Community - Cloud AWS su Google+ Web Services VPC (Virtual Private Cloud) Oggi vediamo le caratteristiche generali del servizio di VPC per creare una rete virtuale nel cloud. Hangout 29 del 27.10.2014 Davide Riboldi Massimo Della Rovere CLOUD AWS #cloudaws cloud-aws.com
VPC - Introduzione Virtual Private Cloud ( VPC), mette a disposizione una sezione isolata dove è possibile eseguire delle risorse presenti su AWS. Con VPC si ha il controllo completo del networking, è possibile scegliere un range di indirizzi IP, impostare regole di routing e configurare gateway di rete. Le tipologie di connettività presenti in VPC sono diverse e possono essere utilizzate tra di loro in maniera mista per creare decine di scenari differenti.
VPC - Schema generale Internet EC2 Azienda Questa rete virtuale è molto simile alle reti tradizionali che vengono gestire nei data center, con un vantaggio in più, quello di poter utilizzare la scalabilità degli AWS e connettere i propri server e/o applicazioni con i servizi del cloud, usando una rete ad alta velocità e senza passare per internet.
VPC - Esempio di configurazione Private Public Internet La configurazione in ambiente VPC può essere facilmente personalizzata. Ad esempio, si può creare una pubblica per i servizi web, accessibile direttamente da internet e posizionare i sistemi di back-end, come database e server applicativi, in una sottorete privata senza accesso ad internet.
VPC - Schema sulla sicurezza (A) (B) (C) Azienda Oltre alle varie impostazioni di rete è anche possibile gestire vari livelli di sicurezza, utilizzando i security groups e le network ACL, in modo da controllare gli accessi alle istanze EC2 presenti in ogni di rete. Con una sola VPC possiamo gestire diverse reti anche distaccate tra di loro.
VPC - Caratteristiche Opzioni multiple di connettività: in un ambiente VPC esistono diverse opzioni di connettività, le quali ci consentono di collegare una rete VPC ad internet, ad un data center o ad altre reti VPC, in base alle risorse che si desidera rendere pubbliche o private. Sicurezza: VPC fornice funzionalità di sicurezza avanzate come i security group e le network ACL per il controllo del traffico in entrata e in uscita a livello di istanze e di sottoreti. Opzionalmente, è anche possibile scegliere di avviare delle istanze dedicate su hardware dedicato per poter così ottenere un ulteriore livello di isolamento. Semplicità: è possibile creare una VPC utilizzando la management console. È possibile selezionare una delle configurazioni di rete che meglio si adattano alle proprie esigenze utilizzando il tasto Start VPC Wizard. In questo caso le sottoreti, i range di indirizzi ip, le tabelle di routing e i security group vengono creati automaticamente.
VPC - Opzioni di connettività Diretta ad internet (public s): è possibile avviare una istanza all interno di una sottorete pubblica dove è possibile inviare e ricevere il traffico da internet. Connessione internet NAT (private s): possono essere utilizzate per quelle istanze che non vogliamo che siano direttamente indirizzabili da internet. Le istanze in una sottorete privata possono accedere ad internet senza esporre il proprio indirizzo IP. Connessione sicura: tutto il traffico generato dalle istanze all interno di una VPC può essere indirizzato verso il data center attraverso connessioni VPN in IPSEC. Connessione privata verso altre VPC: è possibile mettere in comunicazione differenti reti virtuali possedute da un unico account o tra account differenti. Connessione mista: inoltre, è possibile combinare i vari metodi di connettività per soddisfare tutte le esigenze di networking delle vostre applicazioni.
VPC - Scenari di esempio 1 3 public Internet public private 2 4 private NAT public private
VPC - Scenario di esempio 1 e 2 (1) Sito web pubblico: in una rete VPC è possibile ospitare un applicazione web come ad esempio, un blog o un semplice sito web e proteggere il sito con la creazione di regole di gruppo, per consentire al web server di rispondere alle sole richieste HTTP e HTTPS in arrivo da Internet, vietando nel contempo al web server di avviare connessioni in uscita verso Internet. È possibile creare una VPC di questo tipo selezionando la voce presente nella management console VPC with a Single Public Subnet Only. (2) Applicazioni multi-tier: è possibile utilizzare VPC per ospitare queste applicazioni e far rispettare le restrizioni di sicurezza tra i server web, server applicativi e database. È possibile avviare il server web in una sottorete pubblica mentre l application server e il database in una sottorete privata. I server delle applicazioni e del database non possono essere raggiunti direttamente, ma possono accedere a internet tramite un istanza NAT per poter scaricare ad esempio delle patch. Per creare una VPC che supporti questo tipo di ambiente, è possibile selezionare VPC with Public and Private Subnets.
