Ir para o conteúdo
  • Empresa
    • SOBRE NÓS
    • TRABALHE CONOSCO
  • Soluções
    CONSULTORIA CLOUD
    • GET STARTED
    • DESIGN
    • IMPLANTAÇÃO
    MIGRAÇÃO
    SQUAD AS A SERVICE
    WELL ARCHITECTED
    SEGURANÇA E COMPLIANCE
    • MSSP
    • SECAAS
    • OFFENSIVE ACTIONS
    • SRT
    • REVENDA
    BIG DATA & MACHINE LEARNING
    • Analytics
    • AI/ML
    SERVIÇOS GERENCIADOS
    • MONITORAÇÃO 24x7
    • DAREDE MSP
    • GERENCIAMENTO DEVOPS
    • GERENCIAMENTO DEVSECOPS
    • GERENCIAMENTO FINOPS
    • GERENCIAMENTO DE BANCO DE DADOS
    • GERENCIAMENTO DE PABX IP
    • LICENCIAMENTO DE SOFTWARE
    COMPETÊNCIAS AWS
    • AWS CLOUD FRONT
    • AWS AURORA
    • AMAZON RDS
    • DEVOPS
    • MICROSOFT WORKLOADS
    • MIGRATION
    • PUBLIC SECTOR
    • PUBLIC SECTOR NPO
    • PUBLIC SECTOR EDUCATION
    • WELL ARCHITECTED
    • VMWARE CLOUD ON AWS
    • API GATEWAY
    • LAMBDA
    • NETWORKING ON AWS
    • FINANCIAL SERVICES
  • Cases
  • Blog
Darede Portugal
  • Fale Conosco
  • Canal Compliance
  • Seja Parceiro Autorizado
Confira a segunda parte do artigo sobre Descomplicando redes e conectividade. Escrito por Flávio Rescia

Quase sempre que falamos sobre redes na AWS, todos os tipos de dúvidas aparecem. Eu costumo dividi-las em três categorias:

1. Cloud Native: Do ambiente corporativo tradicional a startup mais descolada, sempre há dúvidas. Também somada àquela sensação de desconhecimento com o ambiente operacional, esta questão traz uma certa insegurança para os clientes.
2. Integração com OnPremises: Normalmente as dúvidas daqui são de clientes vindos de um ambiente corporativo maduro, eles querem saber quais são as diferenças entre as redes tradicionais e o Cloud Native, além de “como se conectar fisicamente às AWS”;
3. Serviços Integração: O campeão aqui é o DNS, mas há diversas dúvidas com Load Balancer, Endpoints e WAF. Estes serviços costumam se tornar um grande ponto de interrogação na cabeça dos clientes.

Com o grupo Mirae Asset não foi diferente. As dúvidas existiram desde o primeiro projeto (Cloud Native), passando também por interligações com VPN Site-to-Site, até uma estrutura complexa, com arquitetura híbrida, Direct Connect triplamente redundante, para operações financeiras de alta performance e baixa latência.

Nesse post tentaremos sanar o maior número de dúvidas possíveis, criando uma relação à realidade da Mirae Asset e sua trajetória na adoção de Cloud focada no mercado latino-americano e a realidade da Darede.

A Mirae Asset

A Mirae Asset é um grupo multinacional coreano de serviços financeiros. Composto por diversas células de negócio: Banco de Investimentos, Gestora de Fundos, Seguradora, Corretora e Gestora de Patrimônio. A Mirae Asset está em 15 países, com mais de 25 escritórios espalhados pelo mundo. No Brasil o grupo trabalha com a células: corretora de valores e gestora de fundos. No Brasil o grupo é atendido pela Darede há muitos anos.

O primeiro workload que realizamos na Mirae Asset, foi uma aplicação para hospedar uma aplicação web, sem integração com o ambiente OnPremises. Apesar de ser uma aplicação Cloud Native, algumas questões começaram a aparecer:

• Mas vai ficar tudo público?
• É seguro?
• Posso instalar um firewall? (acredite, em diversos casos você não precisará de um firewall)
• Posso segregar o banco de dados, backend e frontend?
• Eu subi uma instância EC2 com IP Público, mas ela só tem IP Privado, por quê?
• Qual a velocidade do link de Internet e seu preço?

Quando recebo uma variedade de perguntas como estas, eu digo: “Fique tranquilo, todas as respostas serão aquelas que você espera!”

