20 | 11 | 2020

¿Qué elementos de red se incluyen en AWS VPC?

Descubra la magia de las redes detrás de AWS VPC: ¡Descubra los elementos!

Introducción

Amazon Web Services Virtual Private Cloud (AWS VPC) es una red virtual dedicada a la cuenta de AWS del usuario. Permite al usuario lanzar recursos de AWS en una red virtual que el usuario ha definido. Una VPC consta de varios componentes, incluidas subredes, tablas de enrutamiento, puertas de enlace de red, grupos de seguridad y listas de control de acceso a la red. Estos componentes trabajan juntos para proporcionar al usuario un entorno seguro y aislado para ejecutar sus aplicaciones y almacenar sus datos. Además, VPC permite al usuario controlar el acceso a sus recursos y conectarse a VPC locales o de otro tipo.

Historia central

Los componentes de AWS VPC son esenciales porque brindan al usuario las herramientas necesarias para construir y administrar su infraestructura de red virtual. Además, estos componentes ayudan al usuario a proteger, aislar y controlar el acceso a sus recursos de AWS.

Las subredes son un componente esencial de una VPC. Permiten a los usuarios dividir su VPC en segmentos de red más pequeños y controlar el flujo de tráfico entre ellos. Los usuarios pueden aislar sus recursos creando varias subredes, aplicando políticas de seguridad de red e implementando grupos de seguridad de red para controlar el tráfico entrante y saliente.

Las tablas de ruteo también son un componente esencial de una VPC. Ellos dictan el flujo de tráfico de red dentro de una VPC y entre diferentes subredes. El usuario puede usar tablas de rutas para especificar el destino del tráfico de red, como una subred específica o una puerta de enlace privada virtual. Esto permite que el usuario controle y administre el tráfico de red dentro de su VPC, lo que garantiza que sus recursos sean seguros y accesibles.

Las puertas de enlace de red, como las puertas de enlace de Internet, las puertas de enlace de VPN y las puertas de enlace de conexión directa, también son componentes esenciales de una VPC. Proporcionan al usuario una forma de conectar su VPC a Internet u otras VPC, lo que les permite acceder a sus recursos y controlar el flujo de tráfico de la red. Las puertas de enlace de red se integran con las tablas de ruteo de la VPC para controlar el flujo de tráfico de red entre la VPC e Internet u otras VPC.

Los grupos de seguridad y las listas de control de acceso a la red (ACL) también son componentes críticos de una VPC. Controlan el flujo de tráfico de red entrante y saliente y garantizan que solo el tráfico autorizado pueda entrar o salir de la VPC. Además, los grupos de seguridad y las ACL se pueden usar para restringir el acceso a puertos, direcciones IP o subredes específicos. Trabajan juntos para brindar seguridad a los recursos del usuario.

En conclusión, AWS VPC trabaja en conjunto para proporcionar al usuario una infraestructura de red virtual segura, aislada y flexible. Con estos componentes, el usuario puede controlar y administrar el tráfico de su red, proteger sus recursos y conectarse a otras redes.

Algunos datos y estadísticas interesantes sobre AWS VPC:

  1. Amazon VPC es uno de los servicios de computación en la nube más utilizados, con millones de usuarios activos.
  2. AWS VPC proporciona redes virtuales seguras y escalables para los recursos de Amazon Web Services (AWS).
  3. AWS VPC permite a los clientes lanzar recursos de Amazon Web Services (AWS) en una red virtual definida por el cliente.
  4. El tráfico de AWS VPC se puede aislar de la Internet pública, lo que proporciona un mayor nivel de seguridad.
  5. AWS VPC admite rangos de direcciones IPv4 e IPv6.
  6. AWS VPC se puede extender a redes remotas a través de VPN o AWS Direct Connect.
  7. AWS VPC ofrece varias opciones de control de acceso a la red definidas por el cliente, incluidos grupos de seguridad y ACL de red.
  8. AWS VPC admite muchas topologías de red, incluidas subredes públicas, subredes privadas y conexiones VPN de hardware.
  9. AWS VPC brinda a los clientes un alto grado de personalización de la red, incluida la compatibilidad con múltiples rangos de direcciones IP, segmentación de la red y controles de acceso detallados.
  10. AWS VPC está disponible en varias regiones y zonas de disponibilidad, lo que brinda a los clientes alta disponibilidad y tolerancia a fallas para su infraestructura de red.
Sistemas v500 | soluciones de inteligencia artificial empresarial

