Teorica 9 (VDC, Cloud) Flashcards

1
Q

Cloud computing

A

acceso a recursos de tecnologia manejados por expertos
Disponibilidad a demanda
Mas eficiente q hacerlo nosotros mismos
Acceso a traves de internet
Sin inversion inicial
Pago por lo que uso
Cuando estamos empezando suele ser mas economico hacer en cloud pero en algun punto termina siendo mas barato hostear on premise

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

VDC

A

Virtual Data Center
Amazon tiene varios data centers en fisicos en distintas regiones con distintas zonas de disponibilidad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Regiones

A

una region es una ubicacion fisica compuesta por multiples Availability zones (AZ)
Cada az lo podes pensar como un datacenter separado

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Availability Zones

A

Zonas de fallo independientes entre si
separadas a max 100km
infra en 1 o mas datacenters
ej: us-east-1a y us-east-1b

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Instancias EC2

A

Son maquinas virtuales de amazon
basadas en una imagen de un sistema operativo (windows 11, ubuntu, etc)
puedo attachearle discos y placas de red virtuales (todo se paga)
se pueden detener y reiniciar a demanda

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

VPC

A

Es la red dentro de la nube
Es una parte de la nube AWS logicamente segregada donde podemos lanzar recursos en una red virtual (ej: EC2, discos, etc)
Se definen dentro de una region determinada (NO es cross region)
Define una lista de bloques CIDR (minimo /28 maximo /16)
NO se puede cambiar el CIDR original una vez creada la VPC
Se pueden crear nuevos bloques para expandir la VPC

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

VPC - Subnets

A

Dentro de una VPC puedo definir subnets
Cada subnet se define con un bloque CIDR de la vpc
No se pueden redefinir, hay que eliminarla y recrearla
Asociada a una AZ especifica

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

VPC - Route tables

A

Controla el trafico de la red VPC
La VPC tiene una tabla de ruteo default que aplica a toda la VPC

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Public subnet

A

Conexion directa a internet
Las instancias EC2 obtienen una IP publica y una privada
Permite asignar Elastic IPs
usos tipicos: DMZ para web servers, load balancers, etc

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Private subnet

A

sin acceso directo a internet
Las instancias EC2 solo obtienen IP privada
Si algun recurso quiere salir a internet debe usar NAT
Usos tipicos: Application servers, bases de datos

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

ENI - Elastic Network Interface

A

Es una placa de red virtual
Se crean en una AZ determinada
Se pueden attachear a las instancais EC2 de la misma AZ
Pueden tener asociadas IPs publica y/o privada

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Elastic IP

A

Amazon tiene un pool de IPs publicas que podes reservar o tmb podes traer las tuyas y amazon se encarga de ahcer todo el funcionamiento por detras

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Failover en Elastic IP

A

Supongamos que ttengo redundancia en un server por si uno se cae tener el otro de backup. En ese caso lo que puedo hacer es reasignar la IP a la otra instancia (es una opcion manual, no esta automatizada)
Hay mejores opciones

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

IGW - Internet Gateway

A

Un router de toda la vida con nombre fancy
Conecta subnets a internet
Debe estar attacheado a una VPC
Crea NAT stateless entre ip publica y privada
Si se necesita Statefull se debe usar NAT Gateway
Es el Default Gateway de la VPC
No tenes que darle una ip ni nada, anda por ahi en el metaverso dando vueltas dentro de la VPC

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

NAT Gateway

A

Conexiones de salida hacia otras redes (i.e. internet)
Permite que las instancias en una subred privada se conecten a servicios fuera de tu VPC, pero los servicios externos no pueden iniciar una conexión con esas instancias
Alta disponibilidad
Requiere asignarle una Elastic IP porque va a salir en nombre de la instancia EC2 que esta en la subnet privada
Sigo necesitando el IGW para que el NAT Gateway salga
SIEMPRE SE PONE EN LA MISMA VPC

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

NAT GW vs IGW

A

NAT GW solo tiene salida a internet u otra red mientras q IGW tiene I/O desde y hacia internet
NAT GW se ubica en public subnets mientras que IGW esta en VPC-Level
NAT GW es statefull mientras que IGW stateless
NAT GW se usa tipicamente conectarse a redes externas usando NAT mientras que IGW se usa tipicamente para publicar una instancia/servicio en internet

17
Q

VPC Peering

A

Por default los VPC estan aislados de otras redes privadas. Cuando tenemos multiples VPC podemos conectarlas entre si para que interactuen como si estuvieran en la misma red
Se crea una tabla de ruteo con destino a equipo que hace el Peering

18
Q

Transit Gateway

A

Actua como un router regional
Simplifica la conexion de multiples peering, centro de computos On-Premise
Permite redes de tipo estrella
Se decclaran los ID de todas las VPC

19
Q

Como armo una red en AWS

A
  1. Crear VPC
  2. Definir subnets dentro de la VPC
  3. Armar las tablas de ruteo
  4. Provisionar Internet Gateway /NAT gateway
20
Q

AWS Direct Connect

A

Permite conextion directa a la red de AWS
Colocacion: llevar equipamiento (router) a AWS o bien usar un Partner que ya tenga equipos en AWS (es mas caro pero usa una red privada que no depende de la latencia de internet)
Se accede directo a la region asociada (sin pasar por internet)
El router debe soportar BGP

21
Q

AWS Private Link

A

Permite conexion directa entre una VPC y otro servicio sin pasar por Internet
Se crea un VPC endponit para el servicio externo
Esto genera una ENI en nuestra subnet con una ip privada que sirve de punto de entrada para el trafico destinado al servicio
Se puede usar tanto para servicios de AWS (ej un bucket de s3) como externos (no es lo mas comun)

22
Q

Zero Trust Policy

A

Es un modelo conceptual de seguridad que se basa en la idea de que el acceso no depende solamente de la ubicacion de la red
No hay que tener reglas duras de como se puede acceder a un servicio sino que es importante tener en cuenta el contexto en el que se esta accediedo

23
Q

Principios de Zero Trust Policy

A

El rol de los controles en la red y los perimetros siguen siendo importantes para la arquitectura de seguridad general
Los conceptos deben ser aplicados de acuerdo al valor asignado a los sistemas y datos que estamos protegiendo