Teorica 10 (SG, ACL, CDN) Flashcards
pasos para crear una vpc conectada a internet
- definir el rango de direcciones IP privadas y crear la VPC
- crear subnets en 1 o mas AZ
- Crear una ruta a internet (IGW)
- Autorizar trafico desde/hacia vpc
Como autorizamos el trafico desde/hacia la vpc
Por default todo el trafico es denegado
Tenemos Security groups (SG) (reglas que van a nivel instancia y son stateful)
Network ACL (nivel subnet y stateless)
Security Groups
Lo podemos pensar como un firewall virtual
Una instancia EC2 posee una o mas ENIs
Cada ENI tiene asociado uno o mas SG
Un SG puede tener reglas de acceso entrantes o salientes
Solo se permiten reglas del tipo “Allow” (todo lo q no está permitido es denegado) –> no podria bloquear el acceso a una ip determinada
Network ACL
Cada vpc se creea con un ACL default
Se puede asociar un mismo ACL a varias subnets
Cada subnet puede tener solo 1 ACL
Un ACL puede tener multiples reglas (inbound y outbound)
Se permiten reglas de tipo Allow y/o Deny
Capas de seguridad en redes en aws
Capa 1: security group (firewall virtual a nivel ENI)
Capa 2: Network ACL (objetivo: proteger instancias especificas dentro de una VPC)
Capa 3: Especificas del proveedor (firewall de DNS, WAF, shield de DDos)
Route 53
Servicio DNS de AWS
Registro directo de nuevos dominios
Resolucion de nombres de dominio existentes
Health Checks (Checkeos que se hacen contra determinados destinos para ver si estan vivos o no y en base a eso alterar la resolucion de nombres o no)
Caracteristicas de Route 53
AWS te asegura de que vas a tener un SLA del 100% (se supone q no se cae nunca)
DNS Failover (puedo configurar que si me falla alguno de los ips a los q apunta el nombre me devuelva otra cosa)
Resolucion basada en reglas
Logging de consultas DNS
Hosted Zone
Zona DNS (contenedor de registros DNS)
Public Hosted Zones (para resolucion de nombres accesibles via internet)
Private Hosted Zones:
para resolver nombres internos dentro de una VPC. Para obtener una respuesta de una private hosted zone debo preguntar desde una instancia EC2 dentro de la VPC
Alias Records
Tipo especial de registro en AWS (no es parte del estandar DNS)
Apunta a un recurso de AWS o a otro registro
Los alias pueden ser usados en la raiz de la zona
Son resueltos por Route 53 internamente
(AWS automaticamente va a updatear la ip por detras)
Para que se utiliza Alias Records
para apuntar directamente a cosas como
Un sitio web estático en un bucket S3
Una distribucion CloudFront
Un Elastic Load Balancer
Routing Policies
Controlan las respuestas de Route 53 a las consultas DNS
Podemos redirigir automaticamente las consultas a destinos que esten andando bien
Se utilizan en conjunto con los health checks
Tipos de routing policies
DNS normal
Failover
Geolocation: depende de donde esta el usuario que preguntaa te va a devolver una cosa u otra)
Geo proximity: No depende de donde esta el cliente sino que te devuelve la ip mas cercana basada en latencia
Latency: te devuelve el que tiene menor latencia
Multivalue answer
Weighted
Elastic Load Balancing
load balancer dentro de aws
Una ip q enmascara cosas que estan atras y cuando le pego a la ip me redirecciona de acuerdo a las reglas que tenga
Escala utomaticamente dependiendo del trafico entrante
Monitorea el estado y rutea a destinos sanos
Cross AZ
Tipos de Load Balancer
Application Load Balancer
Network Load Balancer
Gateway Load Balancer (3rd party appliaces)
Application load balancer (ALB)
Capa 7
http, https, grpc
Puede rutear en base al contenido del requet
Usos tipicos: sitios web, microservicios
Tiene sticky sessions