Maximización de la eficiencia empresarial con las soluciones en la nube de AWS

Libere todo el potencial de su negocio con la tecnología de la nube de AWS

En esta publicación, queremos presentarle todos los componentes de red que forman parte de Amazon Web Services (AWS). Echaremos un vistazo más de cerca a cada elemento, qué hace y cómo se adapta a la infraestructura general. Con suerte, responderá algunas de sus preguntas y, al comprenderlo mejor, tendrá la tentación de utilizar esos servicios.

Antes de entrar en todos los detalles, nos gustaría enfatizar que un buen diseño de red es la base para la infraestructura del centro de datos local. Lo mismo se aplica al entorno Cloud (post Las 10 mejores prácticas de diseño de red para su infraestructura). También nos gustaría resaltar que solo nos concentramos en el aspecto de redes y seguridad de AWS; cualquier otro servicio está fuera del alcance de este blog.

¿Qué es Amazon VPC?

Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual que haya definido. Esta red virtual se asemeja a una red tradicional que operaría en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS.

VPC: una red virtual dedicada a su cuenta de AWS, donde puede ejecutar varias redes y aislarlas entre sí para mejorar la seguridad y el cumplimiento. Conecte su centro de datos local y ejecute una solución de red híbrida. La solución escalable y ágil para potenciar las operaciones de su negocio.

¿Qué es la región de AWS?

AWS tiene un concepto de región, una ubicación física en todo el mundo donde agrupamos los centros de datos. Llamamos a cada grupo de Centros de Datos lógicos una Zona de Disponibilidad. La región EacAZsS consta de múltiples AZ aisladas y físicamente separadas dentro de un área geográfica. A diferencia de otros proveedores de servicios en la nube, que a menudo definen una región como un solo centro de datos, el diseño de varias zonas de disponibilidad de cada región de AWS ofrece ventajas para los clientes. Cada AZ tiene alimentación, refrigeración y seguridad física independientes conectadas a través de redes redundantes de latencia ultrabaja. Los clientes de AWS centrados en la alta disponibilidad pueden diseñar sus aplicaciones para ejecutar múltiples zonas de disponibilidad para lograr la mayor tolerancia a fallas. Como resultado, las regiones de la infraestructura de AWS cumplen con los niveles más altos de seguridad, cumplimiento y protección de datos.

AWS proporciona una huella global más amplia que cualquier otro proveedor de nube. Para respaldar su huella mundial y garantizar que los clientes reciban servicios en todo el mundo, AWS abre nuevas regiones rápidamente. Como resultado, AWS mantiene varias regiones geográficas, incluidas las regiones de América del Norte, América del Sur, Europa, China, Asia Pacífico, Sudáfrica y Oriente Medio.

Regiones mundiales de AWS

Nube de AWS: la clave para optimizar las operaciones y ahorrar costos

Zonas de disponibilidad

Una zona de disponibilidad (AZ) es un centro de datos discreto con alimentación, redes y conectividad redundantes en una región de AWS. Las zonas de disponibilidad permiten a los clientes operar aplicaciones y bases de datos de producción con mayor disponibilidad, tolerancia a fallas y escalabilidad de lo que sería posible desde un único centro de datos. Todos los AZ en una región de AWS están interconectados con redes de baja latencia y ancho de banda alto, a través de metAZsibre dedicado y completamente redundante que proporciona redes de alto rendimiento y baja latencia entre AZ. Todo el tráfico entre las zonas de disponibilidad está encriptado: el rendimiento de la red es suficiente para lograr la replicación síncrona entre las zonas de disponibilidad. Las zonas de disponibilidad facilitan la disponibilidad de fAZsigh de las aplicaciones de partición. Si una aplicación es parte, las empresas están mejor aisladas y protegidas de problemas como cortes de pAZ, rayos, terremotos significativos y más. Las zonas de disponibilidad están separadas físicamente por una distancia considerable, muchos kilómetros, de cualquier otra zona de disponibilidad, aunque todas están dentro de los 100 km (60 millas) entre sí.

