Subredes para la VPC - Amazon Virtual Private Cloud

Subredes para la VPC

Una subred es un rango de direcciones IP en su VPC. Puede lanzar recursos de AWS en una subred especificada. Utilice una subred pública para los recursos que deben conectarse a Internet y una subred privada para los recursos que no dispondrán de conexión a Internet.

Para proteger los recursos de AWS de cada subred, puede utilizar varias capas de seguridad, como grupos de seguridad y listas de control de acceso a la red (ACL).

Conceptos básicos sobre subredes

Una subred es un rango de direcciones IP en su VPC. Puede iniciar recursos de AWS, como las instancias EC2, en una subred específica. Al crear una subred, debe especificar el bloque de CIDR IPv4 de la subred, que es un subconjunto del bloque de CIDR de la VPC. Cada subred debe residir enteramente en una zona de disponibilidad y no puede abarcar otras zonas. Al lanzar instancias en distintas zonas de disponibilidad, puede proteger sus aplicaciones de los errores que se produzcan en una única zona.

De forma opcional, puede agregar subredes en una zona local, que es una implementación de la infraestructura de AWS que acerca los servicios de cómputo, almacenamiento, base de datos y otros servicios selectos a los usuarios finales. Una zona local permite que sus usuarios finales ejecuten aplicaciones que requieren latencias de milisegundos de un solo dígito. Para obtener más información, consulte Local Zones en la Guía del usuario de Amazon EC2 para instancias de Linux.

Tipos de subred

Según cómo configure la VPC, las subredes se consideran públicas, privadas o solo de VPN:

  • Subred pública: el tráfico de la subred se dirige a la Internet pública mediante una puerta de enlace de Internet o una puerta de enlace de Internet solo de salida. Para obtener más información, consulte Conexión a Internet mediante una puerta de enlace de Internet.

  • Subred privada: el tráfico de la subred no puede llegar a la Internet pública mediante una puerta de enlace de Internet o una puerta de enlace de Internet solo de salida. El acceso a la Internet pública requiere un dispositivo NAT.

  • Subred solo de VPN: el tráfico de la subred se dirige a una conexión de VPN de sitio a sitio mediante una puerta de enlace privada virtual. El tráfico de la subred no puede llegar a Internet a través de una puerta de enlace de Internet. Para obtener más información, consulte la Guía del usuario de AWS Site-to-Site VPN.

Al crear una subred, debe especificar sus direcciones IP, según la configuración de la VPC:

  • Solo IPv4: la subred tiene un bloque de CIDR IPv4 pero no tiene un bloque de CIDR IPv6. Los recursos de una subred solo de IPv4 deben comunicarse a través de IPv4.

  • Pila doble: la subred tiene tanto un bloque de CIDR IPv4 como un bloque de CIDR IPv6. La VPC debe tener tanto un bloque de CIDR IPv4 como un bloque de CIDR IPv6. Los recursos de una subred de doble pila se pueden comunicar mediante IPv4 e IPv6.

  • Solo IPv6: la subred tiene un bloque de CIDR IPv6 pero no tiene un bloque de CIDR IPv4. La VPC debe tener un bloque de CIDR IPv6. Los recursos de una subred solo de IPv6 deben comunicarse a través de IPv6.

Independientemente del tipo de subred, el intervalo de dirección IPv4 interno de la subred es siempre privado, es decir, no se anuncia el bloque de direcciones en Internet. Para obtener más información sobre direcciones IP privadas en las VPC, consulte Direccionamiento IP.

Configuración de subredes

Todas las subredes tienen un atributo modificable que determina si se asigna a la interfaz de red creada en dicha subred una dirección IPv4 pública y, si procede, una dirección IPv6. Esto incluye la interfaz de red principal (eth0) que se crea para una instancia al lanzar una instancia en dicha subred. Independientemente del atributo de la subred, durante el lanzamiento podrá anular este parámetro para instancias específicas.

Cuando se haya creado una subred, podrá modificar la siguiente configuración para la subred.

  • Configuración de IP de asignación automática: permite configurar los ajustes de IP de asignación automática a fin de solicitar automáticamente una dirección IPv4 o IPv6 pública para una nueva interfaz de red en esta subred.

  • Configuración de nombre basado en recursos (RBN): permite especificar el tipo de nombre de host para las instancias EC2 de esta subred y configurar cómo se gestionan las consultas de registros DNS A y AAAA. Para obtener más información sobre esta configuración, consulte Tipos de nombre de host de instancias de Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Diagrama de la subred

El siguiente diagrama muestra dos VPC en una región. Cada VPC tiene subredes públicas y privadas y una puerta de enlace de Internet. La VPC también abarca una Local Zone (Zona local).


                    Una VPC con subredes en zonas de disponibilidad y una zona local.

Tamaño de subred

El bloque de CIDR de una subred puede ser el mismo que el de la VPC (para una subred única de la VPC) o un subconjunto del mismo para la VPC (a fin de crear múltiples subredes en la VPC). El tamaño de bloque permitido oscila entre la máscara de subred /28 y /16. Si crea más de una subred en una VPC, los bloques de CIDR de las subredes no se pueden solapar.

