VPC Advanced

Hoheit über den Verschlüsselungsvorgang (Schlüssel/Algorithmen). - Administration. - Flexibles ... Page 24 ... Wie wird der Schlüssel ausgetauscht. • Wie wird ...

PDF Herunterladen

PNG-Bilder

5MB Größe 23 Downloads 233 Ansichten

Kommentar

VPC Advanced Bernd Oster Head of Holding IT-Supply, Talanx Systeme AG

Bertram Dorn Solutions Architecture AWS

15.05.2014

© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.

How Talanx entered AWS AWS‘ revenue from Talanx Grids & Enterprise Apps 32-CPU high performance Personal Computer

Automation & Self Service

Jugend forscht

2011

2012

2013

2014

Estimated on Dec 31st 2014 ---505 systems 11.214 cores 78 TB RAM 650 TB Storage

What benefits Talanx gets out of AWS Faster delivery

Improved quality

Awesome reduction of processing time of risk management applications

e.g. improved risk model methodology

Faster innovation

Lower costs

Within 4 work days: • +10 % improvement of performance • 33 % reduction of costs realized

Reduced costs by 60% - 70%

Talanx Cloud Platform - Overview Local Campus Hannover

Amazon VPC

“Front Cloud” Datacenter Ffm

Local Campus Cologne

Internet

Local Campus xyz Local Network Subsidaries

Local Network Subsidaries Local Network Subsidaries

“Front Cloud” Production Datacenter Ffm

Amazon VPC --Production

“Front Cloud” User Acceptance Datacenter Ffm

Amazon VPC --User Acceptance

“Front Cloud” Development Datacenter Ffm

Amazon VPC --Development

AWS Direct Connect

Amazon VPC Management

“Front Cloud” - Management Datacenter Ffm

Multiple VPCs used by Talanx •  •  •  • 

Production User Acceptance Tests Development Management

Routing until May, 7th 2014

“Front Cloud” Production Datacenter Ffm

Amazon VPC --Production

“Front Cloud” User Acceptance Datacenter Ffm

Amazon VPC --User Acceptance

“Front Cloud” Development Datacenter Ffm

Amazon VPC --Development

AWS Direct Connect

Amazon VPC Management

“Front Cloud” - Management Datacenter Ffm

The latest feature: VPC peering VPC peering@Talanx --lowered network latency from 56ms to 1ms --Speeded connection up from 1.00 MBytes/sec to 38.0 MBytes/sec

Routing since May, 7th 2014

What‘s next •  Increase of AWS resource > +30% •  Moving other types of application to AWS •  Introduction of new AWS components for Talanx

VPC peering

Elastic Load Balancing

DynamoDB

Amazon WorkSpaces

SuperNet + VPC Bertram Dorn, Solutions Architecture AWS 15.05.2014

© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.

VPC Advanced: Agenda •  •  •  • 

Vision Werkzeuge Zusammenbau Möglichkeiten

Die Vision -  Das grosse Zusammenschalten: -  VPC VPC -  Teilen von zentralen Ressourcen -  Nutzen verschiedener Service-Optionen -  VPC OnPremise -  Einfache Netzwerkwege in die Cloud -  Zur Nutzung von Ressourcen auf beiden Seiten -  Verwendung alle Pfade zum optimalen Nutzung -  Erhöhen der Redundanz

Die Vision -  Transparenter und einfacher Zugriff von VPC/VPC/Home/und Anwendungen -  Zu Anwendungen -  Zu Diensten (Workflow/Directory/Identity/Access) -  Zu Infrastruktur (DNS/SAM/Licencing)

-  Sicherer Transport -  Der innere Adressraum ist zu verbergen -  Authentisieren und Verschlüsseln der Kommunikation -  Hoheit über den Verschlüsselungsvorgang (Schlüssel/Algorithmen)

-  Administration -  Flexibles Routing und Nutzung aller Pfade (Direct Connect/Least Cost/Low Latency) -  Das Nachdenken über Adressen sollte nicht mehr erforderlich sein

Beispiele

Vision I

Wie? •  Werkzeuge –  BGP –  IPSec

•  AWS Bausteine –  VPC •  •  •  • 

VGW IGW Routing ACL

–  EC2 •  Instanzen •  Security Groups

–  Weitere •  IAM •  CloudFormation

AWS Platform + BGP + IPSEC

Redshift

Enterprise Level Support

VPN und das VPG •  Leistungsmerkmale –  Ist zweimal vorhanden –  Kann auch BGP sprechen –  Einfache Konfiguration