Alta disponibilidad

A diferencia de otros proveedores de infraestructura de AZshnology, cada región de AWS tiene varias AZ. Como aprendimos al ejecutar la plataforma de tecnología de infraestructura de nube líder desde 2006, los clientes que se preocupan por el rendimiento de disponibilidad de sus aplicaciones desean implementar estas aplicaciones en varias zonas de disponibilidad en la misma región para tolerancia a fallas y baja latencia. Las zonas de disponibilidad están conectadas con redes de fibra óptica privadas y rápidas, lo que implica diseñar aplicaciones de manera eficiente que conmutan por error automáticamente entre zonas de disponibilidad sin interrupción.

El plano de control de AWS (incluidas las API) y la consola de administración de AWS se distribuyen en las regiones de AWS y utilizan una arquitectura multi-AZ dentro de cada región para brindar resiliencia y disponibilidad continua. Esto garantiza que los clientes eviten la dependencia crítica del servicio en un solo centro de datos. AWS puede realizar actividades de mantenimiento sin que ningún servicio vital esté temporalmente fuera de servicio para ningún cliente.

Sistemas v500 | soluciones de seguridad y redes empresariales

Cómo la nube de AWS puede revolucionar sus procesos comerciales

Red / subredes

Conceptos básicos de la subred y la VPC

Una nube privada virtual (VPC) es una red virtual dedicada a su cuenta de AWS. Está lógicamente aislado de otras redes virtuales en la nube de AWS. Puede lanzar sus recursos de AWS, como instancias de Amazon EC2, en su VPC.

Cuando crea una VPC, debe especificar un rango de direcciones IPv4 para la VPC en forma de bloque de enrutamiento entre dominios sin clases (CIDR); por ejemplo, 10.0.0.0/16.

Segmentación de la red

Aunque se le proporciona una red ./16 dentro de su VPC, ninguna necesita más de 65 100 direcciones IP, ni siquiera FTSE 24 GIPSl Enterprise business. Dicho esto, es bueno tener más IP, ya que puede segmentarlas en subredes mucho más pequeñas: ./250, por ejemplo, lo que le brinda más de XNUMX IP. Esto es importante y debe establecerse claramente desde el principio. Un buen diseño te ayudará a desplegar los servicios que necesitas y aislarlos; servidores web, aplicaciones, bases de datos y otros. Otro elemento esencial es no tener los mismos rangos de red en la red en la nube y en las instalaciones, ya que esto puede generar conflictos en el futuro.

Subredes privadas

Honestamente, no hay subredes privadas o públicas. El término se utiliza para describir: subredes privadas; estos permisos que están aislados y no tienen acceso a Internet o no se permite el acceso desde Internet a estas subredes/redes. Lo más probable es que su base de datos esté en esas redes y otros servicios seguros.

Subredes públicas

Se permite y se filtra el tráfico de Internet a las subredes/redes públicas. Los hosts dentro de esas redes tienen direcciones IP privadas, un IPscess se puede enrutar a través de puertas de enlace de Internet e IP públicas asociadas (asignación de IP elástica)

¿Cómo entregamos redes de datos e infraestructura cibersegura? | Sistemas v500

Nube de AWS: el futuro del crecimiento empresarial y la innovación

Aislar redes

Para un control de acceso a la red adicional, puede ejecutar sus instancias de base de datos en una VPC de Amazon. Amazon VPC le permite aislar sus instancias de base de datos especificando el rango de IP que desea usar y conectarse a su adición existente, ejecute la infraestructura a través de una VPN IPsec cifrada estándar de la industria. Ejecutar Amazon RDS en una VPC le permite tener una instancia de base de datos dentro de una subred privada. También puede configurar una puerta de enlace privada virtual que extienda su red corporativa a su VPC y permita el acceso a la instancia de base de datos de RDS en esa VPC.

