VPC y subredes - Amazon Virtual Private Cloud

VPC y subredes

Para comenzar a utilizar Amazon Virtual Private Cloud (Amazon VPC), se debe crear una VPC y subredes. Para obtener información general de Amazon VPC, consulte ¿Qué es Amazon VPC?.

Conceptos básicos de VPC y subredes

Una cloud virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS. Esta infraestructura en la nube está aislada lógicamente de otras redes virtuales de la nube de AWS. Puede lanzar en la VPC recursos de AWS, por ejemplo, instancias Amazon EC2 en la VPC.

Al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC como bloque de direccionamiento entre dominios sin clases (CIDR). Por ejemplo, 10.0.0.0/16. Se trata del bloque de CIDR principal de la VPC. Para obtener más información acerca de la notación CIDR, consulte RFC 4632.

En el siguiente diagrama se muestra una VPC nueva con un bloque de CIDR IPv4.


				VPC con la tabla de ruteo principal

La tabla de enrutamiento principal tiene las siguientes rutas.

Destino Objetivo
10.0.0.0/16 local

Una VPC abarca todas las zonas de disponibilidad de la región. Tras crear la VPC, podrá añadir una o varias subredes en cada zona de disponibilidad. De forma opcional, puede añadir subredes en una zona local, que es una implementación de la infraestructura de AWS que acerca los servicios de informática, almacenamiento, base de datos y otros servicios selectos a los usuarios finales. Una zona local permite que sus usuarios finales ejecuten aplicaciones que requieren latencias de milisegundos de un solo dígito. Para obtener información acerca de las regiones que admiten zonas locales, consulte Regiones disponibles en la Guía del usuario de Amazon EC2 para instancias de Linux. Al crear una subred, debe especificar el bloque de CIDR de la subred, que es un subconjunto del bloque de CIDR de la VPC. Cada subred debe residir enteramente en una zona de disponibilidad y no puede abarcar otras zonas. Las zonas de disponibilidad son ubicaciones diferentes diseñadas para quedar aisladas en caso de error en otras zonas de disponibilidad. Al lanzar instancias en distintas zonas de disponibilidad, puede proteger sus aplicaciones de los errores que se produzcan en una única ubicación. Cada subred tiene asignado un ID único.

También es posible asignar un bloque de CIDR IPv6 a su VPC y asignar bloques de CIDR IPv6 a las subredes.

El diagrama siguiente muestra una VPC configurada con subredes en varias zonas de disponibilidad. 1A, 2A, y 3A son instancias de su VPC. La VPC y la subred 1 tienen asignados un bloque de CIDR IPv6. El puerto de enlace a Internet permite la comunicación a través de Internet y la conexión de red privada virtual (VPN) permite la comunicación con su red corporativa.


				VPC con varias zonas de disponibilidad

Si el tráfico de una subred se direcciona a un puerto de enlace a Internet, la subred recibe el nombre de subred pública. En este diagrama, la subred 1 es una subred pública. Si desea que su instancia de una subred pública pueda comunicarse con Internet mediante IPv4, esta debe tener una dirección IPv4 pública o una dirección IP elástica (IPv4). Para obtener más información acerca de las direcciones IPv4 públicas, consulte Direcciones IPv4 públicas. Si desea que su instancia de la subred pública pueda comunicarse con Internet a través de IPv6, esta deberá disponer de una dirección IPv6.

Si una subred no tiene ninguna ruta al puerto de enlace a Internet, la subred recibe el nombre de subred privada. En este diagrama, la subred 2 es una subred privada.

Si una subred no tiene una ruta a la gateway de Internet pero tiene el tráfico enrutado a una gateway privada virtual para la conexión de VPN de sitio a sitio, la subred se conoce como subred de solo VPN. En este diagrama, la subred 3 es una subred de solo VPN. Actualmente, no se admite el tráfico IPv6 a través de una conexión de VPN de sitio a sitio.

Para obtener más información, consulte Ejemplos de VPC, Puertos de enlace a internet y ?Qué es VPN de sitio a sitio? en la Guía del usuario de VPN de sitio a sitio de AWS.

nota

Independientemente del tipo de subred, el intervalo de dirección IPv4 interno de la subred es siempre privado, es decir, no se anuncia el bloque de direcciones en Internet.

Se ha establecido una cuota en el número de subredes y VPC que puede crear en su cuenta. Para obtener más información, consulte Cuotas de Amazon VPC.

