Comenzando con la nube híbrida
-
Upload
amazon-web-services-latam -
Category
Technology
-
view
468 -
download
0
Transcript of Comenzando con la nube híbrida
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Mayo, 2016
Comenzando con la nube híbrida
La migración para la nube es una
decisión de TODO o NADA
Buenas noticias: la respuesta no es binaria …
Data Centers
Corporativos
Recursos
On-Premises
Recursos en
la nubeIntegración
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Mauricio Muñoz
Enterprise Solutions Architect, AWS
Mayo, 2016
Comenzando con la nube híbrida
AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
Hybrid IT:
http://www.gartner.com/technology/research/technical-professionals/hybrid-cloud.jsp
“Hybrid IT is the result of combining internal and
external services, usually from a combination of
internal and public clouds, in support of a business
outcome.”
http://www.gartner.com/technology/research/technical-professionals/hybrid-cloud.jsp
“Hybrid IT is the result of combining internal and
external services, usually from a combination of
internal and public clouds, in support of a business
outcome.”
Hybrid IT:
¿Qué significa para nosotros “integración híbrida”?
Recursos On-Premises
Datacenter
Servicios
Infraestructura enla Nube
Migración e
Integración de Workloads
Herramientas
de Gestión
Autenticación y
Control de Acceso
Conectividad
Your Data Center
En el inicio de los tiempos ....
Your Data Center
Con el pasar del tiempo ....
La nube como respuesta
Your Data Center
AWS VPC
AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
Directory
Server
Database
Server
Application
Server
Client
Configuración de la VPC• VPC CIDR : 10.100.0.0/16
• VPC Subred 1: 10.100.0.0/24
• VPC Subred 2: 10.100.2.0/24
• Security Group: HTTP, HTTPS, SSH, ICMP
Configuración en el Datacenter• Red corporativa: 10.96.0.0/16
• Red Datacenter: 10.96.24.0/24
• IP del Gateway : 54.254.241.240
VPC - Virtual Private Cloud
Application
Server
Availability Zone BAvailability Zone A
Directory
Server
Database
Server
Application
Server
Client
Características
• Varias VPCs por cuenta
• Instancias EC2 con múltiples NIC
• Múltiples direcciones IP por interfaz
• Las interfaces de red se pueden mover entre
instancias
• Control de acceso con Security Groups y NACL
• VPC Peering
• Soporte a instancias dedicadas
• Servicio maduro (ofrecido desde 2009)
• Altamente escalable
• Diseñado para integración corporativa
VPC - Virtual Private Cloud
Application
Server
Availability Zone BAvailability Zone A
VPC subnet
Availability Zone
Security group
VPC subnet
Availability Zone
Security group
VirtualGateway
AWS Virtual Private
Network (VPN IPSec)
o Conexión IPSec, basada en
hardware Appliances VPN
homologados:
https://aws.amazon.com/vpc/faqs/#C9
o Canal encriptado
o Direccionamiento IP: RFC 1918
o Usa BGP (opcional) para
enrutamiento y alta-disponibilidad
o Provee end-points redundantes
http://docs.aws.amazon.com/AmazonVPC/latest/UserGui
de/VPC_VPN.html
Corporate data center
Users
Data center router
Servers
Internet
IPSec VPN
AWS Direct Connect
o Usa BGP (A/A ó A/P) para
enrutamiento.
o Cada DX está mapeado a una
región AWS
o Requiere una conexión de fibra
(Layer 2 single mode 1000BASE-
LX o 10GBASE-LR)
o Usa VLAN tagging (802.1Q)
http://aws.amazon.com/directconnect/
Corporate data center
Users
VPC subnet
Availability Zone
Security group
VPC subnet
Availability Zone
Security group
Data center router
Customer router
Servers
AWS Direct Connectlocation
AWS Direct Connect routers
VirtualGateway
VPC Subnet
Availability Zone
Security group
VPC subnet
Availability Zone
Security group
AWS Direct Connect +
AWS VPN
Ventajas:
o Camino dedicado con ancho
de banda predefinido
o No usa Internet
o Costo reducido de
transferencias IPSEC
o Nivel adicional de seguridad
http://aws.amazon.com/directconnect/
Corporate data center
Users
Data center router
Customer Router
Servers
IPSec VPN
AWS Direct Connectlocation
AWS Direct Connect routers
VirtualGateway
AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Carlos Pacheco, Senior Sales Engineer
Level 3
Cloud Connect
Mayo, 2016
Acerca de Level 3
Level 3 LATAM
Level 3 Chile
Sin una estrategia de red, no hay una estrategia de Nube
Level 3 Cloud Connect
US East
(Virginia)
US West
(N.