O diagrama abaixo representa uma arquitetura padrão, implementada na maioria dos nossos clientes e que atende quase todos os cenários:

Agora vamos as explicações:

• VPC: É como um Switch Core (L3) em uma Região, porém estendido em múltiplos Datacenters (ou Avaliabilty Zones, as AZs);
• Sub-redes: Elas são como as VLANs em uma rede OnPremises, uma sub-rede só pode estar em um Datacenter. Por padrão, todas as sub-redes de um mesmo VPC tem conectividade entre elas;
• Tabelas de Roteamento: É aqui que definimos se uma sub-rede é pública ou privada, o que determina isso é a rota que existe, principalmente para default gateway (“0.0.0.0” e “::/0”). Fica claro aqui, que podemos ter redes totalmente isoladas se decidirmos dessa forma, e é assim configurarmos.
• IGW: O Internet Gateway é a interconexão mais usada entre a rede privada e a Internet na AWS. Somente com o uso de IGW, você consegue acesso originado na Internet para um recurso com IP Público no VPC, uma vez que é apenas por um deles que IPs Públicos funcionam para expor serviços privados (novamente, podemos filtrar por porta, origem, etc com Security Group).

• NAT Gateway ou NAT Instance: É um recurso que permite que serviços internos ao VPC acessem serviços na Internet, usando Source NAT (Tradução de Endereço IP de Origem). Porém, requisições originadas na Internet não alcançam os serviços internos à VPC. NAT Instance é quando usamos uma instância EC2 (Windows, Linux, FreeBSD, etc.) para essa função, é assim que implementamos um Firewall Appliance (Fortinet, Sophos, Cisco, etc). Já NAT Gateway é um serviço gerenciado pela AWS que realiza essa função.

• Serviços Públicos: Alguns serviços da AWS são originalmente públicos, esses serviços funcionam sem o VPC (mas veremos mais a frente que funcionam também com VPC), claramente há outros controles que garantem a segurança, mas é importante entender essa característica. São exemplos de serviços originalmente públicos: S3, SQS, SNS, DynamoDB, CloudFront, Secret Manager, Rekognition e outros. Lambda é um exemplo de serviço que antigamente não suportava VPC, mas agora suporta.

• IPs Privados: Assim como no mundo OnPremises, são IPs não roteados à Internet e são distribuídos em TODAS as sub-redes, o que incluí nos servidores (EC2).

• IPs Públicos: São IPs acessíveis apenas no IGW, a AWS faz um NAT 1:1 para o “IP Privado” do recurso ao qual o “IP Público” foi associado. É assim que mesmo com IP privado, conseguimos alcançar uma instância EC2 pelo seu IP público.

Além disso há camadas extras de segurança, como “Security Group”, que são regras de firewall statefull em cada recurso, ou ACL, que são regras de firewall stateless que funcionam no nível de todo o VPC.

Dito isso, há duas boas notícias.

A primeira boa notícia, além de perceber como é flexível rede na AWS, é que todos esses serviços podem ser usados sem custo, pois o modelo de cobrança é por uso, você paga por dados (bytes) transferidos de dentro para fora da VPC, do contrário não há cobrança. A segunda boa notícia é que não há limitação de transferência na sua rede da AWS. Sim, você tem acesso a banda do backbone AWS para download e upload! As limitações são os gargalos convencionais, como uma interface de rede de uma instância/servidor e escrita em disco.

AWS Endpoints

E se eu precisar usar serviços AWS que respondem somente publicamente? Para isso existem os ‘endpoints’, que são como gateways que te levam aos serviços da AWS sem passar pela Internet, sem necessidade de IGW ou NAT como demostrado abaixo:

Tão logo a Mirae Asset percebeu as vantagens no uso da AWS, o interesse pelo Cloud cresceu surgindo a necessidade de trazer outros workloads para Cloud, alguns desses precisavam de conectividade com o ambiente físico para projetos como “Disaster Recovery Site” e “Backup em Cloud”. A necessidade de uma rede hibrida surgiu, e com ela algumas dúvidas do time de TI também apareceram:
• Como interligar OnPremises e AWS de forma segura?
• Como fica a redundância?
• Preciso usar a Região São Paulo para algumas aplicações, mas queremos usar outras Regiões para outros workloads;
• Como conectar duas VPCs AWS?

Era hora de evoluir para uma arquitetura mais avançada. Clique aqui e confira a parte 2!


