Internet

IPSec VPN

Page 17: Comenzando con la nube híbrida

AWS Direct Connect

o Usa BGP (A/A ó A/P) para

enrutamiento.

o Cada DX está mapeado a una

región AWS

o Requiere una conexión de fibra

(Layer 2 single mode 1000BASE-

LX o 10GBASE-LR)

o Usa VLAN tagging (802.1Q)

http://aws.amazon.com/directconnect/

Corporate data center

Users

VPC subnet

Availability Zone

Security group

VPC subnet

Availability Zone

Security group

Data center router

Customer router

Servers

AWS Direct Connectlocation

AWS Direct Connect routers

VirtualGateway

Page 18: Comenzando con la nube híbrida

VPC Subnet

Availability Zone

Security group

VPC subnet

Availability Zone

Security group

AWS Direct Connect +

AWS VPN

Ventajas:

o Camino dedicado con ancho

de banda predefinido

o No usa Internet

o Costo reducido de

transferencias IPSEC

o Nivel adicional de seguridad

http://aws.amazon.com/directconnect/

Corporate data center

Users

Data center router

Customer Router

Servers

IPSec VPN

AWS Direct Connectlocation

AWS Direct Connect routers

VirtualGateway

Page 19: Comenzando con la nube híbrida

AWS Direct

Connect

VPN

Backup &

Archive

Extensión

de Storage

Workloads

Comunes

¿Qué es

Infraestructura

Híbrida?

Conectividad Próximos

Pasos

Control de

Acceso

Integración

Corporativa

Nuestra jornada de hoy

DevOps

Amazon

VPC

Inicio

Level 3

Page 20: Comenzando con la nube híbrida

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Carlos Pacheco, Senior Sales Engineer

Level 3

Cloud Connect

Mayo, 2016

Page 21: Comenzando con la nube híbrida

Acerca de Level 3

Page 22: Comenzando con la nube híbrida

Level 3 LATAM

Page 23: Comenzando con la nube híbrida

Level 3 Chile

Page 24: Comenzando con la nube híbrida

Sin una estrategia de red, no hay una estrategia de Nube

Page 25: Comenzando con la nube híbrida

Level 3 Cloud Connect

US East

(Virginia)

US West

(N.

California)

US West

(Oregon)

EU West

IrelandSao Paulo Singapore Tokio Sydney

Page 26: Comenzando con la nube híbrida

Level 3 Cloud ConnectCloud Connect IPVPN

• Conectividad Full Mesh

• Flexibilidad para crecimiento

• Instalación simple y competitiva para

cliente existente

• Valor agregado a IPVPN

• Permite ofrecer más servicios a

clientes nuevos

• Aplicaciones en la nube

Cloud Connect EVPL

• Conectividad P2P

• Configuración de cliente

simple

• Conexión de un DC a la

nube (nube híbrida)

NNI

NNI

Page 27: Comenzando con la nube híbrida

Opciones de Conectividad

Internet IPVPN EVPL/VPLS PL/EPL DWDM

Red pública

compuesta por

diferentes

proveedores.

Transporte best

effort (jitter,

packet loss)

Requiere

encriptado para

mejorar

seguridad.

VPN capa 3

sobre MPLS.

Ofrece SLA

para jitter,

latencia y

packet loss.

Topología full

mesh.

6 clases de

servicio.

Ethernet sobre

MPLS.

Ofrece SLA

para jitter,

latencia y

packet loss.

El cliente debe

administrar

direcciones IP.

Punto a punto

transparente.

Transporte

TDM, no

conmutación

de paquetes.

Para usos

específicos

Anchos de

banda >

1Gbps.

Servicio no

protegido.

Longitud de

onda de uso

exclusivo.

Page 28: Comenzando con la nube híbrida

Performance = Productividad

Page 29: Comenzando con la nube híbrida

AWS Direct

Connect

VPN

Backup &

Archive

Extensión

de Storage

Workloads

Comunes

¿Qué es

Infraestructura

Híbrida?

