Menú
Amazon Virtual Private Cloud
Guía de usuario

VPC y subredes

Cree una VPC y subredes como primeros pasos en Amazon Virtual Private Cloud (Amazon VPC). Para obtener información general acerca de Amazon VPC, consulte ¿Qué es Amazon VPC?.

Conceptos básicos de VPC y subredes

Una cloud virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS. Esta infraestructura en la nube está aislada lógicamente de otras redes virtuales de la nube de AWS. Por lo tanto, puede lanzar a su VPC recursos de AWS como, por ejemplo, instancias de Amazon EC2.

Al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC como bloque de direccionamiento entre dominios sin clases (CIDR). Por ejemplo, 10.0.0.0/16. Se trata del bloque de CIDR principal de la VPC. Para obtener más información acerca de la notación CIDR, consulte RFC 4632.

El diagrama siguiente muestra una nueva VPC con un bloque de CIDR IPv4 y la tabla de ruteo principal.

 VPC con la tabla de ruteo principal

Una VPC abarca todas las zonas de disponibilidad de la región. Tras crear la VPC, podrá añadir una o varias subredes en cada zona de disponibilidad. Al crear una subred, debe especificar el bloque de CIDR de la subred, que es un subconjunto del bloque de CIDR de la VPC. Cada subred debe residir enteramente en una zona de disponibilidad y no puede abarcar otras zonas. Las zonas de disponibilidad son ubicaciones diferentes diseñadas para quedar aisladas en caso de error en otras zonas de disponibilidad. Al lanzar instancias en distintas zonas de disponibilidad, puede proteger sus aplicaciones de los errores que se produzcan en una única ubicación. Cada subred tiene asignado un ID único.

También es posible asignar un bloque de CIDR IPv6 a su VPC y asignar bloques de CIDR IPv6 a las subredes.

El diagrama siguiente muestra una VPC configurada con subredes en varias zonas de disponibilidad. 1A, 1B, 2A y 3A son instancias de su VPC. La VPC y la subred 1 tienen asignados un bloque de CIDR IPv6. El puerto de enlace a Internet permite la comunicación a través de Internet y la conexión de red privada virtual (VPN) permite la comunicación con su red corporativa.

 VPC con varias zonas de disponibilidad

Si el tráfico de una subred se direcciona a un puerto de enlace a Internet, la subred recibe el nombre de subred pública. En este diagrama, la subred 1 es una subred pública. Si desea que su instancia de una subred pública pueda comunicarse con Internet mediante IPv4, esta debe tener una dirección IPv4 pública o una dirección IP elástica (IPv4). Para obtener más información acerca de las direcciones IPv4 públicas, consulte Direcciones IPv4 públicas. Si desea que su instancia de la subred pública pueda comunicarse con Internet a través de IPv6, esta deberá disponer de una dirección IPv6.

Si una subred no tiene ninguna ruta al puerto de enlace a Internet, la subred recibe el nombre de subred privada. En este diagrama, la subred 2 es una subred privada.

Si una subred no tiene ninguna ruta al puerto de enlace a Internet pero tiene su tráfico direccionado a una gateway privada virtual para la conexión de VPN, la subred se conoce como subred de solo VPN. En este diagrama, la subred 3 es una subred de solo VPN. Actualmente, no se admite el tráfico IPv6 a través de conexiones de VPN.

Para obtener más información, consulte Escenarios y ejemplos, Puertos de enlace a Internet o Conexiones de VPN administradas de AWS.

nota

Independientemente del tipo de subred, el rango de direcciones IPv4 de la subred es siempre privado; es decir, no se anuncia el bloque de direcciones en Internet.

El número de subredes y VPC que puede crear en su cuenta es limitado. Para obtener más información, consulte Límites de Amazon VPC.

Tamaño de subred y VPC

Amazon VPC admite la utilización de direcciones IPv4 e IPv6y tiene distintos límites de tamaño de bloque de CIDR para cada tipo de direcciones. De forma predeterminada, todas las VPC y subredes deben tener bloques de CIDR IPv4. Este comportamiento no se puede modificar. De forma opcional, puede asociar un bloque de CIDR IPv6 con su VPC.

Para obtener más información sobre el direccionamiento de IP, consulte Direcciones IP en su VPC.

