ClassicLink - Amazon Elastic Compute Cloud

ClassicLink

Vamos a retirar EC2-Classic. Le recomendamos que migre de EC2-Classic a una VPC.

Con ClassicLink, puede vincular instancias EC2-Classic a una VPC de su cuenta, dentro de la misma región. Si asocia los grupos de seguridad de VPC a la instancia EC2-Classic, se habilita la comunicación entre la instancia EC2-Classic y las instancias de la VPC mediante direcciones IPv4 privadas. Con ClassicLink, no es preciso utilizar direcciones IPv4 públicas ni direcciones IP elásticas para permitir la comunicación entre las instancias de estas plataformas.

ClassicLink está disponible para todos los usuarios con cuentas que admitan la plataforma EC2-Classic, y puede utilizarse con cualquier instancia EC2-Classic. El uso ClassicLink no supone ningún cargo adicional. Se aplicará la tarifa estándar por la transferencia de datos y el uso de instancias.

Para vincular una instancia EC2-Classic a una VPC mediante ClassicLink, se deben realizar dos pasos. En primer lugar, debe habilitar la VPC para ClassicLink. De forma predeterminada, las VPC de su cuenta no están habilitadas para ClassicLink para mantener su aislamiento. Una vez que haya habilitado la VPC para ClassicLink, puede vincular cualquier instancia EC2-Classic en ejecución de la misma región de su cuenta a dicha VPC. Vincular la instancia supone seleccionar los grupos de seguridad de la VPC para asociarlos con la instancia EC2-Classic. Una vez que haya vinculado la instancia, puede comunicarse con las instancias de la VPC utilizando sus direcciones IP privadas, siempre que los grupos de seguridad de la VPC lo permitan. La instancia EC2-Classic no pierde su dirección IP privada al vincularse a la VPC.

Vincular la instancia a una VPC a veces se denomina adjuntar la instancia.

Una instancia EC2-Classic puede comunicarse con las instancias de una VPC pero no forma parte de la VPC. Si muestra las instancias y filtra por VPC, por ejemplo, a través de la solicitud de API DescribeInstances o mediante la pantalla Instances (Instancias) de la consola de Amazon EC2, los resultados no muestran ninguna instancia EC2-Classic vinculada a la VPC. Para obtener más información sobre cómo ver las instancias EC2-Classic vinculadas, consulte Ver las VPC habilitadas para ClassicLink y las instancias vinculadas.

De manera predeterminada, si utiliza un nombre de host de DNS público para dirigirse a una instancia de una VPC desde una instancia EC2-Classic, el nombre de host se resuelve en la dirección IP pública de la instancia. Lo mismo ocurre si utiliza un nombre de host de DNS público para dirigirse a una instancia EC2-Classic vinculada desde una instancia en la VPC. Si desea que el nombre de host de DNS público se resuelva en la dirección IP privada, puede habilitar la compatibilidad de DNS de ClassicLink para la VPC. Para obtener más información, consulte Habilitar la compatibilidad de DNS para ClassicLink.

Si ya no necesita una conexión ClassicLink entre la instancia y la VPC, puede desvincular la instancia EC2-Classic de la VPC. Esto desvincula los grupos de seguridad de la VPC de la instancia EC2-Classic. Una instancia EC2-Classic vinculada se desvincula automáticamente de una VPC cuando se detiene. Una vez que haya desvinculado todas las instancias EC2-Classic vinculadas de la VPC, puede deshabilitar ClassicLink para dicha VPC.

Las instancias EC2-Classic vinculadas pueden obtener acceso a los siguientes servicios de AWS en la VPC: Amazon Redshift, Amazon ElastiCache, Elastic Load Balancing y Amazon RDS. Sin embargo, las instancias de la VPC no pueden obtener acceso a los servicios de AWS aprovisionados por la plataforma EC2-Classic mediante ClassicLink.

