VPC Advanced Bernd Oster Head of Holding IT-Supply, Talanx Systeme AG
Bertram Dorn Solutions Architecture AWS
15.05.2014
© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.
How Talanx entered AWS AWS‘ revenue from Talanx Grids & Enterprise Apps 32-CPU high performance Personal Computer
Automation & Self Service
Jugend forscht
2011
2012
2013
2014
Estimated on Dec 31st 2014 ---505 systems 11.214 cores 78 TB RAM 650 TB Storage
What benefits Talanx gets out of AWS Faster delivery
Improved quality
Awesome reduction of processing time of risk management applications
e.g. improved risk model methodology
Faster innovation
Lower costs
Within 4 work days: • +10 % improvement of performance • 33 % reduction of costs realized
Reduced costs by 60% - 70%
Talanx Cloud Platform - Overview Local Campus Hannover
Amazon VPC
“Front Cloud” Datacenter Ffm
Local Campus Cologne
Internet
Local Campus xyz Local Network Subsidaries
Local Network Subsidaries Local Network Subsidaries
“Front Cloud” Production Datacenter Ffm
Amazon VPC --Production
“Front Cloud” User Acceptance Datacenter Ffm
Amazon VPC --User Acceptance
“Front Cloud” Development Datacenter Ffm
Amazon VPC --Development
AWS Direct Connect
Amazon VPC Management
“Front Cloud” - Management Datacenter Ffm
Multiple VPCs used by Talanx • • • •
Production User Acceptance Tests Development Management
Routing until May, 7th 2014
“Front Cloud” Production Datacenter Ffm
Amazon VPC --Production
“Front Cloud” User Acceptance Datacenter Ffm
Amazon VPC --User Acceptance
“Front Cloud” Development Datacenter Ffm
Amazon VPC --Development
AWS Direct Connect
Amazon VPC Management
“Front Cloud” - Management Datacenter Ffm
The latest feature: VPC peering VPC peering@Talanx --lowered network latency from 56ms to 1ms --Speeded connection up from 1.00 MBytes/sec to 38.0 MBytes/sec
Routing since May, 7th 2014
What‘s next • Increase of AWS resource > +30% • Moving other types of application to AWS • Introduction of new AWS components for Talanx
VPC peering
Elastic Load Balancing
DynamoDB
Amazon WorkSpaces
SuperNet + VPC Bertram Dorn, Solutions Architecture AWS 15.05.2014
© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.
VPC Advanced: Agenda • • • •
Vision Werkzeuge Zusammenbau Möglichkeiten
Die Vision - Das grosse Zusammenschalten: - VPC VPC - Teilen von zentralen Ressourcen - Nutzen verschiedener Service-Optionen - VPC OnPremise - Einfache Netzwerkwege in die Cloud - Zur Nutzung von Ressourcen auf beiden Seiten - Verwendung alle Pfade zum optimalen Nutzung - Erhöhen der Redundanz
Die Vision - Transparenter und einfacher Zugriff von VPC/VPC/Home/und Anwendungen - Zu Anwendungen - Zu Diensten (Workflow/Directory/Identity/Access) - Zu Infrastruktur (DNS/SAM/Licencing)
- Sicherer Transport - Der innere Adressraum ist zu verbergen - Authentisieren und Verschlüsseln der Kommunikation - Hoheit über den Verschlüsselungsvorgang (Schlüssel/Algorithmen)
- Administration - Flexibles Routing und Nutzung aller Pfade (Direct Connect/Least Cost/Low Latency) - Das Nachdenken über Adressen sollte nicht mehr erforderlich sein
Beispiele
Vision I
Wie? • Werkzeuge – BGP – IPSec
• AWS Bausteine – VPC • • • •
VGW IGW Routing ACL
– EC2 • Instanzen • Security Groups
– Weitere • IAM • CloudFormation
AWS Platform + BGP + IPSEC
Redshift
Enterprise Level Support
VPN und das VPG • Leistungsmerkmale – Ist zweimal vorhanden – Kann auch BGP sprechen – Einfache Konfiguration
• Zusätzliche Anforderungen – Eigenständiger Aufbau des Tunnels – Kontrolle über den Algorithmus – Flexibilität auf den „langen“ Strecken
Adressierung 1 routing/forwarding engine is not made for dynamic routing • Vielfache Default-Routen (0.0.0.0/0) • Änderungen im Addressraum (neue Adressräume / neue VPCs / neue Lokationen) • Zugriff zu AWS Ressourcen außerhalb des VPCs (S3…)
Adressierung 2 Total Address Space On Premise Location A DC A1
DC A2
AWS
Location B DC B1
DC B2
Region A VPC
Region B
VPC
Region C
VPC
VPC
VPC
VPC
AZ
AZ
AZ
AZ
AZ
AZ
AZ
AZ
AZ
AZ
AZ
AZ
SN
SN
SN
SN
S N
S N
S N
S N
S N
S N
S N
S N
SN
SN
SN
SN
S N
S N
S N
S N
S N
S N
S N
S N
SN
SN
SN
SN
S N
S N
S N
S N
S N
S N
S N
S N
Adressierung 3
?