Flávio Rescia
CTO & Co-Fundador
flavio.rescia@darede.com.br

Sócio Fundador da empresa Darede, graduado em Redes de Computador e Sistemas de Informação, docente em Redes de Computadores no SENAI e hoje ministra diversos treinamentos de serviços AWS. Possuí vasta experiência com provedores de Internet, tecnologia para mercado financeiro e Cloud Computing.

OUTRAS PUBLICAÇÕES

LGPD adiada. Mas o que essa lei muda?

A Lei Geral de Proteção de Dados irá transformar a forma que incluímos ou gerenciamos nossos dados na internet. Mas o que de fato essa lei muda em nosso dia a dia?

Novidades da Semana – 7 a 11 de fevereiro

Os #cloudspecialists da Darede reuniram as principais novidades da semana da AWS! Confira quais são elas e como elas podem te ajudar!

Novidades da Semana – 21 a 25 de junho

Todos os dias a AWS lança uma série novidades e atualizações em seus produtos que visam melhorar a vida de seus usuários. Reunimos algumas delas que fazem mais sentido para nosso mercado e que certamente aplicaremos em nosso dia a dia. Confira as novidades das últimas semanas.

Versionamento de códigos e arquivos

Nesse artigo vamos falar um pouco sobre o histórico do versionamento, e como a criação do git pela comunidade Linux ajudou em muito a propagar esse conceito que hoje trabalha desde códigos até projetos de criptomoedas.

Novidades da Semana 01 a 05 de março

Todos os dias a AWS lança uma série novidades e atualizações em seus produtos que visam melhorar a vida de seus usuários. Reunimos algumas delas que fazem mais sentido para nosso mercado e que certamente aplicaremos em nosso dia a dia. Confira as novidades da última semana. Segurança & Governança AWS Config – Suporte a serviços de container O AWS Config agora é compatível com Amazon ECS, ECR e EKS em todas as regiões da AWS. Com este lançamento, você pode usar o Config para monitorar dados de configuração para recursos baseados em container na conta AWS, além de monitorar alterações nas configurações de cluster EKS e acompanhar a conformidade de cluster. Amazon CloudWatch – Synthetics agora suporta acesso a buckets entre regiões e dependências atualizadas O CloudWatch Synthetics agora oferece suporte ao armazenamento de canary run artifacts, incluindo arquivos de log, capturas de tela e arquivos HAR, dentro um bucket S3 em outra região com uma nova versão de tempo de execução principal, syn-nodejs-puppeteer-3.0. O CloudWatch Synthetics também oferece suporte às versões principais atualizadas das dependências do Puppeteer, Chromium e Node.js. AWS Systems Manager – OpsCenter exibe uma visualização agregada de todos os problemas operacionais Agora é possível visualizar todos os problemas operacionais (OpsItems) para um recurso afetado no AWS Systems Manager OpsCenter. O OpsCenter permite investigar, diagnosticar e resolver problemas operacionais relacionados aos recursos da AWS de um local central. Com a novidade, ao solucionar um OpsItem, pode se ter uma visão agregada de todos os problemas operacionais do recurso impactado. É possível visualizar estes problemas por status (aberto, working in progress ou resolvido), severidade e a data de criação e última atualização do OpsItem, sem navegar por vários consoles. Isso facilita correlacionar facilmente vários alarmes ou eventos. Developer Tools Amazon Connect – Customer Profiles agora com suporte a fontes de dados do S3 O Amazon Connect Customer Profiles é um recurso do Amazon Connect, que reúne automaticamente as informações do cliente de vários aplicativos em um perfil de cliente unificado entregue aos agentes de contact center no início da interação com o cliente. Ele agora suporta a ingestão de dados do cliente de aplicativos internos e de terceiros com o S3, além de conectores pré-construídos existentes para aplicativos de terceiros, como Salesforce, ServiceNow, Zendesk e Marketo. Por exemplo, os dados de transações de compra de um aplicativo interno podem ser importados para um arquivo de planilha no Amazon S3 e vinculados a um perfil de cliente para fornecer aos agentes do contact-center informações relevantes do histórico de compras. Amazon Connect – Suporte ao recurso de intervalos de 15 minutos para relatórios O Amazon Connect agora permite que você separe as métricas históricas em intervalos de 15 minutos. Os relatórios de métricas históricas incluem dados sobre atividades anteriores e concluídas e desempenho em seu contact center. Este intervalo de 15 minutos fornece um novo intervalo de tempo para permitir insights mais granulares sobre a fila, o perfil de roteamento e o desempenho do agente. Esses insights podem ser usados de várias maneiras, o que inclui melhorar a precisão da previsão de contato e dos planos de pessoal. AWS CodePipeline – Suporte a 1000 pipelines por conta AWS Simples assim, antes o limite era de 300 pipelines. Para solicitar aumento dessa quota era necessário abrir um ticket no suporte (o que podia levar 1 semana pra ser atendido), mas para solicitar aumento para além dos 1000 pipeline, o processo de abrir ticket no suporte permanece. Amazon EventBridge – Suporte à propagação do contexto de rastreamento do AWS X-Ray O Amazon EventBridge agora oferece suporte à propagação do contexto de rastreamento do AWS X-Ray, permitindo que você visualize o fluxo de eventos de ponta a ponta por meio de seus aplicativos. Com o lançamento deste recurso, EventBridge agora propaga contexto de rastreamento para serviços downstream, tornando mais fácil para você observar e depurar seus aplicativos orientados a eventos. O EventBridge suporta rastreamento para todos os alvos de eventos que se integram com o X-Ray. Atualmente, os destinos Amazon SQS, SNS, API Gateway, AWS Lambda e AWS Step Functions suportam rastreamento. AWS Glue – DataBrew estende seus datasets para suportar arquivos O AWS Glue DataBrew estendeu seus datasets para suportar arquivos sem uma extensão de arquivo explícita ou uma linha de cabeçalho. Frequentemente, os arquivos sem extensão são difíceis de trabalhar e exigem a exploração visual dos dados para compreendê-los. Da mesma forma, os clientes costumam trabalhar com arquivos sem uma linha explícita que defina o cabeçalho do arquivo. Em ambos os casos, agora você pode definir essas duas configurações ao criar um conjunto de dados no DataBrew. Compute & Networking Amazon EKS – Suporte ao recurso que adiciona criptografia de envelopes do KMS a clusters existentes O Amazon EKS agora permite que você implemente a criptografia de envelope das secrets do Kubernetes usando as chaves do KMS para os clusters EKS existentes. Antes o Amazon EKS permitia esta configuração apenas durante a criação do cluster. Esse recurso adiciona uma camada adicional de criptografia gerenciada pelo cliente para segredos de aplicativos ou dados do usuário armazenados em um cluster Kubernetes. A implementação da criptografia de envelope é considerada uma prática recomendada de segurança para aplicativos que armazenam dados confidenciais e faz parte de uma estratégia de segurança de defesa em profundidade. Amazon Elasticsearch Service – Suporte a tags O Elasticsearch agora oferece suporte à autorização baseada em tag para facilitar o gerenciamento de acesso às APIs de configuração usadas para criar, modificar ou atualizar domínios Elasticsearch. Você pode criar uma Política de Identidade no IAM usando tags para permitir ou negar acesso a APIs de configurações específicas para um domínio do Elasticsearch. Além disso, também é possível usar Request Tags ou Tag Keys para controlar quais tags podem ser usadas em um domínio ou passadas em uma request. O recurso de tagging agora é compatível com a criação de recursos, o que significa que você pode adicionar uma tag ao criar um domínio do Amazon Elasticsearch Service. AWS Lambda –