Si utiliza Elastic Load Balancing, puede registrar las instancias EC2-Classic vinculadas en el balanceador de carga. Debe crear el balanceador de carga en la VPC habilitada para ClassicLink y la zona de disponibilidad en la que se ejecuta la instancia. Si termina la instancia EC2-Classic vinculada, el balanceador de carga cancela el registro de la instancia.

Si usa Amazon EC2 Auto Scaling, puede crear un grupo de Amazon EC2 Auto Scaling con instancias vinculadas automáticamente a una VPC específica habilitada para ClassicLink durante el lanzamiento. Para obtener más información, consulte Vincular instancias EC2-Classic a una VPC en la Guía del usuario de Amazon EC2 Auto Scaling.

Si utiliza instancias de Amazon RDS o clústeres de Amazon Redshift en la VPC y estos son accesibles públicamente (a través de Internet), el punto de enlace que utiliza para dirigirse a dichos recursos desde una instancia EC2-Classic vinculada se resuelve de forma predeterminada en una dirección IP pública. Si dichos recursos no son accesibles públicamente, el punto de enlace se resuelve en una dirección IP privada. Para dirigirse a una instancia de RDS accesible públicamente o a un clúster de Redshift a través de una IP privada mediante ClassicLink, debe utilizar su dirección IP privada o su nombre de host DNS privado, o bien debe habilitar la compatibilidad de DNS de ClassicLink para la VPC.

Si utiliza un nombre de host de DNS privado o una dirección IP privada para dirigirse a una instancia de RDS, la instancia EC2-Classic vinculada no puede usar el soporte de conmutación por error disponible para despliegues Multi-AZ.

Puede utilizar la consola de Amazon EC2 para encontrar la dirección IP privada de sus recursos de Amazon Redshift, Amazon ElastiCache o Amazon RDS.

Para localizar las direcciones IP privadas de recursos de AWS en la VPC

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Network Interfaces.

  3. Compruebe las descripciones de las interfaces de red en la columna Description (Descripción). Una interfaz de red utilizada por Amazon Redshift, Amazon ElastiCache o Amazon RDS contendrá el nombre del servicio en la descripción. Por ejemplo, una interfaz de red conectada a una instancia de Amazon RDS tendrá la siguiente descripción: RDSNetworkInterface.

  4. Seleccione la interfaz de red necesaria.

  5. En el panel de detalles, obtenga la dirección IP privada del campo Primary private IPv4 IP (IP IPv4 privada principal).

De forma predeterminada, los usuarios de IAM no tienen permiso para trabajar con ClassicLink. Puede crear una política de IAM que conceda a los usuarios permiso para habilitar o deshabilitar una VPC para ClassicLink, vincular o desvincular una instancia en una VPC habilitada para ClassicLink y ver las VPC habilitadas para ClassicLink y las instancias EC2-Classic vinculadas. Para obtener más información sobre las políticas de IAM para Amazon EC2, consulte Políticas de IAM para Amazon EC2.

Para obtener más información sobre las políticas para trabajar con ClassicLink, consulte el siguiente ejemplo: Ejemplos de políticas de IAM para ClassicLink.

Vincular la instancia EC2-Classic a una VPC no afecta a los grupos de seguridad de EC2-Classic. Estos grupos continúan controlando todo el tráfico hacia y desde la instancia. Esto excluye el tráfico hacia y desde las instancias en la VPC, que es controlado por los grupos de seguridad de la VPC que asoció a la instancia EC2-Classic. Las instancias EC2-Classic vinculadas a la misma VPC no pueden comunicarse entre ellas a través de la VPC, independientemente de si están asociadas al mismo grupo de seguridad de VPC. La comunicación entre las instancias EC2-Classic la controlan los grupos de seguridad de EC2-Classic asociados a dichas instancias. Para ver un ejemplo de la configuración de un grupo de seguridad, consulte Ejemplo: configuración de un grupo de seguridad de ClassicLink para una aplicación web de tres niveles.

