Blog de Amazon Web Services (AWS)

Con los pies en la tierra y la cabeza en la nube

La evolución de las redes empresariales en el camino a AWS

Por Hernán Terrizzano, Technical Account Manager, AWS Enterprise Support

 

“Un viaje de mil millas comienza con un solo paso” – Lao Tze

 

Hoy en día nadie duda de los beneficios del cloud computing. Sin embargo, el camino de las empresas hacia la nube no está exento de desafíos, en particular durante la coexistencia con recursos on-premise (entornos híbridos). Uno de ellos es adaptar las redes empresariales, tradicionalmente centradas en el datacenter, a un esquema donde la mayor parte las cargas de trabajo están en la nube. Cada desafío es una oportunidad de pensar cómo adaptar los procesos y arquitecturas existentes para aprovechar al máximo las ventajas de un sistema distribuido, escalable y altamente disponible como AWS.

Dentro de este viaje podemos distinguir distintas fases, que describiremos brevemente a continuación, junto con arquitecturas de red sugeridas para cada una de ellas.

 

Fase 1: Proyecto

En esta primera fase las empresas empiezan con algunos proyectos para entender cómo la nube contribuye a alcanzar sus objetivos de negocio. Para esto se eligen cargas de trabajo que, o bien son nuevas, o tienen un bajo acoplamiento con otros sistemas y pueden ser movidas a la nube sin demasiada dificultad.

Acceso a través de Internet centralizado

Como mencionamos anteriormente, las redes corporativas suelen estar centradas en el datacenter, y el acceso a Internet no es la excepción. En la fase de proyecto los usuarios utilizan las aplicaciones en la nube a través del acceso a Internet corporativo, generalmente consistente en un esquema de firewalls y proxies.

Los usuarios remotos se conectan primero al datacenter usando una VPN, para luego acceder a las aplicaciones en la nube a través del mismo acceso centralizado.

Sin hacer grandes cambios ni inversiones en infraestructura es posible conectar los servidores on-premise con la nube a través de los endpoints públicos de AWS en Internet. Ejemplos de esta modalidad pueden ser la realización de backups con Storage Gateway, el intercambio de archivos de interfaz con AWS Transfer o el acceso a APIs de aplicaciones alojadas en AWS a través de API Gateway.

 

Fase 2: Fundación

Una vez demostrados los beneficios de la nube en los primeros proyectos, las empresas empiezan a hacer algunas inversiones fundamentales para tratar de escalar los mismos al resto de la organización, ya sea a través de modificaciones organizativas (como la creación de un centro de excelencia para la nube) como tecnológicas. Es en esta fase donde se empiezan a hacer cambios a la red empresarial para prepararla para la siguiente etapa: la migración.

Acceso a través de Internet distribuido

A medida que más aplicaciones se mueven a la nube, el acceso centralizado a Internet y las redes WAN corporativas empiezan a volverse un cuello de botella. Es posible distribuir el acceso a Internet para hacer un uso más eficiente de los enlaces y mejorar la experiencia de los usuarios en el acceso a las aplicaciones alojadas en la nube. AWS y sus partners cuentan con soluciones para hacerlo en forma segura.

En forma análoga, se puede brindar a los usuarios remotos que se conectan por VPN un acceso directo a través de Internet para las aplicaciones alojadas en la nube (Split tunneling).

Uso de VPN

Durante la fase de fundación se hace necesario establecer la conectividad a nivel IP (capa 3 del modelo OSI) entre la nube y las redes on-premise. Este tipo de conexión hace posible la integración de sistemas fundamentales, como la resolución de nombres (DNS), el directorio activo utilizado para la autenticación, etc.

Una forma rápida y económica de establecer esta conexión es a través de redes privadas virtuales (VPN). Las VPNs se establecen entre un VPN Gateway o Transit Gateway del lado de AWS, y cualquier dispositivo compatible del lado de la empresa (“customer gateway”). Los datos en tránsito están protegidos por el estándar de encriptación IPSec.

También es posible configurar VPNs para el acceso remoto de los usuarios corporativos directamente a la nube de AWS, mediante el servicio de AWS Client VPN o soluciones de terceros.

Fase 3: Migración

En esta etapa las cargas de trabajo están divididas entre la nube y los datacenters on-premise, con conexiones cruzadas entre ambos ambientes. Esto hace que la conectividad con la nube sea crítica, tanto en términos de disponibilidad como de performance.

VPN Aceleradas

Es posible disminuir la latencia y aumentar la confiabilidad de las VPN mediante el uso de VPN aceleradas. Este tipo de VPN aprovecha la red global de AWS, conectándose al punto de presencia más cercano y recorriendo el resto del camino a través de enlaces libres de congestión, evitando las interrupciones que podrían ocurrir en la Internet pública.

Direct Connect

Direct Connect permite establecer una conexión dedicada desde el datacenter o las oficinas de la empresa hasta AWS. AWS cuenta con partners que pueden proveer conexiones de extremo a extremo, en velocidades que van desde los 50Mbps hasta los 10Gbps.

Dependiendo de la criticidad, es posible utilizar una VPN o bien un segundo enlace de Direct Connect como backup. El failover automático se implementa con el protocolo de ruteo dinámico BGP. Transit Gateway es el servicio de AWS que centraliza el ruteo entre los distintos enlaces y VPCs.

Fase 4: Reinvención

En esta última fase la mayor parte de las aplicaciones de la empresa se encuentran en la nube.

Las cargas de trabajo que por algún motivo deban permanecer en el datacenter, pueden hacerlo aprovechando AWS Outposts, una solución que permite utilizar localmente los servicios de AWS. El networking se implementa extendiendo a nivel lógico un VPC desde la región de AWS hasta el Outpost.

El acceso de los usuarios por VPN puede reemplazarse por escritorios remotos con Amazon Workspaces, o streaming de aplicaciones con Amazon Appstream.

SD-WAN

Software Defined WAN es una arquitectura que permite aprovechar distintos tipos de enlaces (MPLS, 4G/5G, accesos a internet de banda ancha) en las sucursales o sitios remotos, creando una red overlay (“software defined”). Las soluciones de SD-WAN utilizan una función de control centralizada para monitorear el estado de los enlaces y la performance de las aplicaciones y conmutar el tráfico en forma inteligente, siempre con el objetivo de mejorar la experiencia de los usuarios. Las soluciones de SD-WAN están disponibles a través de diversos partners de AWS, y se integran con los servicios nativos de AWS como Transit Gateway en forma transparente.

Conclusión

Las empresas deben evolucionar desde un esquema centrado en el datacenter, a un esquema donde las aplicaciones están distribuidas entre la nube y on-premise en principio, y luego mayoritariamente en la nube. En este contexto, la evolución de las redes es una tarea con desafíos y oportunidades. AWS y sus partners cuentan con los productos y servicios adecuados para ayudarlas en cada tramo de este camino. ¡Buen viaje!


Sobre el autor

Hernán Terrizzano es Technical Account Manager en AWS Enterprise Support, especialista en Networking y Seguridad. Durante muchos años se dedicó a buscar la forma más sencilla, eficiente y segura de conectar el punto A con el punto B. Actualmente aplica esa experiencia para ayudar a las empresas en su camino a la nube.