Tamaño de subred Y VPC para direcciones IPv4

Cuando crea una VPC, debe especificar un bloque de CIDR IPv4 para la VPC. El tamaño de bloque permitido oscila entre la máscara de subred /16 (65 536 direcciones IP) y /28 (16 direcciones IP). Una vez que haya creado su VPC, puede asociar bloques de CIDR secundarios con ella. Para obtener más información, consulte Adición de bloques de CIDR IPv4 a una VPC.

Al crear una VPC, se recomienda especificar un bloque de CIDR (de tamaño /16 o menor) de los rangos de direcciones IPv4 privadas tal como se especifica en RFC 1918:

  • 10.0.0.0 - 10.255.255.255 (prefijo 10/8)

  • 172.16.0.0 - 172.31.255.255 (prefijo 172.16/12)

  • 192.168.0.0 - 192.168.255.255 (prefijo 192.168/16)

Puede crear una VPC con un bloque de CIDR direccionable públicamente externo a los rangos de direcciones IPv4 privadas especificados en RFC 1918; sin embargo, para esta documentación, las direcciones IP privadas son aquellas direcciones IPv4 que se encuentran en el rango de CIDR de su VPC.

nota

Si va a crear una VPC para usarla con otro servicio de AWS, consulte la documentación de dicho servicio para comprobar si hay requisitos específicos para el rango de direcciones IP o los componentes de red.

El bloque de CIDR de una subred puede ser el mismo que el bloque de CIDR de la VPC (para una subred única de la VPC) o de una subred (para varias subredes). El tamaño de bloque permitido oscila entre la máscara de subred /28 y /16. Si crea más de una subred en una VPC, los bloques de CIDR de las subredes no se pueden solapar.

Por ejemplo, si crea una VPC con un bloque de CIDR 10.0.0.0/24, esta admitirá 256 direcciones IP. Este bloque de CIDR se puede dividir en dos subredes con 128 direcciones IP cada una. Una subred utilizará el bloque de CIDR 10.0.0.0/25 (para el intervalo de direcciones 10.0.0.0 - 10.0.0.127) y la otra utilizará el bloque de CIDR 10.0.0.128/25 (para el intervalo de direcciones 10.0.0.128 - 10.0.0.255).

Existen muchas herramientas disponibles que le ayudarán a calcular los bloques de CIDR de la subred. Por ejemplo, consulte el sitio web http://www.subnet-calculator.com/cidr.php. Además, su grupo de ingeniería de red podrá ayudarle a determinar los bloques de CIDR que debe especificar a las subredes.

Las cuatro primeras direcciones IP y la última dirección IP de cada bloque de CIDR de las subredes no se podrán utilizar y no se pueden asignar a ninguna instancia. Por ejemplo, en una subred con el bloque de CIDR 10.0.0.0/24, estarán reservadas las cinco direcciones IP siguientes:

  • 10.0.0.0: dirección de red.

  • 10.0.0.1: reservada por AWS para el router de la VPC.

  • 10.0.0.2: reservada por AWS. La dirección IP del servidor DNS es siempre la base del rango de red VPC más dos; sin embargo, también se reserva la base de cada rango de subred más dos. En el caso de las VPC con varios bloques de CIDR, la dirección IP del servidor DNS se encuentra en el CIDR principal. Para obtener más información, consulte Servidor DNS de Amazon.

  • 10.0.0.3: reservada por AWS para futura utilización.

  • 10.0.0.255: dirección de difusión de red. Puesto que la difusión no se admite en las VPC, esta dirección queda reservada.

Adición de bloques de CIDR IPv4 a una VPC

Puede asociar bloques de CIDR IPv4 secundarios con su VPC. Al asociar un bloque de CIDR con su VPC, se agrega una ruta automáticamente a sus tables de ruteo de VPC para habilitar el direccionamiento en la VPC (el destino es el bloque de CIDR y el objetivo es local).

En el ejemplo siguiente, la VPC de la izquierda tiene un solo bloque de CIDR (10.0.0.0/16) y dos subredes. La VPC de la derecha representa la arquitectura de la misma VPC después de haber agregado un segundo bloque de CIDR (10.2.0.0/16) y haber creado una subred a partir del rango del segundo CIDR.

 VPC con uno o varios bloques de CIDR

Para añadir un bloque de CIDR a su VPC, se aplican las siguientes reglas:

  • El tamaño de bloque permitido oscila entre la máscara de subred /28 y /16.