VPC - Scenario di esempio 3 e 4 (3) Applicazioni in AWS e Data Center: è possibile creare una VPC in cui le istanze dei server web comunicano con internet e le istanze degli applications server comunicano con il database presente nella rete aziendale. Una connessione IPsec VPN tra la rete VPC e la rete aziendale consente di proteggere tutte le comunicazioni tra i server del cloud e i database del proprio data center. Possiamo creare una VPC di questo tipo con l opzione chiamata VPC with Public and Private Subnets and Hardware VPN Access. (4) Estendere la rete aziendale: è possibile spostare le applicazioni aziendali nel cloud, avviare servizi aggiuntivi e aggiungere capacità di calcolo collegando una rete VPC alla rete aziendale tramite VPN. Per creare una VPC che supporti questo tipo di ambiente, è possibile selezionare VPC with a Private Subnet Only and Hardware VPN Access.
VPC - Creazione di una VPC 1 2 3 1) Management console 2) Selezione regione geografica 3) Selezione servizio VPC 4) Dashboard 5) Menu principale 6) Start VPC Wizard 4
VPC - Selezione di una configurazione WIZARD 2 1
VPC - Menu principale (1) Your VPCs: in questo menu è possibile visualizzare tutte le configurazioni VPC presenti nella regione geografica selezionata. Possiamo configurarne di nuove o cancellare quelle esistenti usando le opzioni che vengono messe a disposizione. Subnets: in questa sezione possiamo definire le sotto reti che vogliamo associare ad una Virtual Private Cloud, le sotto reti possono essere private o pubbliche e contengono le tabelle di routing, le network ACL e la definizione di tags opzionali. Route table: le tabelle di routing servono per instradare le reti nella giusta destinazione, possiamo configurare diverse tabelle e associarle ad una sotto rete. Questa sezione deve essere utilizzata anche quanto vogliamo collegare tra di loro due sotto reti diverse.
VPC - Menu principale (2) Internet gateway: in questa sezione possiamo configurare dei gateway da associare alla configurazione della VPC, i quali permettono l uscita in internet ai componenti presenti nella sotto rete indicata. Il gateway deve essere associato ad una route table. DHCP Options: qui possiamo modificare le opzioni che riguardano la funzione DHCP, la quale viene utilizzata per l assegnazione automatica degli indirizzi IP. Possiamo definire diverse DHCP options set ma solo una la possiamo associare ad una VPC. Elastic IP: come per la configurazione su EC2, anche in VPC possiamo prenotare degli indirizzi IP statistici da associare alle nostre risorse AWS. Ricordatevi che gli indirizzi IP vengono aggiunti nei costi nel caso in cui non vengano utilizzati.
VPC - Menu principale (3) Network ACL: tramite questa sezione possiamo configurare le liste di controllo per gli accessi. Su ogni lista possiamo definire le regole inbound e outbound e associare delle sotto reti esistenti. Opzionalmente è possibile definire anche dei tags. Security groups: per la configurazione dei gruppi di sicurezza viene utilizzata la stessa lista che trovate nel servizio di EC2. Infatti anche in ambiente VPC i gruppi devono essere associati alle istanze EC2 che compongono una sotto rete. VPN Connections: in questo menu è possibile trovare tutte le opzioni necessarie per configurare un collegamento VPN tra la rete aziendale e quella presente nel cloud. Su questo aspetto organizzeremo una registrazione video dedicata.
VPC - Ringraziamenti & Video Cloud Computing Web Service 1 Web Service 2 RDS Free Trial S3 Glacier IAM CloudFront MFA SNS Route 53 SES Storage gateway Elastic Transcoder CloudSearch SQS CloudWatch CloudTrial DynamoDB