Total Address Space On Premise Location A DC A1
DC A2
AWS
Location B DC B1
DC B2
Neuer Raum
Region A
VPC
Region B
VPC
Region C
VPC
VPC
VPC
VPC
AZ
AZ
AZ
AZ
AZ
AZ
AZ
AZ
AZ
AZ
AZ
AZ
SN
SN
SN
SN
S N
S N
S N
S N
S N
S N
S N
S N
SN
SN
SN
SN
S N
S N
S N
S N
S N
S N
S N
S N
SN
SN
SN
SN
S N
S N
S N
S N
S N
S N
S N
S N
Freier Raum
Neuer Raum
Adressierung 4 • Dynamisches Routing ist ein Muss – Unterstützt schnelle Änderungen – Ermöglichet die Hochverfügbarkeit
• BGP – Baut auf „stateful“ TCP-Verbindungen auf – Unterstützt bei der Sensorik
Infrastruktur
Default Routing
VPN Setup
Mit BGP
Alles zusammen
Hochverfügbarkeit • Die Hochverfügbarkeit muss durch Verwaltung der VPC Routingtabelle hergestellt werden • Dies ist mit AWS Werkzeugen möglich
Anzahl der Konfigurationen • Die Masse der Endpunkte – Alle Pfade ~ n^2 Konfigurationen
Automatisierung • Die automatische Konfiguration – Ein VPC per CloudFormation oder Boto -> Unproblematisch
– Zweite Instanz • • • •
Wie wird die erste Instanz konfiguriert? Wie wird der Schlüssel ausgetauscht Wie wird authentisiert? Wie bauen wir die SecurityGroups auf?
– Nte Instanz
Kontrolle im Netzwerk • Security Groups und NACL Konfiguration – Auf den Gateways ist nicht bekannt wo der Datenstrom her kommen wird – ICMP ist für die Fragmentierung wichtig – Die Verwaltung von vielen Security Groups ist aufwändig
Zukunft • Alles sollte authentisiert werden • Alles sollte verschlüsselt werden – Auch Datenströme innerhalb einer AZ können das Gebäude verlassen – Peering ist nicht gleich Verschlüsselung
• Pragmatischer Ansatz – Umsetzung von VPC Peering – Mit einem „SecurityEnforcement“ VPC anfangen und sich von dort aus verbreitern – Eigenes VPN auf den langen Distanzen zwischen den Regionen etablieren
• Die Kombination aus VPC-Peering, VPNInstanzen und Dynamischem Routing nutzen
Region
Das Security-Enforcement VPC
VPN Setup
Fachabteilung Fachabteilung Fachabteilung
Fachabteilung Fachabteilung Fachabteilung
Local VPCs
Netzwerk-Verwaltung Security-Verwaltung
Aufbau Peering
Lokales Peering T
T
T
T
T
T
T
Security Enforcement VPC • Zentrale Gate Keeper • Firewalls • Zertifikat-Checks • Zentrale Prüfung • IDS • Audit • Zentraler Check auf Schadcode • Viren-Filter • Viren-Scanning • M2M • Business-Bus • Request-Filtering • Queuing • UVM
Fragen & Antworten