Este documento describe cómo configurar una red privada virtual (VPC) y una conexión de red privada virtual (VPN) en Amazon Web Services (AWS). Explica los conceptos básicos de VPC, incluidas las subredes, las tablas de enrutamiento y los gateways de Internet. Luego guía al lector en la creación de una VPC personalizada con múltiples subredes públicas y privadas. Finalmente, muestra cómo establecer una conexión VPN entre la VPC y un sitio de datos corporativo para extender de forma segura la red a través de Internet.
0 calificaciones0% encontró este documento útil (0 votos)
69 vistas37 páginas
Este documento describe cómo configurar una red privada virtual (VPC) y una conexión de red privada virtual (VPN) en Amazon Web Services (AWS). Explica los conceptos básicos de VPC, incluidas las subredes, las tablas de enrutamiento y los gateways de Internet. Luego guía al lector en la creación de una VPC personalizada con múltiples subredes públicas y privadas. Finalmente, muestra cómo establecer una conexión VPN entre la VPC y un sitio de datos corporativo para extender de forma segura la red a través de Internet.
Este documento describe cómo configurar una red privada virtual (VPC) y una conexión de red privada virtual (VPN) en Amazon Web Services (AWS). Explica los conceptos básicos de VPC, incluidas las subredes, las tablas de enrutamiento y los gateways de Internet. Luego guía al lector en la creación de una VPC personalizada con múltiples subredes públicas y privadas. Finalmente, muestra cómo establecer una conexión VPN entre la VPC y un sitio de datos corporativo para extender de forma segura la red a través de Internet.
Este documento describe cómo configurar una red privada virtual (VPC) y una conexión de red privada virtual (VPN) en Amazon Web Services (AWS). Explica los conceptos básicos de VPC, incluidas las subredes, las tablas de enrutamiento y los gateways de Internet. Luego guía al lector en la creación de una VPC personalizada con múltiples subredes públicas y privadas. Finalmente, muestra cómo establecer una conexión VPN entre la VPC y un sitio de datos corporativo para extender de forma segura la red a través de Internet.
Descargue como PDF, TXT o lea en línea desde Scribd
Descargar como pdf o txt
Está en la página 1/ 37
+
■Curso de Cloud Computing con Amazon Web Services
VIRTUAL PRIVATE NETWORK
Raúl Hugo Noriega Cloud Engineer at Verizon sherlockhugo@gmail.com @raulhugo + VIRTUAL PRIVATE NETWORK Seguridad y perzonalizacion ante todo. + VIRTUAL PRIVATE NETWORK
Es la parte mas importante del examen como ya se
habran dado cuenta, Pero que es VPC, en palabras sencillas es tu propio datacenter en el cloud, y si tu creas tu cuenta amazon crea una VPC “default” en cada region + Definicion
Amazon Virtual Private Network permite provisionar una
seccion logicamente separada de el cloud de AWS, en donde puedes lanzar recursos en una red virtual que has definido previamente, tu tienes el completo control sobre tu entorno de red virtual, incluyendo tus propios rangos de IPS, creacion de subredes, y configuracion de tablas de ruteo y internet gateways. + Definicion
Puedes perzonalizar rapidamente la configuracion de la red, por
ejemplo puedes crear subredes de cara a internet para los servidores web que tienen acceso a internet y poner tus bases de datos en otra subnet privada sin acceso a internet, puedes poner multiples capas de seguridad, para controlar el acceso para cada subnet. + Definicion Adicionalmente, puedes crear una VPN entre tu datacenter y tu VPC para que AWS sea una extencion de tu datacenter corporativo.
• Lanzar instancias en una subnet que escojamos
• Asignar rangos de IP perzonalizados para cada subnet. • Configurar tablas de ruteo entre subredes. • Crear internet Gateways y añadirlas o no a las subredes • Tener mas control sobre los recursos de AWS • Poner Security Groups a las instancias. • Crear listas de acceso y control de usuario en las subredes. ACLS + Default VPC y VPC Personalizada La VPC Default es amigable y permite usarse inmediatamente para crear instancias dentro. Todas las subredes de la VPC default tienen un Internet Gateway . Cada Instancia de EC2 tiene una Ip publica y una IP privada. Si tu borras la VPC default el unico camino para tenerla de vuelta es contactar al soporte de AWS para que creen una nueva.
NO ES RECOMENDABLE BORRARLA HASTA QUE TENGAN
TOTAL COMPRENCION DE VPC: + VPC Peering
Permite conectar ona VPC con otra VPC mediante un route
directo usando IPs Privadas.
