Conexión a Internet mediante una puerta de enlace de Internet - Amazon Virtual Private Cloud

Conexión a Internet mediante una puerta de enlace de Internet

Una puerta de enlace de internet es un componente de la VPC de escalado horizontal, redundante y de alta disponibilidad que permite la comunicación entre su VPC e internet. Admite el tráfico IPv4 e IPv6. No genera riesgos de disponibilidad ni restricciones del ancho de banda del tráfico de red.

Una puerta de enlace de Internet permite que los recursos en las subredes públicas (como las instancias de EC2) se conecten a Internet si el recurso tiene una dirección IPv4 pública o una dirección IPv6. Del mismo modo, los recursos de Internet pueden iniciar una conexión con los recursos de la subred utilizando la dirección IPv4 pública o la dirección IPv6. Por ejemplo, una puerta de enlace de Internet le permite conectarse a una instancia de EC2 en AWS utilizando su computadora local.

Una puerta de enlace de Internet proporciona un destino en las tablas de enrutamiento de VPC para el tráfico enrutable a Internet. Para las comunicaciones mediante IPv4, la puerta de enlace de Internet también realiza la traducción de direcciones de red (NAT). Para la comunicación mediante IPv6, no se necesita NAT porque las direcciones IPv6 son públicas. Para obtener más información, consulte Direcciones IP y NAT.

No hay ningún cargo adicional por crear una puerta de enlace de Internet.

Habilitar el acceso a Internet

Para habilitar el acceso a Internet o desde Internet para instancias de una subred en una VPC con una puerta de enlace de Internet, haga lo siguiente.

  • Cree una puerta de enlace de Internet y asóciela a su VPC

  • Agregue una ruta a la tabla de enrutamiento de la subred que dirija el tráfico vinculado a Internet a la puerta de enlace de Internet.

  • Asegúrese de que las instancias de su subred tienen una dirección IPv4 pública o una dirección IPv6.

  • Asegúrese de que las reglas de los grupos de seguridad y las listas de control de acceso a la red permitan el envío de tráfico de Internet deseado desde o hacia la instancia.

Subredes públicas y privadas

Si la subred está asociada a una tabla de enrutamiento que tiene una ruta a una puerta de enlace de Internet, esta se denomina subred pública. Si una subred está asociada a una tabla de enrutamiento que no tiene ninguna ruta a una puerta de enlace de Internet, se denomina subred privada.

En la tabla de enrutamiento de la subred pública, puede especificar la ruta de la puerta de enlace de Internet en todos los destinos que no se conocen explícitamente en la tabla (0.0.0.0/0 para IPv4 o ::/0 para IPv6). Si lo desea, también puede establecer el alcance de la ruta en un intervalo más pequeño de direcciones IP; por ejemplo, las direcciones IPv4 públicas de los puntos de enlace públicos de la empresa que estén fuera de AWS o las direcciones IP elásticas de otras instancias de Amazon EC2 externas a la VPC.

Direcciones IP y NAT

Para permitir la comunicación a través de Internet para IPv4, su instancia debe tener una dirección IPv4 pública. Puede definir su VPC para que asigne automáticamente direcciones IPv4 públicas a las instancias, o puede asignar direcciones IP elásticas a las instancias. Su instancia solo tendrá en cuenta el espacio de dirección IP (interno) privado definido en la VPC y la subred. El puerta de enlace de Internet proporciona lógicamente la NAT individual en nombre de su instancia. Por lo tanto, cuando el tráfico sale de su subred de VPC a Internet, el campo de dirección de respuesta se configura con la dirección IPv4 pública o la dirección IP elástica de su instancia y no con su dirección IP privada. Por el contrario, la dirección de destino del tráfico con destino a la dirección IP elástica o la dirección IPv4 pública de su instancia se convertirá a la dirección IPv4 privada de la instancia antes de que el tráfico se entregue a la VPC.

Para permitir la comunicación a través de Internet para IPv6, su VPC y su subred deben tener un bloque de CIDR IPv6 asociado y su instancia debe asignarse a una dirección IPv6 desde el rango de la subred. Las direcciones IPv6 son únicas de forma global y, por lo tanto, públicas de manera predeterminada.

