Puertos de enlace a internet - Amazon Virtual Private Cloud

Puertos de enlace a internet

Una gateway de internet es un componente de la VPC de escalado horizontal, redundante y de alta disponibilidad que permite la comunicación entre su VPC e internet.

Un gateway de Internet sirve para dos fines: proporcionar un objetivo en sus tablas de ruteo de VPC para el tráfico direccionable de Internet y realizar la conversión de las direcciones de red (NAT) para las instancias que tengan asignadas direcciones IPv4 públicas.

Un gateway de Internet admite el tráfico IPv4 e IPv6. No genera riesgos de disponibilidad ni restricciones del ancho de banda del tráfico de red.

Habilitar el acceso a Internet

Para habilitar el acceso a internet o desde internet para instancias de una subred en una VPC, haga lo siguiente:

  • Adjunte un gateway de Internet a su VPC.

  • Agregue una ruta a la tabla de enrutamiento de la subred que dirija el tráfico vinculado a Internet a la gateway de Internet. Si la subred está asociada a una tabla de enrutamiento que tiene una ruta a una gateway de Internet, esta se denomina subred pública. Si una subred está asociada a una tabla de enrutamiento que no tiene ninguna ruta a una gateway de Internet, se denomina subred privada.

  • Asegúrese de que las instancias de su subred tienen una dirección IP única global (dirección IPv4 pública, dirección IP elástica o dirección IPv6).

  • Asegúrese de que las reglas de los grupos de seguridad y las listas de control de acceso a la red permitan el envío de tráfico relevante desde o hacia la instancia.

En la tabla de enrutamiento de la subred, puede especificar la ruta de la gateway de internet en todos los destinos que no se conocen explícitamente en la tabla (0.0.0.0/0 para IPv4 o ::/0 para IPv6). Si lo desea, también puede establecer el ámbito de la ruta en un intervalo más pequeño de direcciones IP; por ejemplo, las direcciones IPv4 públicas de los puntos de enlace públicos de la empresa que estén fuera de AWS o las direcciones IP elásticas de otras instancias Amazon EC2 externas a la VPC.

Para permitir la comunicación a través de Internet para IPv4, su instancia debe tener una dirección IPv4 pública o una dirección IP elástica asociada a una dirección IPv4 privada en su instancia. Su instancia solo tendrá en cuenta el espacio de dirección IP (interno) privado definido en la VPC y la subred. El gateway de Internet proporciona lógicamente la NAT individual en nombre de su instancia. Por lo tanto, cuando el tráfico sale de su subred de VPC a Internet, el campo de dirección de respuesta se configura con la dirección IPv4 pública o la dirección IP elástica de su instancia y no con su dirección IP privada. Por el contrario, la dirección de destino del tráfico con destino a la dirección IP elástica o la dirección IPv4 pública de su instancia se convertirá a la dirección IPv4 privada de la instancia antes de que el tráfico se entregue a la VPC.

Para permitir la comunicación a través de Internet para IPv6, su VPC y su subred deben tener un bloque de CIDR IPv6 asociado y su instancia debe asignarse a una dirección IPv6 desde el rango de la subred. Las direcciones IPv6 son únicas de forma global y, por lo tanto, públicas de manera predeterminada.

En el siguiente diagrama, la subred 1 de la VPC es una subred pública. Está asociada a una tabla de enrutamiento personalizada que hace que todo el tráfico IPv4 vinculado a Internet apunte a una gateway de Internet. La instancia dispone de una dirección IP elástica que permite la comunicación con Internet.


                Uso de la gateway de Internet

Para proporcionar a sus instancias acceso a internet sin asignarles direcciones IP públicas, puede utilizar un dispositivo NAT en su lugar. Para obtener más información, consulte NAT.

Acceso a internet para VPC predeterminadas y no predeterminadas

La tabla siguiente ofrece información general acerca de si una VPC incluye automáticamente los componentes necesarios para el acceso a Internet a través de IPv4 o IPv6.

Componente VPC predeterminada VPC no predeterminada
Puerto de enlace a Internet Sí, si creó la VPC utilizando la primera o la segunda opción del asistente para la creación de VPC. De lo contrario, deberá crear y adjuntar manualmente el gateway de Internet.
Tabla de ruteo con ruta al gateway de Internet para el tráfico IPv4 (0.0.0.0/0) Sí, si creó la VPC utilizando la primera o la segunda opción del asistente para la creación de VPC. De lo contrario, deberá crear manualmente la tabla de ruteo y añadir la ruta.
Tabla de ruteo con ruta al gateway de Internet para el tráfico IPv6 (::/0) No Sí, si creó la VPC utilizando la primera o la segunda opción del asistente para la creación de VPC y seleccionó la opción para asociar un bloque de CIDR IPv6 a la VPC. De lo contrario, deberá crear manualmente la tabla de ruteo y añadir la ruta.
Dirección IPv4 pública asignada automáticamente a una instancia iniciada en la subred Sí (subred predeterminada) No (subred no predeterminada)
Dirección IPv6 asignada automáticamente a una instancia iniciada en la subred No (subred predeterminada) No (subred no predeterminada)

Para obtener más información acerca de las VPC predeterminadas, consulte VPC predeterminada y subredes predeterminadas. Para obtener más información acerca de la utilización del asistente de VPC para crear una VPC con un gateway de Internet, consulte VPC con una única subred pública o VPC con subredes privadas y públicas (NAT).

