AWS Certification: Solutions Architect Associate Parte 4

Network services - Introdução

Chegamos na parte final do nosso curso de AWS: Solutions Architect, a parte número 4. O que falta estudarmos? Tem algumas tecnologias que ainda vamos ver, conceitos relacionados ao overview, pontuar as características principais.

Também, logicamente, laboratórios que vamos fazer, várias atividades de alguns assuntos principais, dentre eles, quero chamar tua atenção para o assunto do HA, que é alta disponibilidade, importantíssimo dentro desse conceito, não só desse curso aqui, mas no conceito de nuvem em geral.

Também vamos complementar alguns assuntos de rede que estão diretamente ligados ao que estudamos na parte 3 do curso, quando vimos aquela questão de VPC. Vamos dar início ao curso. Podemos fazer login no console para começarmos.

Network services - VPC Flow Logs

00:00] Para começarmos o nosso curso e já partirmos para a ação, vamos aprender sobre um assunto e já temos uma atividade a fazer, em paralelo.

Qual a principal ideia desse assunto "VPC Flow Logs"? Esse serviço é sobre o seguinte: é sobre a importância de pegarmos as atividades e termos log, registro do que acontece no nosso ambiente.

Isso se aplica não só em você registrar os lotes para uma auditoria, para o controle, mas também importante você ter lá o log para fazer, por exemplo, uma análise de segurança. De repente você precisa saber o que está acontecendo no teu ambiente naquele momento, naquele ponto ali e onde você vai buscar essa informação?

A ferramenta que te ajuda para isso é a "VPC Flow Logs". Como característica, essa ferramenta publica os dados não só no "CloudWatch", mas também dentro do "S3". É importante saber isso: "PC Flow Logs" aponta para o "CloudWatch" e também joga o dado para o "S3".

Vamos fazer um laboratório disso para ficar melhor contextualizado, vamos fazer o seguinte: No console, vou criar uma instância EC2, naquele default que trabalhamos durante todo o curso.

"Avançar > T2 micro", vamos escolher, não tem nenhum mistério, não se preocupe com VPC, nada disso, pode ser no default, "Storage > Security Group". Vou associar só o acesso remoto e vou lançar a instância.

A chave está lá: "Launch Instaces". Beleza. Não vou me preocupar nem com o nome, porque já vamos exclui-la, é só para ela gerar log e tudo mais. Está carregando a nossa instância.

Imagina que você quer coletar o log, esse servidor é importante, você tem que ter log para auditoria, enfim, ter a informação. O que fazemos? Vamos abrir uma nova teb e chamar o "CloudWatch", porque é nele que vamos criar, apontar o nosso registro.

Esse registro que eu vou criar vai ser a coleta de log para toda a VPC, não especificamente para a máquina. Eu criei uma máquina só para podermos acessar e ver também algumas regras, algumas coisas interessantes.

"CloudWatch" e fazemos: selecionar "Logs" no lado esquerdo da tela e criar um grupo. Vou chamar de "vpc-flow-producao" para ficar coletando os dados dessa VPC, aonde tem essa máquina que eu estou trabalhando. Está criando.

Uma vez criado o grupo, agora eu vou pegar lá minha VPC e direcionar o tráfego, os logs para esse grupo. Como fazemos isso? Vamos lá na VPC, a nossa VPC, eu estou trabalhando na default, que é onde eu criei a minha instância. A VPC está aqui, é default, "Actions > Create flow log", isso é importante.

Agora preciso filtrar o que foi aceito ou o que foi rejeitado ou tudo. Eu quero pegar todas as informações. Esse filtro é legal até para você, como eu disse, fazer um exame pontual.

Está tendo lá um ataque, alguma situação anômala e você quer registrar isso. Log, quem trabalha, quem já teve a oportunidade de olhar a quantidade de log em um ambiente de produção vai ver que são trilhões de linhas lá por segundo, então o filtro ajuda bastante.

No nosso caso, que é pouco, eu vou colocar em "Filter" "All", ou seja, vai pegar todo tráfego que aceitar e o tráfego que foi rejeitado que está batendo aqui na nossa VPC. Para a nossa análise, eu vou usar "All".

Esse intervalo de agregação, o que é isso? Ele junta a série nesse tempo e posta, junta a série e posta lá. Ele vai criando entradas. Para ganharmos tempo, eu vou agregar esse em 1 minuto. A cada 1 minuto ele agrega e joga lá.

Para onde eu quero mandar? Eu quero mandar para o "CloudWatch". Lembra aquelas opções? É para esses detalhes que eu sempre chamo a atenção aqui, sobre a importância deles. No flows, posso associar ao "CloudWatch" e ao "S3". Essa é a melhor maneira de você memorizar isso.

