Conexión a Internet mediante una puerta de enlace de Internet

Una puerta de enlace de internet es un componente de la VPC de escalado horizontal, redundante y de alta disponibilidad que permite la comunicación entre su VPC e internet. Admite el tráfico IPv4 e IPv6. No genera riesgos de disponibilidad ni restricciones del ancho de banda del tráfico de red.

Una puerta de enlace de Internet permite que los recursos en las subredes públicas (como las instancias de EC2) se conecten a Internet si el recurso tiene una dirección IPv4 pública o una dirección IPv6. Del mismo modo, los recursos de Internet pueden iniciar una conexión con los recursos de la subred utilizando la dirección IPv4 pública o la dirección IPv6. Por ejemplo, una puerta de enlace de Internet le permite conectarse a una instancia de EC2 en AWS utilizando su computadora local.

Una puerta de enlace de Internet proporciona un destino en las tablas de enrutamiento de VPC para el tráfico enrutable a Internet. Para las comunicaciones mediante IPv4, la puerta de enlace de Internet también realiza la traducción de direcciones de red (NAT). Para la comunicación mediante IPv6, no se necesita NAT porque las direcciones IPv6 son públicas. Para obtener más información, consulte Direcciones IP y NAT.

Configuración para el acceso a Internet

Para permitir que las instancias reciban o envíen tráfico desde Internet, realice lo siguiente:

• Cree una puerta de enlace de Internet y adjúntela a su VPC.

• Agregue una ruta a la tabla de enrutamiento de la subred que dirija el tráfico vinculado a Internet a la puerta de enlace de Internet.

• Asegúrese de que las instancias de su subred tienen una dirección IPv4 pública o una dirección IPv6. A fin de obtener más información, consulte Direcciones IP de instancias en la Guía del usuario de Amazon EC2 para instancias de Linux.

• Asegúrese de que los grupos de seguridad y las listas de control de acceso a la red permitan el envío de tráfico de Internet deseado desde o hacia sus instancias.

Para proporcionar acceso a Internet a sus instancias sin asignarles direcciones IP públicas, utilice un dispositivo NAT en su lugar. Un dispositivo NAT permite que las instancias de una subred privada se conecten a Internet, pero evita que los anfitriones de Internet inicien conexiones con las instancias. Para obtener más información, consulte Dispositivos NAT.

Subredes públicas y privadas

Si la subred está asociada a una tabla de enrutamiento que tiene una ruta a una puerta de enlace de Internet, esta se denomina subred pública. Si una subred está asociada a una tabla de enrutamiento que no tiene ninguna ruta a una puerta de enlace de Internet, se denomina subred privada.

En la tabla de enrutamiento de la subred pública, puede especificar la ruta de la puerta de enlace de Internet en todos los destinos que no se conocen explícitamente en la tabla (0.0.0.0/0 para IPv4 o ::/0 para IPv6). Si lo desea, también puede establecer el alcance de la ruta en un intervalo más pequeño de direcciones IP; por ejemplo, las direcciones IPv4 públicas de los puntos de enlace públicos de la empresa que estén fuera de AWS o las direcciones IP elásticas de otras instancias de Amazon EC2 externas a la VPC.

Direcciones IP y NAT

Para permitir la comunicación a través de Internet para IPv4, su instancia debe tener una dirección IPv4 pública. Puede definir su VPC para que asigne automáticamente direcciones IPv4 públicas a las instancias, o puede asignar direcciones IP elásticas a las instancias. Su instancia solo tendrá en cuenta el espacio de dirección IP (interno) privado definido en la VPC y la subred. El puerta de enlace de Internet proporciona lógicamente la NAT individual en nombre de su instancia. Por lo tanto, cuando el tráfico sale de su subred de VPC a Internet, el campo de dirección de respuesta se configura con la dirección IPv4 pública o la dirección IP elástica de su instancia y no con su dirección IP privada. Por el contrario, la dirección de destino del tráfico con destino a la dirección IP elástica o la dirección IPv4 pública de su instancia se convertirá a la dirección IPv4 privada de la instancia antes de que el tráfico se entregue a la VPC.

Para permitir la comunicación a través de Internet para IPv6, su VPC y su subred deben tener un bloque de CIDR IPv6 asociado y su instancia debe asignarse a una dirección IPv6 desde el rango de la subred. Las direcciones IPv6 son únicas de forma global y, por lo tanto, públicas de manera predeterminada.

En el siguiente diagrama, la subred de la zona de disponibilidad A es una subred pública. La tabla de enrutamiento de esta subred tiene una ruta que envía todo el tráfico IPv4 vinculado a Internet a la puerta de enlace de Internet. Las instancias de la subred pública deben tener direcciones IP públicas o direcciones IP elásticas para permitir la comunicación con Internet a través de la puerta de enlace de Internet. A modo de comparación, la subred de la zona de disponibilidad B es una subred privada porque su tabla de enrutamiento no tiene ninguna ruta hacia la puerta de enlace de Internet. Las instancias de la subred privada no pueden comunicarse con Internet a través de la puerta de enlace de Internet, incluso si tienen direcciones IP públicas.