Para obtener más información acerca del direccionamiento IP en su VPC y acerca del control de la asignación de direcciones IPv4 o IPv6 públicas a las instancias, consulte Direcciones IP en su VPC.

Al añadir una nueva subred a su VPC, deberá configurar el direccionamiento y la seguridad para dicha subred.

Adjuntar una gateway de internet a una VPC.

A continuación se describe cómo crear manualmente una subred pública y adjuntar una gateway de internet a la VPC para facilitar el acceso a internet.

Crear una subred

Para añadir una subred a su VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Subnets (Subredes), Create Subnet (Crear subred).

  3. Especifique los detalles de la subred según sea necesario:

    • Name tag: indique, de manera opcional, un nombre para su subred. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

    • VPC: elija la VPC para la que va a crear la subred.

    • Availability Zone (Zona de disponibilidad): de forma opcional, elija la zona de disponibilidad o zona local en la que residirá la subred, o bien deje el valor predeterminado No Preference (Sin preferencias) para que AWS elija una zona de disponibilidad por usted.

      Para obtener información acerca de las regiones que admiten zonas locales, consulte Regiones disponibles en la Guía del usuario de Amazon EC2 para instancias de Linux.

    • IPv4 CIDR block: especifique un bloque de CIDR IPv4 para su subred. Por ejemplo, 10.0.1.0/24. Para obtener más información, consulte Tamaño de VPC y subred para direcciones IPv4.

    • IPv6 CIDR block: (opcional) si ha asociado un bloque de CIDR IPv6 a su VPC, elija Specify a custom IPv6 CIDR. Especifique la pareja de valores hexadecimales de la subred, o bien deje el valor predeterminado.

  4. Seleccione Create (Crear).

Para obtener más información acerca de las subredes, consulte VPC y subredes.

Crear y asociar una gateway de Internet

Para crear una gateway de internet y adjuntarla a su VPC.

Para crear un gateway de Internet y adjuntarlo a su VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Internet Gateways (Gateways de Internet) y, a continuación, elija Create internet gateway (Crear gateway de Internet).

  3. Opcionalmente, asigne un nombre a su gateway de Internet.

  4. Como opción, agregue o elimine una etiqueta.

    [Añadir una etiqueta] Elija Add tag (Añadir etiqueta) y haga lo siguiente:

    • En Key (Clave), escriba el nombre de la clave.

    • En Value (Valor), escriba el valor de la clave.

    [Eliminar una etiqueta] Elija Eliminar a la derecha de la clave y el valor de la etiqueta.

  5. Elija Crear gateway de Internet.

  6. Seleccione el gateway de Internet que acaba de crear y, a continuación, elija Actions, Attach to VPC (Acciones, Adjuntar a la VPC).

  7. Seleccione la VPC de la lista y, a continuación, elija Asociar gateway de Internet.

Crear una tabla de enrutamiento personalizada

Al crear una subred, esta se asocia automáticamente a la tabla de ruteo principal de la VPC. De manera predeterminada, la tabla de ruteo principal no contiene ninguna ruta al gateway de Internet. El procedimiento que se describe a continuación permite crear una tabla de ruteo personalizada con una ruta que enviará el tráfico cuyo destino esté fuera de la VPC al gateway de Internet para, a continuación, asociarlo a su subred.

Para crear una tabla de ruteo personalizada

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Route Tables y, a continuación, elija Create Route Table.

  3. En el cuadro de diálogo Create Route Table, podrá, de manera opcional, asignar un nombre a su tabla de ruteo, seleccionar su VPC y, a continuación, elegir Yes, Create.

  4. Seleccione la tabla de ruteo personalizada que acaba de crear. El panel de detalles muestra pestañas para trabajar con sus rutas, sus asociaciones y la propagación de rutas.

  5. En la pestaña Routes, elija Edit, Add another route y, a continuación, añada las siguientes rutas según sea necesario. Elija Save cuando haya terminado.

    • Para el tráfico IPv4, especifique 0.0.0.0/0 en el cuadro Destination (Destino) y seleccione el ID del gateway de Internet en la lista Target (Objetivo).

