Análisis de los servicios de Base de Datos y Redes
En este módulo estudiaremos el despliegue de servicios que Amazon ofrece a sus clientes para soluciones dedicadas a la creación de redes de AWS (VPC), al despliegue de bases de datos, analizando soluciones como RDS (Relational Databse Service), Amazon DynamoDB, para bases de datos no relacionales, los balanceadores de carga, el AutoEscalado y el Servicio de Amazon Cloudwatch.
VPC - Virtual Private Cloud
La nube privada virtual de Amazon (Amazon VPC) permite a los clientes lanzar recursos de AWS en una red virtual dedicada a la cuenta del cliente. Es una red personalizable, que le permite definir su propio rango de direcciones IP, agregar y eliminar subredes, crear rutas, agregar puertas de enlace VPN, asociar políticas de seguridad, conectar instancias ECC2 a su propio centro de datos y mucho más.
Con Virtual Private Cloud podremos:
- Utilizar Listas de Control de Acceso (ACL’s**)**. En algunos casos puede resultar interesante controlar el tráfico a nivel subredes filtrando el acceso de entrada y salida entre las mismas.
- Utilizar Security Groups, el firewall que AWS ofrece para gestionar acceso a IP’s y puertos. Es primordial utilizar esta capa para restringir los accesos y dotar de seguridad a la VPC.
- VPN. Si se desear (es recomendable), se puede enrutar todo el tráfico proveniente y dirigido a las instancias de la VPC mediante una conexión VPN encriptada.
La profunda integración de la VPC
Se integra con servicios de AWS como EC2, IAM, S3, Amazon RDS, DynamoDB, etc.
Qué podemos obtener de esas integraciones? Entre otras las siguientes ventajas:
- Iniciar instancias EC2 directamente dentro de una VPC, Provisionar IP’s dentro de la VPC, de servicios y recursos de AWS como por ejemplo, Amazon RDS, Load Balancer, Elasticache, etc.
- Para limitar el acceso a los recursos de AWS (como buckets de Amazon S3)
Estudio de los componentes de una VPC
Inter gateway
Una puerta de enlace de Internet ()Internet Gateway) es un componente de VPC de escala horizontal, redundante y de alta disponibilidad, que permite la comunicación entre su VPC e Internet. Es una combinación de hardware y software que permite a los recursos dentro de la VPC, alcancen Internet.
Una puerta de enlace de internet tiene dos Propósitos: Proporcionar un destino en sus tablas de rutas de VPC para el tráfico enrutable de Internet y realizar la traducción de direcciones de red (NAT) para las instancias a las que se les han asignado direcciones IPv4 públicas.
Analicemos brevemente NAT en Jamboard: Una puerta de enlace de internet admite tráfico IPv4 e IPv6. No causa riesgo de disponibilidad ni limitaciones de ancho de banda en el tráfico de tu red. No hay ningún cargo adicional por tener una puerta de enlace a Internet en nuestra cuenta.
Dato importante para nunca olvidar
Por defecto, Amazon otorga a los nueves clientes una VPC, configurada POR DEFECTO, con un Internet Gateway, Security Group, Table route y NACL’S configurados, sin coste alguna para el cliente.
Security Groups
Un grupo de seguridad actúa como un firewall virtual para que su instancia controle el tráfico entrante y saliente. Cuando lanza una instancia en una VPC, puede asignar hasta cinco grupos de seguridad a la instancia.
Los grupos de seguridad actúan a nivel de instancia, no a nivel de subred. Por eso, cada instancia de una subred de su VPS puede asignarse a un conjunto diferente de grupos de seguridad. Para cada grupo de seguridad, agrega reglas que controlan el tráfico entrante a las instancias y un conjunto separado de reglas que controlan el tráfico saliente.
Es decir, los Security Groups, actúan como firewall, basado en reglas para permitir o denegar tráfico entrante y saliente, las reglas pueden controlar el tráfico entrante (INBOUND) o el tráfico saliente (OUTBOUND).
Network Access Control List (NACL’s)
La lista de control de acceso a ACL es una capa adicional de seguridad para su nube privada virtual de Amazon. Actúa como un firewall para controlar el tráfico de entrada y salida de una o más subredes. Puede configurar sus reglas de ACL de manera similar a sus Grupos de seguridad.
Recordemos, los grupos de seguridad y la lista de control de acceso son dos cosas diferentes porque las NACL de la red de AWS no tienen estado, a diferencia de los grupos de seguridad que tienen estado.
En otras palabras, los cambios en las reglas entrantes (Inbound) no serán aplicables a la regla saliente (Outbound) en la lista de control de acceso. Por ejemplo, si desea cambiar el puerto de comunicación de sus instancias, debe agregar una regla de entrada y una regla de salida.
Tabla de rutas (Route Tables)
Una tabla de rutas contiene un conjunto de reglas, llamadas rutas, que se utilizan para determinar a dónde se dirige el tráfico de red de su subred o puerta de enlace.
Los siguientes son los conceptos clave para las tablas de rutas:
- Tabla de ruta principal: Viene automáticamente con la VPC. Controla el enrutamiento para todas las subredes que no están asociadas de manera explícita con ningún otra tabla de enrutamiento.
- Table de ruta personalizada: Una tabla de ruta que crea para su VPC.