Tras vincular a instancia a una VPC, no podrá cambiar los grupos de seguridad de VPC que están asociados a dicha instancia. Para asociar distintos grupos de seguridad a la instancia, primero debe desvincular la instancia y, a continuación, volver a vincularla a la VPC, eligiendo los grupos de seguridad necesarios.

Cuando se habilita una VPC para ClassicLink, se añade una ruta estática a todas las tablas de ruteo de la VPC con el destino 10.0.0.0/8 y el objetivo local. Esto permite la comunicación entre las instancias de la VPC y cualquier instancia EC2-Classic vinculada a la VPC. Si añade una tabla de ruteo personalizada a una VPC habilitada para ClassicLink, se añade automáticamente una ruta estática con el destino 10.0.0.0/8 y el objetivo local. Cuando deshabilita ClassicLink para una VPC, esta ruta se elimina automáticamente de todas las tablas de ruteo de la VPC.

Las VPC que se encuentran en los rangos de direcciones IP 10.0.0.0/16 y 10.1.0.0/16 se pueden habilitar para ClassicLink únicamente si no tienen ninguna ruta estática en las tablas de ruteo en el rango de direcciones IP 10.0.0.0/8, excluyendo las rutas locales que se añadieron automáticamente cuando se creó la VPC. Del mismo modo, si ha habilitado una VPC para ClassicLink, es posible que no pueda añadir ninguna ruta específica adicional a las tablas de ruteo en el rango de direcciones IP 10.0.0.0/8.

importante

Si el bloque de CIDR de la VPC es un rango de direcciones IP direccionable públicamente, tenga en cuenta las implicaciones de seguridad antes de vincular una instancia EC2-Classic a la VPC. Por ejemplo, si la instancia EC2-Classic vinculada recibe un ataque de inundación de una solicitud de denegación de servicio (DoS) de entrada desde una dirección IP de origen que está dentro del rango de direcciones IP de la VPC, el tráfico de respuesta se envía a la VPC. Se recomienda encarecidamente crear la VPC utilizando un rango de direcciones IP privadas tal y como se especifica en RFC 1918.

Para obtener más información sobre las tabla de ruteo y el direccionamiento en la VPC, consulte Tablas de ruteo en la Guía del usuario de Amazon VPC.

Si tiene una interconexión de VPC entre dos VPC y hay una o varias instancias EC2-Classic vinculadas a una o ambas VPC a través de ClassicLink, podrá ampliar la interconexión de VPC para habilitar la comunicación entre las instancias EC2-Classic y las instancias de la VPC del otro extremo de la interconexión de VPC. Esto permite que las instancias EC2-Classic y las instancias de la VPC se comuniquen mediante direcciones IP privadas. Para ello, puede habilitar una VPC local para que se pueda comunicar con una instancia EC2-Classic vinculada en una VPC del mismo nivel, o bien puede habilitar una instancia EC2-Classic vinculada local para que se pueda comunicar con las instancias de una VPC del mismo nivel.

Si habilita una VPC local para que se comunique con una instancia EC2-Classic vinculada en una VPC del mismo nivel, se añade automáticamente una ruta estática a las tablas de ruteo con el destino 10.0.0.0/8 y el objetivo local.

Para obtener más información y ejemplos, consulte Configuraciones con ClassicLink en la Amazon VPC Peering Guide.

Para utilizar la característica ClassicLink, debe conocer las siguientes limitaciones:

  • Solo puede vincular una instancia EC2-Classic a una sola VPC cada vez.

  • Si detiene la instancia EC2-Classic vinculada, esta se desvincula automáticamente de la VPC y los grupos de seguridad de la VPC dejan de estar asociados a la instancia. Puede volver a vincular la instancia a la VPC después de reiniciarla.

  • No puede vincular una instancia EC2-Classic a una VPC que se encuentre en otra región o pertenezca a otra cuenta de AWS.

  • No puede utilizar ClassicLink para vincular una instancia de VPC a una VPC diferente o a un recurso de EC2-Classic. Para establecer una conexión privada entre VPC, puede utilizar una interconexión de VPC. Para obtener más información, consulte la Guía de interconexión de Amazon VPC.

