VPC Advanced Bernd Oster Head of Holding IT-upply, Talanx ysteme AG Bertram Dorn olutions Architecture AW 15.05.2014 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.
How Talanx entered AW AW revenue from Talanx 32-CPU high performance Personal Computer Jugend forscht Grids & Enterprise Apps Automation & elf ervice Estimated on Dec 31 st 2014 ---- 505 systems 11.214 cores 78 TB RAM 650 TB torage 2011 2012 2013 2014
What benefits Talanx gets out of AW Faster delivery Improved quality Awesome reduction of processing time of risk management applications e.g. improved risk model methodology Faster innovation Lower costs Within 4 work days: +10 % improvement of performance 33 % reduction of costs realized Reduced costs by 60% - 70%
Talanx Cloud Platform - Overview Local Campus Hannover Front Cloud Datacenter Ffm Amazon VPC Local Campus Cologne Local Campus xyz Internet Local etwork ubsidaries Local etwork ubsidaries Local etwork ubsidaries
Multiple VPCs used by Talanx Front Cloud - Management Datacenter Ffm Front Cloud Production Datacenter Ffm Front Cloud User Acceptance Datacenter Ffm Front Cloud Development Datacenter Ffm Amazon VPC --- Production Amazon VPC --- User Acceptance Amazon VPC --- Development Amazon VPC Management Production User Acceptance Tests Development Management AW Direct Connect Routing until May, 7th 2014
The latest feature: VPC peering Front Cloud - Management Datacenter Ffm Front Cloud Production Datacenter Ffm Front Cloud User Acceptance Datacenter Ffm Front Cloud Development Datacenter Ffm Amazon VPC --- Production Amazon VPC --- User Acceptance Amazon VPC --- Development Amazon VPC Management VPC peering@talanx --- lowered network latency from 56ms to 1ms --- peeded connection up from 1.00 MBytes/sec to 38.0 MBytes/sec AW Direct Connect Routing since May, 7th 2014
What s next Increase of AW resource > +30% Moving other types of application to AW Introduction of new AW components for Talanx VPC peering Elastic Load Balancing DynamoDB Amazon Workpaces
uperet + VPC Bertram Dorn, olutions Architecture AW 15.05.2014 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.
VPC Advanced: Agenda Vision Werkzeuge Zusammenbau Möglichkeiten
Die Vision - Das grosse Zusammenschalten: - VPC <-> VPC - Teilen von zentralen Ressourcen - utzen verschiedener ervice-optionen - VPC <-> OnPremise - Einfache etzwerkwege in die Cloud - Zur utzung von Ressourcen auf beiden eiten - Verwendung alle Pfade zum optimalen utzung - Erhöhen der Redundanz
Die Vision - Transparenter und einfacher Zugriff von VPC/VPC/Home/und Anwendungen - Zu Anwendungen - Zu Diensten (Workflow/Directory/Identity/Access) - Zu Infrastruktur (D/AM/Licencing) - icherer Transport - Der innere Adressraum ist zu verbergen - Authentisieren und Verschlüsseln der Kommunikation - Hoheit über den Verschlüsselungsvorgang (chlüssel/algorithmen) - Administration - Flexibles Routing und utzung aller Pfade (Direct Connect/Least Cost/Low Latency) - Das achdenken über Adressen sollte nicht mehr erforderlich sein
Beispiele
Vision I
Wie? Werkzeuge BGP IPec AW Bausteine VPC VGW IGW Routing ACL EC2 Instanzen ecurity Groups Weitere IAM CloudFormation
AW Platform + BGP + IPEC Redshift Enterprise Level upport
VP und das VPG Leistungsmerkmale Ist zweimal vorhanden Kann auch BGP sprechen Einfache Konfiguration Zusätzliche Anforderungen Eigenständiger Aufbau des Tunnels Kontrolle über den Algorithmus Flexibilität auf den langen trecken
Adressierung 1 routing/forwarding engine is not made for dynamic routing Vielfache Default-Routen (0.0.0.0/0) Änderungen im Addressraum (neue Adressräume / neue VPCs / neue Lokationen) Zugriff zu AW Ressourcen außerhalb des VPCs (3 )
Adressierung 2 Total Address pace On Premise AW Location A Location B Region A Region B Region C DC A1 DC A2 DC B1 DC B2 VPC VPC VPC VPC VPC VPC AZ AZ AZ AZ AZ AZ AZ AZ AZ AZ AZ AZ
? Adressierung 3 Total Address pace On Premise AW Location A Location B Region A Region B Region C Freier DC A1 DC A2 DC B1 DC B2 VPC VPC VPC VPC VPC VPC Raum AZ AZ AZ AZ AZ AZ AZ AZ AZ AZ AZ AZ euer Raum euer Raum
Adressierung 4 Dynamisches Routing ist ein Muss Unterstützt schnelle Änderungen Ermöglichet die Hochverfügbarkeit BGP Baut auf stateful TCP-Verbindungen auf Unterstützt bei der ensorik
Infrastruktur
Default Routing
VP etup
Mit BGP
Alles zusammen
Hochverfügbarkeit Die Hochverfügbarkeit muss durch Verwaltung der VPC Routingtabelle hergestellt werden Dies ist mit AW Werkzeugen möglich
Anzahl der Konfigurationen Die Masse der Endpunkte Alle Pfade ~ n^2 Konfigurationen
Automatisierung Die automatische Konfiguration Ein VPC per CloudFormation oder Boto -> Unproblematisch Zweite Instanz Wie wird die erste Instanz konfiguriert? Wie wird der chlüssel ausgetauscht Wie wird authentisiert? Wie bauen wir die ecuritygroups auf? te Instanz
Kontrolle im etzwerk ecurity Groups und ACL Konfiguration Auf den Gateways ist nicht bekannt wo der Datenstrom her kommen wird ICMP ist für die Fragmentierung wichtig Die Verwaltung von vielen ecurity Groups ist aufwändig
Zukunft Alles sollte authentisiert werden Alles sollte verschlüsselt werden Auch Datenströme innerhalb einer AZ können das Gebäude verlassen Peering ist nicht gleich Verschlüsselung Pragmatischer Ansatz Umsetzung von VPC Peering Mit einem ecurityenforcement VPC anfangen und sich von dort aus verbreitern Eigenes VP auf den langen Distanzen zwischen den Regionen etablieren Die Kombination aus VPC-Peering, VP- Instanzen und Dynamischem Routing nutzen
Region
Das ecurity-enforcement VPC
VP etup
Local VPCs Fachabteilung Fachabteilung Fachabteilung Fachabteilung Fachabteilung Fachabteilung etzwerk-verwaltung ecurity-verwaltung
Aufbau Peering
Lokales Peering T T T T T T T
ecurity Enforcement VPC Zentrale Gate Keeper Firewalls Zertifikat-Checks Zentrale Prüfung ID Audit Zentraler Check auf chadcode Viren-Filter Viren-canning M2M Business-Bus Request-Filtering Queuing UVM
Fragen & Antworten