Región
Ubicación física compuesta por multiples Availability Zones (AZ)
Availability Zone
- Zonas de fallo independientes entre sí
- Separadas máximo 100km
- Infraestructura en 1 o más datacenters
Instancia EC2
Es una maquina virtual provista por Amazon. Esta basada en una imagen AMI de un sistema operativo (ej: Windows 11, Red Hat 7/8, Ubuntu 22.04, etc).
Puedo attachearle discos y placas de red virtuales
VPC
Es una parte de la nube AWS lógicamente segregada, donde podemos lanzar recursos en una red virtual.
Las VPC se definen dentro de una región AWS determinada
Características de una subnet pública
- Subred con conexión directa a Internet
- Las instancias EC2 obtienen una IP pública y una privada
- Permite asignar Elastic IPs
Características de una subnet privada
- Subred sin acceso directo a Internet
- Las instancias EC2 obtienen solo IP privada
- Si algún recurso requiere salir a internet debe usar NAT gateway
- Usos típicos: application servers, bases de datos
Elastic Network Interface - ENI
- También conocida como “network interface”
- Es una placa de red virtual
- Se crean en una AZ determinada
- Se pueden attachar a las instancias EC2 de la misma AZ
- Pueden tener asociadas IPs pública y/o privadas
Internet Gateway - IGW
- Conecta subnets a Internet
- Debe estar atacheado a una VPC, trabaja como un Default Gateway para esta VPC
- Crea NAT stateless (llamada NAT 1:1) entre IP Pública y Privada. Es decir, las IPs publicas van a salir a internet sin cambios (el IGW es transparente). Análogamente si me quiero conectar a una instancia EC2, directamente uso su IP publica.
- Si se necesita stateful se debe usar NAT Gateway
- Es el default Gateway de la VPC
NAT Gateway
Para que las intancias privadas puedan salir a internet, por ejemplo para descargar alguna actualizacion
Diferencias entre NAT GW e IGW
NAT
- Solo salida a Internet u otra red
- Ubicada en la subred pública
- Stateful
IGW
- Bidireccional con Internet
- Ubicado en el borde la VPC
- Stateless
Transit Gateway
- Actúa como un router virtual regional
- Simplifica la conexión de:
- Múltiples peering
- Centro de Cómputos On-Premise
- Permite redes de tipo estrella (hub and spoke)
- Se declaran los ID de todas las VPC
AWS Direct Connect
Permite conexión directa a la red de AWS (por cable). Es una conexion dedicada
AWS Private Link
Te permite conectarte directamente entre una VPC y otro servicio sin pasar por Internet.
Zero Trust Policy
Modelo conceptual de seguridad que se basa en la idea de que el acceso no depende solamente de la ubicación en la red.
Dibujar arquitectura vista en clase
VPC IP: 192.16.0.0/16
ACL
- Cada VPC se crea con un ACL default.
- Se puede asociar un mismo ACL a varias subnets
- Cada subnet puede tener un único ACL
- Un ACL puede tener múltiples reglas (inbound y outbound)
- Se permiten reglas de tipo “Allow” y/o “Deny”
Diferencia entre SG y ACL
SG: A nivel instancia (se asocia con un ENI), stateful, solo permite reglas allow.
ACL: A nivel red/subred, stateless, permite reglas allow/deny
Route 53
Servicio de DNS administrado por AWS. Algunas features:
- Registro directo de nuevos dominios
- Resolución de nombres de dominio existentes
- Health Checks: son chequeos que se hacen contra determinados destinos para ver si estan activos, y en base a eso alterar la resolución de nombres.
Hosted Zone
Es un contenedor de registros DNS que tiene el mismo nombre que el dominio al cual resuelve
- Public: resolución de nombres accesibles via internet
- Private: Para resolver nombres internos dentro de una VPC
ELB
Un ELB es un load balancer adentro de AWS. Es una IP a la que le pego y me redirige según las reglas que tiene. Distribuye el tráfico entrante hacia múltiples destinos (instancias EC2, IPs, containers, etc). Escala automáticamente el hardware que usa dependiendo del tráfico entrante, es autoadministrado por AWS.
AWS WAF
Protege tu app red a través de reglas que indican qué se puede hacer y qué no. - Protege contra exploits comunes de capa 7 pero no contra DDoS
AWS Shield Standard
- Sirve para mitigar ataques DDoS, la red de bots, la bottinet ((jira))
- Te protege contra ataques básicos, como por ejemplo SYN Flood
- Permite administrar las reglas para todas las cuentas de una organización
- Reglas comunes de seguridad
AWS Firewall Manager
- Se usa cuando tenes multiples organizaciones en aws, para hacer reglas a nivel compañia madre, y que las organizaciones internas no puedan sobrepasarla
- Para no permitir cosas de forma global, a nivel compañía
CDNs (Amazon CloudFront)
Grupo de servidores distribuidos geográficamente para optimizar el tráfico web, al llevar el servicio más cerca del cliente.