Conectividad Próximos

Pasos

Control de

Acceso

Integración

Corporativa

Nuestra jornada de hoy

DevOps

Amazon

VPC

Inicio

Level 3

Page 30: Comenzando con la nube híbrida

Active Directory y

LDAP

Ventajas

o Reducción del tráfico de back-end

o Reducción de latencia para

autenticación

o Resiliencia

o Soporta las dos implementaciones:

Multi-Master Read/Write Domain

Controllers

Read-only Domain Controllers

(RODCs)

Requires IPSec VPN or Direct Connect

connectivityhttp://aws.amazon.com/microsoft/whitepapers/ad-reference-

architecture/

Active Directory Replication

Corporate data center

Users

AD.Domain

Servers

Domain controller

Domain controller

VPC subnet

Availability Zone

Security group

VirtualGateway

Domain controller

VPC subnet

Availability Zone

Security groupType Port Number

TCP54, 88, 135, 137, 139, 389, 445, 464, 636, 3268, 3269, 5722, 49152-65535

UDP53,67,123, 138, 389, 445, 464, 2535, 5355, 49152-65535

Replication

Page 31: Comenzando con la nube híbrida

Directorios nuevos

en AWS

AWS Directory Service

Conectar directorios existentes a

AWS

Simple AD AD ConnectorBased on Samba 4

Federation proxy

On-premises

Microsoft AD

Page 32: Comenzando con la nube híbrida

AWS Directory

Service

o Tres modos

Simple AD

MicrosoftAD

AD Connector

o Simplifica la federación IAM

Evita la complejidad de

implementar una infraestructura

SAML

Actúa como proxy (no guarda

información)

Soporta implementaciones

existentes de RADIUS (MFA)

Requires IPSec VPN or Direct Connect

connectivityhttp://aws.amazon.com/directoryservice/

AWS Directory ServiceConnect

Corporate data center

Users

AD.Domain

Servers

Domain controller

VPC subnet

Availability Zone

Security group

VirtualGateway

VPC subnet

Availability Zone

Security group

Page 33: Comenzando con la nube híbrida

Y, ¿cómo son protegidos los recursos AWS?

AWS Identity and Access Management• Permite controlar el acceso a servicios y recursos AWS

• Control granular de permisos, recursos y acciones. Usted define

quién puede hacer qué y sobre cuál recurso.

• Puede habilitar el uso de autenticación fuerte, con tokens de

hardware o software

• Crear usuarios y grupos

• Asignar permisos

• Desde dónde son permitidas las

acciones

Application

Server

• Quién crea subnets

• Quién modifica Security Groups

• Quién inicia instancias y en cuál

subnet

• Permite acceso de aplicaciones

a servicios AWS

• Rotación implícita de llaves

• No almacena llaves en el código

• Acceso seguro a la consola

• Puede ser solicitado para

llamadas API

Page 34: Comenzando con la nube híbrida

Federación

Integre su sistema de IdM con AWS• Acceso seguro a recursos AWS usando su IdM

• Implemente acceso SSO a la consola AWS o APIs

• Implemente su propia federación usando AWS STS o,

• Implemente federación con directorios on-premise como

Active Directory, TFIM, OAM o cualquier otro IdP

compatible con SAML 2.0

Page 35: Comenzando con la nube híbrida

DevOps

Escalabilidad desde una hasta miles de instancias

Deploy sin interrupción de servicio

Control y monitoreo centralizado

Staging

CodeDeployv1, v2, v3

Production

Dev

(Como lo hace Amazon)

Application

revisions

Deployment groups

Page 36: Comenzando con la nube híbrida

Defina su grupo destino (Nube o On-Premises)

Agent Agent Agent

Staging

Agent Agent

Agent Agent

Agent

Agent

Production

Deployment group (on-premises)Deployment group (AWS)

Grupos definidos por

• Auto Scaling group

• Tag:– Amazon EC2

– On-premises

Page 37: Comenzando con la nube híbrida

Operaciones en AWS (Monitoreo)

Integración con AWS

• Amazon Cloudwatch entrega información en tiempo

real de los servicios, integra métricas personalizadas y

crea/actúa en casos de alarma

• Amazon SNS permite integración con sus sistemas de

alerta

• Instale sus herramientas de monitoreo en instancias

EC2

• Herramientas comerciales de monitoreo integran con

las API de AWS

Page 38: Comenzando con la nube híbrida

Operaciones en AWS

(Auditoria)

o Integración de Monitoreo de

Seguridad usando CloudTrail y

SIEM.

o Auditoría con CloudTrail y SNMP

MIBs con SIEM.

o Monitoreo de plataformas y

aplicaciones utilizando agentes en

las instancias EC2.

