Nubes virtuales privadas (VPC) - Amazon Virtual Private Cloud

Nubes virtuales privadas (VPC)

Una nube virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS. Esta infraestructura en la nube está aislada lógicamente de otras redes virtuales de la nube de AWS. Puede lanzar recursos de AWS, como instancias de Amazon EC2, en la VPC.

Conceptos básicos sobre VPC

Al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC como bloque de enrutamiento entre dominios sin clases (CIDR). Por ejemplo 10.0.0.0/16. Se trata del bloque de CIDR principal de la VPC. Para obtener más información, consulte Direccionamiento IP .

Una VPC abarca todas las zonas de disponibilidad de la región. En el siguiente diagrama se muestra una VPC nueva. Después de crear la VPC, podrá añadir una o varias subredes en cada zona de disponibilidad. Para obtener más información, consulte Subredes para la VPC .


                Una VPC que abarca las zonas de disponibilidad de su región.

Ajuste de tamaño de la VPC

Amazon VPC admite el direccionamiento IPv4 e IPv6. Para obtener más información sobre el direccionamiento de IP, consulte Direccionamiento IP.

La VPC debe tener un bloque de CIDR IPv4 asociado. Opcionalmente, puede asociar varios bloques de CIDR IPv4 y varios bloques de CIDR IPv6 a su VPC.

Ajuste de tamaño de VPC para IPv4

Cuando crea una VPC, debe especificar un bloque de CIDR IPv4 para la VPC. El tamaño de bloque permitido oscila entre la máscara de subred /16 (65 536 direcciones IP) y /28 (16 direcciones IP). Una vez que haya creado su VPC, puede asociar bloques de CIDR IPv4 secundarios con la VPC. Para obtener más información, consulte Asociar un bloque adicional de CIDR IPv4 a su VPC .

Al crear una VPC, se recomienda especificar un bloque de CIDR de los intervalos de direcciones IPv4 privadas como se especifica en RFC 1918.

Intervalo RFC 1918 Ejemplo de bloque de CIDR
10.0.0.0 - 10.255.255.255 (prefijo 10/8) 10.0.0.0/16
172.16.0.0 - 172.31.255.255 (prefijo 172.16/12) 172.31.0.0/16
192.168.0.0 - 192.168.255.255 (prefijo 192.168/16) 192.168.0.0/20

Puede crear una VPC con un bloque de CIDR direccionable públicamente externo a los intervalos de direcciones IPv4 privadas especificadas en RFC 1918. Sin embargo, para esta documentación, nos referimos a las direcciones IP privadas como las direcciones IPv4 que se encuentran en el intervalo de CIDR de su VPC.

Cuando crea una VPC para usarla con un servicio de AWS, debe consultar la documentación de dicho servicio para comprobar si hay requisitos específicos para su configuración.

Si crea una VPC mediante una herramienta de la línea de comandos o la API de Amazon EC2, el bloque de CIDR se modifica automáticamente a su forma canónica. Por ejemplo, si especifica 100.68.0.18/18 para el bloque de CIDR, creamos un bloque de CIDR de 100.68.0.0/18.

Administración de bloques de CIDR de IPv4 para una VPC

Puede asociar bloques de CIDR IPv4 secundarios con su VPC. Al asociar un bloque de CIDR con su VPC, se agrega una ruta automáticamente a sus tables de ruteo de VPC para habilitar el direccionamiento en la VPC (el destino es el bloque de CIDR y el objetivo es local).

En el siguiente ejemplo, la VPC tiene un bloque de CIDR principal y otro secundario. Los bloques de CIDR de la subred A y la subred B provienen del bloque de CIDR principal de la VPC. El bloque de CIDR de la subred C proviene del bloque de CIDR secundario de la VPC.


					VPC con uno o varios bloques de CIDR

En la siguiente tabla de enrutamiento se muestran las rutas locales de la VPC.