Instancias podran verse entre las VPC.
Puedes hacer VPC Peering con otras cuentas de AWS asi como otras VPC en la misma cuenta.
No es inter regional. No hay Paridad transitiva. Solo uno con uno. + VPC Peering
virtual private cloud
virtual private cloud
virtual private cloud
+ VAMOS A CREAR UN VPC
Damos Click a VPC
Damos Click a START VPC WIZARD
+ Creando un VPC Vamos a Your VPC y le damos click al Create VPC Luego llenamos tal como la imagen por ultimo Yes, Create + Route Tables Ahora vamos a Route Tables y vamos a ver una tabla de rutas creada automáticamente, entonces hay que recordar esto, cuando se crea un VPC se crea una tabla de ruteo automáticamente. (Que se crea automaticamente junto con un VPC?) + Subredes Vamos a Create Subnet, luego seleccionamos una VPC en nuestro caso aulautil-VPC, luego escogemos la zona de disponibilidad (availability zone), solo puede haber una subnet por Availability Zone, Luego ponemo el CIDR 10.0.1.0/24 y el nombre como se muestra en la imagen, luego por ultimo Yes, Create. + Subredes Vamos a crear dos subredes adicionales con:
+ Internet Gateway Vamos a crear un Internet Gateway, nos sirve para que la VPC tenga salida o entrada de internet. Solo puede haber un GATEWAY por VPC: Click en Internet Gateways, luego en Create IG, le ponemos en Name Aulautil-IGW, y por ultimo Yes Create.
El IGW esta Detached, debemos atacharlo a una VPC a
nuestra aulautil VPC. + Vamos a volver una Subnet Publica Vamos hacer que una subnet pueda tener acceso a travez del IGW creado anteriormente, para esto vamos a crear una nueva tabla de rutas con el nombre Internet-routetable.
La seleccionamos y en la pesataña Routes, de la parte inferior
vamos a añadir una ruta, + Vamos a volver una Subnet Publica II Vamos a añadir la ruta 0.0.0.0/0 a la tabla de ruteo, y que busque eso en el IGW, click al boton Edit, luego Add another route, escribimos la rutua y save.
Por ultimo escogemos las
subredes que estaran asociadas en subnet associations, y seleccionamos la 10.0.1.0 + Que arquitectura Hemos Creado??
VPC subnet
VPC subnet VPC subnet + Do it yourself! Creen 2 instancias linux, pequeñas una en la subnet 10.0.1.0 (publica) y la otra en 10.0.2.0 (Privada).
Ingresen a la Publica con la IP publica, ejecuten yum update, vana ver
que tiene internet, Luego usan la instancia publica como puente conectense por ip privada a la instancia de la otra subnet, y ejecuten el mismo comando.
Que pasa? Como sacamos podemos hacer que estas instancias se actualicen.?
Una instancia NAT, nos va a permitir conectarnos a internet desde las instancias que no tienen IP publica para poder instalar software o poder descargar algo.
Es una especie de Proxy que permite el acceso.
Primero vamos a crear un Security Group, llamado natsg con siguientes reglas de inbound. http CustomIP 10.0.2.0/24 https CustomIp 10.0.2.0/24
Y para outbound http Anywhere https Anywhere + Network Addresses Translation instance. NAT II + Vamos a Crear una instancia NAT.
Vamos al Servicio de EC2, Launch Instance, y buscamos en Community AMIs, la
palabra nat, y escogemos la primer opcion, seguimos adelante, escogemos una micro instancia, debe ser lanzada en la subnet 1a que posee acceso a internet, pero sin ip publica, luego escogemos el security group natsg anteriormente creado y la lanzamos colocándole un tag que la identifique y la lanzamos. + Vamos a Crear una instancia NAT. Debemos Asignar una Ip elastica a esta instancia como ya sabemos hacerlo, y por ultimo paso debemos. Seleccionar la instancia, e ir al boton Actions -> Networking – Change Source/Destination Check, en todas las intancias que van a hacer NAT debemos deshabilitar el Source/Destination Check, es pregunta de examen. + Por último debemos añadir mas reglas de ruteo.
Volvemos al servicio VPC, damos click a Route Tables, alli buscamos la tabla de ruteo creada por defecto para nuestra VPC y le añadimos una nueva regla:
0.0.0.0/0 apuntando hacia nuestra NAT instance.
Probemos si ahora el yum desde
La instancia de 1b (BD instance) Funciona. + VPN AWS and Freeswan + Vamos a hacer grupos de dos
Cada participante debe seguir estos pasos.