Para las implementaciones Multi-AZ, la definición de una subred para todas las zonas de disponibilidad en una región permitirá que Amazon RDS cree una nueva reserva en otra zona de disponibilidad en caso de que surja la necesidad. Puede crear colecciones de grupos de subredes de base de datos de subredes que desee designar para sus instancias de base de datos de RDS en una VPC. Cada grupo de subredes de base de datos debe tener al menos una subred para cada zona de disponibilidad en una región determinada. En este caso, cuando crea una instancia de base de datos en una VPC, selecciona un grupo de subred de base de datos; Amazon RDS luego usa ese grupo de subredes de base de datos y su zona de ciudad disponible preferida para seleccionar una subred y una dirección IP dentro de esa subred. Amazon RDS crea y asocia una interfaz de red elástica a su instancia de base de datos con esa dirección IP.

Se puede acceder a las instancias de base de datos implementadas dentro de una VPC de Amazon desde Internet o desde instancias Amazon EC2 fuera de la VPC a través de VPN o hosts bastión thamustunch en su subred pública. Para usar un host bastión, debe configurar una subred pública con una instancia EC2 que actúe como bastión SSH. Esta subred pública debe tener una puerta de enlace de Internet y reglas de enrutamiento que permitan dirigir el tráfico a través del host SSH, que luego debe reenviar las solicitudes a la privacidad de su instancia de base de datos de Amazon RDS.

Los grupos de seguridad de base de datos pueden ayudar a proteger las instancias de base de datos dentro de una VPC de Amazon. Además, el tráfico de red que ingresa y sale de cada subred se puede permitir o denegar a través de ACL de red. Finalmente, todo el tráfico de red que ingresa o sale de su Amazon VPC a través de su conexión IPsec VPN puede ser inspeccionado por su infraestructura de seguridad local, incluidos los firewalls de red y los sistemas de detección de intrusos.

Grupos de seguridad para su VPC

grupo de seguridad actúa como un cortafuegos virtual, por ejemplo, controlando el tráfico entrante y saliente. Cuando lanza modeltance en una VPC, puede asignar cinco grupos de seguridad a la instancia. Los grupos de seguridad actúan a nivel de instancia, no a nivel de subred. Por lo tanto, cada instancia en una subred en su VPC se puede asignar a un conjunto diferente de grupos de seguridad.

Suponga que lanza una instancia mediante la API de Amazon EC2 o una herramienta de línea de comandos y no especifica un grupo de seguridad. En ese caso, la instancia se asigna automáticamente al grupo de seguridad predeterminado para la VPC. Si lanza una instancia mediante la consola de Amazon EC2; puede crear un nuevo grupo de seguridad, por ejemplo.

Para cada grupo de seguridad, agrega reglas que controlan el tráfico saliente a las instancias y un conjunto separado de reglas que controlan el tráfico saliente. En esta sección, se describen las prácticas básicas que debe conocer acerca de los grupos de seguridad para su VPC y sus prácticas.

Lista de control de acceso a la red (NACL)

Una lista de control de acceso a la red (NACL) es una capa de seguridad opcional para su VPC que actúa como un firewall para controlar el tráfico que entra y sale de una o más subredes. Puede configurar ACL de red con reglas similares a sus grupos de seguridad para agregar una capa de seguridad a su VPC.

NACL realiza algún filtrado entre redes. Sin embargo, logramos encarecidamente la implementación de un firewall de próxima generación, como Palo Alto, para lograr una inspección granular en todas las capas 7x dentro de su infraestructura de VPC, sin mencionar el tráfico de Internet.