Destino Objetivo
10.0.0.0/16 Local
10.2.0.0/16 Local

Para añadir un bloque de CIDR a su VPC, se aplican las siguientes reglas:

  • El tamaño de bloque permitido oscila entre la máscara de subred /28 y /16.

  • El bloque de CIDR no se debe solapar con otro bloque de CIDR existente que esté asociado con la VPC.

  • Los rangos de las direcciones IPv4 que puede usar están sujetos a ciertas restricciones. Para obtener más información, consulte Restricciones de asociación de bloques de CIDR IPv4.

  • No es posible aumentar o reducir el tamaño de un bloque de CIDR existente.

  • Hay una cuota en el número de bloques de CIDR que se pueden asociar con una VPC y el número de rutas que se pueden agregar a una tabla de ruteo. No puede asociar un bloque de CIDR si el resultado supera las cuotas. Para obtener más información, consulte Cuotas de Amazon VPC.

  • El bloque de CIDR no debe ser igual o mayor que el rango de CIDR de destino en una ruta en cualquiera de las tablas de ruteo de VPC. Por ejemplo, en una VPC en la que el bloque de CIDR es 10.2.0.0/16, tiene una ruta existente en una tabla de enrutamiento con un destino de 10.0.0.0/24 para una gateway privada virtual. Desea asociar un bloque de CIDR en el rango 10.0.0.0/16. Debido a la ruta existente, no puede asociar un bloque de CIDR de 10.0.0.0/24 o mayor. No obstante, puede asociar un bloque de CIDR secundario de 10.0.0.0/25 o menor.

  • Si ha habilitado la VPC para ClassicLink, puede asociar bloques de CIDR de los rangos 10.0.0.0/16 y 10.1.0.0/16, pero no puede asociar ningún otro bloque de CIDR del rango 10.0.0.0/8.

  • Se aplican las siguientes reglas al agregar bloques de CIDR IPv4 a una VPC de forma parte de una interconexión de VPC:

    • Si la interconexión de VPC es active, puede agregar bloques de CIDR a una VPC siempre que no se solapen con un bloque de CIDR de la VPC del mismo nivel.

    • Si la interconexión de VPC es pending-acceptance, el propietario de la VPC del solicitante no puede agregar ningún bloque de CIDR a la VPC, independientemente de si se solapa con el bloque de CIDR de la VPC del aceptador. El propietario de la VPC del aceptador debe aceptar la interconexión o el propietario de la VPC del solicitante debe eliminar la solicitud de interconexión de VPC, agregar el bloque de CIDR y, a continuación, solicitar una nueva interconexión de VPC.

    • Si la interconexión de VPC es pending-acceptance, el propietario de la VPC del aceptador puede agregar bloques de CIDR a la VPC. Si un bloque de CIDR secundario se solapa con un bloque de CIDR de la VPC del solicitante, se produce un error en la interconexión de VPC y no se puede aceptar.

  • Si utiliza AWS Direct Connect para conectar con varias VPC a través de una gateway de Direct Connect, las VPC asociadas a la gateway no deben tener bloques de CIDR solapados. Si añade un bloque de CIDR a una de las VPC asociadas a la gateway de Direct Connect, asegúrese de que el nuevo bloque de CIDR no se solape con un bloque de CIDR existente de cualquier otra VPC asociada. Para obtener más información, consulte gateways de Direct Connect en la Guía del usuario de AWS Direct Connect.

  • Cuando añade o elimina un bloque de CIDR, este puede pasar por varios estados: associating | associated | disassociating | disassociated | failing | failed. El bloque de CIDR está listo para usar cuando se encuentra en el estado associated.

Puede desvincular un bloque de CIDR que haya asociado con la VPC; sin embargo, no puede desvincular el bloque de CIDR con el que haya creado originalmente la VPC (el bloque de CIDR principal). Para visualizar el CIDR principal de la VPC en la consola de Amazon VPC, elija Your VPCs (Sus VPC), seleccione la casilla de verificación para su VPC y elija la pestaña CIDRs. Para ver el CIDR principal mediante la AWS CLI, utilice el comando describe-vpcs de la siguiente manera. El CIDR principal se devuelve en el CidrBlock element de nivel superior.

