​​VPC Reachability Analyzer:

https://aws.amazon.com/blogs/aws/new-vpc-insights-analyzes-reachability-and-visibility-in-vpcs/

Позволяет проверить доступность между различными элементами в одной или разных VPC. В простом случае – между двумя виртуалками (на картинке).

Может быть хорошим инструментом для быстрого поиска причин недоступности — чтобы найти и визуально показать забытые NACL или отвалившийся пиринг.

#VPC

​​Нажав в AWS Console для VPC кнопку See all regions можно быстро увидеть количество различных ресурсов по всем регионам в аккаунте. Что удобно для поиска, где находятся забытые VPC с NAT GW, незаметно пожирающих деньги, Elastic IP или просто быстро найти используемые регионы с поднятыми виртуалками.

p.s. Полезную кнопку подсказал вопросом Виктор, за что ему большое спасибо.

#AWS_Console #VPC

Приятный бонус для систем с VPC Peering — передача данных между инстансами в разных VPC, находящимисия при этом в одной и той же AZ-подзоне — бесплатна:

https://aws.amazon.com/about-aws/whats-new/2021/05/amazon-vpc-announces-pricing-change-for-vpc-peering/

То есть тарификация такая же, как если бы инстансы были внутри одной VPC. До этого тарификация взималась за исходящий и входящий трафик в каждом из аккаунтов.

#VPC

Теперь можно вешать целую подсетку (/28 для IPv4 и /80 для IPv6) на каждый сетевой интерфейс:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-prefix-eni.html

Это значит вскоре лимиты количества подов на одну виртуалку резко увеличится и можно будет даже на самых слабеньких инстансах крутить сотни подов, а также позволит внедрить полноценный IPv6 для них.

#VPC

Как объединить сеть проектов в Azure и AWS с помощью managed решения:

https://techcommunity.microsoft.com/t5/fasttrack-for-azure/how-to-create-a-vpn-between-azure-and-aws-using-only-managed/ba-p/2281900

Отличная штука, чтобы не плодить свои костыли для соединения в общую сеть — полностью managed решение на базе сервисов Azure VPN Gateway и AWS Virtual Private Gateway. Особенно круто, что аналогично можно подключить и к AWS Transit Gateway.

#Azure #VPC

Advanced Amazon VPC design and new capabilities:

https://www.youtube.com/watch?v=fi3vcenH6UY

🔸 VPC networking overview
🔸 IPv6 only subnets
🔸 DNS64
🔸 NAT64
🔸 Resource-based instance naming
🔸 IPv6 targets for ALB/NLB
🔸 IPAM (IP Address Manager)
🔸 VPC enhanced routing
🔸 Private NATGW
🔸 S3 Interface Endpoint
🔸 PrivateLink: ALB + NLB integration
🔸 TGW Connect
🔸 TGW intra-region peering
🔸 Direct Connect overview
🔸 Direct Connect MACsec
🔸 Direct Connect + Local Zones
🔸 Direct Connect SiteLink
🔸 AWS Cloud WAN
🔸 Network Access Analyzer
🔸 VPC Reachability Analyzer

#VPC #TGW #IPv6 #reInvent #video

Плохие практики — VPC с двумя AZ подзонами или сколько правильно иметь AZ в VPC

Как показал опрос, 20% читателей используют фиксированные 2 AZ для разворота VPC. И действительно, для простоты и экономии, казалось бы, логично, использовать две AZ подзоны. Кучи примеров с такими настройками, презентаций, видео. Также многие просто руководствуются требованиями в документации, например, это минимальная рекомендация для ALB:

You must select at least two Availability Zone subnets.

Другие считают, что всё равно некоторые AWS регионы имеют лишь две AZ подзоны, потому логично ориентироваться на минимум для своих deployment скриптов, который подойдёт для всех.

Две (минимум) AZ

Попробуем разобраться в деталях, почему использовать лишь 2 AZ — плохая практика.

1️⃣ Во-первых, на текущий момент (начало 2022-го года) все AWS Regions имеют 3 AZ и больше.

2️⃣ Во-вторых, сами по себе AZ подзоны (как подсети для VPC) не стоят денег, потому в качестве экономического фактора не валидны.

3️⃣ В-третьих, это минимальное значение может стать крайне проблематичным в случае реального падения одной из AZ подзон.