Tamaño de VPC y subred

Amazon VPC admite la utilización de direcciones IPv4 e IPv6 y tiene distintas cuotas de tamaño de bloque de CIDR para cada tipo de dirección. De forma predeterminada, todas las VPC y subredes deben tener bloques de CIDR IPv4. Este comportamiento no se puede modificar. De forma opcional, puede asociar un bloque de CIDR IPv6 con su VPC.

Para obtener más información sobre el direccionamiento de IP, consulte Direcciones IP en su VPC.

Tamaño de VPC y subred para direcciones IPv4

Cuando crea una VPC, debe especificar un bloque de CIDR IPv4 para la VPC. El tamaño de bloque permitido oscila entre la máscara de subred /16 (65 536 direcciones IP) y /28 (16 direcciones IP). Una vez que haya creado su VPC, puede asociar bloques de CIDR secundarios con ella. Para obtener más información, consulte Agregar bloques de CIDR IPv4 a una VPC.

Al crear una VPC, se recomienda especificar un bloque de CIDR de los intervalos de direcciones IPv4 privadas como se especifica en RFC 1918:

Intervalo RFC 1918 Ejemplo de bloque de CIDR
10.0.0.0 - 10.255.255.255 (prefijo 10/8) Su VPC debe ser /16 o menor, por ejemplo, 10.0.0.0/16.
172.16.0.0 - 172.31.255.255 (prefijo 172.16/12) Su VPC debe ser /16 o menor, por ejemplo, 172.31.0.0/16.
192.168.0.0 - 192.168.255.255 (prefijo 192.168/16) Su VPC puede ser más pequeña, por ejemplo 192.168.0.0/20.

Puede crear una VPC con un bloque de CIDR direccionable públicamente externo a los rangos de direcciones IPv4 privadas especificados en RFC 1918; sin embargo, para esta documentación, las direcciones IP privadas son aquellas direcciones IPv4 que se encuentran en el rango de CIDR de su VPC.

nota

Si crea una VPC para usarla con otro servicio de AWS, compruebe la documentación de dicho servicio para comprobar si hay requisitos específicos para el intervalo de direcciones IP o los componentes de red.

El bloque de CIDR de una subred puede ser el mismo que el de la VPC (para una subred única de la VPC) o un subconjunto del mismo (para varias subredes). El tamaño de bloque permitido oscila entre la máscara de subred /28 y /16. Si crea más de una subred en una VPC, los bloques de CIDR de las subredes no se pueden solapar.

Por ejemplo, si crea una VPC con un bloque de CIDR 10.0.0.0/24, esta admitirá 256 direcciones IP. Este bloque de CIDR se puede dividir en dos subredes con 128 direcciones IP cada una. Una subred utilizará el bloque de CIDR 10.0.0.0/25 (para el intervalo de direcciones 10.0.0.0 - 10.0.0.127) y la otra utilizará el bloque de CIDR 10.0.0.128/25 (para el intervalo de direcciones 10.0.0.128 - 10.0.0.255).

Hay herramientas disponibles en Internet para ayudarle a calcular y crear bloques de CIDR de subred IPv4; por ejemplo, IPv4 Address Planner. Puede encontrar otras herramientas que se adapten a sus necesidades buscando términos como "calculadora de subred" o "calculadora de CIDR". Además, su grupo de ingeniería de red podrá ayudarle a determinar los bloques de CIDR que debe especificar para las subredes.

Las cuatro primeras direcciones IP y la última dirección IP de cada bloque de CIDR de las subredes no se podrán utilizar y no se pueden asignar a ninguna instancia. Por ejemplo, en una subred con el bloque de CIDR 10.0.0.0/24, estarán reservadas las cinco direcciones IP siguientes:

  • 10.0.0.0: dirección de red.

  • 10.0.0.1: reservada por AWS para el router de la VPC.

  • 10.0.0.2: reservada por AWS. La dirección IP del servidor DNS es la base del intervalo de red de la VPC más dos. En el caso de las VPC con varios bloques de CIDR, la dirección IP del servidor DNS se encuentra en el CIDR principal. También reservamos la base de cada intervalo de red más dos para todos los bloques de CIDR de la VPC. Para obtener más información, consulte Servidor DNS de Amazon.

  • 10.0.0.3: reservada por AWS para su uso en el futuro.

  • 10.0.0.255: dirección de difusión de red. Puesto que la difusión no se admite en las VPC, esta dirección queda reservada.

Si crea una VPC o una subred mediante una herramienta de línea de comandos o la API de Amazon EC2, el bloque de CIDR se modifica automáticamente a su forma canónica. Por ejemplo, si especifica 100.68.0.18/18 en el bloque de CIDR, creamos un bloque de CIDR de 100.68.0.0/18.