California)
US West
(Oregon)
EU West
IrelandSao Paulo Singapore Tokio Sydney
Level 3 Cloud ConnectCloud Connect IPVPN
• Conectividad Full Mesh
• Flexibilidad para crecimiento
• Instalación simple y competitiva para
cliente existente
• Valor agregado a IPVPN
• Permite ofrecer más servicios a
clientes nuevos
• Aplicaciones en la nube
Cloud Connect EVPL
• Conectividad P2P
• Configuración de cliente
simple
• Conexión de un DC a la
nube (nube híbrida)
NNI
NNI
Opciones de Conectividad
Internet IPVPN EVPL/VPLS PL/EPL DWDM
Red pública
compuesta por
diferentes
proveedores.
Transporte best
effort (jitter,
packet loss)
Requiere
encriptado para
mejorar
seguridad.
VPN capa 3
sobre MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
Topología full
mesh.
6 clases de
servicio.
Ethernet sobre
MPLS.
Ofrece SLA
para jitter,
latencia y
packet loss.
El cliente debe
administrar
direcciones IP.
Punto a punto
transparente.
Transporte
TDM, no
conmutación
de paquetes.
Para usos
específicos
Anchos de
banda >
1Gbps.
Servicio no
protegido.
Longitud de
onda de uso
exclusivo.
Performance = Productividad
AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
Active Directory y
LDAP
Ventajas
o Reducción del tráfico de back-end
o Reducción de latencia para
autenticación
o Resiliencia
o Soporta las dos implementaciones:
Multi-Master Read/Write Domain
Controllers
Read-only Domain Controllers
(RODCs)
Requires IPSec VPN or Direct Connect
connectivityhttp://aws.amazon.com/microsoft/whitepapers/ad-reference-
architecture/
Active Directory Replication
Corporate data center
Users
AD.Domain
Servers
Domain controller
Domain controller
VPC subnet
Availability Zone
Security group
VirtualGateway
Domain controller
VPC subnet
Availability Zone
Security groupType Port Number
TCP54, 88, 135, 137, 139, 389, 445, 464, 636, 3268, 3269, 5722, 49152-65535
UDP53,67,123, 138, 389, 445, 464, 2535, 5355, 49152-65535
Replication
Directorios nuevos
en AWS
AWS Directory Service
Conectar directorios existentes a
AWS
Simple AD AD ConnectorBased on Samba 4
Federation proxy
On-premises
Microsoft AD
AWS Directory
Service
o Tres modos
Simple AD
MicrosoftAD
AD Connector
o Simplifica la federación IAM
Evita la complejidad de
implementar una infraestructura
SAML
Actúa como proxy (no guarda
información)
Soporta implementaciones
existentes de RADIUS (MFA)
Requires IPSec VPN or Direct Connect
connectivityhttp://aws.amazon.com/directoryservice/
AWS Directory ServiceConnect
Corporate data center
Users
AD.Domain
Servers
Domain controller
VPC subnet
Availability Zone
Security group
VirtualGateway
VPC subnet
Availability Zone
Security group
Y, ¿cómo son protegidos los recursos AWS?
AWS Identity and Access Management• Permite controlar el acceso a servicios y recursos AWS
• Control granular de permisos, recursos y acciones. Usted define
quién puede hacer qué y sobre cuál recurso.
• Puede habilitar el uso de autenticación fuerte, con tokens de
hardware o software
• Crear usuarios y grupos
• Asignar permisos
• Desde dónde son permitidas las
acciones
Application
Server
• Quién crea subnets
• Quién modifica Security Groups
• Quién inicia instancias y en cuál
subnet
• Permite acceso de aplicaciones
a servicios AWS
• Rotación implícita de llaves
• No almacena llaves en el código
• Acceso seguro a la consola
• Puede ser solicitado para
llamadas API
Federación
Integre su sistema de IdM con AWS• Acceso seguro a recursos AWS usando su IdM
• Implemente acceso SSO a la consola AWS o APIs
• Implemente su propia federación usando AWS STS o,
• Implemente federación con directorios on-premise como
Active Directory, TFIM, OAM o cualquier otro IdP
compatible con SAML 2.0
DevOps
Escalabilidad desde una hasta miles de instancias
Deploy sin interrupción de servicio
Control y monitoreo centralizado
Staging
CodeDeployv1, v2, v3
Production
Dev
(Como lo hace Amazon)
Application
revisions
Deployment groups
Defina su grupo destino (Nube o On-Premises)
Agent Agent Agent
Staging
Agent Agent
Agent Agent
Agent
Agent
Production
Deployment group (on-premises)Deployment group (AWS)
Grupos definidos por
• Auto Scaling group
• Tag:– Amazon EC2
– On-premises
Operaciones en AWS (Monitoreo)
Integración con AWS
• Amazon Cloudwatch entrega información en tiempo
real de los servicios, integra métricas personalizadas y
crea/actúa en casos de alarma
• Amazon SNS permite integración con sus sistemas de
alerta
• Instale sus herramientas de monitoreo en instancias
EC2
• Herramientas comerciales de monitoreo integran con
las API de AWS
Operaciones en AWS
(Auditoria)
o Integración de Monitoreo de
Seguridad usando CloudTrail y
SIEM.
