Construcción de una arquitectura altamente disponible en AWS
Aprende a minimizar costos con Auto Scaling, asegurando de que el número de instancias de Amazon EC2 que...
¿Tu empresa necesita establecer una conexión privada entre los centros de datos On-Premises y su cloud AWS? Te contamos cómo hacerlo correctamente.
Cloud Computing es uno de los temas más relevante y de mayor demanda en el mundo tecnológico. En los últimos años el uso de servicios en la nube ha aumentado de forma exponencial y seguirá creciendo.
Los desafíos de trabajo remoto, las limitaciones de recursos, la modernización de aplicaciones y la transformación de digital de las empresas, han acelerado la adopción de la nube.
Básicamente, la computación en la nube es el núcleo de todos los servicios digitales. En muchos casos, las empresas necesitan establecer una conexión privada entre los centros de datos On-Premises y su entorno en la nube, ya sea como punto de partida para una migración, para realizar respaldos o para mantener una arquitectura híbrida entre ambos entornos.
En este artículo describiremos las opciones y servicios para conectar tu infraestructura local con AWS (Amazon Web Services), una de las nubes públicas más grandes y más utilizadas en el mundo.
Hay varios escenarios donde se requiere establecer una conexión segura entre los centros de datos On-Premises y AWS. A continuación, te comentaré algunos de estos escenarios. Pero antes, te quiero compartir algo muy importante para aprender más sobre Cloud, Cursos de Cloud Computing, donde encontrarás cursos y talleres para profundizar en este tema en general, y desde luego, en AWS.
Migración a la nube
Cuando se planifica una migración de las aplicaciones existentes y recursos de TI a la nube de AWS, es fundamental establecer las bases para una correcta migración y aprovechar las ventajas que ofrece la nube. La red es un aspecto clave, debes planificar cómo trasladar las cargas de trabajo, la comunicación que tendrán los usuarios finales con las aplicaciones, y por supuesto, siempre pensando en la seguridad. Por estas razones debes considerar la implementación de una conexión segura entre las redes de las instalaciones físicas y AWS.
Backup y Disaster Recovery
Un plan de continuidad de negocio es esencial en cualquier empresa, esto nos lleva a implementar soluciones de Backup y Disater Recovery para restaurar las operaciones ante cualquier incidente. En este escenario, se necesita trasladar información desde las instalaciones a la nube, replicar continuamente aplicaciones y bases de datos, desde infraestructura física o virtual.
Nuevamente, definir el canal de comunicación es primordial, dado que se trasladan grandes cantidades de datos sensibles. Por lo tanto, necesitamos un buen rendimiento en la conectividad y desde luego, altos niveles de seguridad. Dependiendo de la cantidad de datos que se trasladan, se evalúa el tipo de conexión a utilizar.
Nube híbrida
Los entornos híbridos son muy comunes, generalmente las migraciones se realizan de forma paulatina, hay aplicaciones que no están preparadas para la nube, se requiere hacer una refactorización importante antes de que se puedan migrar. Por otro lado, la misma organización puede tener aplicaciones nativas de la nube, es decir, aplicaciones modernas que se desarrollaron bajo el modelo Cloud.
En algunos escenarios lo que se necesita es una extensión para ampliar los recursos locales y aprovechar las ventajas de los servicios en la nube, por ejemplo, tener algún tipo de almacenamiento en AWS u otro servicio para un caso de uso específico. También, hay casos donde tienen las bases de datos en la nube y la aplicación todavía se mantiene On-Premises o viceversa, por cierto, no es nada recomendable teniendo en cuenta la latencia, principalmente en bases de datos transaccionales.
Definitivamente, no es habitual apagar todo el centro de datos On-Premises y llevarlo a la nube. Y acá me refiero a ambientes híbridos en general, ya sea nube privada, infraestructura con virtualización tradicional o infraestructura física, complementada con nube pública, no precisamente una nube híbrida compuesta por nube privada y nube pública. Al final, para mantener una arquitectura híbrida, la red es fundamental, ambos ambientes deben estar conectados por una tecnología que asegure la comunicación, la portabilidad de los datos y aplicaciones.