  • No puede asociar una dirección IP elástica de una VPC a una instancia EC2-Classic vinculada.

  • Las instancias EC2-Classic no admiten la comunicación IPv6. Puede asociar un bloque de CIDR IPv6 a la VPC y asignar direcciones IPv6 a recursos en la VPC, si bien la comunicación entre una instancia ClassicLink y los recursos de la VPC solo se realiza a través de IPv4.

  • Las VPC con rutas que entren en conflicto con el rango de direcciones IP privadas de EC2-Classic 10/8 no pueden habilitarse para ClassicLink. Esto no incluye las VPC con los rangos de direcciones IP 10.0.0.0/16 y 10.1.0.0/16 que ya tengan rutas locales en las tablas de ruteo. Para obtener más información, consulte Direccionamiento de ClassicLink.

  • Las VPC configuradas para una tenencia de hardware dedicada no se pueden habilitar para ClassicLink. Contacte con el servicio técnico de Amazon Web Services Support para solicitar que la VPC con tenencia dedicada pueda habilitarse para ClassicLink.

    importante

    Las instancias EC2-Classic se ejecutan en hardware compartido. Si establece la tenencia de una VPC en dedicated debido a requisitos legales o de seguridad, la vinculación de una instancia EC2-Classic a la VPC podría no cumplir dichos requisitos, ya que esto permite que un recurso de tenencia compartida se dirija a los recursos aislados directamente usando direcciones IP privadas. Si necesita habilitar la VPC dedicada para ClassicLink, proporcione un motivo detallado en la solicitud que envíe al servicio técnico de Amazon Web Services.

  • Si vincula la instancia EC2-Classic a una VPC en el rango 172.16.0.0/16 y tiene un servidor DNS que se ejecuta en la dirección IP 172.16.0.23/32 dentro de la VPC, la instancia EC2-Classic vinculada no podrá obtener acceso al servidor DNS de la VPC. Para solucionar este problema, ejecute el servidor DNS en una dirección IP distinta dentro de la VPC.

  • ClassicLink no admite las relaciones transitivas fuera de la VPC. La instancia EC2-Classic vinculada no tiene acceso a ninguna conexión de VPN, punto de enlace de la gateway de VPC, gateway de NAT o gateway de Internet asociado a la VPC. Tampoco los recursos del otro extremo de una conexión de VPN o de un gateway de Internet tienen acceso a ninguna instancia EC2-Classic vinculada.

Puede utilizar las consolas de Amazon EC2 y de Amazon VPC para trabajar con la característica ClassicLink. Puede habilitar o deshabilitar una VPC para ClassicLink y vincular o desvincular instancias EC2-Classic en una VPC.

nota

Las características de ClassicLink solo están visibles en las consolas de las cuentas y regiones que admiten EC2-Classic.

Para vincular una instancia EC2-Classic a una VPC, primero debe habilitar la VPC para ClassicLink. No puede habilitar una VPC para ClassicLink si la VPC tiene rutas que entren en conflicto con el rango de direcciones IP privadas de EC2-Classic. Para obtener más información, consulte Direccionamiento de ClassicLink.

Para habilitar una VPC para ClassicLink

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Your VPCs (Sus VPC).

  3. Seleccione la VPC.

  4. Elija Actions (Acciones), Enable ClassicLink (Habilitar ClassicLink).

  5. Cuando se le pida que confirme, elija Enable ClassicLink (Habilitar ClassicLink).

  6. (Opcional) Si desea publicar el nombre de host de DNS para resolver la dirección IP privada, habilite la compatibilidad con DNS de ClassicLink para la VPC antes de vincular instancias. Para obtener más información, consulte Habilitar la compatibilidad de DNS para ClassicLink.

Después de habilitar una VPC para ClassicLink, puede vincular una instancia EC2-Classic a ella. La instancia debe tener el estado running.

