+

■Curso de Cloud
Computing con
Amazon Web
Services

VIRTUAL PRIVATE NETWORK

Raúl Hugo Noriega
Cloud Engineer at Verizon
sherlockhugo@gmail.com
@raulhugo
+
VIRTUAL PRIVATE NETWORK
Seguridad y perzonalizacion ante todo.
+
VIRTUAL PRIVATE NETWORK

Es la parte mas importante del examen como ya se

habran dado cuenta, Pero que es VPC, en palabras
sencillas es tu propio datacenter en el cloud, y si tu creas
tu cuenta amazon crea una VPC “default” en cada region
+
Definicion

Amazon Virtual Private Network permite provisionar una

seccion logicamente separada de el cloud de AWS, en
donde puedes lanzar recursos en una red virtual que
has definido previamente, tu tienes el completo
control sobre tu entorno de red virtual, incluyendo
tus propios rangos de IPS, creacion de subredes, y
configuracion de tablas de ruteo y internet gateways.
+
Definicion

Puedes perzonalizar rapidamente la configuracion de la red, por

ejemplo puedes crear subredes de cara a internet para los
servidores web que tienen acceso a internet y poner tus bases
de datos en otra subnet privada sin acceso a internet, puedes
poner multiples capas de seguridad, para controlar el acceso
para cada subnet.
+
Definicion
Adicionalmente, puedes crear una VPN entre tu datacenter y tu
VPC para que AWS sea una extencion de tu datacenter
corporativo.

• Lanzar instancias en una subnet que escojamos

• Asignar rangos de IP perzonalizados para cada subnet.
• Configurar tablas de ruteo entre subredes.
• Crear internet Gateways y añadirlas o no a las subredes
• Tener mas control sobre los recursos de AWS
• Poner Security Groups a las instancias.
• Crear listas de acceso y control de usuario en las subredes.
ACLS
+
Default VPC y VPC Personalizada
La VPC Default es amigable y permite usarse inmediatamente
para crear instancias dentro.
Todas las subredes de la VPC default tienen un Internet
Gateway .
Cada Instancia de EC2 tiene una Ip publica y una IP privada.
Si tu borras la VPC default el unico camino para tenerla de
vuelta es contactar al soporte de AWS para que creen una
nueva.

NO ES RECOMENDABLE BORRARLA HASTA QUE TENGAN

TOTAL COMPRENCION DE VPC:
+
VPC Peering

Permite conectar ona VPC con otra VPC mediante un route

directo usando IPs Privadas.

Instancias podran verse entre las VPC.

Puedes hacer VPC Peering con otras cuentas de AWS asi
como otras VPC en la misma cuenta.

No es inter regional.
No hay Paridad transitiva. Solo uno con uno.
+
VPC Peering

virtual private cloud

virtual private cloud

virtual private cloud

+
VAMOS A CREAR UN VPC

Damos Click a VPC

Damos Click a START VPC WIZARD

+
Creando un VPC
Vamos a Your VPC y le damos click al Create VPC Luego
llenamos tal como la imagen por ultimo Yes, Create
+
Route Tables
Ahora vamos a Route Tables y vamos a ver una tabla de rutas
creada automáticamente, entonces hay que recordar esto,
cuando se crea un VPC se crea una tabla de ruteo
automáticamente. (Que se crea automaticamente junto con un
VPC?)
+
Subredes
Vamos a Create Subnet, luego seleccionamos una VPC en
nuestro caso aulautil-VPC, luego escogemos la zona de
disponibilidad (availability zone), solo puede haber una subnet
por Availability Zone, Luego ponemo el CIDR 10.0.1.0/24 y el
nombre como se muestra en la imagen, luego por ultimo Yes,
Create.
+
Subredes
Vamos a crear dos subredes adicionales con:

• 10.0.2.0/24 - us-east-1b
• 10.0.3.0/24 – us-east-1c

Quedando de la siguiente forma:

+
Internet Gateway
Vamos a crear un Internet Gateway, nos sirve para que la VPC tenga
salida o entrada de internet. Solo puede haber un GATEWAY por VPC:
Click en Internet Gateways, luego en Create IG, le ponemos en Name
Aulautil-IGW, y por ultimo Yes Create.