En el siguiente diagrama, la subred de la zona de disponibilidad A es una subred pública. La tabla de enrutamiento de esta subred tiene una ruta que envía todo el tráfico IPv4 vinculado a Internet a la puerta de enlace de Internet. Las instancias de la subred pública deben tener direcciones IP públicas o direcciones IP elásticas para permitir la comunicación con Internet a través de la puerta de enlace de Internet. A modo de comparación, la subred de la zona de disponibilidad B es una subred privada porque su tabla de enrutamiento no tiene ninguna ruta hacia la puerta de enlace de Internet. Las instancias de la subred privada no pueden comunicarse con Internet a través de la puerta de enlace de Internet, incluso si tienen direcciones IP públicas.


                Uso de la puerta de enlace de Internet

Para proporcionar a sus instancias acceso a internet sin asignarles direcciones IP públicas, puede utilizar un dispositivo NAT en su lugar. Un dispositivo NAT permite que las instancias de una subred privada se conecten a Internet, pero evita que los anfitriones de Internet inicien conexiones con las instancias. Para obtener más información, consulte Conexión a Internet u otras redes mediante dispositivos NAT.

Acceso a internet para VPC predeterminadas y no predeterminadas

La tabla siguiente ofrece información general acerca de si una VPC incluye automáticamente los componentes necesarios para el acceso a Internet a través de IPv4 o IPv6.

Componente VPC predeterminada VPC no predeterminada
Puerto de enlace a Internet No
Tabla de ruteo con ruta al puerta de enlace de Internet para el tráfico IPv4 (0.0.0.0/0) No
Tabla de ruteo con ruta al puerta de enlace de Internet para el tráfico IPv6 (::/0) No No
Dirección IPv4 pública asignada automáticamente a una instancia iniciada en la subred Sí (subred predeterminada) No (subred no predeterminada)
Dirección IPv6 asignada automáticamente a una instancia iniciada en la subred No (subred predeterminada) No (subred no predeterminada)

Para obtener más información acerca de las VPC predeterminadas, consulte VPC predeterminadas. Para obtener más información acerca de la creación de una VPC, consulte Creación de una VPC.

Para obtener más información acerca del direccionamiento IP en su VPC y acerca del control de la asignación de direcciones IPv4 o IPv6 públicas a las instancias, consulte Direccionamiento IP.

Al añadir una nueva subred a su VPC, deberá configurar el direccionamiento y la seguridad para dicha subred.

Acceso a Internet desde una subred de la VPC

A continuación, se describe cómo admitir el acceso a Internet desde una subred de la VPC mediante una puerta de enlace de Internet. Para eliminar el acceso a Internet, puede desconectar la puerta de enlace de Internet de la VPC y, a continuación, eliminarla.

Creación de una subred

Para añadir una subred a su VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Subnets (Subredes), Create Subnet (Crear subred).

  3. Especifique los detalles de la subred según sea necesario:

    • Name tag: indique, de manera opcional, un nombre para su subred. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

    • VPC: elija la VPC para la que va a crear la subred.

    • Availability Zone (Zona de disponibilidad): de forma opcional, elija la zona de disponibilidad o Local Zone en la que residirá la subred, o bien deje el valor predeterminado No Preference (Sin preferencias) para que AWS elija una zona de disponibilidad por usted.

      Para obtener información acerca de las regiones que admiten zonas locales, consulte Regiones disponibles en la Guía del usuario de Amazon EC2 para instancias de Linux.

    • IPv4 CIDR block: especifique un bloque de CIDR IPv4 para su subred. Por ejemplo, 10.0.1.0/24. Para obtener más información, consulte Bloques de CIDR de VPC IPv4.

    • IPv6 CIDR block: (opcional) si ha asociado un bloque de CIDR IPv6 a su VPC, elija Specify a custom IPv6 CIDR. Especifique la pareja de valores hexadecimales de la subred, o bien deje el valor predeterminado.