Si desea que el nombre de host de DNS público se resuelva en la dirección IP privada, habilite la compatibilidad con DNS de ClassicLink para la VPC antes de vincular la instancia. Para obtener más información, consulte Habilitar la compatibilidad de DNS para ClassicLink.

Para vincular una instancia a una VPC

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancias).

  3. Seleccione una o varias instancias de EC2-Classic en ejecución.

  4. Elija Actions (Acciones), ClassicLink, Link to VPC (Conectar a la VPC).

  5. Elija la VPC. La consola muestra sólo las VPC habilitadas para ClassicLink.

  6. Seleccione uno o varios grupos de seguridad de VPC para asociarlos a sus instancias. La consola muestra grupos de seguridad solo para VPC habilitadas para ClassicLink.

  7. Elija Link (Vincular).

Puede utilizar el launch wizard en la consola de Amazon EC2 para lanzar una instancia EC2-Classic y vincularla inmediatamente a una VPC habilitada para ClassicLink.

Para vincular una instancia a una VPC durante el lanzamiento

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de Amazon EC2, elija Launch Instance (Lanzar instancia).

  3. Seleccione una AMI y, a continuación, elija un tipo de instancia compatible con EC2-Classic. Para obtener más información, consulte Tipos de instancias disponibles en EC2-Classic.

  4. En la página Configure Instance Details (Siguiente: Configurar detalles de instancia), haga lo siguiente:

    1. En Network (Red), elija Launch into EC2-Classic (Lanzar en EC2-Classic). Si esta opción está desactivada, entonces el tipo de instancia no es compatible con EC2-Classic.

    2. Amplíe Link to VPC (ClassicLink) (Enlazar a VPC (ClassicLink)) y elija una VPC en Link to VPC (Vincular a la VPC). La consola muestra solo las VPC con ClassicLink activado.

  5. Complete el resto de pasos del asistente y lance su instancia. Para obtener más información, consulte Lance una instancia con el antiguo asistente de lanzamiento de instancias.

Puede ver todas las VPC habilitadas para ClassicLink en la consola de Amazon VPC y las instancias EC2-Classic vinculadas en la consola de Amazon EC2.

Para ver las VPC habilitadas para ClassicLink

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Your VPCs (Sus VPC).

  3. Seleccione la VPC.

  4. Si el valor de ClassicLink es Enabled (Habilitado), la VPC está habilitada para ClassicLink.

Puede habilitar la compatibilidad de DNS con ClassicLink en la VPC para que los nombres de host DNS que se direccionan entre las instancias EC2-Classic vinculadas y las instancias de la VPC se resuelvan en direcciones IP privadas y no en direcciones IP públicas. Para que esta característica funcione, la VPC debe estar habilitada para nombres de host DNS y para la resolución de DNS.

nota

Si habilita la compatibilidad de DNS para ClassicLink en la VPC, la instancia EC2-Classic vinculada puede obtener acceso a cualquier zona alojada privada asociada a la VPC. Para obtener más información, consulte Uso de zonas alojadas privadas en la Guía para desarrolladores de Amazon Route 53.

Para habilitar la compatibilidad de DNS para ClassicLink

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Your VPCs (Sus VPC).

  3. Seleccione la VPC.

  4. Elija Actions (Acciones), Edit ClassicLink DNS Support (Editar soporte DNS de ClassicLink).

  5. En ClassicLink DNS support (Compatibilidad con DNS de ClassicLink), seleccione Enable (Habilitar).

  6. Elija Save changes.

Puede deshabilitar la compatibilidad de DNS con ClassicLink en la VPC de forma que las direcciones de los nombres de host DNS que se utilizan entre instancias EC2-Classic vinculadas e instancias de la VPC se resuelvan en direcciones IP públicas y no en direcciones IP privadas.

Para deshabilitar la compatibilidad de DNS para ClassicLink

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Your VPCs (Sus VPC).