El IGW esta Detached, debemos atacharlo a una VPC a

nuestra aulautil VPC.
+
Vamos a volver una Subnet Publica
Vamos hacer que una subnet pueda tener acceso a travez del IGW
creado anteriormente, para esto vamos a crear una nueva tabla de rutas
con el nombre Internet-routetable.

La seleccionamos y en la pesataña Routes, de la parte inferior

vamos a añadir una ruta,
+
Vamos a volver una Subnet Publica II
Vamos a añadir la ruta 0.0.0.0/0 a la tabla de ruteo, y que busque eso en
el IGW, click al boton Edit, luego Add another route, escribimos la rutua y
save.

Por ultimo escogemos las

subredes que estaran
asociadas en subnet
associations, y
seleccionamos la 10.0.1.0
+
Que arquitectura Hemos Creado??

VPC subnet

VPC subnet
VPC subnet
+
Do it yourself!
Creen 2 instancias linux, pequeñas una en la subnet 10.0.1.0 (publica) y
la otra en 10.0.2.0 (Privada).

Ingresen a la Publica con la IP publica, ejecuten yum update, vana ver

que tiene internet, Luego usan la instancia publica como puente
conectense por ip privada a la instancia de la otra subnet, y ejecuten el
mismo comando.

Que pasa?
Como sacamos podemos hacer que estas instancias se actualicen.?

# curl http://169.254.169.254/latest/meta-data
# curl http://169.254.169.254/latest/meta-data/public-ipv4
+
Network Addresses Translation instance. NAT

Una instancia NAT, nos va a permitir conectarnos a internet desde las instancias
que no tienen IP publica para poder instalar software o poder descargar algo.

Es una especie de Proxy que permite el acceso.

Primero vamos a crear un Security Group, llamado natsg con siguientes reglas
de inbound.
http CustomIP 10.0.2.0/24
https CustomIp 10.0.2.0/24

Y para outbound
http Anywhere
https Anywhere
+
Network Addresses Translation instance. NAT II
+
Vamos a Crear una instancia NAT.

Vamos al Servicio de EC2, Launch Instance, y buscamos en Community AMIs, la

palabra nat, y escogemos la primer opcion, seguimos adelante, escogemos una
micro instancia, debe ser lanzada en la subnet 1a que posee acceso a internet,
pero sin ip publica, luego escogemos el security group natsg anteriormente
creado y la lanzamos colocándole un tag que la identifique y la lanzamos.
+
Vamos a Crear una instancia NAT.
Debemos Asignar una Ip elastica a esta instancia como ya sabemos hacerlo, y
por ultimo paso debemos. Seleccionar la instancia, e ir al boton Actions ->
Networking – Change Source/Destination Check, en todas las intancias que
van a hacer NAT debemos deshabilitar el Source/Destination Check, es
pregunta de examen.
+
Por último debemos añadir mas reglas de ruteo.

Volvemos al servicio VPC, damos click a Route Tables, alli buscamos la tabla de
ruteo creada por defecto para nuestra VPC y le añadimos una nueva regla:

0.0.0.0/0 apuntando
hacia nuestra NAT instance.

Probemos si ahora el yum desde

La instancia de 1b (BD instance)
Funciona.
+
VPN
AWS and Freeswan
+
Vamos a hacer grupos de dos

Cada participante debe seguir estos pasos.

1. Vamos a crear una instancia en la VPC Default (VPN CLient)

2. Luego una instancia en la Subnet Privada (DB Server)
3. Una VPN
4. Configurar la VPN Client.
+

Availability Zone #1
Availability Zone #1
+
VPN CLiente
Crear una maquina en la subnet default u otra subnet con diferente rango de IPS
de nuesta VPC creada, debe ser ubuntu14.04. micro 8GB.

Grupo de seguridad abierto all tcp y all ICMP a todos, al menos hasta que
sepamos las ips del VPN de AWS.

Nos conectamos e instalamos libreswan.

