3 Days AWS Architect Solutions

Saludos Apasionado, Muchas Gracias por estar aqui nuevamente en nuestro tercer dia. Comencemos.

Accediendo a nuestra instancia EC2.

Existen varias forma de conectarnos a nuestra EC2 esto dependerá si queremos acceder de forma privada o pública, Todas las instancias se le asigna por defecto por lo menos una ip privada del rango RFC 1918. Se le puede asignar una o más ip, pero para esto debemos añadirle otra interfaz de red para aislar. Vamos a la práctica. (Maquina Linux)

Aquí observamos que tengo dos direcciones de IP privada asignada a la instancia (1), En que vpc tengo attach la EC2 (2), Subnet (3).

Esta EC2 solo puede acceder de forma privada obviamente si ya tiene el security group permitiendo. No tengo ip publica para acceder. La primera forma de conectarme a la ec2 es a través de Instance Connect, los requisito para conectarse a través de instance connect es tener una ip pública y tener permitido ssh.

Session Manager, Otra forma de conectarse a la ec2, pero tenemos que tener pendiente que debemos instalar un agente en la instancia. y debemos crear un perfil en IAM, Con Session Manager podrás conectarse a su instancia sin claves SSH o un host bastión. Las sesiones se protegen mediante una clave de AWS Key Management Service. Puede registrar los comandos y los detalles de la sesión en un bucket de Amazon S3 o en un grupo de registros de CloudWatch Logs.

En la siguiente ilustración solo podemos conectarnos de forma privada, con la siguiente introducciones.

En este diagrama te muestro como debe ser la arquitectura. (No quiero profundizar ahora esto tópicos más adelante lo veremos, Para no confundirte.).

Seguridad EC2

Eres el responsable de configurar apropiadamente el control de acceso para proteger el acceso no autorizado a tu instancia. Aws proporciona diferente herramientas para ayudarte con estas tarea; security group, Identity And Access Management (IAM roles), network address Translation (NAT) and key pairs.

Security Group Un security group juega un papel de firewall, por defecto un security group deniega todo tráfico entrante (Deny Implicit) y permite todo el tráfico saliente. Nosotros somos lo encargado definir la política de reglas denegar o permitir. Por favor solo permite el tráfico que se requiere consumir. por defecto un SG puede tener 60 inbound and 60 outbound rules. se puede asignar un security group a multiple instancia. Puedes también anidar security group esto lo hago mayormente cuando tengo servicio en a misma cuenta y para no permitir excesiva cantidad de redes, permito tráfico entre security group. Los security group controlan el tráfico a nivel de instancia. si desea asociar a la subnet se debe utilizar NACL.

IAM ROLES Control de acceso para los recursos de aws, Incluyendo EC2, puedes definir IAM roles para otorgar permisos y realizar acciones específica en los servicios y recursos que están dentro de su cuenta de AWS. Best Practice IAM Roles, solo para servicio de AWS.

NAT Devices A veces, necesitará configurar una instancia ec2 sin una dirección IP pública para limitar su exposición a la red, naturalmente, eso significa que no tendrá conectividad a Internet. pero que puede recibir parches de seguridad y actualizaciones de software, una solución es utilizar traducciones de direcciones de red para darle acceso a Internet a su instancia privada. Una solución es usa NAT para acceder a internet sin permitir el acceso desde internet. NAT instance y NAT gateway son la contramedida. En el diagrama de arriba se muestra la función del nat gateway. Nat Gateway es un servicio administrado.

Key Pairs Como un apasionado de la seguridad no establecerá las sesiones de inicio de sesión remoto en sus instancias en ejecución a través de una conexión de texto del plan sin cifrar, Debes establecer sesiones seguras, necesitas generar tu pares de claves para guardar la clave pública dentro de la ec2, y la clave privada en un repositorio local seguro. cada par de claves que generó permanecerá instalado dentro de su región original y disponible para su uso con instancias recién lanzadas hasta que lo elimine, si sufre un ataque debe eliminar las claves lo mas ante posible. solo debe asegurarse de otro mecanismo de acceso a la ec2 para que no pierda la administración.

EC2 Auto Scaling

Es el servicio que ofrece AWS para evitar falla de aplicaciones y recuperar cuando esto fallo ocurren, Auto Scaling funciona aprovisionando e iniciando un número específico de instancias ec2, a mayor demanda dinámicamente el servicio creará y aprovisionará está instancias . cuando una instancia se termina de inmediato auto scaling remplaza esa instancia. Auto Scaling utiliza la configuración de lanzamiento (Launch Configuration ) o la plantilla de lanzamiento (Launch Template) para configurar automáticamente la instancia. Ambos realizan la misma acción definir la básica configuración de parametros de la instancia.

Una configuración de lanzamiento es una plantilla de configuración de instancias que utiliza un grupo de Auto Scaling para lanzar instancias EC2. Cuando crea una configuración de lanzamiento, específica información para las instancias. Incluya el ID de la imagen de máquina de Amazon (AMI), el tipo de instancia, un par de claves, uno o más grupos de seguridad y una asignación de dispositivo de bloque. Si ha lanzado una instancia EC2 antes, especificó la misma información para lanzar la instancia. Puede especificar su configuración de lanzamiento con varios grupos de Auto Scaling. Sin embargo, solo puede especificar una configuración de lanzamiento para un grupo de Auto Scaling a la vez y no puede modificar una configuración de lanzamiento después de haberla creado. Para cambiar la configuración de lanzamiento de un grupo de Auto Scaling, debe crear una configuración de lanzamiento y luego actualizar su grupo de Auto Scaling con ella.

Una plantilla de lanzamiento es similar a una configuración de lanzamiento , ya que especifica la información de configuración de la instancia. Incluye el ID de la imagen de máquina de Amazon (AMI), el tipo de instancia, un par de clave. Sin embargo, definir una plantilla de lanzamiento en lugar de una configuración de lanzamiento le permite tener varias versiones de una plantilla de lanzamiento. Con el control de versiones de las plantillas de lanzamiento, puede crear un subconjunto del conjunto completo de parámetros. Luego, puede reutilizarlo para crear otras versiones de la misma plantilla de lanzamiento

Las funciones de AWS Auto Scaling están habilitadas por métricas y alarmas de Amazon CloudWatch. Las funciones se proporcionan sin cargo adicional más allá de las tarifas de servicio para CloudWatch y los otros recursos de la nube de AWS que utiliza.

DEMO LAB AUTO SCALING