Habilitar o tráfego IPv6 de saída usando gateways da Internet somente de saída

Um gateway da Internet somente de saída é um componente da VPC horizontalmente escalado, redundante e altamente disponível que permite a comunicação de saída pela IPv6 das instâncias na VPC para a Internet e impede a Internet de iniciar uma conexão IPv6 com suas instâncias.

nota

Um gateway da Internet somente de saída deve ser usado apenas com tráfego IPv6. Para habilitar a comunicação via Internet somente de saída pela IPv4, use um gateway NAT. Para obter mais informações, consulte Gateways NAT.

Noções básicas do Gateway da Internet somente de saída

Os endereços IPv6 são exclusivos globalmente e, são portanto, públicos por padrão. Se deseja que a instância possa acessar a Internet, mas deseja impedir que recursos na Internet iniciem a comunicação com a instância, será possível usar um gateway da Internet somente de saída. Para fazer isso, crie um gateway da Internet somente de saída na VPC e adicione uma rota à tabela de rotas que aponte todo o tráfego IPv6 (::/0) ou um intervalo específico de endereço IPv6 para o gateway da Internet somente de saída. O tráfego IPv6 na sub-rede associada à tabela de rotas é roteado para o gateway da Internet somente de saída.

Um gateway da Internet somente de saída é com estado: encaminha o tráfego das instâncias da sub-rede para a Internet ou outros serviços da AWS e envia a resposta de volta para as instâncias.

Um gateway da Internet somente de saída possui as seguintes características:

• Não é possível associar um grupo de segurança a um gateway da Internet somente de saída. Você pode usar security groups para suas instâncias na sub-rede privada para controlar o tráfego de entrada e saída dessas instâncias.

• É possível usar um network ACL para controlar o tráfego de entrada e saída da sub-rede para a qual o gateway da Internet somente de saída roteia o tráfego.

No diagrama a seguir, a VPC tem blocos CIDR IPv4 e IPv6, e a sub-rede tem blocos CIDR IPv4 e IPv6. A VPC tem um gateway da Internet somente de saída.

A seguir apresentamos um exemplo da tabela de rotas associada à sub-rede. Há uma rota que envie todo o tráfego IPv6 (::/0) direcionado à Internet para o gateway da Internet apenas de saída.

Destination (Destino)	Destino
10.0.0.0/16	Local
2001:db8:1234:1a00:/64	Local
::/0	eigw-id

Trabalhar com gateways da Internet somente de saída

As tarefas a seguir descrevem como criar um gateway da Internet somente de saída para a sub-rede privada e configurar o roteamento da sub-rede.

Tarefas

• Criar um gateway da Internet somente de saída
• Exibir seu gateway da Internet somente de saída
• Criar uma tabela de rotas personalizada
• Excluir um gateway da Internet somente de saída

Criar um gateway da Internet somente de saída

É possível criar um gateway da Internet somente de saída para a VPC usando o console da Amazon VPC.

Como criar um gateway da Internet somente de saída para a VPC

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, selecione Gateways da Internet somente de saída.

3. Selecione Criar um Gateway da Internet somente de saída.

4. (Opcional) Adicione ou remova uma tag.

   [Adicionar uma tag] Escolha Adicionar nova tag e faça o seguinte:

   • Em Key (Chave), insira o nome da chave.

   • Em Value (Valor), insira o valor da chave.

   [Remover uma tag] Escolha Remover à direita da chave e do valor da tag.

5. Selecione a VPC para a qual será criado um gateway de Internet somente de saída.

6. Escolha Criar.

Exibir seu gateway da Internet somente de saída

É possível criar um gateway da Internet somente de saída no console da Amazon VPC.

Como ver informações sobre um gateway da Internet somente de saída

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, selecione Gateways da Internet somente de saída.

3. Selecione o gateway da Internet somente de saída para visualizar suas informações no painel de detalhes.

Criar uma tabela de rotas personalizada

Para enviar o tráfego destinado fora da VPC para o gateway da Internet somente de saída, é necessário criar uma tabela de rotas personalizada, adicionar uma rota que envia o tráfego para o gateway e associá-lo à sub-rede.

Como criar uma tabela de rotas personalizada e adicionar uma rota para o gateway da Internet somente de saída

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, selecione Route tables (Tabelas de rotas), Create route table (Criar tabela de rotas).

3. Na caixa de diálogo Create route table (Criar tabela de rotas), atribua um nome (opcional) à tabela de rotas e selecione a VPC e escolha Create route table (Criar tabela de rotas).

4. Selecione a tabela de rotas personalizada que acabou de ser criada. O painel de detalhes exibe as guias para trabalhar com as respectivas rotas, associações e propagação de rotas.

5. Na guia Routes (Rotas), escolha Edit routes (Editar rotas), especifique ::/0 na caixa Destination (Destino), selecione o ID do gateway da Internet na lista Target (Destino) e escolha Save changes (Salvar alterações).

6. Na guia Subnet associations (Associações de sub-rede), escolha Edit subnet associations (Editar) e marque a caixa de seleção para a sub-rede. Escolha Salvar.

Alternativamente, você pode adicionar uma rota a uma tabela de rotas existente associada à sua sub-rede. Selecione sua tabela de rotas existente e siga as etapas 5 e 6 acima para adicionar uma rota ao gateway da Internet somente de saída.

Para obter mais informações sobre tabelas de rotas, consulte Configurar tabelas de rotas.

Excluir um gateway da Internet somente de saída

Se você não precisar mais de um gateway da Internet somente de saída, é possível excluí-lo. Qualquer rota em uma tabela de rotas que aponta para o gateway da Internet somente de saída excluído permanece em um status blackhole até que você exclua ou atualize manualmente a rota.

Como excluir um gateway da Internet somente de saída

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Gateways da Internet somente de saída e selecione o gateway da Internet somente de saída.

3. Escolha Delete (Excluir).

4. Selecione Delete Egress Only Internet Gateway na caixa de diálogo de confirmação.

Visão geral da API e da CLI

Você pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obter mais informações sobre as interfaces de linha de comando e sobre a lista de ações de API disponíveis, consulte Trabalhar com a Amazon VPC.

Criar um gateway da Internet somente de saída

• create-egress-only-internet-gateway (AWS CLI)

• New-EC2EgressOnlyInternetGateway (AWS Tools for Windows PowerShell)

Descrever um gateway da Internet somente de saída

• describe-egress-only-internet-gateways (AWS CLI)

• Get-EC2EgressOnlyInternetGatewayList (AWS Tools for Windows PowerShell)

Excluir um gateway da Internet somente de saída

• delete-egress-only-internet-gateway (AWS CLI)

• Remove-EC2EgressOnlyInternetGateway (AWS Tools for Windows PowerShell)

Definição de preço

Não há cobrança por um gateway da Internet somente de saída, mas há cobranças para a transferência de dados para instâncias do EC2 que usam gateways da Internet. Para mais informações, consulte Amazon EC2 On-Demand Pricing (Preços do Amazon EC2 sob demanda).