Agregar bloques de CIDR IPv4 a una VPC

Puede asociar bloques de CIDR IPv4 secundarios con su VPC. Al asociar un bloque de CIDR con su VPC, se agrega una ruta automáticamente a sus tables de ruteo de VPC para habilitar el direccionamiento en la VPC (el destino es el bloque de CIDR y el objetivo es local).

En el ejemplo siguiente, la VPC de la izquierda tiene un solo bloque de CIDR (10.0.0.0/16) y dos subredes. La VPC de la derecha representa la arquitectura de la misma VPC después de haber agregado un segundo bloque de CIDR (10.2.0.0/16) y haber creado una subred a partir del rango del segundo CIDR.


					VPC con uno o varios bloques de CIDR

Para añadir un bloque de CIDR a su VPC, se aplican las siguientes reglas:

  • El tamaño de bloque permitido oscila entre la máscara de subred /28 y /16.

  • El bloque de CIDR no se debe solapar con otro bloque de CIDR existente que esté asociado con la VPC.

  • Los rangos de las direcciones IPv4 que puede usar están sujetos a ciertas restricciones. Para obtener más información, consulte Restricciones de asociación de bloques de CIDR IPv4.

  • No es posible aumentar o reducir el tamaño de un bloque de CIDR existente.

  • Hay una cuota en el número de bloques de CIDR que se pueden asociar con una VPC y el número de rutas que se pueden agregar a una tabla de ruteo. No puede asociar un bloque de CIDR si el resultado supera las cuotas. Para obtener más información, consulte Cuotas de Amazon VPC.

  • El bloque de CIDR no debe ser igual o mayor que el rango de CIDR de destino en una ruta en cualquiera de las tablas de ruteo de VPC. Por ejemplo, en una VPC en la que el bloque de CIDR es 10.2.0.0/16, tiene una ruta existente en una tabla de enrutamiento con un destino de 10.0.0.0/24 para una gateway privada virtual. Desea asociar un bloque de CIDR en el rango 10.0.0.0/16. Debido a la ruta existente, no puede asociar un bloque de CIDR de 10.0.0.0/24 o mayor. No obstante, puede asociar un bloque de CIDR secundario de 10.0.0.0/25 o menor.

  • Si ha habilitado la VPC para ClassicLink, puede asociar bloques de CIDR de los rangos 10.0.0.0/16 y 10.1.0.0/16, pero no puede asociar ningún otro bloque de CIDR del rango 10.0.0.0/8.

  • Se aplican las siguientes reglas al agregar bloques de CIDR IPv4 a una VPC de forma parte de una interconexión de VPC:

    • Si la interconexión de VPC es active, puede agregar bloques de CIDR a una VPC siempre que no se solapen con un bloque de CIDR de la VPC del mismo nivel.

    • Si la interconexión de VPC es pending-acceptance, el propietario de la VPC del solicitante no puede agregar ningún bloque de CIDR a la VPC, independientemente de si se solapa con el bloque de CIDR de la VPC del aceptador. El propietario de la VPC del aceptador debe aceptar la interconexión o el propietario de la VPC del solicitante debe eliminar la solicitud de interconexión de VPC, agregar el bloque de CIDR y, a continuación, solicitar una nueva interconexión de VPC.

    • Si la interconexión de VPC es pending-acceptance, el propietario de la VPC del aceptador puede agregar bloques de CIDR a la VPC. Si un bloque de CIDR secundario se solapa con un bloque de CIDR de la VPC del solicitante, se produce un error en la interconexión de VPC y no se puede aceptar.

  • Si utiliza AWS Direct Connect para conectar con múltiples VPC a través de una gateway de Direct Connect, las VPC asociadas con la gateway de Direct Connect no deben tener bloques de CIDR solapados. Si añade un bloque de CIDR a una de las VPC asociadas a la gateway de Direct Connect, asegúrese de que el nuevo bloque de CIDR no se solape con un bloque de CIDR existente de cualquier otra VPC asociada. Para obtener más información, consulte Gateways de Direct Connect en la Guía del usuario de AWS Direct Connect.

  • Cuando añade o elimina un bloque de CIDR, este puede pasar por varios estados: associating | associated | disassociating | disassociated | failing | failed. El bloque de CIDR está listo para usar cuando se encuentra en el estado associated.

En la siguiente tabla se proporciona información general de las asociaciones de bloques de CIDR permitidas y restringidas, que dependen del rango de direcciones IPv4 en el que se encuentre el bloque de CIDR principal de la VPC.