Cuando lanzas máquinas virtuales o instancias en una VPC de AWS, de forma predeterminada no son accesibles desde tu red, realmente todo está restringido, incluso el acceso desde Internet, aunque la configuración es sencilla con los grupos de seguridad (Security Group) y las listas de control de acceso (Network ACLs) para habilitar el acceso desde Internet. Hay aplicaciones de uso público que deben estar expuestas a Internet, pero otra gran parte de servicios de uso interno únicamente son accesibles de forma privada, y cuando tienes un ambiente híbrido, sin duda necesitarás establecer una conexión privada. La forma más fácil de conectarse de manera segura a servicios en la nube es a través de una VPN (Virtual Private Network). Para ello, se debe habilitar el acceso a la red On-Premises desde la VPC creando una conexión VPN sitio a sitio (Site-to-Site VPN) y configurando la tabla de enrutamiento para que el tráfico pase a través de la conexión.
En AWS tenemos disponible un servicio totalmente administrado llamado AWS Site-to-Site VPN. Este servicio permite levantar dos túneles IPSec entre el Gateway administrado en AWS y tu Router de salida o Firewall. De esta forma, el tráfico viaja cifrado entre estos túneles sobre Internet.
Para ejemplificar el funcionamiento de AWS Site-to-Site VPN, he preparado un pequeño diagrama que representa la conexión entre un data center On-Premises y la VPC en AWS. También, se pueden observar algunos de los componentes clave para implementar una VPN Site-to-Site.
Por un lado, tendríamos nuestra VPC en AWS, en una región determinada. Acá es donde tendrías tus cargas de trabajo en la nube. En ese sentido, lo que vamos a tener es un Virtual Private Gateway, que va actuar como terminador VPN del lado de AWS. Como he mencionado anteriormente, este es un elemento totalmente gestionado por AWS.
Por otro lado, tenemos un centro de datos On-Premises. A este lado, lo que necesitamos es un dispositivo de salida en el que se pueda configurar la VPN. Entre estos dos elementos se establece la conexión VPN. También, se necesita crear un Customer Gateway en AWS, el cual contiene información del dispositivo del cliente. Importante mencionar que, a medida que la infraestructura en la nube se expande, será necesario utilizar AWS Transit Gateway, este servicio funciona como un Router en la nube, y nos permite interconectar diferentes VPC y redes locales.
Virtual Private Gateway: Es un recurso en AWS que sirve como punto de conexión VPN para la conexión Site-to-Site del lado de AWS. Este recurso se debe adjuntar a la VPC que se necesita conectar con el entorno local.
Customer Gateway: También es un recurso en AWS, este Gateway no es más que una referencia a nuestro terminador VPN que tenemos On-Premises o Customer Gateway Device.
Customer Gateway Device: Este equipo pertenece al cliente, es un dispositivo físico o software, generalmente un dispositivo Firewall, que sirve para levantar la conexión VPN, aplicando la configuración que se genera desde AWS.
VPN Connection: Es la conexión segura entre el Customer Gateway Device en las instalaciones locales y la VPC en AWS. Esta configuración se realiza desde AWS, se debe configurar el enrutamiento para que el tráfico pase a través de la conexión.
Transit Gateway: Cuando la red crece, evidentemente la complejidad aumenta, si necesitamos interconectar varias VPC o establecer conexiones con diferentes redes locales, ya sea por VPN o Direct Connect, Transit Gateway nos ayudará a simplificar la red. Este recurso funciona como un Router en la nube y permite interconectar diferentes VPC y redes locales, es decir, estará como un punto central y se encargará de dirigir el tráfico desde y hacia cada VPC o VPN.
En muchos casos con un VPN Site-to-Site sobre Internet resolvemos el tema de conectividad, sin embargo, cuando hay un tráfico colosal, normalmente en grandes compañías es así, la cantidad de información que se traslada demanda otro tipo de conexión. No lo solo para el consumo de aplicaciones, a propósito, algunas aplicaciones necesitan tener una latencia baja, también, puede ser que se trasladen grandes volúmenes de datos como respaldos hacia AWS. Tener en cuenta que, la VPN a la que me refiero está por Internet, tiene un alto grado de seguridad, pero no deja de ser una conexión sobre Internet, se notará el impacto por la velocidad y latencia, en general se percibirá el efecto en el rendimiento de la red.
¿Cómo resolver los problemas mencionados? Es el turno de Direct Connect.
