### Unir dos VPCs para la comunicación de red entre VPCs

#### Problema
Necesita habilitar dos instancias en VPCs separadas para que se comuniquen entre sí de una manera simple y rentable.

#### Solución
Solicite una conexión de peering entre dos VPC, acepte la conexión de peering, actualice las tablas de rutas para cada subred de la VPC y, finalmente, pruebe la conexión de una instancia a otra.

#### Discusión
Las conexiones VPC peering son no transitivas. Cada VPC necesita hacer peering con cada una de las otras VPC con las que necesita comunicarse. Este tipo de conexión es ideal cuando se tiene una VPC que aloja servicios compartidos a los que otras VPCs necesitan acceder, mientras que las VPCs "spoke" no se comunican entre sí.

Además de las conexiones de peering, es necesario configurar las tablas de rutas asociadas a las subredes de la VPC para enviar el tráfico destinado al CIDR de la VPC peered a la conexión de peering (PCX). En otras palabras, para que la VPC1 pueda comunicarse con la VPC2, la ruta de destino debe estar presente en la VPC1 y la ruta de retorno también debe estar presente en la VPC2.

Si se agrega una tercera VPC a esta receta, y se necesita que todas las VPC puedan comunicarse entre sí, habría que emparejar esa tercera VPC con las dos anteriores y actualizar todas las tablas de rutas de las VPC en consecuencia para permitir que todas las VPC se comuniquen entre sí. A medida que se añaden más VPCs a una arquitectura de red como ésta, se puede notar que el número de conexiones de peering y las actualizaciones de la tabla de rutas requeridas comienzan a aumentar exponencialmente. Debido a esto, el gateway de tránsito es una mejor opción para la comunicación transitiva de VPC utilizando tablas de rutas de gateway de tránsito.

Puede utilizar el peering de VPC de forma cruzada si es necesario, y también puede referenciar grupos de seguridad en VPCs peered de forma similar a la referencia de grupos de seguridad dentro de una única VPC. Esto le permite utilizar el mismo tipo de estrategia con la forma de administrar los grupos de seguridad en todo su entorno de AWS al utilizar el peering de VPC.

**NOTA:** La conexión de VPCs entre sí requiere rangos CIDR no superpuestos para que el enrutamiento funcione normalmente. Las tablas de rutas de la VPC deben incluir una ruta específica que dirija el tráfico destinado a la VPC conectada al peering.


#### Desafío
Las conexiones de peering de VPC pueden establecerse en todas las regiones de AWS. Conecte una VPC en otra región a la VPC que implementó en la región utilizada en el ejemplo.

<img src="https://learning.oreilly.com/api/v2/epubs/urn:orm:book:9781492092599/files/assets/awsc_0215.png" width="650">

In [None]:
import boto3
import json
import time

region_aws = 'us-east-1'

ec2 = boto3.resource('ec2', region_name=region_aws)
ec2_client = boto3.client('ec2', region_name=region_aws)

In [None]:
# Create two VPCs
vpc1 = ec2.create_vpc(CidrBlock='10.10.0.0/16')
vpc1.create_tags(Tags=[{"Key": "Name", "Value": "AWSCookBookVPC-1"}])
vpc2 = ec2.create_vpc(CidrBlock='10.11.0.0/16')
vpc2.create_tags(Tags=[{"Key": "Name", "Value": "AWSCookBookVPC-2"}])
vpc2.wait_until_available()


# Create two subnets for each VPC
vpc1_subnet1 = ec2.create_subnet(
    CidrBlock='10.10.1.0/24', 
    VpcId=vpc1.id,
    AvailabilityZone=region_aws+'a'
)
vpc1_subnet2 = ec2.create_subnet(
    CidrBlock='10.10.2.0/24',
    VpcId=vpc1.id
)

vpc2_subnet1 = ec2.create_subnet(
    CidrBlock='10.11.1.0/24',
    VpcId=vpc2.id
)
vpc2_subnet2 = ec2.create_subnet(
    CidrBlock='10.11.2.0/24',
    VpcId=vpc2.id
)


# Create tags for subnets
vpc1_subnet1.create_tags(Tags=[{"Key": "Name", "Value": "AWSCookBookVPC-1-Subnet-1"}])
vpc1_subnet2.create_tags(Tags=[{"Key": "Name", "Value": "AWSCookBookVPC-1-Subnet-2"}])
vpc2_subnet1.create_tags(Tags=[{"Key": "Name", "Value": "AWSCookBookVPC-2-Subnet-1"}])
vpc2_subnet2.create_tags(Tags=[{"Key": "Name", "Value": "AWSCookBookVPC-2-Subnet-2"}])


# Create route tables for each VPC
vpc1_route_table = vpc1.create_route_table()
vpc1_route_table.create_tags(Tags=[{"Key": "Name", "Value": "AWSCookBookVPC-1-Route-Table"}])
vpc2_route_table = vpc2.create_route_table()
vpc2_route_table.create_tags(Tags=[{"Key": "Name", "Value": "AWSCookBookVPC-2-Route-Table"}])


# Associate subnets with route tables
vpc1_route_table.associate_with_subnet(SubnetId=vpc1_subnet1.id)
vpc1_route_table.associate_with_subnet(SubnetId=vpc1_subnet2.id)
vpc2_route_table.associate_with_subnet(SubnetId=vpc2_subnet1.id)
vpc2_route_table.associate_with_subnet(SubnetId=vpc2_subnet2.id)

#### Crear una conexión VPC peering para conectar VPC1 con VPC2

Las conexiones de peering de VPC pueden establecerse desde una cuenta de AWS a otra cuenta de AWS. Si decide establecer conexiones de pares de VPC entre cuentas de AWS, debe asegurarse de tener la configuración correcta de IAM para crear y aceptar la conexión de pares dentro de cada cuenta. En este ejemplo será dentro de la misma cuenta.

