Estabelecer conexão com a Internet usando um gateway da Internet

Um gateway da Internet é um componente da VPC horizontalmente dimensionado, redundante e altamente disponível que permite a comunicação entre a VPC e a Internet. Ele oferece suporte para tráfego IPv4 e IPv6. Não causa riscos de disponibilidade ou restrições de largura de banda no tráfego de rede.

Um gateway da Internet habilita recursos em suas sub-redes públicas (como instâncias do EC2) para estabelecer conexão com a Internet se o recurso tiver um endereço IPv4 ou um endereço IPv6 público. Da mesma forma, os recursos na Internet podem iniciar uma conexão com recursos em sua sub-rede usando o endereço IPv4 ou o endereço IPv6 público. Por exemplo, um gateway da Internet permite que você estabeleça conexão com uma instância do EC2 na AWS usando seu computador local.

Um gateway da Internet fornece um destino nas tabelas de rotas da VPC para tráfego roteável pela Internet. Para a comunicação usando o IPv4, o gateway da Internet também executa a conversão de endereços de rede (NAT). Para comunicação usando IPv6, o NAT não é necessário porque os endereços IPv6 são públicos. Para obter mais informações, consulte Endereços IP e NAT.

Configuração para acesso à Internet

Para permitir que as instâncias recebam ou enviem tráfego da Internet, faça o seguinte:

• Crie um gateway da internet e anexe-o à sua VPC.

• Adicione uma rota à tabela de rotas da sub-rede que direciona o tráfego de entrada da internet para o gateway da Internet.

• Certifique-se de que as instâncias na sub-rede tenham um endereço IPv4 ou um endereço IPv6 público. Para informações adicionais, consulte a seção Endereçamento IP da Instância no Guia do Usuário do Amazon EC2 para instâncias Linux.

• Garanta que seus grupos de segurança e listas de controle de acesso à rede permitam a passagem do tráfego desejado da Internet para suas instâncias e vice-versa.

Caso deseje proporcionar acesso à internet para suas instâncias sem atribuir a elas endereços IP públicos, empregue um dispositivo NAT. Um dispositivo NAT permite que instâncias em uma sub-rede privada se conectem à Internet, mas impede que os hosts na Internet iniciem conexões com as instâncias. Para ter mais informações, consulte Dispositivos NAT.

Sub-redes públicas e privadas

Se uma sub-rede estiver associada a uma tabela de rotas que tem uma rota para um gateway da Internet, ela é conhecida como sub-rede pública. Se uma sub-rede estiver associada a uma tabela de rotas que não tem uma rota para um gateway da Internet, ela é conhecida como sub-rede privada.

Na tabela de rotas da sub-rede pública, é possível especificar uma rota para o gateway da Internet para todos os destinos não explicitamente conhecidos pela tabela de rotas (0.0.0.0/0 para IPv4 ou ::/0 para IPv6). Como alternativa, avalie a rota para uma faixa menor de endereços IP, por exemplo, os endereços IPv4 públicos dos endpoints públicos da empresa fora da AWS, ou os endereços IP elásticos de outras instâncias do Amazon EC2 fora da VPC.

Endereços IP e NAT

Para permitir a comunicação pela internet para o IPv4, a instância deve ter um endereço IPv4 público. Você pode configurar a VPC para atribuir automaticamente endereços IPv4 públicos às instâncias ou pode atribuir endereços IP elásticos às instâncias. A instância detém a informação apenas do espaço de endereço IP privado (interno) definido na VPC e na sub-rede. O gateway da internet fornece logicamente o NAT individualizado em nome da instância, de modo que, quando o tráfego deixa a sub-rede da VPC e vai para a internet, o campo do endereço de resposta é definido como o endereço IPv4 público ou o endereço IP elástico da instância, e não como o endereço IP privado. Por outro lado, o tráfego destinado ao endereço IPv4 público ou ao endereço IP elástico da instância tem seu endereço de destino traduzido para o endereço IPv4 privado da instância antes do tráfego ser entregue à VPC.

Para permitir a comunicação pela internet para IPv6, a VPC e a sub-rede devem ter um bloco CIDR IPv6 associado, além de ser atribuído à instância um endereço IPv6 no intervalo da sub-rede. Os endereços IPv6 são exclusivos globalmente e, portanto, públicos por padrão.

No diagrama a seguir, a sub-rede na zona de disponibilidade é uma sub-rede pública. A tabela de rotas desta sub-rede tem uma rota que envia todo o tráfego IPv4 vinculado à Internet para o gateway da Internet. As instâncias na sub-rede pública devem ter endereços IP públicos ou endereços de IP elásticos para permitir a comunicação com a Internet pelo gateway da Internet. Para comparação, a sub-rede na Zona de disponibilidade B é uma sub-rede privada porque sua tabela de rotas não tem uma rota para o gateway da Internet. As instâncias na sub-rede privada não podem se comunicar com a Internet pelo gateway da Internet, mesmo que tenham endereços IP públicos.