Mandei para o "CloudWatch", para o grupo que criamos a pouco. Chegamos na parta da "role". Já estudamos isso, a role, na verdade, eu vou ter que dar direito de escrever lá no log, eu tenho que criar uma role para isso. Só que já tem um atalho, permissão para publicar no "CloudWatch". Na verdade, vamos escrever lá dentro.

Em "Set Up Permissione" e vamos abrir uma nova tab aqui, ele já vai criar a role para nós, "Create a new IAM Role" com o nome "FlowlogRole". Já está pronto. Se você quiser ver aqui o que dar direito, cria um grupo, cria lá o stream para poder mandar, PUT, LOG, Events, ou seja, ele vai escrever lá.

Essa é a role, "permitir". Está lá. Vamos voltar e ver se aparece. Sempre dá o reload para atualizar e está aqui, FlowlogRole, que é o nome que criou. É essa que vamos utilizar, vamos aqui na sequência.

No formato desse log, vou usar o default da AWS. Se você customizar, também tem essa opção, e vamos criar. Está criado e está associado. Fizemos essa associação.

O que precisamos agora? Monitorar. Para monitorar, os logs vão aparecer dentro do "CloudWatch", vamos ver eles todos em "Log groupes".

Vamos fazer o seguinte: vamos acessar a nossa instância até para gerar um tráfego lá, o acesso ´SSH´. Está aqui, vou conectar, vamos conectar na nossa instância, rápido, só para gerar. Estamos acessando aqui. O acesso ´SSH´ é permitido, isso vai aparecer lá em algum momento no log.

Outra coisa que é legal fazermos é o seguinte: vamos fazer um acesso que não é permitido. curl - I, vamos acessar. Vou acessar a máquina na porta "80". Não permitimos esse acesso. Isso vai bater lá e vai registrar um acesso indevido.

Você vai ver aqui, até quem não está acostumado a olhar log vai ter até uma surpresa, você vai entender. SSH pode e "80" do meu IP, foi o que eu fiz agora, não pode. Correto? O fazemos? Vamos no "CloudWatch", abrir o "CloudWatch" e a medida que ele vai agrupando, ele vai gerando essas linhas. Vai gerar essas linhas a cada 10 minutos, a cada 1 minuto como vimos lá.

Vamos abrir aqui. Olha só. "Ricardo, você fez SSH e fez http e tem um monte de linha, como assim?" Isso é a vida, eu gosto de dizer a vida como ela é, a vida como ela é na internet.

Você colocou uma máquina, colocou uma rede, são segundos para começar a bater um monte de tentativa de acesso lá e você pode monitorar. Cada reload que você der aqui isso vai embora, isso vai crescer aqui sem fim. Essa lista não vai parar de crescer.

Só para você entender, eu vou abrir um, porque o objetivo não é fazer análise de log, mas te mostrar a ferramenta. Olha aqui, "IP 87" com destino da minha máquina, porta de origem e porta de destino, tentou acessar a minha máquina na porta "10955".

Está aqui. Esse aqui tentou acessar na "8088", "68" na porta "123". "123", se eu não me engano, é NTP, o protocolo, é questão de tempo. Acho que é isso. Tem um monte de tentativas de acesso.

Isso daqui é o "log flow", eu vou agora apagar isso daqui porque tem uma maneira de apagar para não ficarmos sendo cobrado por isso. Fez o laboratório, viu, entendeu, dá uma brincada aqui, procura as informações. Não esquece de fazer a nossa faxina.

Vem em "Log groups > Actions > delete log groups > Delete". Ele vai excluir, só que não basta, temos que ir lá na VPC e, dentro da VPC, marcamos ela, "Flow Logs", está ativa. Você tem que vir aqui, "actions" e deletar esse "Flow Log". Senão ele vai ficar tentando mandar isso para lá sem parar, tem que fazer essa exclusão também.

Deletou, vai no "CloudWatch > Log groups", já demos o refresh, já tinhamos excluído. Veio mais um pedaço que estava pendente lá. Você deleta. O mais importante, lógico, que é deletar, mas também ir lá na VPC e excluir esse send que ele fica mandando para cá.

Por isso que eu quis fazer essa limpeza aqui junto contigo. Terminamos esse assunto de log, você vê a importância disso? Pensa sempre em segurança para trabalhar com esses detalhes? Na sequência, voltamos com mais conteúdo.

Network services - Bastion Hosts e Direct connect

Dentre os assuntos que envolvem a parte de rede, de acesso, eu tinha comentado sobre essa ideia, "Bastion Hosts", que, na verdade, é mais uma ideia do que uma tecnologia propriamente dita.

A ideia é ter um ponto de acesso, chegar nesse ponto e, a partir dele, acessar uma rede mais específica, por exemplo. Isso tem vários nomes, dentro da AWS, ele dá essa terminologia, "Bastion Hosts". Outras pessoas usam, eu já usei muitos anos essa ideia de rede de gerência, onde temos ponto de acesso e a partir desse ponto você chega em lugares específicos.