Показательный случай был совсем недавно, 22 декабря 21-го года, когда упала USE1-AZ4 в N.Virginia после отключения электричества в её датацентре. По результатам падения, один из обладателей конфигурации с 2 AZ написал пост на Reddit, где пытался разобраться, почему 2 AZ не спасли от ошибок по таймауту.

Главные вывод следующий. Наблюдая проблемы в процессе их развития, он не мог быстро отреагировать на них, например, просто временно отключив одну из подсетей ALB (упавшей AZ4). А не смог он этого сделать как раз потому что минимальное значение подсетей для ALB, как было указано выше — 2 AZ! И потому ALB не дал возможности выбросить упавшую подзону.

Три AZ

Итого, если в VPC всего лишь 2 AZ, то нет возможности быстро/временно переконфигурировать сервисы, удалив из них проблемную AZ. Потому нормальным значением правильно считать 3 AZ или больше.

Максимум AZ

Про максимальное количество также стоит сказать. Кроме достаточно логичного, что в зависимости от используемого IaC, это может быть просто не шибко удобно по количеству кода, есть проблема другого характера. Некоторые AZ очень старые и уже давно не обновляются, в результате чего не имеют современных инстансов и можно получить ошибку "Your requested instance type is not supported in your requested Availability Zone":

https://aws.amazon.com/premiumsupport/knowledge-center/ec2-instance-type-not-supported-az-error/

Такая точно есть в N.Virginia и если нет возможности обрабатывать данную ошибку, то можно использовать лишь 5 AZ.

Сколько нужно AZ

А если добавить Local Zones, которые можно/нужно подключать, то управление и выбор подзон нонче правильно выносить в отдельный процесс, который нужно иметь возможность гибко конфигурировать.

#VPC #design

​​🆕 Transfer Elastic IP addresses from one AWS account to another:

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#transfer-EIPs-intro

✅ You can transfer Elastic IP addresses to accounts within the same AWS Organization.
✅ You can transfer Elastic IP addresses to standalone AWS accounts outside of AWS Organization.
✅ You can transfer Elastic IP addresses only within the same AWS Region.
❌ You cannot transfer Elastic IP addresses between AWS Organizations.

When you transfer an Elastic IP address, there is a two-step handshake between AWS accounts:
▪️ the source account (either a standard AWS account or an AWS Organizations account) and the transfer accounts.
▪️ when the source account starts the transfer, the transfer accounts have seven hours to accept the Elastic IP address transfer, or the Elastic IP address will return to its original owner.

#VPC

​​⛅ AWS re:Invent 2022 - Advanced VPC design and new Amazon VPC capabilities:

https://www.youtube.com/watch?v=cbUNbK8ZdA0

The main video from each re:Invent — and so every year. 😀

1:26 From the beginning
4:33 IPv6 (2021 releases)
7:20 ENA Express 💥 New
9:54 Network Address Usage
13:08 VPC Peering
14:07 Transit Gateway
19:22 Cloud WAN (2021)
25:15 Application networking
27:27 VPC Lattice 💥 New
37:00 Network Operations
37:39 Network Manager
38:29 Infrastructure Performance
40:23 CloudWatch Internet Monitor 💥 New
44:03 AWS Verified Access (AVA) 💥 New

#VPC #Lattice #CloudWatchInternetMonitor #AVA #reInvent

​​Теперь можно ссылаться на Security Groups из другой VPC, которая присоединена через Transit Gateway:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#tgw-vpc-rules

Раньше можно было ссылаться на SG из других VPC только через VPC peering, теперь можно из через TGW. Правда для этого потребуется обновить TGW или VPC attachment:

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-sg-updates.html

Особенности:

▪️ Ссылаться через TGW peering нельзя (VPC -> TGW -> TGW peering -> TGW -> VPC, только VPC -> TGW -> VPC).
▪️ Ссылаться можно лишь в правиле для входящего трафика.
▪️ Не работает на древних виртуалках (только Nitro-based EC2 instances).
▪️ Не работает на любых виртуалках, расположенных в древних датацентрах, конкретно подзона use1-az3 (которую всегда рекомендовал исключать).
▪️ Не работает, как минимум пока, с PrivateLink и Reachability Analyzer.

Кому-то мелкая вещь и бессмысленная вещь, а кому-то упрощение управление зоопарком Security Groups в сложной сети.

#VPC #TransitGateway #SecurityGroup