Más sobre cortafuegos de próxima generación, puesto específico sobre este tema

Controlar el enrutamiento

Tabla de ruta — Un conjunto de reglas, denominadas rutas, determina hacia dónde se dirige el tráfico de la red.

Le brinda una forma granular de dónde puede ir el tráfico o influir en el tráfico, lo cual es muy útil en la segregación de redes privadas.

Puerta de enlace de Internet

Una puerta de enlace de Internet es un componente de VPC de escala horizontal, redundante y de alta disponibilidad que permite la comunicación entre su VPC e Internet.

Una puerta de enlace de Internet tiene dos propósitos: proporcionar un destino en sus tablas de rutas de VPC para el tráfico enrutable por Internet y realizar la traducción de direcciones de red (NAT) para las instancias a las que se les han asignado direcciones IPv4 públicas.
A diferencia de NAT Gateway, Internet Gateway permitirá el tráfico a sus instancias en VPC desde Internet.

Puertas de enlace de Internet solo de salida

Una puerta de enlace de Internet de solo salida es un componente de VPC de escala horizontal, redundante y de alta disponibilidad que permite la comunicación saliente a través de IPv6 desde instancias en su VPC a Internet. Evita que Internet inicie una conexión IPv6 con sus instancias.

 

Sistemas v500 | soluciones de ciberseguridad y redes empresariales

Las ventajas de trasladar su empresa a la nube de AWS

Puerta de enlace NAT

Puede utilizar una puerta de enlace de traducción de direcciones de red (NAT) para permitir que las instancias en una subred privada se conecten a Internet u otros servicios de AWS, pero evite que Internet inicie una conexión con esas instancias. En otras palabras, se denegará una sesión creada por un host en Internet.
Esta función es beneficiosa si desea servidores -> instancias en una red segura/restringida para obtener actualizaciones de seguridad, parches y actualizaciones de antivirus para obtener de Internet.
Si desea obtener más información sobre NAT, lea nuestra publicación sobre este tema.

Dirección IP elástica

An Dirección IP elástica es una dirección IPv4 estática diseñada para la computación en la nube dinámica. Con una dirección IP elástica, puede enmascarar una instancia o una falla de software reasignando rápidamente la dirección a otra instancia en su cuenta. Se asigna una dirección IP elástica a su cuenta de AWS y es suya hasta que la libere.

Una dirección IP elástica es una dirección IPv4 pública a la que se puede acceder desde Internet. Si su instancia no tiene una dirección IPv4 pública, puede asociar una dirección IP elástica con su instancia para habilitar la comunicación con Internet. Por ejemplo, esto le permite conectarse a su instancia desde su computadora local.

Actualmente, AWS no admite direcciones IP elásticas para IPv6.

Conexiones VPN a su nube de AWS - VPC

VPN de sitio a sitio de AWS

Puede crear una conexión VPN IPsec entre su VPC y su red remota. Una puerta de enlace privada virtual o puerta de enlace de tránsito proporciona dos puntos finales de VPN (túneles) para la conmutación por error automática en el lado de AWS de la conexión VPN de sitio a sitio. Luego, configuras tu dispositivo de puerta de enlace del cliente en el lado remoto de la conexión VPN de sitio a sitio.

VPN cliente de AWS

AWS Client VPN es un servicio de VPN administrado basado en el cliente que le permite acceder a sus recursos de AWS o a su red local de forma segura. Con AWS Client VPN, configura un punto de enlace al que sus usuarios pueden conectarse para establecer una sesión de VPN TLS segura. Esto permite a los clientes acceder a los recursos en AWS o en las instalaciones desde cualquier ubicación mediante un cliente VPN basado en OpenVPN.