Es un servicio que permite establecer una conexión privada, dedicada, de alta velocidad y baja latencia desde una red local a la red troncal de AWS, propiciando tener un rendimiento más consistente y predecible, y reducir costos en ancho de banda. Básicamente, es tener un enlace de datos dedicado, sin pasar por Internet, por lo cual, el rendimiento en general de las aplicaciones mejora considerablemente. Podemos decir que, Direct Connect soluciona las limitaciones que tenemos con una VPN Site-to-Site sobre Internet.
Las ventajas de Direct Connect se pueden apreciar, mejora la seguridad, podemos alcanzar grandes velocidades, baja latencia y en algunos casos reducir los costos de transferencia. Por lo tanto, se utiliza a menudo en arquitecturas híbridas para extender la red existente y cuando se requiere transferir datos a gran escala. No obstante, Direct Connect agrega desafíos, principalmente la experiencia necesaria, ya que es una implementación más compleja que levantar un VPN y generalmente toma más tiempo hacer una implementación de este tipo.
Para implementar Direct Connect, primeramente, se debe seleccionar una de las más de 100 ubicaciones disponibles alrededor del mundo donde se conectaría a AWS, por lo general se elige la ubicación más cercana. Una vez seleccionada la ubicación, tendremos un Router de AWS en esa localización con el puerto esperando para conectarse. Lo siguiente es analizar cómo conectarse a ese puerto, en caso de no tener presencia en esa ubicación, entran en juego los socios o partners de AWS, podemos trabajar con un partner, este se encargará de extender esa conectividad y colaborar con la configuración correspondiente. Al final, el partner establecerá una conexión de enlace de fibra entre su dispositivo y el dispositivo AWS, expandiendo de esta forma, esa conectividad para lograr la interconexión entre los Data Centers On-Premises y AWS.
Recordar que, también se puede utilizar Transit Gateway para la conexión en el lado de AWS. Por supuesto, si necesitas conectar varias redes, siempre será la mejor opción.
No trato de hacer una comparativa exhaustiva, la idea es describir algunas diferencias y fundamentalmente dejar claro que ambas opciones pueden convivir perfectamente.
De forma predeterminada, Direct Connect no cifra el tráfico entre la infraestructura local y AWS. Por su parte, con una VPN Site-to-Site la conexión está cifrada, el tráfico pasa a través de los túneles IPsec. No obstante, Direct Connect al ser una conexión privada proporciona mayor seguridad.
En cuanto a implementación, sin duda la VPN Site-to-Site es más fácil de configurar y en poco tiempo estará disponible. Direct Connect por su parte, tomará más tiempo y requiere un nivel de experiencia mayor para realizar la implementación.
Con todo lo que he mencionado hasta este punto, en efecto, Direct Connect proporciona mayor rendimiento y en temas de velocidad, podemos elegir puertos desde 50 Mbps hasta 100 Gbps. El ancho de banda máximo por túnel de VPN puede llegar hasta 1.25 Gbps, aunque en una conexión VPN Site-to-Site hay varios factores que pueden afectar el ancho de banda obtenido.
Entre estos dos servicios hay grandes diferencias, pero no estamos limitados a usar un tipo de conexión u otro, realmente pueden combinarse, dando como resultado conexiones más robustas, seguras y de alta disponibilidad. A modo de resumen, mencionaré dos posibles escenarios:
Implementar una conexión dedicada con Direct Connect y sobre esta red implementar una VPN Site-to-Site. Con esta combinación, obtenemos el ancho de banda necesario y baja latencia con Direct Connect, y una capa adicional de seguridad con la VPN, cifrando el tráfico de extremo a extremo.
Conseguir alta disponibilidad, por un lado, tener la conectividad primaria con Direct Connect y, por otro lado, tener un respaldo con una VPN Site-to-Site sobre Internet.
Como puedes comprobar, estas opciones de conectividad son diferentes, como todo, hay ventajas y desafíos. Los casos de uso son variables, aunque con ambos servicios puede conseguir el objetivo inicial, conectar tu infraestructura local con AWS. Y no olvidar que, se pueden utilizar simultáneamente para obtener los beneficios de ambas soluciones.
También te puede interesar
Aprende a minimizar costos con Auto Scaling, asegurando de que el número de instancias de Amazon EC2 que...
En este taller se presenta AWS Lambda y se dan unas primeras instrucciones para la creacion de...