  3. Seleccione la VPC.

  4. Elija Actions (Acciones), Edit ClassicLink DNS Support (Editar soporte DNS de ClassicLink).

  5. En ClassicLink DNS support (Compatibilidad con DNS de ClassicLink), desactive Enable (Habilitar).

  6. Elija Save changes.

Si ya no necesita una conexión ClassicLink entre la instancia EC2-Classic y la VPC, puede desvincular la instancia de la VPC. La desvinculación de la instancia desasocia los grupos de seguridad de la VPC de la instancia.

Una instancia detenida se desvincula automáticamente de una VPC.

Para desvincular una instancia de una VPC

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancias).

  3. Seleccione una o varias de sus instancias.

  4. Elija Actions (Acciones), ClassicLink, Unlink from VPC (Desconectar de la VPC).

  5. Cuando se le pida que confirme, elija Unlink (Desconectar).

Si ya no necesita una conexión entre las instancias EC2-Classic y la VPC, puede deshabilitar ClassicLink en la VPC. Para ello, primero debe desvincular todas las instancias EC2-Classic que estén vinculadas a una VPC.

Para deshabilitar ClassicLink para una VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Your VPCs (Sus VPC).

  3. Seleccione la VPC.

  4. Elija Actions (Acciones), Disable ClassicLink (Desactivar ClassicLink).

  5. Cuando se le indique que confirme, elija Disable ClassicLink (Desactivar ClassicLink).

Puede habilitar una VPC para ClassicLink y luego vincular una instancia EC2-Classic a la VPC. También puede ver las VPC que tiene habilitadas para ClassicLink y todas las instancias EC2-Classic vinculadas a una VPC. Puede crear políticas con permisos de nivel de recursos para las acciones ec2:EnableVpcClassicLink, ec2:DisableVpcClassicLink, ec2:AttachClassicLinkVpc y ec2:DetachClassicLinkVpc para controlar cómo los usuarios pueden utilizar estas acciones. Las acciones ec2:Describe* no admiten los permisos de nivel de recurso.

La siguiente política concede a los usuarios permisos para ver las VPC habilitadas para ClassicLink y las instancias EC2-Classic vinculadas, habilitar o deshabilitar una VPC para ClassicLink y vincular y desvincular instancias de una VPC habilitada para ClassicLink.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeClassicLinkInstances", "ec2:DescribeVpcClassicLink", "ec2:EnableVpcClassicLink", "ec2:DisableVpcClassicLink", "ec2:AttachClassicLinkVpc", "ec2:DetachClassicLinkVpc" ], "Resource": "*" } ] }

La siguiente política permite a un usuario habilitar y deshabilitar para ClassicLink VPC que tengan la etiqueta 'purpose=classiclink'. Los usuarios no pueden habilitar o deshabilitar ninguna VPC más para ClassicLink.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*VpcClassicLink", "Resource": "arn:aws:ec2:region:account:vpc/*", "Condition": { "StringEquals": { "aws:ResourceTag/purpose":"classiclink" } } } ] }

La siguiente política concede a los usuarios permisos para vincular instancias a una VPC solo si la instancia es un tipo de instancia m3.large. La segunda instrucción permite a los usuarios usar la VPC y los recursos de grupo de seguridad, necesarios para vincular una instancia a una VPC.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:AttachClassicLinkVpc", "Resource": "arn:aws:ec2:region:account:instance/*", "Condition": { "StringEquals": { "ec2:InstanceType":"m3.large" } } }, { "Effect": "Allow", "Action": "ec2:AttachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:vpc/*", "arn:aws:ec2:region:account:security-group/*" ] } ] }

La siguiente política concede a los usuarios permisos para vincular instancias solo a una VPC específica (vpc-1a2b3c4d) y asociar solo grupos de seguridad específicos de la VPC a la instancia (sg-1122aabb y sg-aabb2233). Los usuarios no pueden vincular una instancia a ninguna VPC más y no pueden especificar ningún otro grupo de seguridad de VPC para asociarlo a la instancia en la solicitud.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:AttachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d", "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:security-group/sg-1122aabb", "arn:aws:ec2:region:account:security-group/sg-aabb2233" ] } ] }

