Era hora de evoluir para uma arquitetura mais avançada, como pode ser visto no diagrama abaixo:
Parece complicado certo? Mas vamos explicar pouco mais sobre este conceito:
VGW
O “Virtual Gateway” é um componente lógico (e sem custo) na AWS que conecta a VPC às redes externas. Assim é possível configurar rotas, estáticas ou dinâmicas, em minha tabela de roteamento, para alcançar redes externas.
VPN:
A AWS possuí um serviço chamado “AWS Site-to-Site VPN“, que é uma VPN Gerenciada L2TP (as conhecidas VPN IPSec), que você pode configurar em apenas 5 minutos, já com redundância, exportar o arquivo de configuração do roteador/firewall OnPremises e a partir daí já está pronto para aplicar, ou enviar para seu parceiro. Esse serviço suporta roteamento estático e dinâmico via BGP, que é opcional. Podemos também configurar a VPN em uma instância EC2, nesse caso usamos um Appliance terceiro (ou um Linux). EExistem diversas opções sem custo, também é possível usar soluções de mercado disponíveis no AWS Marketplace, como PFSense, Fortinet, Sophos, Cisco, entre outros.
Peering: Se a necessidade é conectar redes AWS, com o VPC Peering, conseguimos enviar um convite para outro VPC, uma vez aceito, rotas podem ser configuradas. É importante saber/lembrar que as redes não podem conflitar (overlaping). O VPC Peering não tem custo, é pago apenas a transferência de dados realizada por ele.
Com isso percebemos que não só conseguimos realizar tudo que fizemos na camada de rede fora da Cloud, como ganhamos diversos recursos e benefícios inerentes antes indisponíveis.
Como próximo passo, surgiu a necessidade de migrar o ambiente produtivo da Corretora de Valores, a Mirae Asset Securities CCTVM para AWS. O que incluí não apenas workloads corporativos tradicionais como FileServer, Active Directory, Exchange e Aplicações WEB, mas também workloads específicos do mercado financeiro, como SINACOR, Order Management System (OMSs), Marketdata e Sistemas de Risco com bancos de dados em Oracle, SQL e MySQL.
Um ambiente híbrido de alta performance, resiliência e disponibilidade foi requerido, devido a características desse mercado, como:
• Necessidade de interligação com Bolsa de Valores (B3) via “Rede de Comunicação BM&FBOVESPA” (RCB);
• Interconectividade com Banco Central e outros órgãos financeiros (via RTM);
• Uso de Multicast para o Marketdata (UMDF);
• Transição entre OnPremises e AWS;
Com isso, mais uma leva de perguntas tiveram que ser respondidas:
• Posso me conectar fisicamente à AWS? Mas é muito caro, certo?
• E para interligar com Regiões diferente de São Paulo?
• Mas a latência não é alta?
• Preciso me conectar via sub-redes públicas certo? (Não, rs!)
• Como fica a questão de redundância?
• E o DNS, dentro do VPC o DNS é deles certo? Mas eu uso DNS Interno (nesse caso via Windows DNS)
• Sei que é uma boa prática usar várias contas AWS, preciso de vários Links?
Para responder a essas perguntas, trazemos o diagrama com suas modificações necessárias para atender as demandas requeridas:
Vamos aos componentes e seu entendimento:
Direct Connect(DX): Você precisa contratar da AWS (tudo via console, ou API) e se conectar fisicamente até um dos pontos de presença utilizando uma operadora;
Private VIF: É a interface virtual do lado da AWS para conexão com o rotador do ambiente OnPremises. Através do IP do VIF, estabelecemos uma sessão BGP (sim BGP é um pré-requisito para uso de Direct Connect)
Public VIF: É possível subir uma sessão BGP para alcançarmos os serviços públicos AWS (todos IPs públicos da AWS), via Direct Connect, dessa forma, não usamos nem os links de Internet OnPremises, nem Data Transfer Out no VPC. Funciona como um PPT entre sua estrutura OnPremises e a rede pública da Amazon. É possível inclusive subir a VPN por essa conexão, assim temos uma camada extra de criptografia, além de servir de redundância para o caso de falhas nos links físicos.