  • El bloque de CIDR no se debe solapar con otro bloque de CIDR existente que esté asociado con la VPC.

  • Los rangos de las direcciones IPv4 que puede usar están sujetos a ciertas restricciones. Para obtener más información, consulte Restricciones de asociación de bloques de CIDR IPv4.

  • No es posible aumentar o reducir el tamaño de un bloque de CIDR existente.

  • Hay un límite en el número de bloques de CIDR que se pueden asociar con una VPC y el número de rutas que se pueden agregar a una tabla de ruteo. No puede asociar un bloque de CIDR si el resultado supera los límites. Para obtener más información, consulte Límites de Amazon VPC.

  • El bloque de CIDR no debe ser igual o mayor que el rango de CIDR de una ruta en cualquiera de las tablas de ruteo de VPC. Por ejemplo, si tiene una ruta con un destino de 10.0.0.0/24 a una gateway privada virtual, no puede asociar un bloque de CIDR del mismo rango o superior. No obstante, puede asociar un bloque de CIDR de 10.0.0.0/25 o menor.

  • Si ha habilitado la VPC para ClassicLink, puede asociar bloques de CIDR de los rangos 10.0.0.0/16 y 10.1.0.0/16, pero no puede asociar ningún otro bloque de CIDR del rango 10.0.0.0/8.

  • Se aplican las siguientes reglas al agregar bloques de CIDR IPv4 a una VPC de forma parte de una interconexión de VPC:

    • Si la interconexión de VPC es active, puede agregar bloques de CIDR a una VPC siempre que no se solapen con un bloque de CIDR de la VPC del mismo nivel.

    • Si la interconexión de VPC es pending-acceptance, el propietario de la VPC del solicitante no puede agregar ningún bloque de CIDR a la VPC, independientemente de si se solapa con el bloque de CIDR de la VPC del aceptador. El propietario de la VPC del aceptador debe aceptar la interconexión o el propietario de la VPC del solicitante debe eliminar la solicitud de interconexión de VPC, agregar el bloque de CIDR y, a continuación, solicitar una nueva interconexión de VPC.

    • Si la interconexión de VPC es pending-acceptance, el propietario de la VPC del aceptador puede agregar bloques de CIDR a la VPC. Si un bloque de CIDR secundario se solapa con un bloque de CIDR de la VPC del solicitante, se produce un error en la interconexión de VPC y no se puede aceptar.

En la siguiente tabla se proporciona información general de las asociaciones de bloques de CIDR permitidas y restringidas, que dependen del rango de direcciones IPv4 en el que se encuentre el bloque de CIDR principal de la VPC.

Restricciones de asociación de bloques de CIDR IPv4

Rango de direcciones IP en el que se encuentra el bloque de CIDR de VPC principal Asociaciones de bloques de CIDR restringidas Asociaciones de bloques de CIDR permitidas

10.0.0.0/8

Bloques de CIDR de otros rangos RFC 1918* (172.16.0.0/12 y 192.168.0.0/16).

Si su bloque de CIDR principal se encuentra en el rango 10.0.0.0/15, no puede agregar un bloque de CIDR del rango 10.0.0.0/16.

Un bloque de CIDR del rango 198.19.0.0/16.

Cualquier otro CIDR del rango 10.0.0.0/8 que no esté restringido.

Cualquier bloque de CIDR IPv4 direccionable públicamente (distinto de RFC 1918).

172.16.0.0/12

Bloques de CIDR de otros rangos RFC 1918* (10.0.0.0/8 y 192.168.0.0/16).

Un bloque de CIDR del rango 172.31.0.0/16.

Un bloque de CIDR del rango 198.19.0.0/16.

Cualquier otro CIDR del rango 172.16.0.0/12 que no esté restringido.

Cualquier bloque de CIDR IPv4 direccionable públicamente (distinto de RFC 1918).

192.168.0.0/16

Bloques de CIDR de otros rangos RFC 1918* (172.16.0.0/12 y 10.0.0.0/8).

Un bloque de CIDR del rango 198.19.0.0/16.

Cualquier otro bloque de CIDR del rango 192.168.0.0/16.

Cualquier bloque de CIDR IPv4 direccionable públicamente (distinto de RFC 1918).

198.19.0.0/16

Bloques de CIDR de rangos RFC 1918*.

Cualquier bloque de CIDR IPv4 direccionable públicamente (distinto de RFC 1918).