  4. Seleccione Create (Crear OpsItem).

Para obtener más información, consulte Subredes para la VPC .

Crear y adjuntar una puerta de enlace de Internet

Para crear una puerta de enlace de internet y adjuntarla a su VPC.

Para crear un puerta de enlace de Internet y adjuntarlo a su VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Internet puerta de enlaces (Puertas de enlace de Internet) y, a continuación, elija Create internet puerta de enlace (Crear puerta de enlace de Internet).

  3. Opcionalmente, asigne un nombre a su puerta de enlace de Internet.

  4. Como opción, agregue o elimine una etiqueta.

    [Añadir una etiqueta] Elija Add tag (Añadir etiqueta) y haga lo siguiente:

    • En Key (Clave), escriba el nombre de la clave.

    • En Value (Valor), escriba el valor de la clave.

    [Eliminar una etiqueta] Elija Eliminar a la derecha de la clave y el valor de la etiqueta.

  5. Elija Crear puerta de enlace de Internet.

  6. Seleccione el puerta de enlace de Internet que acaba de crear y, a continuación, elija Actions, Attach to VPC (Acciones, Adjuntar a la VPC).

  7. Seleccione la VPC de la lista y, a continuación, elija Asociar puerta de enlace de Internet.

Creación de una tabla de enrutamiento personalizada

Al crear una subred, esta se asocia automáticamente a la tabla de enrutamiento principal de la VPC. De manera predeterminada, la tabla de enrutamiento principal no contiene ninguna ruta al puerta de enlace de Internet. El procedimiento que se describe a continuación permite crear una tabla de enrutamiento personalizada con una ruta que enviará el tráfico cuyo destino esté fuera de la VPC al puerta de enlace de Internet para, a continuación, asociarlo a su subred.

Para crear una tabla de enrutamiento personalizada

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Route Tables (Tablas de enrutamiento) y, a continuación, elija Create route table (Crear tabla de enrutamiento).

  3. En el cuadro de diálogo Create route table (Crear tabla de enrutamiento), podrá, de manera opcional, asignar un nombre a su tabla de enrutamiento, seleccionar su VPC y, a continuación, elegir Create route table (Crear tabla de enrutamiento).

  4. Seleccione la tabla de enrutamiento personalizada que acaba de crear. El panel de detalles muestra pestañas para trabajar con sus rutas, sus asociaciones y la propagación de rutas.

  5. En la pestaña Routes (Rutas), elija Edit routes (Editar rutas), Add route (Agregar ruta) y, a continuación, agregue las siguientes rutas según sea necesario. Cuando haya terminado, elija Save changes (Guardar cambios).

    • Para el tráfico IPv4, especifique 0.0.0.0/0 en el cuadro Destination (Destino) y seleccione el ID del puerta de enlace de Internet en la lista Target (Objetivo).

    • Para el tráfico IPv6, especifique ::/0 en el cuadro Destination (Destino) y seleccione el ID del puerta de enlace de Internet en la lista Target (Objetivo).

  6. En la pestaña Subnet associations (Asociaciones de subred), elija Edit subnet associations (Editar asociaciones de subred), seleccione la casilla de verificación para la subred y, a continuación, elija Save associations (Guardar asociaciones).

Para obtener más información, consulte Configurar tablas de enrutamiento.

Crear un grupo de seguridad para obtener acceso a Internet

De forma predeterminada, un grupo de seguridad de VPC permite todo el tráfico saliente. Puede crear un nuevo grupo de seguridad y agregar reglas que permitan el tráfico entrante desde internet. A continuación, puede asociar el grupo de seguridad con instancias de la subred pública.

Para crear un grupo de seguridad y asociarlo con una instancia

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad) y, a continuación, elija Create Security Group (Crear grupo de seguridad).

  3. Ingrese un nombre y una descripción para el grupo de seguridad.

  4. En VPC, seleccione la VPC.

  5. En Inbound Rules (Reglas entrantes), elija Add Rule (Agregar regla) y complete la información necesaria. Por ejemplo, seleccione HTTP o HTTPS en Type (Tipo) e ingrese Source (Origen) como 0.0.0.0/0 para el tráfico IPv4 o ::/0 para el tráfico IPv6.