Direct Connect Gateway (DX-GW): É um recurso lógico da AWS (sem custo) que pode ser utilizado para conectar 1 VIF a vários VGW, logo várias VPCs.
Na América Latina os únicos pontos de presença de Direct Connect são:
• Tivit São Paulo
• Equinix São Paulo (SP4)
• Equinix Rio de Janeiro (RJ2)
É possível subir o link diretamente com uma região diferente de São Paulo, a Equinix, por exemplo, possui esse serviço, mas os custos fixos são elevados. Se conectando via São Paulo, a comunicação com outras regiões é segura e isolada, porém pagamos o valor de Data Transfer entre regiões, de São Paulo para Virgínia do Norte (EUA) por exemplo é 0,04 extra por GB.
Os custos são compostos por para implantação de Direct Connect são:
1. Direct Connect (AWS): Os custos são compostos de valor hora/mês pela conexão/interface e transferência utilizada. Detalhes de custo em link;
2. Operadora: Link de conectividade para chegar até um dos pontos de presença;
3. Customer Gateway: Roteador ou firewall OnPremises com suporte à BGP.
Note que a transferência de dados é mais barata via Direct Connect do que via Internet. Para São Paulo, por exemplo, o custo Data Transfer Out para Internet é de $0,25, enquanto dentro do Direct Connect é $0,11 ( ou seja, 56% mais econômico). Temos notado em cenários de clientes que assim como a Mirae Asset, que com $1.000 de Data Transfer que podem ser roteados via Direct Connect, os custos de conexão (links, interface, etc) “se pagam”.
“Mas o Direct Connect não tem redundância?”
Tem sim, se dermos um Zoom nesse ponto, vemos que não somente temos redundância via VPN, como também de links físicos com Direct Connect:
Além disso, no diagrama acima, conseguimos visualizar que é possível interligar contas diferentes com VIFs diferentes, existe a possibilidade de fazer isso entre VGW x DX-GW, mas essa é uma discussão para um outro post.
Direct Connect Dedicado x Hosted
Essa é uma dúvida bem recorrente também: “qual usar? E quais são as diferenças de ambos para nosso cenário?”
A resposta mais direta para essa pergunta é:
“No dedicado, você chega até um desses datacenteres, e contrata um cross-connection (Golden Jump) até o equipamento da AWS com 1 ou 10Gbps, e tem 50 VIFs por conexão. Já no “Hosted” ou compartilhado, a operadora (Parceiro de Direct Connect, como Telium, Mundivox, Embratel, Algar, etc) se conecta à AWS e te oferece 1 VIF entre 50 e 500Mbps.”
Sendo assim, é preciso entender sua arquitetura, pois em geral o Direct Connect Dedicado tem mais funcionalidades, mas traz um custo um pouco maior, além da gerência, que no Direct Connect Hosted, costuma ter gestão completa feita pelos Parceiros de Direct Connect, ou pela Darede .
DNS
Para resolução de nomes DNS, também há diversas soluções que variam desde o uso de seus próprios servidores DNS, OnPremises ou na AWS, até a integração do serviço de DNS da AWS, Route53 com suas zonas internas para ter o melhor das duas tecnologias! Mas esses detalhes também ficarão para um próximo post.
Além disso na AWS temos diversos outros recursos como o VPC Flow logs que registra todas as conexões que passam pelo VPC, VPC Port Mirror, ferramentas de detecção de ameaças como o GuardDuty, Web Application Firewall.
Dessa forma chegamos em um cenário onde temos a transição entre OnPremises para Cloud, aproveitando os benefícios dos dois mundos com escalabilidade, alta performance, alta disponibilidade, ótimos níveis de segurança e custos alcançáveis ao negócio.
Quer conhecer mais nossos projetos ou trabalhar com a Darede? Estamos procurando clientes e profissionais interessados em viver esse mundo de inovações conosco!
Flávio Rescia
CTO & Co-Fundador
flavio.rescia@darede.com.br
Sócio Fundador da empresa Darede, graduado em Redes de Computador e Sistemas de Informação, docente em Redes de Computadores no SENAI e hoje ministra diversos treinamentos de serviços AWS. Possuí vasta experiência com provedores de Internet, tecnologia para mercado financeiro e Cloud Computing.