La política siguiente concede a los usuarios permiso para desvincular de una VPC cualquier instancia EC2-Classic vinculada, aunque solo si la instancia tiene la etiqueta "unlink=true". La segunda instrucción concede a los usuarios permisos para utilizar el recurso de VPC, obligatorio para desvincular una instancia de una VPC.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:DetachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:instance/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/unlink":"true" } } }, { "Effect": "Allow", "Action": "ec2:DetachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:vpc/*" ] } ] }

En este ejemplo, tiene una aplicación con tres instancias: un servidor web público, un servidor de aplicación y un servidor de bases de datos. El servidor web admite tráfico HTTPS de Internet y se comunica con el servidor de la aplicación a través del puerto TCP 6001. Posteriormente, el servidor de la aplicación se comunica con el servidor de bases de datos a través del puerto TCP 6004. Está en proceso de migrar toda la aplicación a una VPC en su cuenta. Ya ha migrado el servidor de la aplicación y el servidor de bases de datos a la VPC. El servidor web aún se encuentra en EC2-Classic y está vinculado a la VPC a través de ClassicLink.

Desea una configuración de grupos de seguridad que permita que fluya el tráfico entre estas instancias. Tiene cuatro grupos de seguridad: dos para el servidor web (sg-1a1a1a1a y sg-2b2b2b2b), uno para el servidor de la aplicación (sg-3c3c3c3c) y uno para el servidor de bases de datos (sg-4d4d4d4d).

El siguiente diagrama muestra la arquitectura de las instancias y la configuración de sus grupos de seguridad.


          Configuración del grupo de seguridad con ClassicLink.

Grupos de seguridad para el servidor web (sg-1a1a1a1a y sg-2b2b2b2b)

Tiene un grupo de seguridad en EC2-Classic y el otro en la VPC. Al vincular la instancia a la VPC a través de ClassicLink, asoció el grupo de seguridad de la VPC a la instancia del servidor web. El grupo de seguridad de la VPC le permite controlar el tráfico saliente del servidor web al servidor de la aplicación.

A continuación, se muestran las reglas para el grupo de seguridad de EC2-Classic (sg-1a1a1a1a).

Inbound
Fuente Tipo Rango de puertos Comentarios

0.0.0.0/0

HTTPS

443

Permite que el tráfico de Internet llegue al servidor web.

A continuación, se muestran las reglas para el grupo de seguridad de la VPC (sg-2b2b2b2b).

Outbound
Destino Tipo Rango de puertos Comentarios

sg-3c3c3c3c

TCP

6001

Permite el tráfico saliente del servidor web al servidor de la aplicación en la VPC (o cualquier otra instancia asociada con sg-3c3c3c3c).

Grupo de seguridad para el servidor de la aplicación (sg-3c3c3c3c)

A continuación, se muestran las reglas para el grupo de seguridad de la VPC que está asociada al servidor de la aplicación.

Inbound
Fuente Tipo Rango de puertos Comentarios

sg-2b2b2b2b

TCP

6001

Permite que llegue el tipo de tráfico especificado del servidor web (o cualquier otra instancia asociada con sg-2b2b2b2b) al servidor de la aplicación.

Outbound
Destino Tipo Rango de puertos Comentarios
sg-4d4d4d4d TCP 6004 Allows outbound traffic from the application server to the database server (or to any other instance associated with sg-4d4d4d4d).

Grupo de seguridad para el servidor de la base de datos (sg-4d4d4d4d)

A continuación, se muestran las reglas para el grupo de seguridad de la VPC que está asociada al servidor de la base de datos.

Inbound
Fuente Tipo Rango de puertos Comentarios

sg-3c3c3c3c

TCP

6004

Permite que llegue el tipo de tráfico especificado del servidor de la aplicación (o cualquier otra instancia asociada con sg-3c3c3c3c) al servidor de la base de datos.