1. Vamos a crear una instancia en la VPC Default (VPN CLient)
2. Luego una instancia en la Subnet Privada (DB Server) 3. Una VPN 4. Configurar la VPN Client. +
Availability Zone #1 Availability Zone #1 + VPN CLiente Crear una maquina en la subnet default u otra subnet con diferente rango de IPS de nuesta VPC creada, debe ser ubuntu14.04. micro 8GB.
Grupo de seguridad abierto all tcp y all ICMP a todos, al menos hasta que sepamos las ips del VPN de AWS.
Nos conectamos e instalamos libreswan.
Añadir un repositorio a ubuntu. vim /etc/apt/sources.list.d/libreswan.list deb http://ppa.launchpad.net/tmoitie/libreswan3/ubuntu trusty main Luego sudo apt-get update sudo apt-get install libreswan Just in case: gpg --keyserver subkeys.pgp.net --recv-key NUMERACION && gpg - a --export $PUBKRY | sudo apt-key add - + Virtual Private Gateway
Primero vamos a crear un Virtual Private Gateway, le damos un nombre, lo
creamos, y luego lo atachamos a nuestra VPC que hemos creado anteriormente, alli finaliza todo. + VPN
Ahora vamos a VPN Connections y alli vamos a crear una conexión VPN, Con un nombre VPNAWS, escogemos el Virtual private gateway, Ponemos la IP de la instancia de nueustro compañero, y en routing options escogemos static y ponemos la el CDIR de la IP de nuestro compañero. + VPN Volvemos a la instancia de Linux que nuestro compañero tiene y le damos la primera direccion IP que el VPN ha creado. Tambien el CDIR de la Subnet a la que podra acceder. Tambien es necesario darle el archivo de configuracion por defecto para que encuentre el presharedkey.
El debe usar esos datos para configurar su archivo de configuracion de freewan.
Una vez configurado libreswan, los comando des administracion de ipsec son:
ipsec auto --up vpn1
ipsec auto –down vpn1 service ipsec restart
No olvidar configurar el security group para que tenga todos los puertos abiertos hacia la IP del AWS VPN.
Validar la VPN haciéndole ping desde la instancia de su compañero a su instancia de base de
datos con la IP privada. + Preguntas tipo You are creating a new VPC with 3 subnets in 3 separate availability zones. You require instances in each subnet to be able to communicate to each other by default. What additional steps should you take in order to achieve this objective.
1. Create a route between each subnets in a new route table and then associate this with each subnet. 2. You do not need to do anything, by default all subnets can communicate with each other using the main route table 3. Create a route between each subnet in the main route table and then associate this main route table with each subnet. 4. ensure that each subnet is associated with a security group that will contain your EC2 instances. + Preguntas tipo
You have an EC2 instance which needs to find out both its private IP address and its public IP address using a script. Which of the below should you include in the script to discover this information.
1. Run IPCONFIG (Windows) or IFCONFIG (Linux)
2. Retrieve the instance Metadata from http://169.254.169.254 3. Retrieve the instance Userdata from http://169.254.169.254/latest/user-data/ 4. Use the following command; AWS EC2 displayIP + Preguntas tipo You are putting together a wordpress site for a local charity and you are using a combination of Route53, Elastic Load Balancers, EC2 & RDS. You launch your EC2 instance, download wordpress and setup the configuration files connection string so that it can communicate to RDS. When you browse to your URL however, nothing happens. Which of the following could NOT be the cause of this.
1. You have forgotten to open port 80/443 on your security group in which the EC2 instance is placed 2. Your elastic load balancer has a health check which is checking a webpage that does not exist, therefore your EC2 instance is not in service. 3. You have not configured an ALIAS for your A record to point to your elastic load balancer 4. You have locked port 22 down to your specific IP address + Preguntas tipo
You have created a custom VPC with 3 subnets, 2 private, 1 public. You deploy 3 EC2 instances in to your public subnet and attach Elastic IP addresses to these instances. You then deploy an EC2 instance in to your private subnet and then attempt to apply security patches to this instance, however it has no internet connectivity. What can you do to give this instance internet access?
1. Deploy a NAT to the public subnet and then update the main route table to send traffic via the NAT to the private subnet. 2. Deploy your instance to a public subnet instead. 3. Attach a public IP address to your EC2 instance in the private subnet. 4. Attach an additional internet gateway to your EC2 instance in the private subnet. + NO SE PIERDAN Ya son parte de la comunidad de AWS en meetup
