Seminario de Sistemas 1, Sec.

Unidad 7

PaaS y SaaS /
AWS VPC
Semana 9 de Curso –2021
Ing. Ludwing Altán
Diferentes modelos de servicio
 PaaS: Platform as a Service
• Es un entorno completo de desarrollo e implementación en la nube,
con recursos que le permiten entregar todo, desde aplicaciones
simples hasta aplicaciones empresariales.

• PaaS incluye:
– Infraestructura (IaaS): servidores, almacenamiento y redes
– Pero también:
› Middleware,
› Herramientas de desarrollo (IDE)
› Servicios de inteligencia empresarial (BI),
› Sistemas de gestión de bases de datos
› Licencias
› Orquestadores de contenedores (kubernetes)
› y más.
 PaaS
• PaaS está diseñado para soportar el ciclo de vida
completo de la aplicación web: construcción, prueba,
implementación, administración y actualización.
• Ejemplos:
– AWS Elastic Beanstalk:
https://www.youtube.com/watch?v=SrwxAScdyT0
– Windows Azure:
– https://www.youtube.com/watch?v=yl_tabphLb8
– Force.com
– Heroku
– OpenShift
– Apache Stratos
– Magento Commerce Cloud
 Tipos de PaaS

Instancias PaaS
Depende de la capa IaaS para multitenancy
Mejores garantías de seguridad y rendimiento
Implementa aplicaciones en instancias IaaS
Framework PaaS
Utiliza las capacidades del sistema operativo para multitenancy
Mejor utilización de recursos y granularidad contable
Requiere frameworks específicos para ser utilizados
Puede beneficiarse de la infraestructura de la nube, pero no depende
de ella
 Principales Proveedores

• Instance PaaS
o Amazon Elastic Beanstalk
o Microsoft Azure
• Framework PaaS
o Google App Engine
o VMware Cloud Foundry
 Amazon Elastic Beanstalk
• Operando desde 2011
• Inicialmente solo Java, extendido a
• PHP and Python, Ruby, .NET
• Otros PaaSs on Amazon:
• Heroku (Salesforce.com)
• AppFog
• Multitenancy por virtualization
• Cada usuario obtiene su propia instancia virtual
• Pocas limitaciones, puede migrar a IaaS
Su código

BeanStalk
 Microsoft Azure
• Desde 2008, comercial en Feb. 2010
• Lenguajes: ASP.NET, PHP, Node.js, Java
• Internamente Instance PaaS, Rol VM reciente
▫ Web Role – corre en IIS server en W2k8 y Hyper-V
 Aplicación es un directorio raíz en web server
▫ Worker Role – no IIS
 Aplicación es un paquete con archivo EXE
 Para servicios fuera de ISS por ejemplo Java, Node.js
▫ VM Role – corre sus imagenes VHD en W2k8
 Esencialmente IaaS
 Google App Engine
• Desde Apr. 2008, comercial en Sep. 2011
• Languages: Python, Java, Go
• Typical Framework PaaS
• Multitenancy limitando funciones de librerias
• Implementa cuotas para manejar multitenancy
• Cuotas por minute o dia
• Cobro por consumo
 SaaS: Software as a Service
• Uso múltiple: los usuarios usan la misma
instalación
• Licencias: lo ideal es pagar por uso
– Cuando el pago mensual, debe ser elástico

• Ejemplos
– BigCommerce
– Google App
– GitHub
– Salesforce
– Dropbox
– MailChimp
– ZenDesk
– DocuSign
– Slack
– Hubspot.
 AWS VPC -
VIRTUAL PRIVATE
CLOUD
 Virtual Private Cloud - VPC
• Amazon VPC es la capa de red de Amazon Elastic Compute Cloud (Amazon
EC2), esta permite controlar la construcción de redes virtuales en AWS

• Se puede controlar varios aspectos como dirección IP, creación de subredes, y

configurar nuestras propias tablas de rutas

• Se puede crear varias VPC y cada una esta insolada de las otras, por lo que
pueden repetirse las direcciones IP
 Sub Redes
• Se debe especificar la dirección IPv4 con un rango Classless Inter-Domain
Rounting CIDR, tal como 10.0.0.0/16.

• El rango de direcciones no se puede modificar luego de creado.

• Las subredes residen dentro de un solo Availability Zone, no pueden

extenderse a otros.

• Puede ser tan largo como /16 (65,536 direcciones disponibles) o tan pequeño
como /28 (16 direcciones disponibles).

• AWS reserva la primera y la última dirección para cuestiones internas

• La CIDR de la VPC default asignada es 172.31.0.0/16

 Tipos de sub redes
● Pública: El tráfico es dirigido al IGW (Internet Gateway) de la VPC

● Privada: El tráfico no es enviado al IGW, es solo interno en la VPC según

la tabla del router asociado.

● VPN-Only: El tráfico es dirigido al VPG (Virtual Private Gateway) y no

tiene una ruta al IGW.
 Tablas de enrutamiento
• Es una construcción lógica en Amazon VPC que contiene un conjunto de
reglas llamadas rutas, que son aplicadas a la subred y es usada para
determinar donde el tráfico de la red es dirigido.

