Cómo funciona Amazon VPC - Amazon Virtual Private Cloud

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona Amazon VPC

Con Amazon Virtual Private Cloud (Amazon VPC), puede lanzar AWS recursos en una red virtual aislada de forma lógica que haya definido. Esta red virtual es muy similar a la red tradicional que usaría en su propio centro de datos, pero con los beneficios que supone utilizar la infraestructura escalable de AWS.

A continuación, se observa una representación visual de una VPC y sus recursos desde el panel Vista previa que se muestra cuando se crea una VPC mediante la AWS Management Console. En una VPC existente, puede acceder a esta visualización en la pestaña Mapa de recursos. En el siguiente ejemplo se muestran los recursos que se seleccionan inicialmente en la página Crear VPC cuando se elige crear la VPC y otros recursos de red. Esta VPC está configurada con un bloque de CIDR de IPv4 y un bloque de CIDR de IPv6 proporcionado por Amazon, subredes en dos zonas de disponibilidad, tres tablas de enrutamiento, una puerta de enlace de Internet y un punto de conexión de puerta de enlace. Dado que seleccionamos la puerta de enlace de Internet, la visualización indica que el tráfico de las subredes públicas se enruta a Internet porque la tabla de enrutamiento correspondiente envía el tráfico a la puerta de enlace de Internet.


			Una mapa de recursos que muestra una VPC con subredes en dos zonas de disponibilidad, tres tablas de enrutamiento, una puerta de enlace de Internet y un punto de conexión de puerta de enlace.

VPC y subredes

Una nube virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS . Está aislada de forma lógica de otras redes virtuales de la nube. AWS Puede especificar un intervalo de direcciones IP para la VPC, añadir subredes, añadir puertas de enlace y asociar grupos de seguridad.

Una subred es un rango de direcciones IP en su VPC. Lanza recursos de AWS , como instancias de Amazon EC2, en las subredes. Puede conectar una subred a Internet, a otras VPC y a sus propios centros de datos, y dirigir el tráfico hacia y desde las subredes mediante tablas de enrutamiento.

VPC predeterminadas y no predeterminadas

Si la cuenta se creó después del 4 de diciembre de 2013, incluye una VPC predeterminada en cada región. Una VPC predeterminada está configurada y lista para utilizar. Por ejemplo, tiene una subred predeterminada en cada zona de disponibilidad de la región, una puerta de enlace de Internet conectada, una ruta de la tabla de enrutamiento principal que envía todo el tráfico a la puerta de enlace de Internet y una configuración de DNS que automáticamente aisgna nombres de host de DNS a las instancias de EC2 con direcciones IP públicas y habilita la resolución de DNS mediante el servidor de DNS proporcionado por Amazon (consulte Atributos de DNS en la VPC). Por lo tanto, una instancia de EC2 que se lanza en una subred predeterminada tiene acceso automáticamente a Internet. Si tiene una VPC predeterminada en una región y no especifica una subred al lanzar una instancia de EC2 en esa región, elegimos una de las subredes predeterminadas y lanzaremos la instancia en esa subred.

También puede crear su propia VPC y configurarla según sea necesario. Estas VPC se conocen como VPC no predeterminadas. Las subredes creadas en la VPC no predeterminada y las subredes adicionales que cree en su VPC predeterminada se denominan subredes no predeterminadas.

Tablas de ruteo

Las tablas de enrutamiento contienen conjuntos de reglas, denominadas rutas, que se utilizan para determinar dónde se dirige el tráfico de red de su VPC. Puede asociar de forma explícita una subred con una tabla de enrutamiento particular. De lo contrario, la subred se asocia de forma implícita con la tabla de enrutamiento principal.

Cada ruta de una tabla de enrutamiento especifica el rango de direcciones IP al que desea que vaya el tráfico (el destino) y la puerta de enlace, la interfaz de red o la conexión a través de la cual enviar el tráfico (el destino).

Acceder a Internet

Es posible controlar el modo en que las instancias lanzadas en la VPC tienen acceso a los recursos externos a la VPC.

Una VPC predeterminada incluye una puerta de enlace de Internet y las subredes predeterminadas son subredes públicas. Las instancias que se lanzan en subredes predeterminadas tienen dirección IPv4 privada y dirección IPv4 pública. Dichas instancias pueden comunicarse con Internet a través del puerta de enlace de Internet. Una puerta de enlace de Internet permite que las instancias se conecten a Internet a través del borde de la red de Amazon EC2.