    • Para el tráfico IPv6, especifique ::/0 en el cuadro Destination (Destino) y seleccione el ID del gateway de Internet en la lista Target (Objetivo).

  6. En la pestaña Subnet Associations, elija Edit, active la casilla de verificación Associate para la subred y, a continuación, elija Save.

Para obtener más información, consulte Tablas de ruteo.

Crear un grupo de seguridad para obtener acceso a Internet

De forma predeterminada, un grupo de seguridad de VPC permite todo el tráfico saliente. Puede crear un nuevo grupo de seguridad y agregar reglas que permitan el tráfico entrante desde internet. A continuación, puede asociar el grupo de seguridad con instancias de la subred pública.

Para crear un nuevo grupo de seguridad y asociarlo a sus instancias

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups y, a continuación, elija Create Security Group.

  3. En el cuadro de diálogo Create Security Group, especifique el nombre del grupo de seguridad junto con una descripción. Seleccione el ID de su VPC de la lista VPC y, a continuación, elija Yes, Create.

  4. Seleccione el grupo de seguridad. El panel de detalles muestra información detallada del grupo de seguridad, además de pestañas que permiten usar las reglas entrantes y salientes.

  5. En la pestaña Inbound Rules, elija Edit. Elija Add Rule y complete la información necesaria. Por ejemplo, seleccione HTTP o HTTPS en la lista Type y escriba en Source el valor 0.0.0.0/0 para el tráfico IPv4 o el valor ::/0 para el tráfico IPv6. Elija Save cuando haya terminado.

  6. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  7. En el panel de navegación, elija Instances (Instancias).

  8. Seleccione la instancia, elija Actions, Networking y, a continuación, seleccione Change Security Groups.

  9. En el cuadro de diálogo Change Security Groups, desactive la casilla de verificación del grupo de seguridad seleccionado actualmente y seleccione otro distinto. Seleccione Assign Security Groups.

Para obtener más información, consulte Grupos de seguridad de su VPC.

Agregar direcciones IP elásticas

Tras lanzar la instancia en la subred, debe asignarle una dirección IP elástica si desea que esté disponible desde Internet a través de IPv4.

nota

Si asignó una dirección IPv4 pública a su instancia durante el lanzamiento, la instancia estará disponible desde Internet y no tendrá que asignarle ninguna dirección IP elástica. Para obtener más información acerca de la asignación de direcciones IP para su instancia, consulte Direcciones IP en su VPC.

Para asignar una dirección IP elástica y asignarla a una instancia utilizando la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Elastic IPs.

  3. Elija Allocate new address.

  4. Elija Allocate.

    nota

    Si su cuenta es compatible con EC2-Classic, elija primero VPC.

  5. Seleccione la dirección IP elástica de la lista, elija Actions y, a continuación, elija Associate address.

  6. Elija Instance o Network interface y, a continuación, seleccione la instancia o el ID de interfaz de red. Seleccione la dirección IP privada a la que desea asociar la dirección IP elástica y, a continuación, elija Associate.

Para obtener más información, consulte Direcciones IP elásticas.

Separar una gateway de Internet de su VPC

Si ya no necesita el acceso a Internet para las instancias que se lanzan en una VPC no predeterminada, puede separar el puerto de enlace a Internet de la VPC. Tenga en cuenta que no es posible separar el gateway de Internet si la VPC tiene recursos con las direcciones IP públicas o las direcciones IP elásticas.

Para separar un gateway de Internet

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Elastic IPs y seleccione la dirección IP elástica.

  3. Elija Actions, Disassociate address. Elija Disassociate address.

  4. En el panel de navegación, elija Internet Gateways (Gateways de Internet).

  5. Seleccione el gateway de Internet y elija Actions, Detach from VPC (Acciones, Separar de la VPC).

  6. En el cuadro de diálogo Desconectar de VPC elija Desconectar gateway de Internet.

Eliminar una gateway de Internet

Si ya no necesita el gateway de Internet, puede eliminarlo. Tenga en cuenta que no podrá eliminar el gateway de Internet si sigue adjunto a la VPC.

Para eliminar un gateway de Internet

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Internet Gateways.

  3. Seleccione el gateway de Internet y, a continuación, elija Actions (Acciones), Delete internet gateway (Eliminar gateway de Internet).

  4. En el cuadro de diálogo Eliminar gateway de Internet escriba delete y elija Eliminar gateway de Internet.

Información general de la API y de los comandos

Puede realizar las tareas descritas en esta página utilizando la línea de comandos o a un API. Para obtener más información acerca de las interfaces de la línea de comandos, junto con una lista de las acciones de API disponibles, consulte Acceso a Amazon VPC.

Cree un gateway de Internet

Adjuntar un gateway de Internet a una VPC

Descripción de un gateway de Internet

Separar un gateway de Internet de una VPC

Eliminar un gateway de Internet