  6. Elija Create Security Group (Crear grupo de seguridad).

  7. En el panel de navegación, elija Instances (Instancias).

  8. Seleccione la instancia y, a continuación, elija Actions (Acciones), Security (Seguridad), Change security groups (Cambiar grupos de seguridad).

  9. En Associated security groups (Grupos de seguridad asociados), seleccione un grupo de seguridad existente y luego elija Add security group (Agregar grupo de seguridad). Para quitar un grupo de seguridad que ya se asoció, elija Remove (Quitar). Cuando haya terminado de realizar los cambios, elija Save (Guardar).

Para obtener más información, consulte Controlar el tráfico hacia los recursos mediante grupos de seguridad .

Asignar una dirección IP elástica a una instancia

Tras lanzar la instancia en la subred, debe asignarle una dirección IP elástica si desea que esté disponible desde Internet a través de IPv4.

nota

Si asignó una dirección IPv4 pública a su instancia durante el lanzamiento, la instancia estará disponible desde Internet y no tendrá que asignarle ninguna dirección IP elástica. Para obtener más información acerca de la asignación de direcciones IP para su instancia, consulte Direccionamiento IP.

Para asignar una dirección IP elástica y asignarla a una instancia utilizando la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Elastic IPs.

  3. Elija Allocate new address (Allocate new address).

  4. Elija Allocate.

    nota

    Si su cuenta es compatible con EC2-Classic, elija primero VPC.

  5. Seleccione la dirección IP elástica de la lista, elija Actions y, a continuación, elija Associate address.

  6. Elija Instance o Network interface y, a continuación, seleccione la instancia o el ID de interfaz de red. Seleccione la dirección IP privada a la que desea asociar la dirección IP elástica y, a continuación, elija Associate.

Para obtener más información, consulte Asociar direcciones IP elásticas con recursos en la VPC.

Separar una puerta de enlace de Internet de su VPC

Si ya no necesita el acceso a Internet para las instancias que se lanzan en una VPC no predeterminada, puede separar el puerto de enlace a Internet de la VPC. Tenga en cuenta que no es posible separar el puerta de enlace de Internet si la VPC tiene recursos con las direcciones IP públicas o las direcciones IP elásticas.

Para separar un puerta de enlace de Internet

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Elastic IPs y seleccione la dirección IP elástica.

  3. Elija Actions, Disassociate address. Elija Disassociate address.

  4. En el panel de navegación, elija Internet Gateways (Puertas de enlace de Internet).

  5. Seleccione el puerta de enlace de Internet y elija Actions, Detach from VPC (Acciones, Separar de la VPC).

  6. En el cuadro de diálogo Desconectar de VPC elija Desconectar puerta de enlace de Internet.

Eliminar un puerta de enlace de Internet

Si ya no necesita el puerta de enlace de Internet, puede eliminarlo. Tenga en cuenta que no podrá eliminar el puerta de enlace de Internet si sigue adjunto a la VPC.

Para eliminar un puerta de enlace de Internet

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Internet Gateways (Puertas de enlace de Internet).

  3. Seleccione el puerta de enlace de Internet y, a continuación, elija Actions (Acciones), Delete internet puerta de enlace (Eliminar puerta de enlace de Internet).

  4. En el cuadro de diálogo Eliminar puerta de enlace de Internet escriba delete y elija Eliminar puerta de enlace de Internet.

Información general de la API y de los comandos

Puede realizar las tareas descritas en esta página utilizando la línea de comandos o una API. Para obtener más información acerca de las interfaces de la línea de comando, junto con una lista de las acciones de API disponibles, consulte Trabajo con VPC de Amazon.

Cree un puerta de enlace de Internet

Adjuntar un puerta de enlace de Internet a una VPC

Descripción de un puerta de enlace de Internet

Separar un puerta de enlace de Internet de una VPC

Eliminar un puerta de enlace de Internet