Acceso a internet para VPC predeterminadas y no predeterminadas

La tabla siguiente ofrece información general acerca de si una VPC incluye automáticamente los componentes necesarios para el acceso a Internet a través de IPv4 o IPv6.

Componente	VPC predeterminada	VPC no predeterminada
Puerto de enlace a Internet	Sí	No
Tabla de ruteo con ruta al puerta de enlace de Internet para el tráfico IPv4 (0.0.0.0/0)	Sí	No
Tabla de ruteo con ruta al puerta de enlace de Internet para el tráfico IPv6 (::/0)	No	No
Dirección IPv4 pública asignada automáticamente a una instancia iniciada en la subred	Sí (subred predeterminada)	No (subred no predeterminada)
Dirección IPv6 asignada automáticamente a una instancia iniciada en la subred	No (subred predeterminada)	No (subred no predeterminada)

Para obtener más información acerca de las VPC predeterminadas, consulte VPC predeterminadas. Para obtener más información acerca de la creación de una VPC, consulte Creación de una VPC.

Trabajar con puertas de enlace de Internet

A continuación, se describe cómo admitir el acceso a Internet desde una subred de la VPC mediante una puerta de enlace de Internet. Para eliminar el acceso a Internet, puede desconectar la puerta de enlace de Internet de la VPC y, a continuación, eliminarla.

Cree un puerta de enlace de Internet

Utilice el siguiente procedimiento para crear una puerta de enlace de Internet.

Para crear una puerta de enlace de Internet

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Internet Gateways (Puertas de enlace de Internet).

3. Elija Crear puerta de enlace de Internet.

4. (Opcional) Ingrese un nombre para la puerta de enlace de Internet.

5. (Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.

6. Elija Crear puerta de enlace de Internet.

7. (Opcional) Para adjuntar la puerta de enlace de Internet a una VPC ahora, elija Adjuntar a una VPC en el banner de la parte superior de la pantalla, seleccione una VPC disponible y, a continuación, elija Adjuntar una puerta de enlace de Internet. De lo contrario, puede adjuntar la puerta de enlace de Internet a una VPC en otro momento.

Adjuntar un puerta de enlace de Internet a una VPC

Para utilizar una puerta de enlace de Internet, debe adjuntarla a una VPC.

Para adjuntar un puerta de enlace de Internet a una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Internet Gateways (Puertas de enlace de Internet).

3. Seleccione la casilla para la puerta de enlace de Internet.

4. Elija Acciones y luego Adjuntar a VPC.

5. Seleccione una VPC disponible.

6. Elija Adjuntar puerta de enlace de Internet.

Separar una puerta de enlace de Internet de su VPC

Si ya no necesita el acceso a Internet para las instancias que se lanzan en una VPC, puede separar la puerta de enlace de Internet de la VPC. Tenga en cuenta que no es posible separar el puerta de enlace de Internet si la VPC tiene recursos con las direcciones IP públicas o las direcciones IP elásticas.

Para separar un puerta de enlace de Internet

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Internet Gateways (Puertas de enlace de Internet).

3. Seleccione la casilla para la puerta de enlace de Internet.

4. Elija Acciones, Desasociar de la VPC.

5. Cuando se le solicite confirmación, elija Desasociar puerta de enlace de Internet.

Eliminar un puerta de enlace de Internet

Si ya no necesita el puerta de enlace de Internet, puede eliminarlo. Tenga en cuenta que no podrá eliminar el puerta de enlace de Internet si sigue adjunto a la VPC.

Para eliminar un puerta de enlace de Internet

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Internet Gateways (Puertas de enlace de Internet).

3. Seleccione la casilla para la puerta de enlace de Internet.

4. Elija Acciones, Eliminar puerta de enlace de Internet.

5. Cuando se le solicite confirmación, ingrese delete y elija Eliminar puerta de enlace de Internet.

Información general de la API y de los comandos

Puede realizar las tareas descritas en esta página utilizando la línea de comandos o una API. Para obtener más información acerca de las interfaces de la línea de comando, junto con una lista de las acciones de API disponibles, consulte Trabajo con VPC de Amazon.

Cree un puerta de enlace de Internet

• create-internet-puerta de enlace (AWS CLI)

• New-EC2InternetGateway (AWS Tools for Windows PowerShell)

Adjuntar un puerta de enlace de Internet a una VPC

• attach-internet-puerta de enlace (AWS CLI)

• Add-EC2InternetGateway (AWS Tools for Windows PowerShell)

Descripción de un puerta de enlace de Internet

• describe-internet-puerta de enlaces (AWS CLI)

• Get-EC2InternetGateway (AWS Tools for Windows PowerShell)

Separar un puerta de enlace de Internet de una VPC

• detach-internet-puerta de enlace (AWS CLI)

• Dismount-EC2InternetGateway (AWS Tools for Windows PowerShell)

Eliminar un puerta de enlace de Internet

• delete-internet-puerta de enlace (AWS CLI)

• Remove-EC2InternetGateway (AWS Tools for Windows PowerShell)

Precios

Las puertas de enlace de Internet son gratuitas, pero se aplican cargos por la transferencia de datos para las instancias EC2 que utilizan puertas de enlace de Internet. Para obtener más información, consulte Precios de Amazon EC2 bajo demanda.