Seja usando uma nomenclatura ou outra, a ideia que é o seguinte: deixa-me pegar o desenho que sempre nos ajuda a visualizar melhor. A ideia é simples: temos lá aquele cenário hipotético da VPC, eu tenho uma rede pública e uma rede privada.

Eu preciso gerenciar essas instâncias que estão localizadas na rede privada. Como vou fazer isso? Eu tenho que criar uma forma, um caminho para chegar lá. Essa é a ideia, eu vou provisionar uma máquina com essa ideia do "Bastion Host", essa máquina tem uma característica especial. Você pega uma máquina, por exemplo, uma EC2, faz um hardware nela, ajusta, deixa toda fechada, e provê um serviço de SSH.

A partir daqui conseguimos gerenciar as instâncias, gerenciar esse ambiente interno.

Aqui a ideia é mais apresentar esse termo, que é o mais importante. Se você for perguntado algo do tipo: qual é a melhor maneira de gerenciar a instância lá na rede privada? Qual a tecnologia que eu posso utilizar? "Bastion Host" é a resposta. Pulou para ele e ele vai lá dentro fazer o acesso. É mais uma ideia, esse cenário nos ajuda a memorizar.

Na sequência, "Direct Connect". Um serviço bem bacana que a AWS oferece para os clientes. A ideia é: eu tenho uma demanda, eu tenho a minha rede e todo o meu serviço provisionando lá na AWS, eu quero ter um acesso direto para ele, como é que eu faço isso? Não quero depender da minha, vamos dizer assim, da internet, eu quero chegar diretamente à AWS.

O "Direct Connect" vai proporcionar um ponto de acesso com equipamento. Vamos colocar um equipamento do lado do ponto de acesso e vai interligar com a rede da AWS.

Para facilitar o entendimento, imagina que você pegou o cabo do teu switch e ligou no switch da AWS. Lógico que não é switch com switch, tem a questão de roteamento e tudo mais, mas é a ideia de você conectar diretamente, como o nome diz, na AWS.

Vamos olhar e abrir um laboratório só para você entender alguns detalhes importantes. Olha o desenho, esses desenhos ilustram bem o cenário. Eu estou aqui, a AWS está aqui.

Tem o ponto lá, o que ele chama de "Direct Connect Location", tem o ponto lá, esses pontos são logicamente espalhados e disponibilizados ao redor do mundo e nesse ponto eu coloco o meu "halter" e tem lá o "halter Direct Connect", o endpoint dele lá.

O que vai acontecer aqui é que eu vou conectar um no outro e a partir daqui eu tenho, se colocarmos esse aqui de forma transparente, eu tenho, vamos dizer, um cabo direto lá para AWS. É essa a ideia, conexão direta. "Direct Connect" para facilitar a memorização e o entendimento do serviço.

Como fazer isso? Vamos ao console, colocamos lá "Direct Connect" em "Find Services". Vamos criar uma conexão. Para criarmos essa conexão, a parte física toda já tem que estar implementada. Tem uns detalhes para chamar a tua atenção, vou colocar "direct-lab".

Location, essa localização é para os pontos do "Direct Connect" espalhados ao redor do nosso planeta. Lembrando, que não é, logicamente, todo lugar que tem esse ponto de acesso. Coloquei "bra" de Brasil, ele mostrou esses três pontos: no Rio de Janeiro, eu tenho um ponto, em São Paulo e na TIVIT lá em São Paulo, tenho 3 pontos de conexão.

Vamos ver esse do Rio. Vou marcar esse. E sobre onde vai ficar, já corresponde a questão física. Olha aqui, "Port speed", como é que eu posso, quais são as opções de conexão do "Direct Connect"? Temos as opções de conexão em porta giga e porta de 10 giga, logicamente, vai estar relacionado ao serviço que você já contratou.

Está aqui, vamos ver que eu contratei lá 10GB. "Configurações adicionais > Create connections", vamos criar a conexão. "Provedor" eu esqueci de marcar, eu coloquei "Telefônica", "Create connections".

Está aqui. Isso, logicamente, só vai valer, só vai funcionar esse negócio quando tiver toda a minha estrutura montada. Não precisa criar essa conexão aqui, até para evitar gerar um custo e tudo mais, mas a ideia simples é só você provisionar esse serviço.

Importante saber, conexão direta 1 giga ou 10 gigas de conexão. No próximo vídeo, continuamos com mais assuntos relacionados a parte de rede.

Sobre o curso AWS Certification: Solutions Architect Associate Parte 4

O curso AWS Certification: Solutions Architect Associate Parte 4 possui 133 minutos de vídeos, em um total de 31 atividades. Gostou? Conheça nossos outros cursos de AWS em DevOps, ou leia nossos artigos de DevOps.

Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:

• Network services
• Aplicações
• Highly available ELB
• Highly available EC2
• Serverless