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d --query Vpcs[*].CidrBlock

A continuación, se muestra un ejemplo del resultado.

[ "10.0.0.0/16", ]

Restricciones de asociación de bloques de CIDR IPv4

En la siguiente tabla se proporciona una descripción general de las asociaciones de bloques CIDR de VPC permitidas y restringidas.

Rango de direcciones IP Asociaciones restringidas Asociaciones permitidas

10.0.0.0/8

Bloques de CIDR de otros rangos RFC 1918* (172.16.0.0/12 y 192.168.0.0/16).

Si alguno de los bloques de CIDR asociados a la VPC son del rango 10.0.0.0/15 (de 10.0.0.0 a 10.1.255.255), no puede agregar un bloque de CIDR del rango 10.0.0.0/16 (de 10.0.0.0 a 10.0.255.255).

Bloques de CIDR del rango 198.19.0.0/16.

Cualquier otro bloque de CIDR del rango 10.0.0.0/8 que no esté restringido.

Cualquier bloque de IPv4 direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

172.16.0.0/12

Bloques de CIDR de otros rangos RFC 1918* (10.0.0.0/8 y 192.168.0.0/16).

Bloques de CIDR del rango 172.31.0.0/16.

Bloques de CIDR del rango 198.19.0.0/16.

Cualquier otro bloque de CIDR del rango 172.16.0.0/12 que no esté restringido.

Cualquier bloque de IPv4 direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

192.168.0.0/16

Bloques de CIDR de otros rangos RFC 1918* (10.0.0.0/8 y 172.16.0.0/12).

Bloques de CIDR del rango 198.19.0.0/16.

Cualquier otro bloque de CIDR del rango 192.168.0.0/16.

Cualquier bloque de IPv4 direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

198.19.0.0/16

Bloques de CIDR de los rangos RFC 1918*.

Cualquier bloque de IPv4 direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

Bloque de CIDR direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10

Bloques de CIDR de los rangos RFC 1918*.

Bloques de CIDR del rango 198.19.0.0/16.

Cualquier otro bloque de CIDR IPv4 direccionable públicamente (no RFC 1918), o un bloque de CIDR del rango 100.64.0.0/10.

*Los rangos de RFC 1918 son los rangos de direcciones IPv4 privadas que se especifican en RFC 1918.

Ajuste de tamaño de VPC para IPv6

Puede asociar un único bloque de CIDR IPv6 al crear una nueva VPC con una VPC existente de su cuenta, o bien puede asociar hasta cinco al modificar una VPC existente. El bloque de CIDR es una longitud de prefijo determinada de /56. Puede solicitar un bloque de CIDR IPv6 del grupo de direcciones IPv6 de Amazon. Para obtener más información, consulte Asociar un bloque de CIDR IPv6 a su VPC .

Si ha asociado un bloque de CIDR IPv6 a su VPC, podrá asociar un bloque de CIDR IPv6 a una subred existente en su VPC, o cuando cree una nueva subred. Para obtener más información, consulte Ajuste de tamaño de subredes para direcciones IPv6 .

Por ejemplo, puede crear una VPC y especificar que desea asociar un bloque de CIDR IPv6 proporcionado por Amazon a la VPC. Amazon asigna el siguiente bloque de CIDR IPv6 a su VPC: 2001:db8:1234:1a00::/56. No puede elegir el intervalo de direcciones IP usted mismo. Puede crear una subred y asociar un bloque de CIDR IPv6 desde este rango. Por ejemplo, 2001:db8:1234:1a00::/64.

Puede desasociar un bloque de CIDR IPv6 de una VPC. Tras anular la asociación de un bloque de CIDR IPv6 de una VPC, no podrá esperar recibir el mismo CIDR si vuelve a asociar un bloque de CIDR IPv6 a su VPC más adelante.