Acesso à Internet para VPCs padrão e não padrão

A tabela a seguir fornece uma visão geral para identificar se a VPC já possui os componentes necessários para acesso à Internet por meio de IPv4 ou IPv6.

Componente	VPC padrão	VPC não padrão
Gateway da Internet	Sim	Não
Tabela de rotas com rota para o gateway da internet para tráfego IPv4 (0.0.0.0/0)	Sim	Não
Tabela de rotas com rota para o gateway da internet para tráfego IPv6 (::/0)	Não	Não
Endereço IPv4 público atribuído automaticamente à instância executada na sub-rede	Sim (sub-rede padrão)	Não (sub-rede não padrão)
Endereço IPv6 atribuído automaticamente à instância executada na sub-rede	Não (sub-rede padrão)	Não (sub-rede não padrão)

Para obter mais informações sobre VPCs padrão, consulte VPCs padrão. Para obter mais informações sobre a criação de uma VPC, consulte Crie uma VPC.

Trabalhar com gateways da Internet

As seções a seguir descrevem como oferecer suporte ao acesso à Internet em uma sub-rede na VPC usando um gateway da Internet. Para remover o acesso à Internet, você pode desvincular o gateway da Internet da sua VPC e depois excluí-lo.

Criar um gateway da internet

Use o procedimento a seguir para criar um gateway da internet.

Para criar um gateway da Internet

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Internet gateways (Gateways da Internet).

3. Escolha Criar gateway da Internet.

4. (Opcional) Insira um nome para o gateway da Internet.

5. (Opcional) Para adicionar uma tag, escolha Add new tag (Adicionar nova tag) e insira a chave e o valor da tag.

6. Escolha Criar gateway da Internet.

7. (Opcional) Para conectar o gateway da Internet a uma VPC agora, escolha Anexar a uma VPC no banner na parte superior da tela, selecione uma VPC disponível e escolha Anexar gateway da Internet. Caso contrário, você pode anexar o gateway da Internet a uma VPC em outro momento.

Anexar um gateway da internet a uma VPC

Para usar um gateway da Internet, você deve anexá-lo a uma VPC.

Anexar um gateway da internet a uma VPC

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Internet gateways (Gateways da Internet).

3. Marque a caixa ao lado do gateway da Internet.

4. Em Ações, escolha Anexar à VPC.

5. Selecione uma VPC disponível.

6. Escolha Anexar gateway da internet.

Separar um gateway da Internet da VPC

Se não precisar mais de acesso à Internet para as instâncias executadas em uma VPC, você poderá desanexar um gateway da Internet de uma VPC. Você não poderá desanexar um gateway da internet se a VPC tiver recursos com endereços IP públicos ou endereços IP elásticos associados.

Para desanexar um gateway da internet

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Internet gateways (Gateways da Internet).

3. Marque a caixa ao lado do gateway da Internet.

4. Escolha Ações, Desanexar da VPC.

5. Quando a confirmação for solicitada, selecione Desanexar gateway da Internet.

Excluir um gateway da internet

Caso não precise mais de um gateway da internet, exclua-o. Você não pode excluir um gateway da internet se ele ainda estiver anexado a uma VPC.

Para excluir um gateway da internet

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Internet gateways (Gateways da Internet).

3. Marque a caixa ao lado do gateway da Internet.

4. Escolha Ações, Excluir gateway da Internet.

5. Quando a confirmação for solicitada, insira delete e escolha Excluir gateway da internet.

Visão geral da API e dos comandos

Você pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obter mais informações sobre as interfaces de linha de comando e sobre a lista de ações de API disponíveis, consulte Trabalhar com a Amazon VPC.

Criar um gateway da internet

• create-internet-gateway (AWS CLI)

• New-EC2InternetGateway (AWS Tools for Windows PowerShell)

Anexar um gateway da internet a uma VPC

• attach-internet-gateway (AWS CLI)

• Add-EC2InternetGateway (AWS Tools for Windows PowerShell)

Descrever um gateway da internet

• describe-internet-gateways (AWS CLI)

• Get-EC2InternetGateway (AWS Tools for Windows PowerShell)

Desanexar um gateway da Internet de uma VPC

• detach-internet-gateway (AWS CLI)

• Dismount-EC2InternetGateway (AWS Tools for Windows PowerShell)

Excluir um gateway da internet

• delete-internet-gateway (AWS CLI)

• Remove-EC2InternetGateway (AWS Tools for Windows PowerShell)

Definição de preço

Não há cobrança por um gateway da Internet, mas há cobranças para a transferência de dados para instâncias EC2 que usam gateways da Internet. Para mais informações, consulte Amazon EC2 On-Demand Pricing (Preços do Amazon EC2 sob demanda).