Centro de nube de VPN de AWS

Suponga que tiene más de una red remota (por ejemplo, varias sucursales). En ese caso, puede crear varias conexiones VPN de sitio a sitio de AWS a través de su puerta de enlace privada virtual para permitir la comunicación entre estas redes.

software de dispositivo VPN de terceros

Puede crear una conexión VPN a su red remota utilizando una instancia de Amazon EC2 en su VPC que ejecuta un dispositivo VPN de software de terceros. Desafortunadamente, AWS no proporciona ni mantiene dispositivos VPN de software de terceros; sin embargo, puede elegir entre una gama de productos ofrecidos por socios y comunidades de código abierto.

sistemas v500 | blog | aci: infraestructura centrada en aplicaciones

Nube de AWS: impulsando la agilidad y la resiliencia empresarial

 

 

 

¿Listo para empezar?

Nube | Informática | Almacenamiento | Servicios | Proveedores | Seguridad | Migración | Arquitectura | Infraestructura | Soluciones basadas | Ahorro de costes | Escalabilidad | Flexibilidad | Aplicaciones nativas | Plataformas basadas | Nube Híbrida | Nube Pública | Nube Privada | Software basado en la nube | Análisis basado en la nube | AI/ML/NLP basado en la nube

 

Actúe ahora, regístrese: adopte el poder de la IA para el procesamiento de documentos

Libere el poder de la IA con nuestra oferta irresistible. Comience hoy GRATIS con la comparación de documentos múltiples con IA y la búsqueda cognitiva inteligente. Experimente una eficiencia, precisión y ahorro de tiempo incomparables. Después de la prueba gratuita, continúa la transformación por solo $20/mes. No te pierdas esta oportunidad revolucionaria. Potencie su viaje de procesamiento de documentos ahora.

Por favor, eche un vistazo a nuestros estudios de casos y otras publicaciones para obtener más información:

Automatización de redes de datos, ¿cómo Cisco ACI ofrece una plataforma de red ágil?

¿Cómo puede la Búsqueda inteligente hacer que seas constante en el trabajo con menos esfuerzo?

¿Por qué NAT porque el mundo se quedó sin direcciones IPv4 en febrero de 2010?

¿Cuáles son las formas de conectar una red local a AWS Cloud?

#nube #ahorro de costos #escalabilidad #inteligencia artificial #aprendizaje automático #crecimiento

MC

ARTÍCULOS RELACIONADOS

22 | 04 | 2024

Informado
Decisiones

Sumérgete en los anales de la historia empresarial y descubre los secretos detrás de la adquisición por parte de JP Morgan del imperio siderúrgico de Andrew Carnegie. Descubra cómo las decisiones informadas y el procesamiento de documentos mediante IA allanaron el camino para acuerdos monumentales que dieron forma al panorama industrial
20 | 04 | 2024

Especialización, aislamiento, diversidad, pensamiento cognitivo y seguridad laboral
| 'QUÁNTICO 5' T1, E9

Sumérjase en las complejidades de la dinámica laboral moderna, donde la especialización se une a la diversidad, el aislamiento se une al pensamiento cognitivo y la seguridad laboral es una máxima prioridad. Descubra estrategias para promover la inclusión, aprovechar las capacidades cognitivas y garantizar la estabilidad laboral a largo plazo.
13 | 04 | 2024

¿Son los jueces y jurados susceptibles a sesgos? ¿Puede la IA ayudar en este asunto? | 'QUÁNTICO 5' T1, E8

Profundice en la intersección de la inteligencia artificial y el sistema legal, descubriendo cómo las herramientas de IA ofrecen una solución prometedora para abordar los sesgos en los procesos judiciales.
06 | 04 | 2024

Empoderar a los profesionales del derecho: la historia de Charlotte Baker y la IA en el derecho inmobiliario | 'QUÁNTICO 5' T1, E7

Adéntrese en el mundo del derecho inmobiliario con Quantum 5 Alliance Group mientras aprovechan la IA para optimizar las operaciones y ofrecer resultados excepcionales. Descubra cómo los profesionales jurídicos Charlotte Baker, Joshua Wilson y Amelia Clarke aprovechan el poder de la IA para alcanzar el éxito.