Restricciones de asociación de bloques de CIDR IPv4
Rango de direcciones IP en el que se encuentra el bloque de CIDR de VPC principal Asociaciones de bloques de CIDR restringidas Asociaciones de bloques de CIDR permitidas

10.0.0.0/8

Bloques de CIDR de otros rangos RFC 1918* (172.16.0.0/12 y 192.168.0.0/16).

Si su bloque de CIDR principal se encuentra en el rango 10.0.0.0/15, no puede agregar un bloque de CIDR del rango 10.0.0.0/16.

Un bloque de CIDR del rango 198.19.0.0/16.

Cualquier otro CIDR del rango 10.0.0.0/8 que no esté restringido.

Cualquier bloque de IPv4 direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

172.16.0.0/12

Bloques de CIDR de otros rangos RFC 1918* (10.0.0.0/8 y 192.168.0.0/16).

Un bloque de CIDR del rango 172.31.0.0/16.

Un bloque de CIDR del rango 198.19.0.0/16.

Cualquier otro CIDR del rango 172.16.0.0/12 que no esté restringido.

Cualquier bloque de IPv4 direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

192.168.0.0/16

Bloques de CIDR de otros rangos RFC 1918* (172.16.0.0/12 y 10.0.0.0/8).

Un bloque de CIDR del rango 198.19.0.0/16.

Cualquier otro bloque de CIDR del rango 192.168.0.0/16.

Cualquier bloque de IPv4 direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

198.19.0.0/16

Bloques de CIDR de rangos RFC 1918*.

Cualquier bloque de IPv4 direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

Bloque de CIDR direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

Bloques de CIDR de los rangos RFC 1918*.

Un bloque de CIDR del rango 198.19.0.0/16.

Cualquier otro bloque de CIDR IPv4 direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

*Los rangos de RFC 1918 son los rangos de direcciones IPv4 privadas que se especifican en RFC 1918.

Puede desvincular un bloque de CIDR que haya asociado con la VPC; sin embargo, no puede desvincular el bloque de CIDR con el que haya creado originalmente la VPC (el bloque de CIDR principal). Para consultar el CIDR principal de la VPC en la consola de Amazon VPC, elija Your VPCs (Sus VPC), seleccione la VPC y anote la primera entrada en CIDR blocks (Bloques de CIDR). También puede utilizar el comando describe-vpcs:

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d

En el resultado que se devuelve, el CIDR se devuelve en el elemento CidrBlock de nivel superior (el penúltimo elemento del resultado de ejemplo siguiente).

{ "Vpcs": [ { "VpcId": "vpc-1a2b3c4d", "InstanceTenancy": "default", "Tags": [ { "Value": "MyVPC", "Key": "Name" } ], "CidrBlockAssociations": [ { "AssociationId": "vpc-cidr-assoc-3781aa5e", "CidrBlock": "10.0.0.0/16", "CidrBlockState": { "State": "associated" } }, { "AssociationId": "vpc-cidr-assoc-0280ab6b", "CidrBlock": "10.2.0.0/16", "CidrBlockState": { "State": "associated" } } ], "State": "available", "DhcpOptionsId": "dopt-e0fe0e88", "CidrBlock": "10.0.0.0/16", "IsDefault": false } ] }

Tamaño de VPC y subred para direcciones IPv6

Es posible asociar un único bloque de CIDR IPv6 a una VPC existente de su cuenta o al crear una nueva VPC. El bloque de CIDR es una longitud de prefijo determinada de /56. Puede solicitar un bloque de CIDR IPv6 del grupo de direcciones IPv6 de Amazon.

Si ha asociado un bloque de CIDR IPv6 a su VPC, podrá asociar un bloque de CIDR IPv6 a una subred existente en su VPC, o bien podrá crear una nueva subred. El bloque de CIDR IPv6 de una subred es una longitud de prefijo determinada de /64.

Por ejemplo, puede crear una VPC y especificar que desea asociar un bloque de CIDR IPv6 proporcionado por Amazon a la VPC. Amazon asigna el siguiente bloque de CIDR IPv6 a su VPC: 2001:db8:1234:1a00::/56. No puede elegir el intervalo de direcciones IP usted mismo. Puede crear una subred y asociar un bloque de CIDR IPv6 desde este rango. Por ejemplo, 2001:db8:1234:1a00::/64.

Hay herramientas disponibles en Internet para ayudarle a calcular y crear bloques de CIDR de subred IPv6; por ejemplo, IPv6 Address Planner. Puede encontrar otras herramientas que se adapten a sus necesidades buscando términos como "calculadora de subred IPv6" o "calculadora de CIDR IPv6". Además, su grupo de ingeniería de red podrá ayudarle a determinar los bloques de CIDR IPv6 que debe especificar para las subredes.