Bloque de CIDR direccionable públicamente (distinto de RFC 1918)

Bloques de CIDR de los rangos RFC 1918*.

Un bloque de CIDR del rango 198.19.0.0/16.

Cualquier otro bloque de CIDR IPv4 direccionable públicamente (distinto de RFC 1918).

*Los rangos de RFC 1918 son los rangos de direcciones IPv4 privadas que se especifican en RFC 1918.

Puede desvincular un bloque de CIDR que haya asociado con la VPC; sin embargo, no puede desvincular el bloque de CIDR con el que haya creado originalmente la VPC (el bloque de CIDR principal). Para ver el CIDR principal de su VPC en la consola de Amazon VPC, elija Your VPCs, seleccione su VPC y anote la primera entrada en CIDR blocks. También puede utilizar el comando describe-vpcs:

Copy
aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d

En el resultado que se devuelve, el CIDR se devuelve en el elemento CidrBlock de nivel superior (el penúltimo elemento del resultado de ejemplo siguiente).

{
    "Vpcs": [
        {
            "VpcId": "vpc-1a2b3c4d", 
            "InstanceTenancy": "default", 
            "Tags": [
                {
                    "Value": "MyVPC", 
                    "Key": "Name"
                }
            ], 
            "CidrBlockAssociations": [
                {
                    "AssociationId": "vpc-cidr-assoc-3781aa5e", 
                    "CidrBlock": "10.0.0.0/16", 
                    "CidrBlockState": {
                        "State": "associated"
                    }
                }, 
                {
                    "AssociationId": "vpc-cidr-assoc-0280ab6b", 
                    "CidrBlock": "10.2.0.0/16", 
                    "CidrBlockState": {
                        "State": "associated"
                    }
                }
            ], 
            "State": "available", 
            "DhcpOptionsId": "dopt-e0fe0e88", 
            "CidrBlock": "10.0.0.0/16", 
            "IsDefault": false
        }
    ]
}

Tamaño de subred Y VPC para direcciones IPv6

Es posible asociar un único bloque de CIDR IPv6 a una VPC existente de su cuenta o al crear una nueva VPC. El bloque de CIDR utiliza una longitud de prefijo determinada de /56. No es posible elegir el rango de direcciones ni el tamaño del bloque de CIDR IPv6, ya que el bloque se asigna a su VPC de entre el grupo de direcciones IPv6 de Amazon.

Si ha asociado un bloque de CIDR IPv6 a su VPC, podrá asociar un bloque de CIDR IPv6 a una subred existente en su VPC, o bien podrá crear una nueva subred. El bloque de CIDR IPv6 de una subred utiliza una longitud de prefijo determinada de /64.

Por ejemplo, puede crear una VPC y especificar que desea asociar un bloque de CIDR IPv6 a la VPC. Amazon asigna el siguiente bloque de CIDR IPv6 a su VPC: 2001:db8:1234:1a00::/56. Puede crear una subred y asociar un bloque de CIDR IPv6 desde este rango. Por ejemplo, 2001:db8:1234:1a00::/64.

Asimismo, puede anular la asociación de un bloque de CIDR IPv6 de una subred y anular la asociación de un bloque de CIDR IPv6 de una VPC. Tras anular la asociación de un bloque de CIDR IPv6 de una VPC, no podrá esperar recibir el mismo CIDR si vuelve a asociar un bloque de CIDR IPv6 a su VPC más adelante.

Direccionamiento de la subred

Cada subred debe estar asociada a una tabla de ruteo que, a su vez, especifica las rutas permitidas para el tráfico saliente de la subred. Cada subred que se crea se asocia automáticamente a la tabla de ruteo principal de la VPC. Es posible cambiar la asociación y el contenido de la tabla de ruteo principal. Para obtener más información, consulte Tablas de ruteo.

En el diagrama anterior, la tabla de ruteo asociada a la subred 1 direcciona todo el tráfico IPv4 (0.0.0.0/0) e IPv6 (::/0) a un puerto de enlace a Internet (por ejemplo, igw-1a2b3c4d). Puesto que la instancia 1A tiene una dirección IP elástica IPv4 y la instancia 1B tiene una dirección IPv6, ambas están disponibles desde Internet mediante IPv4 e IPv6, respectivamente.

nota

(Solo IPv4) El acceso a la dirección IPv4 elástica o la dirección IPv4 pública asociada a su instancia se realiza a través del puerto de enlace a Internet de su VPC. El tráfico que pasa por la conexión de VPN entre su instancia y otra red atraviesa una gateway privada virtual y no el puerto de enlace a Internet; por lo tanto, no obtiene acceso a la dirección IPv4 elástica ni a la dirección IPv4 pública.