In [None]:
vpc_peering_connection = ec2_client.create_vpc_peering_connection(
    VpcId=vpc1.id,
    PeerVpcId=vpc2.id
)

In [None]:
vpc_peering_connection_id = vpc_peering_connection['VpcPeeringConnection']['VpcPeeringConnectionId']
response = ec2_client.accept_vpc_peering_connection(VpcPeeringConnectionId=vpc_peering_connection_id)
if response['VpcPeeringConnection']['Status']['Code'] == 'active':
    print('VPC Peering Connection is active')

In [None]:
# Create a route in the route table of VPC1 to send traffic to VPC2
vpc1_route_table.create_route(
    DestinationCidrBlock=vpc2.cidr_block,
    VpcPeeringConnectionId=vpc_peering_connection_id
)

# Create a route in the route table of VPC2 to send traffic to VPC1
vpc2_route_table.create_route(
    DestinationCidrBlock=vpc1.cidr_block,
    VpcPeeringConnectionId=vpc_peering_connection_id
)

In [None]:
from create_ec2_ssm import create_ec2_ssm, connect_last_instance

create_ec2_ssm(
    vpc_id=vpc1.id, 
    subnet_id=vpc1_subnet1.id,
    tag_instance='AWSCookBookVPC-Instance-1'
)

In [None]:
create_ec2_ssm(
    vpc_id=vpc2.id, 
    subnet_id=vpc2_subnet1.id,
    tag_instance='AWSCookBookVPC-Instance-2'
)

In [11]:
# List of the instances in the VPC1
instances = ec2.instances.filter(
    Filters=[{'Name': 'vpc-id', 'Values': [vpc1.id]}]
)
for instance in instances:
    instance1 = instance
    print("Instance in VPC1: {}".format(instance1.id))

Instance in VPC1: i-06056e3b308338f2a


In [12]:
# List of the instances in the VPC2
instances = ec2.instances.filter(
    Filters=[{'Name': 'vpc-id', 'Values': [vpc2.id]}]
)
for instance in instances:
    instance2 = instance
    print("Instance in VPC2: {}".format(instance2.id))

Instance in VPC2: i-0ad3ad09f785150b8


In [13]:
# Select the security group of the instance
sg_1 = ec2.SecurityGroup(instance1.security_groups[0]['GroupId'])
sg_2 = ec2.SecurityGroup(instance2.security_groups[0]['GroupId'])

In [14]:
# Add an ingress rule to instance 2’s security group that allows ICMPv4 access from instance 1’s security group:
response = ec2_client.authorize_security_group_ingress(
    GroupId=sg_2.id,
    IpPermissions=[
        {
            'IpProtocol': 'icmp',
            'FromPort': -1,
            'ToPort': -1,
            'UserIdGroupPairs': [
                {
                    'GroupId': sg_1.id,
                    'Description': 'Allow ICMPv4 access'
                },
            ]
        },
    ]
)

In [17]:
print("Conectese a la instancia 1:")
print("   aws ssm start-session --target {}".format(instance1.id))

Conectese a la instancia 1:
   aws ssm start-session --target i-06056e3b308338f2a


In [18]:
print("Desde la instancia 1 ejecute el siguiente comando: ")
print("    ping -c 4 {}".format(instance2.private_ip_address))

Desde la instancia 1 ejecute el siguiente comando: 
    ping -c 4 10.11.1.120


Puede buscar el ID de un grupo de seguridad en la consola de la VPC para mostrar todos los grupos de seguridad que hacen referencia a otros. También puede ejecutar el comando CLI `aws ec2 describe-security-group-references` para conseguirlo. Esto es útil para obtener información sobre qué grupos de seguridad hacen referencia a otros. Puede hacer referencia a grupos de seguridad en VPCs peered que pertenecen a otras cuentas de AWS pero que no se encuentran en otras regiones.

In [27]:
# Describe security groups referenced
response = ec2_client.describe_security_groups()

for sg in response['SecurityGroups']:
    print("Security Group: {}".format(sg['GroupId']), "- Description: {}".format(sg['Description']), "- VpcId: {}".format(sg['VpcId']))

Security Group: sg-0eb9058adf8b4b6e0 - Description: default VPC security group - VpcId: vpc-066875e73e0526a7b
Security Group: sg-035059bafb017cb3c - Description: default VPC security group - VpcId: vpc-005f392ffa2dc13de
Security Group: sg-0daf8b872566aa88f - Description: default VPC security group - VpcId: vpc-05c3baf333ce523a3
Security Group: sg-0f49d00ad965355e1 - Description: default VPC security group - VpcId: vpc-06f113b15d0f33f84
Security Group: sg-0a4ac20f064935f2e - Description: default VPC security group - VpcId: vpc-0a81912676c5e1abf
Security Group: sg-07d3d1fe390a4e0c5 - Description: Allow HTTPS access - VpcId: vpc-06f113b15d0f33f84
Security Group: sg-074555fa25ac135c9 - Description: Allow HTTPS access - VpcId: vpc-05c3baf333ce523a3
Security Group: sg-05ee20321cd7e23be - Description: Allow HTTPS access - VpcId: vpc-066875e73e0526a7b