Ramificações com o Git

Seguindo sua série de posts sobre Git, nosso #cloudspecialist Thiago Marques está de volta para falar sobre umas das principais funções do Git: as ramificações! Confere aí!

« Anterior Página1 Página2 Página3 Página4 Página5 Página6 Página7 Página8 Página9 Página10 Próxima »
  • E-books
  • Blog
Conecte-se conosco
Mais
  • Fale Conosco
  • Canal Compliance
  • Seja Parceiro Autorizado
  • Governança Corporativa

Escritórios

  • Alameda Araguaia, 2044 - Bloco 1 - CJ 210/211 06455-000 - Alphaville, Barueri São Paulo - Brasil
  • Dabi Business Park - R. Gen. Augusto Soares dos Santos, 100 - Parque Industrial Lagoinha Ribeirão Preto, São Paulo, 14095
  • Avenida Bombeiros Voluntários de Algés 44 Lisbon , Algés, 1495 Oeiras
  • +55 11 3900-1010 | 3995-6919
newsletter
  • Política de Privacidade e Cookies
  • Perguntas Frequentes
© Copyright 2026 Darede à nuvem
Todos os direitos reservados | By Damidia Marketing & Conteúdo
Rolar para cima

Nós usamos cookies para garantir e oferecer a melhor experiência de navegação em nosso site! Mais informações

ACEITAR & FECHAR
RECUSAR