•  Zusätzliche Anforderungen –  Eigenständiger Aufbau des Tunnels –  Kontrolle über den Algorithmus –  Flexibilität auf den „langen“ Strecken

Adressierung 1 routing/forwarding engine is not made for dynamic routing •  Vielfache Default-Routen (0.0.0.0/0) •  Änderungen im Addressraum (neue Adressräume / neue VPCs / neue Lokationen) •  Zugriff zu AWS Ressourcen außerhalb des VPCs (S3…)

Adressierung 2 Total Address Space On Premise Location A DC A1

DC A2

AWS

Location B DC B1

DC B2

Region A VPC

Region B

VPC

Region C

VPC

VPC

VPC

VPC

AZ

AZ

AZ

AZ

AZ

AZ

AZ

AZ

AZ

AZ

AZ

AZ

SN

SN

SN

SN

S N

S N

S N

S N

S N

S N

S N

S N

SN

SN

SN

SN

S N

S N

S N

S N

S N

S N

S N

S N

SN

SN

SN

SN

S N

S N

S N

S N

S N

S N

S N

S N

Adressierung 3

?

Total Address Space On Premise Location A DC A1

DC A2

AWS

Location B DC B1

DC B2

Neuer Raum

Region A

VPC

Region B

VPC

Region C

VPC

VPC

VPC

VPC

AZ

AZ

AZ

AZ

AZ

AZ

AZ

AZ

AZ

AZ

AZ

AZ

SN

SN

SN

SN

S N

S N

S N

S N

S N

S N

S N

S N

SN

SN

SN

SN

S N

S N

S N

S N

S N

S N

S N

S N

SN

SN

SN

SN

S N

S N

S N

S N

S N

S N

S N

S N

Freier Raum

Neuer Raum

Adressierung 4 •  Dynamisches Routing ist ein Muss –  Unterstützt schnelle Änderungen –  Ermöglichet die Hochverfügbarkeit

•  BGP –  Baut auf „stateful“ TCP-Verbindungen auf –  Unterstützt bei der Sensorik

Infrastruktur

Default Routing

VPN Setup

Mit BGP

Alles zusammen

Hochverfügbarkeit •  Die Hochverfügbarkeit muss durch Verwaltung der VPC Routingtabelle hergestellt werden •  Dies ist mit AWS Werkzeugen möglich

Anzahl der Konfigurationen •  Die Masse der Endpunkte –  Alle Pfade ~ n^2 Konfigurationen

Automatisierung •  Die automatische Konfiguration –  Ein VPC per CloudFormation oder Boto -> Unproblematisch

–  Zweite Instanz •  •  •  • 

Wie wird die erste Instanz konfiguriert? Wie wird der Schlüssel ausgetauscht Wie wird authentisiert? Wie bauen wir die SecurityGroups auf?

–  Nte Instanz

Kontrolle im Netzwerk •  Security Groups und NACL Konfiguration –  Auf den Gateways ist nicht bekannt wo der Datenstrom her kommen wird –  ICMP ist für die Fragmentierung wichtig –  Die Verwaltung von vielen Security Groups ist aufwändig

Zukunft •  Alles sollte authentisiert werden •  Alles sollte verschlüsselt werden –  Auch Datenströme innerhalb einer AZ können das Gebäude verlassen –  Peering ist nicht gleich Verschlüsselung

•  Pragmatischer Ansatz –  Umsetzung von VPC Peering –  Mit einem „SecurityEnforcement“ VPC anfangen und sich von dort aus verbreitern –  Eigenes VPN auf den langen Distanzen zwischen den Regionen etablieren

•  Die Kombination aus VPC-Peering, VPNInstanzen und Dynamischem Routing nutzen

Region

Das Security-Enforcement VPC

VPN Setup

Fachabteilung Fachabteilung Fachabteilung

Fachabteilung Fachabteilung Fachabteilung

Local VPCs

Netzwerk-Verwaltung Security-Verwaltung

Aufbau Peering

Lokales Peering T

T

T

T

T

T

T

Security Enforcement VPC •  Zentrale Gate Keeper •  Firewalls •  Zertifikat-Checks •  Zentrale Prüfung •  IDS •  Audit •  Zentraler Check auf Schadcode •  Viren-Filter •  Viren-Scanning •  M2M •  Business-Bus •  Request-Filtering •  Queuing •  UVM

Fragen & Antworten