De forma predeterminada, las instancias que se lanzan en subredes no predeterminadas disponen de dirección IPv4 privada; sin embargo, no disponen de dirección IPv4 pública a no ser que asigne específicamente una en el lanzamiento o que modifique el atributo de dirección IP pública de la subred. Dichas instancias pueden comunicarse entre sí, pero no pueden tener acceso a Internet.

Puede habilitar el acceso a Internet para una instancia que se haya lanzado en una subred no predeterminada. Para ello, adjunte un puerta de enlace de Internet a su VPC (siempre que su VPC no sea una VPC predeterminada) y asocie una dirección IP elástica a la instancia.

De manera alternativa, para permitir que una instancia de su VPC inicie conexiones salientes a Internet y bloquear las conexiones entrantes no solicitadas, puede utilizar un dispositivo de conversión de direcciones de red (NAT). El dispositivo NAT asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública. Puede configurar los dispositivos NAT con una dirección IP elástica y conectarlos a Internet a través de puertas de enlace de Internet. Esto permite conectar una instancia de una subred privada a Internet a través del dispositivo NAT, direccionando el tráfico desde la instancia a la puerta de enlace de Internet y las respuestas a la instancia.

Si asocia un bloque de CIDR IPv6 a su VPC y asigna direcciones IPv6 a sus instancias, las instancias pueden conectarse a Internet a través de IPv6 a través de una puerta de enlace de Internet. De manera alternativa, las instancias podrán iniciar conexiones salientes a Internet mediante IPv6 a través de un puerta de enlace de Internet de solo salida. Puesto que el tráfico IPv6 está aislado del tráfico IPv4, las tablas de ruteo deben incluir rutas separadas para el tráfico IPv6.

Acceder a una red corporativa o doméstica

Si lo desea, puede conectar su VPC a su propio centro de datos corporativo mediante una AWS Site-to-Site VPN conexión IPsec, lo que convierte a la AWS nube en una extensión de su centro de datos.

Una conexión VPN Site-to-Site consta de dos túneles VPN entre una puerta de enlace privada virtual o una puerta de enlace de tránsito AWS lateral y un dispositivo de puerta de enlace de cliente ubicado en su centro de datos. El dispositivo de puerta de enlace de cliente es un dispositivo físico o dispositivo de software que configure en su lado de la conexión de VPN de sitio a sitio.

Conectar VPC y redes

Puede crear una interconexión de VPC entre dos VPC que permite direccionar el tráfico entre ellas de forma privada. Las instancias de ambas VPC se pueden comunicar entre sí siempre que se encuentren en la misma red.

También puede crear una puerta de enlace de tránsito y utilizarla para interconectar las VPC y las redes locales. La puerta de enlace de tránsito actúa como un enrutador virtual regional para el tráfico que fluye entre sus archivos adjuntos, que puede incluir VPC, conexiones VPN, puertas de enlace y conexiones de interconexión de AWS Direct Connect pasarelas de tránsito.

AWS red global privada

AWS proporciona una red global privada de alto rendimiento y baja latencia que ofrece un entorno de computación en nube seguro para satisfacer sus necesidades de red. AWS Las regiones están conectadas a múltiples proveedores de servicios de Internet (ISP), así como a una red troncal global privada, lo que proporciona un mejor rendimiento de la red para el tráfico entre regiones enviado por los clientes.

Tenga en cuenta las siguientes consideraciones:

  • El tráfico que se encuentra en una zona de disponibilidad o entre las zonas de disponibilidad de todas las regiones se enruta a través de la red global AWS privada.

  • El tráfico que se produce entre regiones siempre se dirige a través de la red global AWS privada, excepto en el caso de las regiones de China.

Existen diversos factores que pueden causar la pérdida de paquetes de red, incluyendo las colisiones de flujos de red, los errores de nivel inferior (capa 2) y otros errores de red. Creamos y utilizamos nuestras redes para minimizar la pérdida de paquetes. Medimos la tasa de pérdida de paquetes (PLR) en toda la red troncal global que conecta las regiones. AWS Operamos la red troncal para obtener un valor de p99 de la tasa PLR por hora inferior al 0,0001 %.