info:cursos:itformacion:awsassociate:vpc

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Següent revisió		 Revisió prèvia
info:cursos:itformacion:awsassociate:vpc [15/10/2018 10:05] – creat mateinfo:cursos:itformacion:awsassociate:vpc [17/10/2018 09:39] (actual) – [esquema] mate
Línia 52: Línia 52:
  
 == Laboratorio == Laboratorio
 +  * crear VPC propia (rango 10.0.0.0)
 +  * crear 2 subnets
 +    * solo disponible en una AZ
 +    * nombre: rango IP = 10.0.1.0-private
 +    * aunque tenga una IP pública, será innacesible hasta que no haya un internet gateway
 +  * crear internet gateway
 +    * solo 1 por VPC
 +  * atacharlo a la VPC
 +    * siguen sin tener acceso a internet
 +    * hay que modificar la Main Route Table
 +  * crear una Route Table en la VPC
 +    * añadir una ruta de salida 0.0.0.0 al gateway que hemos creado anteriormente
 +  * al crear un nuevo SG, el inbound está deshabilitado (o no tiene ninguna regla)
 +
 +== NAT Gateway
 +  * salida de máquinas que no tienen un internet gateway asignado
 +  * dos opciones:
 +    * ami nat instance server (en decadencia) : 
 +      * hay que crearla en la subnet pública
 +      * modificar la instanacia -> Networking -> Change Source/Dest. Check
 +      * añadir en la subnet privada he de modificar la tabla de rutas y añadir un **0.0.0.0/0** y asignarle la NAT INSTANCE
 +    * NAT gateway
 +      * totalmente gestionado por Amazon
 +      * crear el NAT en la subnet pública
 +      * modificar la tabla de rutas de la subnet privada y añadir un **0.0.0.0/0** y asignarle el NAT
 +
 +== ACLs
 +
 +== esquema
 +{{ :info:cursos:itformacion:awsassociate:pasted:20181017-092833.png }}
 +más información de todo el curso: [[http://jayendrapatil.com/category/aws/vpc/acl/
 +
 +== VPC Flow logs
 +  * a nivel de VPC, subnet o interfaz
 +  * tráfico aceptado, rechazado o todo
 +  * almacenamiento en CloudWatch Logs o S3 Bucket
 +  * No se pueden hacer flow logs de VPCs "peered" que no estén en tu cuenta
 +  * no se pueden tagear
 +  * no se captura: 
 +    * el tráfico a los DNS
 +    * activación de licencia de windows
 +    * tráfico a 169.254.169.254 (metadatos)
 +    * DHCP
 +    * ...
 +
 +== VPC Gateway Endpoint
 +  * examen: solo los Gateway
 +  * endpoints privados para S3 y DinamoDB, de manera que las conexiones a estos servicios se realice internamente (y no salga a internet, ya que estos servicios "publican" directamente con IP pública)
 +  * el tráfico dentro del VPC no se cobra
  • info/cursos/itformacion/awsassociate/vpc.1539623138.txt.gz
  • Darrera modificació: 15/10/2018 10:05
  • per mate