• Permite la comunicación entre diferentes subredes por medio de la ruta

local.

• Al clasificar las subredes se necesitan saber cuáles serán privadas y

cuales públicas, la tabla de ruteo tendrá el conjunto de subredes públicas
o subredes privadas que se le asigne
 Internet Gateways(IGW)
• Permite la comunicación entre instancias en AWS e internet

• Cuando una instancia recibe tráfico de internet, el IGW traslada la dirección destino
(IP pública) a la instancia privada (ip privada)

• En el diagrama, la subred 1 de la
VPC se asocia a una tabla de
ruteo personalizada que apunta
todo el tráfico IPv4 vinculado a
Internet dirigido al gateway de
Internet.

• La instancia dispone de una

dirección IP elástica que permite la
comunicación con Internet.
 Dynamic Host Configuration Protocol (DHCP)

• AWS crea automáticamente y asocia un DHCP para un conjunto de VPC’s para

asignar IP dinámicas.

• Configuración:
– domain-name-servers – se puede configurar hasta cuatro nombres de dominio, esto
es separado por comas
– domain-name – aquí se configura el nombre del dominio por ejemplo mycompany.com
– ntp-servers – se puede configurar hasta 4 Network time Protocols NTP
– Netbios: Hasta 4 nombres de servidores Netbios, separados por comas y con node-
type colocado en 2.
 Elastic IP (EIPs)
Es una IP pública y estática de un conjunto de direcciones IP de la región,
asociada a su cuenta hasta que el usuario explícitamente la libere.

• Se necesita alojar primero una EIP para usar una VPC y entonces se le
asigna a una instancia
• Las EIPs son especificas para cada región
• Se puede mover las EIPs de una instancia a otra
• Al usar una elastic IP se debe tomar en cuenta el precio al crearla, luego
este se cobrará por hora
 EndPoints
• Permite crear una conexión privada entre una VPC y otro servicio AWS (e.g.
almacenamiento S3) sin requerir acceso atreves de Internet, una NAT, conexión
VPN o AWS Direct Connect
• EJEMPLO: En el diagrama, el propietario de la cuenta VPC B es un proveedor de servicios y
tiene un servicio ejecutándose en instancias de la subred B.

• El propietario de VPC B tiene un

endPoint de servicio (vpce-svc-
1234) con un balanceador de
carga de red asociado que apunta
a las instancias en la subred B.

• Las instancias en la subred A de

VPC A usan un endPoint de
interfaz para acceder a los
servicios en la subred B
 Peering
Es una conexión de red entre 2 Amazon VPCs que permite comunicación como si
estuvieran dentro de la misma red.

- No se puede crear una conexión peering con VPCs en diferentes regiones

- No introduce un punto de fallo para la comunicación

- No acepta enrutamiento transitivo (A conectando a B y C)

 Security Groups
• Es un tipo de firewall que controla el tráfico interno y externo a
recursos AWS e instancias EC2.

• Todas las instancias deben de ser lanzadas en un grupo de

seguridad de lo contrario se lanzan en un grupo preestablecido

• La configuración por defecto es la siguiente

– Permite la comunicación entre todos los recursos dentro del security group
– Permite todo el trafico de salida
– Deniega cualquier otro trafico
 Network Access Control Lists (ACLs)
• Es otra capa de seguridad para no depender de quien definió los security
groups, es una lista de reglas que AWS evalúa en orden, arranca con el
numero de regla mas pequeño, para determinar si el tráfico es permitido.

Security Groups Network ACL

Opera en elementos de primera capa Opera a nivel de subredes (segunda capa)

Solo permite reglas Allow Soporta reglas Allow y Deny

Stateful: trafico de retorno es Stateless: tráfico de retorno debe ser

automáticamente permitido permitido explícitamente pro reglas

Evalúa las reglas antes de decidir si Procesa las reglas segun el numero de
permitir el tráfico prioridad y decide si permite el tráfico

Aplicado selectivamente a instancias Aplicado a todas las instancias de la red

asociadas.
 Network Address Translation (NAT)
• Por default, cualquier instancia en una red privada del VPC no tiene
permitido salir al Internet por el IGW.
• Esto es un problema si se requiere conexión directa del servidor por
ejemplo para aplicar parches del Internet.
• Para esto es recomendable utilizar NAT gateways que permiten salir más
no el tráfico de entrada.
• Instancia NAT: es una instancia Linux diseñada para aceptar trafico de
redes privadas, traducir la IP origen a la IP pública de la instancia NAT y
reenviar el tráfico al IGW.
• Gateway NAT: similar a instancia NAT pero más simple de manejar y
con alta disponibilidad en una AZ.
 Conectar Data Centers a AWS VPC
● Puede conectarse un Data Center on premises a AWS VPC a través de
un VPN

• VPG Virtual Private

Gateway: es la VPN del
lado de AWS para
conectar dos redes.

• CGW Customer
Gateway: es la VPN del
lado el cliente.

• Luego de creados los

dos puntos es posible
establecer el tunel VPN.