Añadir un repositorio a ubuntu.
vim /etc/apt/sources.list.d/libreswan.list
deb http://ppa.launchpad.net/tmoitie/libreswan3/ubuntu trusty main
Luego
sudo apt-get update
sudo apt-get install libreswan
Just in case: gpg --keyserver subkeys.pgp.net --recv-key NUMERACION && gpg -
a --export $PUBKRY | sudo apt-key add -
+
Virtual Private Gateway

Primero vamos a crear un Virtual Private Gateway, le damos un nombre, lo

creamos, y luego lo atachamos a nuestra VPC que hemos creado anteriormente,
alli finaliza todo.
+
VPN

Ahora vamos a VPN Connections y alli vamos a crear una conexión VPN, Con un
nombre VPNAWS, escogemos el Virtual private gateway, Ponemos la IP de la
instancia de nueustro compañero, y en routing options escogemos static y
ponemos la el CDIR de la IP de nuestro compañero.
+
VPN
Volvemos a la instancia de Linux que nuestro compañero tiene y le damos la primera direccion IP
que el VPN ha creado. Tambien el CDIR de la Subnet a la que podra acceder. Tambien es
necesario darle el archivo de configuracion por defecto para que encuentre el presharedkey.

El debe usar esos datos para configurar su archivo de configuracion de freewan.

vim /etc/ipsec.d/vpc1-vpc2.conf
conn vpn1
type=tunnel
authby=secret
forceencaps=yes
left=%defaultroute
leftsourceip=52.88.20.155
right=52.3.23.72
rightsubnet=10.0.2.0/24
pfs=yes
auto=start
+
VPN

Una vez configurado libreswan, los comando des administracion de ipsec son:

ipsec auto --up vpn1

ipsec auto –down vpn1
service ipsec restart

No olvidar configurar el security group para que tenga todos los puertos abiertos hacia la IP del
AWS VPN.

Validar la VPN haciéndole ping desde la instancia de su compañero a su instancia de base de

datos con la IP privada.
+
Preguntas tipo
You are creating a new VPC with 3 subnets in 3 separate
availability zones. You require instances in each subnet to be
able to communicate to each other by default. What additional
steps should you take in order to achieve this objective.

1. Create a route between each subnets in a new route table and then associate this
with each subnet.
2. You do not need to do anything, by default all subnets can communicate with each
other using the main route table
3. Create a route between each subnet in the main route table and then associate this
main route table with each subnet.
4. ensure that each subnet is associated with a security group that will contain your
EC2 instances.
+
Preguntas tipo

You have an EC2 instance which needs to find out both its
private IP address and its public IP address using a script.
Which of the below should you include in the script to discover
this information.

1. Run IPCONFIG (Windows) or IFCONFIG (Linux)

2. Retrieve the instance Metadata from http://169.254.169.254
3. Retrieve the instance Userdata from http://169.254.169.254/latest/user-data/
4. Use the following command; AWS EC2 displayIP
+
Preguntas tipo
You are putting together a wordpress site for a local charity and you are using a
combination of Route53, Elastic Load Balancers, EC2 & RDS. You launch your EC2
instance, download wordpress and setup the configuration files connection string so that
it can communicate to RDS. When you browse to your URL however, nothing happens.
Which of the following could NOT be the cause of this.

1. You have forgotten to open port 80/443 on your security group in which the EC2
instance is placed
2. Your elastic load balancer has a health check which is checking a webpage that
does not exist, therefore your EC2 instance is not in service.
3. You have not configured an ALIAS for your A record to point to your elastic load
balancer
4. You have locked port 22 down to your specific IP address
+
Preguntas tipo

You have created a custom VPC with 3 subnets, 2 private, 1 public. You deploy 3 EC2
instances in to your public subnet and attach Elastic IP addresses to these instances.
You then deploy an EC2 instance in to your private subnet and then attempt to apply
security patches to this instance, however it has no internet connectivity. What can you
do to give this instance internet access?

1. Deploy a NAT to the public subnet and then update the main route table to send
traffic via the NAT to the private subnet.
2. Deploy your instance to a public subnet instead.
3. Attach a public IP address to your EC2 instance in the private subnet.
4. Attach an additional internet gateway to your EC2 instance in the private subnet.
+
NO SE PIERDAN
Ya son parte de la comunidad de AWS en meetup