La instancia 2A no puede tener acceso a Internet, pero sí puede obtener acceso a otras instancias de la VPC. También puede permitir que una instancia de su VPC inicie conexiones salientes a Internet a través de IPv4 y bloquear las conexiones entrantes no deseadas procedentes de Internet mediante una instancia o una gateway de conversión de direcciones de red (NAT). Puesto que el número de direcciones IP elásticas que se puede asignar es limitado, se recomienda utilizar un dispositivo NAT si tiene más instancias que requieran dirección IP pública estática. Para obtener más información, consulte NAT. Para iniciar comunicaciones de solo salida a Internet mediante IPv6, puede utilizar un puerto de enlace a Internet de solo salida. Para obtener más información, consulte Puertos de enlace a Internet de solo salida.

La tabla de ruteo asociada a la subred 3 direcciona todo el tráfico IPv4 (0.0.0.0/0) a una gateway privada virtual (por ejemplo, vgw-1a2b3c4d). La instancia 3A puede obtener acceso a los equipos de la red corporativa mediante la conexión de VPN.

Seguridad de la subred

AWS cuenta con dos características que puede usar para aumentar la seguridad de la VPC: los grupos de seguridad y las ACL de red. Los grupos de seguridad controlan el tráfico de entrada y salida de las instancias, mientras que las ACL de red controlan el tráfico de entrada y salida de las subredes. En la mayoría de los casos, los grupos de seguridad se ajustarán a sus necesidades. No obstante, puede usar también las ACL de red si desea agregar un nivel de seguridad adicional en la VPC. Para obtener más información, consulte Seguridad.

Por diseño, cada subred debe estar asociada a una ACL de red. Cada subred que se crea se asocia automáticamente a la ACL de red predeterminada de la VPC. Es posible cambiar la asociación y el contenido de la ACL de red predeterminada. Para obtener más información, consulte ACL de red.

Puede crear un log de flujo en su VPC o subred para capturar el flujo de tráfico entrante y saliente de las interfaces de red de su VPC o subred. También es posible crear un log de flujo en una interfaz de red individual. Los logs de flujo se publican en CloudWatch Logs. Para obtener más información, consulte Logs de flujo de VPC.

Conexiones con su red local y otras VPC

También es posible configurar de manera opcional una conexión entre su VPC y su red corporativa o doméstica. Si tiene un prefijo de dirección IPv4 en su VPC que se solape con uno de sus prefijos de red, el trafico al prefijo de la red quedará interrumpido. Por ejemplo, supongamos que tiene lo siguiente:

  • Una VPC con un bloque de CIDR 10.0.0.0/16

  • Una subred en dicha VPC con el bloque de CIDR 10.0.1.0/24

  • Instancias que se ejecutan en dicha subred con las direcciones IP 10.0.1.4 y 10.0.1.5

  • Redes de host on-premise que utilizan los bloques de CIDR 10.0.37.0/24 y 10.1.38.0/24

Cuando dichas instancias de la VPC intentan comunicarse con los hosts del espacio de direcciones 10.0.37.0/24, el tráfico se interrumpe porque la dirección 10.0.37.0/24 forma parte del prefijo de mayor tamaño asignado a la VPC (10.0.0.0/16). Las instancias pueden comunicarse con los hosts del espacio 10.1.38.0/24 porque dicho bloque no forma parte de 10.0.0.0/16.

También puede crear una interconexión de VPC entre sus VPC o con una VPC de otra cuenta de AWS. Las interconexiones de VPC permiten direccionar el tráfico entre las VPC mediante direcciones IP privadas; sin embargo, no es posible crear una interconexión de VPC entre VPC que tengan bloques de CIDR solapados. Para obtener más información, consulte la Amazon VPC Peering Guide.

Por lo tanto, se recomienda crear una VPC con un rango de CIDR lo suficientemente amplio como para permitir el crecimiento futuro, aunque sin llegar a solapar las subredes actuales o futuras de su red doméstica o corporativas ni las VPC actuales o futuras.

Actualmente no se admiten las conexiones de VPN a través de IPv6.