Asimismo, puede anular la asociación de un bloque de CIDR IPv6 de una subred y anular la asociación de un bloque de CIDR IPv6 de una VPC. Tras anular la asociación de un bloque de CIDR IPv6 de una VPC, no podrá esperar recibir el mismo CIDR si vuelve a asociar un bloque de CIDR IPv6 a su VPC más adelante.

Las cuatro primeras direcciones IPv6 y la última dirección IPv6 de cada bloque de CIDR de las subredes no se podrán utilizar y no se pueden asignar a ninguna instancia. Por ejemplo, en una subred con el bloque de CIDR 2001:db8:1234:1a00/64, estarán reservadas las cinco direcciones IP siguientes:

  • 2001:db8:1234:1a00::

  • 2001:db8:1234:1a00::1

  • 2001:db8:1234:1a00::2

  • 2001:db8:1234:1a00::3

  • 2001:db8:1234:1a00:ffff:ffff:ffff:ffff

Enrutar la subred

Cada subred debe estar asociada a una tabla de ruteo que, a su vez, especifica las rutas permitidas para el tráfico saliente de la subred. Cada subred que se crea se asocia automáticamente a la tabla de ruteo principal de la VPC. Es posible cambiar la asociación y el contenido de la tabla de ruteo principal. Para obtener más información, consulte Tablas de enrutamiento para la VPC.

En el diagrama anterior, la tabla de ruteo asociada a la subred 1 direcciona todo el tráfico IPv4 (0.0.0.0/0) e IPv6 (::/0) a un puerto de enlace a Internet (por ejemplo, igw-1a2b3c4d). Puesto que la instancia 1A tiene una dirección IP elástica IPv4 y una dirección IPv6, se puede acceder a ella desde Internet a través de IPv4 e IPv6.

nota

(Solo IPv4) El acceso a la dirección IPv4 elástica o la dirección IPv4 pública asociada a su instancia se realiza a través del puerto de enlace a Internet de su VPC. El tráfico que pasa por la conexión de VPN de sitio a sitio de AWS entre su instancia y otra red atraviesa una gateway privada virtual y no la gateway de Internet y, por lo tanto, no accede a la dirección IPv4 elástica ni a la dirección IPv4 pública.

La instancia 2A no puede tener acceso a Internet, pero sí puede obtener acceso a otras instancias de la VPC. También puede permitir que una instancia de su VPC inicie conexiones salientes a Internet a través de IPv4 y bloquear las conexiones entrantes no deseadas procedentes de Internet mediante una instancia o una gateway de conversión de direcciones de red (NAT). Puesto que el número de direcciones IP elásticas que se puede asignar es limitado, se recomienda utilizar un dispositivo NAT si tiene más instancias que requieran dirección IP pública estática. Para obtener más información, consulte Dispositivos NAT para la VPC. Para iniciar comunicaciones de solo salida a Internet mediante IPv6, puede utilizar un puerto de enlace a Internet de solo salida. Para obtener más información, consulte Gateways de Internet de solo salida.

La tabla de ruteo asociada a la subred 3 direcciona todo el tráfico IPv4 (0.0.0.0/0) a una gateway privada virtual (por ejemplo, vgw-1a2b3c4d). La instancia 3A puede acceder a los equipos de la red corporativa mediante la conexión de VPN de sitio a sitio.

Seguridad de la subred

AWS cuenta con dos características que puede usar para aumentar la seguridad de la VPC: los grupos de seguridad y las ACL de red. Los grupos de seguridad controlan el tráfico de entrada y salida de las instancias, mientras que las ACL de red controlan el tráfico de entrada y salida de las subredes. En la mayoría de los casos, los grupos de seguridad se ajustarán a sus necesidades. No obstante, puede usar también las ACL de red si desea agregar un nivel de seguridad adicional en la VPC. Para obtener más información, consulte Privacidad del tráfico entre redes en Amazon VPC.

Por diseño, cada subred debe estar asociada a una ACL de red. Cada subred que se crea se asocia automáticamente a la ACL de red predeterminada de la VPC. Es posible cambiar la asociación y el contenido de la ACL de red predeterminada. Para obtener más información, consulte ACL de red.

Puede crear un log de flujo en su VPC o subred para capturar el flujo de tráfico entrante y saliente de las interfaces de red de su VPC o subred. También es posible crear un log de flujo en una interfaz de red individual. Los registros de flujo se publican en CloudWatch Logs o Amazon S3. Para obtener más información, consulte Logs de flujo de VPC.