o Servidor de Updates (on-

premises) accesible desde AWS. VPC subnet

Availability Zone

Security group

VPC subnet

Availability Zone

Security group

VirtualGateway

Corporate data center

Users

Data center router

UpdateServers

Conectividad

AWS CloudTrail

Amazon CloudWatch

SIEMAggregator

Page 39: Comenzando con la nube híbrida

Operación del ambiente AWS usando herramientas

existentes

Management

Portal for vCenter

Management Pack

for SCOM

Systems Manager

for SCVMM

Page 40: Comenzando con la nube híbrida

AWS Direct

Connect

VPN

Backup &

Archive

Extensión

de Storage

Workloads

Comunes

¿Qué es

Infraestructura

Híbrida?

Conectividad Próximos

Pasos

Control de

Acceso

Integración

Corporativa

Nuestra jornada de hoy

DevOps

Amazon

VPC

Inicio

Level 3

Page 41: Comenzando con la nube híbrida

Algunos casos comunes

Page 42: Comenzando con la nube híbrida

Algunos casos comunes

Page 43: Comenzando con la nube híbrida

Servidor de backup (On-Premise) integrado

con S3

• Use soluciones corporativas de backup

• Integre con S3 para almacenamiento de los backups

• Elimine la necesidad de cintas, hardware y

almacenamiento externo

• Reduzca sus gastos de capital en infraestructura de

backup

• No se preocupe con la durabilidad

• Nunca se quede sin espacio para almacenamiento

• Reduzca costos utilizando Amazon Glacier

Caso 1: Backup / Archiving

Corporate data center

Amazon Simple Storage Service

(S3)

Amazon Glacier

Applicationserver

Virtualserver

Fileserver

Databaseserver

AWS Storage Gateway

Backupsystem

iSCSI

Page 44: Comenzando con la nube híbrida

Algunas de las soluciones que integran

nativamente con S3:

Veeam Backup & Replication

Symantec Net Backup

Oracle RMAN and Secure Backup Module

CommVault Simpana

AWS Storage Gateway VTL

Riverbed Whitewater

Caso 1: Backup / Archiving

Corporate data center

Amazon Simple Storage Service

(S3)

Amazon Glacier

Applicationserver

Virtualserver

Fileserver

Databaseserver

AWS Storage Gateway

Backupsystem

iSCSI

Page 45: Comenzando con la nube híbrida

Appliance On-premises integrado con S3• Volúmenes virtuales presentados en la red local como

volúmenes iSCSI, NFS y CIFS

• Caché en disco local, para acceso rápido a datos

frecuentemente requeridos

• Appliance integrado con S3

• Reduzca sus gastos de capital en infraestructura de backup

• No se preocupe con la durabilidad

• Nunca se quede sin espacio para almacenamiento

• Reduzca costos utilizando Amazon Glacier

Caso 2: Expansión de StorageCorporate data center

Applicationserver

Virtualserver

Fileserver

Databaseserver

Storageappliance

AWS Storage Gateway

iSCSI

Amazon Simple Storage Service

(S3)

Amazon Glacier

Page 46: Comenzando con la nube híbrida

Algunas soluciones:

NetApp AltaVault

Riverbed Whitewater

Panzura Global NAS

Aspera on-demand

AWS Storage Gateway Cached Volumes

Caso 2: Expansión de Storage

StorReduce Appliance

Corporate data center

Applicationserver

Virtualserver

Fileserver

Databaseserver

Storageappliance

AWS Storage Gateway

iSCSI

Amazon Simple Storage Service

(S3)

Amazon Glacier

Page 47: Comenzando con la nube híbrida

AWS Direct

Connect

VPN

Backup &

Archive

Extensión

de Storage

Workloads

Comunes

¿Qué es

Infraestructura

Híbrida?

Conectividad Próximos

Pasos

Control de

Acceso

Integración

Corporativa

Nuestra jornada de hoy

DevOps

Amazon

VPC

Inicio

Level 3

Page 48: Comenzando con la nube híbrida

En resumen

• Conectividad es un aspecto clave para una integración

exitosa entre la nube y su datacenter

• Una infraestructura híbrida habilita la implementación

de muchos casos de uso para aprovechar las ventajas

de la nube

Page 49: Comenzando con la nube híbrida

¿Vamos a probar?

Una Prueba de Concepto responde miles

de preguntas

Page 50: Comenzando con la nube híbrida

Gracias