o Auditoría con CloudTrail y SNMP
MIBs con SIEM.
o Monitoreo de plataformas y
aplicaciones utilizando agentes en
las instancias EC2.
o Servidor de Updates (on-
premises) accesible desde AWS. VPC subnet
Availability Zone
Security group
VPC subnet
Availability Zone
Security group
VirtualGateway
Corporate data center
Users
Data center router
UpdateServers
Conectividad
AWS CloudTrail
Amazon CloudWatch
SIEMAggregator
Operación del ambiente AWS usando herramientas
existentes
Management
Portal for vCenter
Management Pack
for SCOM
Systems Manager
for SCVMM
AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
Algunos casos comunes
Algunos casos comunes
Servidor de backup (On-Premise) integrado
con S3
• Use soluciones corporativas de backup
• Integre con S3 para almacenamiento de los backups
• Elimine la necesidad de cintas, hardware y
almacenamiento externo
• Reduzca sus gastos de capital en infraestructura de
backup
• No se preocupe con la durabilidad
• Nunca se quede sin espacio para almacenamiento
• Reduzca costos utilizando Amazon Glacier
Caso 1: Backup / Archiving
Corporate data center
Amazon Simple Storage Service
(S3)
Amazon Glacier
Applicationserver
Virtualserver
Fileserver
Databaseserver
AWS Storage Gateway
Backupsystem
iSCSI
Algunas de las soluciones que integran
nativamente con S3:
Veeam Backup & Replication
Symantec Net Backup
Oracle RMAN and Secure Backup Module
CommVault Simpana
AWS Storage Gateway VTL
Riverbed Whitewater
Caso 1: Backup / Archiving
Corporate data center
Amazon Simple Storage Service
(S3)
Amazon Glacier
Applicationserver
Virtualserver
Fileserver
Databaseserver
AWS Storage Gateway
Backupsystem
iSCSI
Appliance On-premises integrado con S3• Volúmenes virtuales presentados en la red local como
volúmenes iSCSI, NFS y CIFS
• Caché en disco local, para acceso rápido a datos
frecuentemente requeridos
• Appliance integrado con S3
• Reduzca sus gastos de capital en infraestructura de backup
• No se preocupe con la durabilidad
• Nunca se quede sin espacio para almacenamiento
• Reduzca costos utilizando Amazon Glacier
Caso 2: Expansión de StorageCorporate data center
Applicationserver
Virtualserver
Fileserver
Databaseserver
Storageappliance
AWS Storage Gateway
iSCSI
Amazon Simple Storage Service
(S3)
Amazon Glacier
Algunas soluciones:
NetApp AltaVault
Riverbed Whitewater
Panzura Global NAS
Aspera on-demand
AWS Storage Gateway Cached Volumes
Caso 2: Expansión de Storage
StorReduce Appliance
Corporate data center
Applicationserver
Virtualserver
Fileserver
Databaseserver
Storageappliance
AWS Storage Gateway
iSCSI
Amazon Simple Storage Service
(S3)
Amazon Glacier
AWS Direct
Connect
VPN
Backup &
Archive
Extensión
de Storage
Workloads
Comunes
¿Qué es
Infraestructura
Híbrida?
Conectividad Próximos
Pasos
Control de
Acceso
Integración
Corporativa
Nuestra jornada de hoy
DevOps
Amazon
VPC
Inicio
Level 3
En resumen
• Conectividad es un aspecto clave para una integración
exitosa entre la nube y su datacenter
• Una infraestructura híbrida habilita la implementación
de muchos casos de uso para aprovechar las ventajas
de la nube
¿Vamos a probar?
Una Prueba de Concepto responde miles
de preguntas
Gracias