Por ejemplo, si crea una VPC con un bloque de CIDR 10.0.0.0/24, esta admitirá 256 direcciones IP. Este bloque de CIDR se puede dividir en dos subredes con 128 direcciones IP cada una. Una subred utilizará el bloque de CIDR 10.0.0.0/25 (para el intervalo de direcciones 10.0.0.0 - 10.0.0.127) y la otra utilizará el bloque de CIDR 10.0.0.128/25 (para el intervalo de direcciones 10.0.0.128 - 10.0.0.255).

Existen herramientas en Internet que pueden servirle de ayuda para calcular y crear bloques de CIDR de subredes IPv4. Puede encontrar otras herramientas que se adapten a sus necesidades buscando términos como “calculadora de subred” o “calculadora de CIDR”. Además, su grupo de ingeniería de red podrá ayudarle a determinar los bloques de CIDR que debe especificar para las subredes.

Las cuatro primeras direcciones IP y la última dirección IP de cada bloque de CIDR de las subredes no se podrán utilizar y no se pueden asignar a un recurso, como una instancia de EC2. Por ejemplo, en una subred con el bloque de CIDR 10.0.0.0/24, estarán reservadas las cinco direcciones IP siguientes:

  • 10.0.0.0: dirección de red.

  • 10.0.0.1: reservada por AWS para el enrutador de la VPC.

  • 10.0.0.2: reservada por AWS. La dirección IP del servidor DNS es la base del intervalo de red de la VPC más dos. En el caso de las VPC con varios bloques de CIDR, la dirección IP del servidor DNS se encuentra en el CIDR principal. También reservamos la base de cada intervalo de red más dos para todos los bloques de CIDR de la VPC. Para obtener más información, consulte Servidor DNS de Amazon.

  • 10.0.0.3: reservada por AWS para el uso futuro.

  • 10.0.0.255: dirección de transmisión de red. Puesto que la difusión no se admite en las VPC, esta dirección queda reservada.

Si crea una subred mediante una herramienta de la línea de comandos o la API de Amazon EC2, el bloque de CIDR se modifica automáticamente a su forma canónica. Por ejemplo, si especifica 100.68.0.18/18 para el bloque de CIDR, creamos un bloque de CIDR de 100.68.0.0/18.

Ajuste de tamaño de subredes para direcciones IPv6

Si ha asociado un bloque de CIDR IPv6 a su VPC, podrá asociar un bloque de CIDR IPv6 a una subred existente en su VPC, o bien podrá crear una nueva subred. El bloque de CIDR IPv6 de una subred es una longitud de prefijo determinada de /64.

Hay herramientas disponibles en Internet para ayudarle a calcular y crear bloques de CIDR de subred IPv6; por ejemplo, IPv6 Address Planner. Puede encontrar otras herramientas que se adapten a sus necesidades buscando términos como "calculadora de subred IPv6" o "calculadora de CIDR IPv6". Además, su grupo de ingeniería de red podrá ayudarle a determinar los bloques de CIDR IPv6 que debe especificar para las subredes.

Las cuatro primeras direcciones IPv6 y la última dirección IPv6 de cada bloque de CIDR de las subredes no se podrán utilizar y no se pueden asignar a una instancia de EC2. Por ejemplo, en una subred con el bloque de CIDR 2001:db8:1234:1a00/64, estarán reservadas las cinco direcciones IP siguientes:

  • 2001:db8:1234:1a00::

  • 2001:db8:1234:1a00::1

  • 2001:db8:1234:1a00::2

  • 2001:db8:1234:1a00::3

  • 2001:db8:1234:1a00:ffff:ffff:ffff:ffff

Enrutar la subred

Cada subred debe estar asociada a una tabla de ruteo que, a su vez, especifica las rutas permitidas para el tráfico saliente de la subred. Cada subred que se crea se asocia automáticamente a la tabla de ruteo principal de la VPC. Es posible cambiar la asociación y el contenido de la tabla de ruteo principal. Para obtener más información, consulte Configurar tablas de enrutamiento.

Seguridad de la subred

AWS proporciona dos características que puede utilizar para aumentar la seguridad de la VPC: los grupos de seguridad y las ACL de red. Los grupos de seguridad controlan el tráfico de entrada y salida de las instancias, mientras que las ACL de red controlan el tráfico de entrada y salida de las subredes. En la mayoría de los casos, los grupos de seguridad se ajustarán a sus necesidades. No obstante, puede usar también las ACL de red si desea agregar un nivel de seguridad adicional en la VPC. Para obtener más información, consulte Privacidad del tráfico entre redes en Amazon VPC.

Por diseño, cada subred debe estar asociada a una ACL de red. Cada subred que se crea se asocia automáticamente a la ACL de red predeterminada de la VPC. Es posible cambiar la asociación y el contenido de la ACL de red predeterminada. Para obtener más información, consulte Controlar el tráfico hacia las subredes utilizando las ACL de red.

Puede crear un log de flujo en su VPC o subred para capturar el flujo de tráfico entrante y saliente de las interfaces de red de su VPC o subred. También es posible crear un log de flujo en una interfaz de red individual. Para obtener más información, consulte Registro del tráfico de IP con registros de flujo de la VPC.