prd-029 - amazon vpc virtual private cloud
TRANSCRIPT
Community - Cloud AWS su Google+
Cloud AWS
Amazon Web Services
cloud-aws.com
Amazon VPC (Virtual Private Cloud)
Hangout 29 del 27.10.2014
● Davide Riboldi● Massimo Della Rovere
Oggi vediamo le caratteristiche generali del servizio di Amazon VPC per creare una rete virtuale nel cloud.
CLOUD AWS
#cloudaws
Amazon VPC - Introduzione
Cloud AWS
● Amazon Virtual Private Cloud (Amazon VPC), mette a disposizione una sezione isolata dove è possibile eseguire delle risorse presenti su AWS.
● Con VPC si ha il controllo completo del networking, è possibile scegliere un range di indirizzi IP, impostare regole di routing e configurare gateway di rete.
● Le tipologie di connettività presenti in VPC sono diverse e possono essere utilizzate tra di loro in maniera mista per creare decine di scenari differenti.
Amazon VPC - Schema generale
Cloud AWS
● Questa rete virtuale è molto simile alle reti tradizionali che vengono gestire nei data center, con un vantaggio in più, quello di poter utilizzare la scalabilità degli AWS e connettere i propri server e/o applicazioni con i servizi del cloud, usando una rete ad alta velocità e senza passare per internet.
EC2
Internet
Azienda
Amazon VPC - Esempio di configurazione
Cloud AWS
● La configurazione in ambiente VPC può essere facilmente personalizzata. Ad esempio, si può creare una subnet pubblica per i servizi web, accessibile direttamente da internet e posizionare i sistemi di back-end, come database e server applicativi, in una sottorete privata senza accesso ad internet.
Private Public
Internet
Amazon VPC - Schema sulla sicurezza
Cloud AWS
● Oltre alle varie impostazioni di rete è anche possibile gestire vari livelli di sicurezza, utilizzando i security groups e le network ACL, in modo da controllare gli accessi alle istanze EC2 presenti in ogni subnet di rete. Con una sola VPC possiamo gestire diverse reti anche distaccate tra di loro.
subnet(A)
Azienda
subnet(B)
subnet(C)
Amazon VPC - Caratteristiche
Cloud AWS
● Opzioni multiple di connettività: in un’ambiente Amazon VPC esistono diverse opzioni di connettività, le quali ci consentono di collegare una rete VPC ad internet, ad un data center o ad altre reti VPC, in base alle risorse che si desidera rendere pubbliche o private.
● Sicurezza: Amazon VPC fornice funzionalità di sicurezza avanzate come i security group e le network ACL per il controllo del traffico in entrata e in uscita a livello di istanze e di sottoreti. Opzionalmente, è anche possibile scegliere di avviare delle istanze dedicate su hardware dedicato per poter così ottenere un ulteriore livello di isolamento.
● Semplicità: è possibile creare una VPC utilizzando la management console. È possibile selezionare una delle configurazioni di rete che meglio si adattano alle proprie esigenze utilizzando il tasto “Start VPC Wizard”. In questo caso le sottoreti, i range di indirizzi ip, le tabelle di routing e i security group vengono creati automaticamente.
Amazon VPC - Opzioni di connettività
Cloud AWS
● Diretta ad internet (public subnets): è possibile avviare una istanza all’interno di una sottorete pubblica dove è possibile inviare e ricevere il traffico da internet.
● Connessione internet NAT (private subnets): possono essere utilizzate per quelle istanze che non vogliamo che siano direttamente indirizzabili da internet. Le istanze in una sottorete privata possono accedere ad internet senza esporre il proprio indirizzo IP.
● Connessione sicura: tutto il traffico generato dalle istanze all’interno di una VPC può essere indirizzato verso il data center attraverso connessioni VPN in IPSEC.
● Connessione privata verso altre VPC: è possibile mettere in comunicazione differenti reti virtuali possedute da un unico account o tra account differenti.
● Connessione mista: inoltre, è possibile combinare i vari metodi di connettività per soddisfare tutte le esigenze di networking delle vostre applicazioni.
Amazon VPC - Scenari di esempio
Cloud AWS
privatesubnet
publicsubnet
NAT publicsubnet
publicsubnet
privatesubnet
1
2
3
Internet
privatesubnet
4
Amazon VPC - Scenario di esempio 1 e 2
Cloud AWS
● (1) Sito web pubblico: in una rete VPC è possibile ospitare un’applicazione web come ad esempio, un blog o un semplice sito web e proteggere il sito con la creazione di regole di gruppo, per consentire al web server di rispondere alle sole richieste HTTP e HTTPS in arrivo da Internet, vietando nel contempo al web server di avviare connessioni in uscita verso Internet. È possibile creare una VPC di questo tipo selezionando la voce presente nella management console “VPC with a Single Public Subnet Only“.
