Subredes para la VPC - Amazon Virtual Private Cloud

Subredes para la VPC

Una subred es un rango de direcciones IP en su VPC. Puede crear recursos de AWS, como instancias de EC2, en subredes específicas.

Conceptos básicos sobre subredes

Cada subred debe residir enteramente en una zona de disponibilidad y no puede abarcar otras zonas. Si lanza recursos de AWS en diferentes zonas de disponibilidad, puede proteger sus aplicaciones de errores que se produzcan en una única zona de disponibilidad.

Rango de direcciones IP de una subred

Al crear una subred, debe especificar sus direcciones IP, según la configuración de la VPC:

  • Solo IPv4: la subred tiene un bloque de CIDR IPv4 pero no tiene un bloque de CIDR IPv6. Los recursos de una subred solo de IPv4 deben comunicarse a través de IPv4.

  • Doble pila: la subred tiene un bloque de CIDR IPv4 y un bloque de CIDR IPv6. La VPC debe tener tanto un bloque de CIDR IPv4 como un bloque de CIDR IPv6. Los recursos de una subred de doble pila se pueden comunicar mediante IPv4 e IPv6.

  • Solo IPv6: la subred tiene un bloque de CIDR IPv6 pero no tiene un bloque de CIDR IPv4. La VPC debe tener un bloque de CIDR IPv6. Los recursos de una subred solo de IPv6 deben comunicarse a través de IPv6.

    nota

    A los recursos de las subredes exclusivas de IPv6 se les asignan direcciones locales de enlace IPv4 desde el bloque de CIDR 169.254.0.0/16. Estas direcciones se utilizan para comunicarse con los servicios de VPC, como el servicio de metadatos de instancias (IMDS).

Para obtener más información, consulte Direccionamiento IP para VPC y subredes.

Tipos de subred

El tipo de subred viene determinado por cómo configure el enrutamiento para sus subredes. Por ejemplo:

  • Subred pública: la subred tiene una ruta directa a una puerta de enlace de Internet. Los recursos de una subred pública pueden acceder a la Internet pública.

  • Subred privada: la subred no tiene una ruta directa a una puerta de enlace de Internet. Los recursos de una subred privada requieren un dispositivo NAT para acceder a la Internet pública.

  • Subred solo de VPN: la subred tiene una ruta a una conexión de Site-to-Site VPN mediante una puerta de enlace privada virtual. La subred no tiene una ruta a una puerta de enlace de Internet.

  • Subred aislada: la subred no tiene rutas a destinos fuera de su VPC. Los recursos de una subred aislada solo pueden acceder o ser accesibles por otros recursos de la misma VPC.

Diagrama de la subred

El siguiente diagrama muestra dos VPC en una región. Cada VPC tiene subredes públicas y privadas y una puerta de enlace de Internet. Si lo desea, puede agregar subredes en una zona local, como se muestra en el diagrama. Una zona local es una implementación de la infraestructura de AWS que acerca los servicios de computación, almacenamiento y base de datos a los usuarios finales. Cuando utiliza una zona local, sus usuarios finales pueden ejecutar aplicaciones que requieren latencias de milisegundos de un solo dígito. Para obtener más información, consulte AWS Local Zones.

Una VPC con subredes en zonas de disponibilidad y una zona local.

Enrutar la subred

Cada subred debe estar asociada a una tabla de ruteo que, a su vez, especifica las rutas permitidas para el tráfico saliente de la subred. Cada subred que se crea se asocia automáticamente a la tabla de ruteo principal de la VPC. Es posible cambiar la asociación y el contenido de la tabla de ruteo principal. Para obtener más información, consulte Configurar tablas de enrutamiento.

Configuración de subredes

Todas las subredes tienen un atributo modificable que determina si se asigna a la interfaz de red creada en dicha subred una dirección IPv4 pública y, si procede, una dirección IPv6. Esto incluye la interfaz de red principal (eth0) que se crea para una instancia al lanzar una instancia en dicha subred. Independientemente del atributo de la subred, durante el lanzamiento podrá anular este parámetro para instancias específicas.

Después de crear una subred, puede modificar la siguiente configuración:

  • Configuración de IP de asignación automática: permite configurar los ajustes de IP de asignación automática a fin de solicitar automáticamente una dirección IPv4 o IPv6 pública para una nueva interfaz de red en esta subred.

  • Configuración de nombre basado en recursos (RBN): permite especificar el tipo de nombre de host para las instancias EC2 de esta subred y configurar cómo se gestionan las consultas de registros DNS A y AAAA. Para obtener más información, consulte Tipos de nombres de host de instancias de Amazon EC2 en la Guía del usuario de Amazon EC2.

Seguridad de la subred

Para proteger sus recursos de AWS, le recomendamos que utilice subredes privadas. Utilice un host bastión o dispositivo NAT para proporcionar acceso a Internet a los recursos, como instancias EC2, en una subred privada.

AWS proporciona funciones que se pueden utilizar para aumentar la seguridad de los recursos de la VPC. Los grupos de seguridad permiten tráfico entrante y saliente para recursos asociados, tales como instancias EC2. Las ACL de red permiten o deniegan el tráfico entrante y saliente en el nivel de subred. En la mayoría de los casos, los grupos de seguridad pueden satisfacer sus necesidades. No obstante, puede utilizar ACL de red si desea una capa de seguridad adicional. Para obtener más información, consulte Comparar grupos de seguridad y ACL de red.

Por diseño, cada subred debe estar asociada a una ACL de red. Cada subred que se crea se asocia automáticamente a la ACL de red predeterminada de la VPC. La ACL de red predeterminada permite el tráfico de entrada y de salida. Puede actualizar la ACL de red predeterminada, o bien crear ACL de red personalizadas y asociarlas a sus subredes. Para obtener más información, consulte Control del tráfico de la subred con listas de control de acceso a la red.

Puede crear un log de flujo en su VPC o subred para capturar el flujo de tráfico entrante y saliente de las interfaces de red de su VPC o subred. También es posible crear un log de flujo en una interfaz de red individual. Para obtener más información, consulte Registro del tráfico de IP con registros de flujo de la VPC.