● (2) Applicazioni multi-tier: è possibile utilizzare VPC per ospitare queste applicazioni e far rispettare le restrizioni di sicurezza tra i server web, server applicativi e database. È possibile avviare il server web in una sottorete pubblica mentre l’application server e il database in una sottorete privata. I server delle applicazioni e del database non possono essere raggiunti direttamente, ma possono accedere a internet tramite un’istanza NAT per poter scaricare ad esempio delle patch. Per creare una VPC che supporti questo tipo di ambiente, è possibile selezionare “VPC with Public and Private Subnets“.
Amazon VPC - Scenario di esempio 3 e 4
Cloud AWS
● (3) Applicazioni in AWS e Data Center: è possibile creare una VPC in cui le istanze dei server web comunicano con internet e le istanze degli applications server comunicano con il database presente nella rete aziendale. Una connessione IPsec VPN tra la rete VPC e la rete aziendale consente di proteggere tutte le comunicazioni tra i server del cloud e i database del proprio data center. Possiamo creare una VPC di questo tipo con l’opzione chiamata “VPC with Public and Private Subnets and Hardware VPN Access“.
● (4) Estendere la rete aziendale: è possibile spostare le applicazioni aziendali nel cloud, avviare servizi aggiuntivi e aggiungere capacità di calcolo collegando una rete VPC alla rete aziendale tramite VPN. Per creare una VPC che supporti questo tipo di ambiente, è possibile selezionare “VPC with a Private Subnet Only and Hardware VPN Access“.
Amazon VPC - Creazione di una VPC
Cloud AWS
1) Management console2) Selezione regione geografica3) Selezione servizio VPC4) Dashboard5) Menu principale6) Start VPC Wizard
1
2
3
4
Amazon VPC - Selezione di una configurazione
Cloud AWS
1
2WIZARD
Amazon VPC - Menu principale (1)
Cloud AWS
● Your VPCs: in questo menu è possibile visualizzare tutte le configurazioni VPC presenti nella regione geografica selezionata. Possiamo configurarne di nuove o cancellare quelle esistenti usando le opzioni che vengono messe a disposizione.
● Subnets: in questa sezione possiamo definire le sotto reti che vogliamo associare ad una Virtual Private Cloud, le sotto reti possono essere private o pubbliche e contengono le tabelle di routing, le network ACL e la definizione di tags opzionali.
● Route table: le tabelle di routing servono per instradare le reti nella giusta destinazione, possiamo configurare diverse tabelle e associarle ad una sotto rete. Questa sezione deve essere utilizzata anche quanto vogliamo collegare tra di loro due sotto reti diverse.
Amazon VPC - Menu principale (2)
Cloud AWS
● Internet gateway: in questa sezione possiamo configurare dei gateway da associare alla configurazione della VPC, i quali permettono l’uscita in internet ai componenti presenti nella sotto rete indicata. Il gateway deve essere associato ad una route table.
● DHCP Options: qui possiamo modificare le opzioni che riguardano la funzione DHCP, la quale viene utilizzata per l’assegnazione automatica degli indirizzi IP. Possiamo definire diverse DHCP options set ma solo una la possiamo associare ad una VPC.
● Elastic IP: come per la configurazione su Amazon EC2, anche in Amazon VPC possiamo prenotare degli indirizzi IP statistici da associare alle nostre risorse AWS. Ricordatevi che gli indirizzi IP vengono aggiunti nei costi nel caso in cui non vengano utilizzati.
Amazon VPC - Menu principale (3)
Cloud AWS
● Network ACL: tramite questa sezione possiamo configurare le liste di controllo per gli accessi. Su ogni lista possiamo definire le regole inbound e outbound e associare delle sotto reti esistenti. Opzionalmente è possibile definire anche dei tags.
● Security groups: per la configurazione dei gruppi di sicurezza viene utilizzata la stessa lista che trovate nel servizio di Amazon EC2. Infatti anche in ambiente VPC i gruppi devono essere associati alle istanze EC2 che compongono una sotto rete.
● VPN Connections: in questo menu è possibile trovare tutte le opzioni necessarie per configurare un collegamento VPN tra la rete aziendale e quella presente nel cloud. Su questo aspetto organizzeremo una registrazione video dedicata.
Amazon VPC - Ringraziamenti & Video
Cloud AWS
Cloud Computing
Amazon Web Service 1
AmazonSNS
AmazonMFA
AmazonCloudFront
AmazonFree Trial
AmazonS3
AmazonGlacier
Amazon Web Service 2
ElasticTranscoder
Storagegateway
AmazonSES
AmazonCloudTrial
AmazonCloudWatch
AmazonSQS
AmazonDynamoDB
AmazonRDS
AmazonIAM
AmazonRoute 53
AmazonCloudSearch