Creación de una VPC - Amazon Virtual Private Cloud

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una VPC

Utilice los siguientes procedimientos para crear una nube privada virtual (VPC). Una VPC debe tener recursos adicionales, como subredes, tablas de enrutamiento y puertas de enlace, para poder crear recursos de AWS en ella.

Para obtener información sobre cómo ver o modificar una VPC, consulte Configure la VPC.

Opciones de configuración de la VPC

Cuando se crea una VPC, se pueden especificar las siguientes opciones de configuración.

Zonas de disponibilidad

Centros de datos discretos con alimentación, redes y conectividad redundantes en una región de AWS . Puede utilizar varias zonas de disponibilidad para operar aplicaciones de producción y bases de datos con mayor disponibilidad, tolerancia a errores y escalabilidad de lo que sería posible desde un único centro de datos. Si divide las aplicaciones que se ejecutan en subredes entre zonas de disponibilidad, logrará mejor aislamiento y protección frente a incidencias, como cortes de energía, rayos, tornados o terremotos.

Bloques CIDR

Debe especificar rangos de direcciones IP para la VPC y las subredes. Para obtener más información, consulte Direccionamiento IP para VPC y subredes.

Opciones de DNS

Si necesita nombres de host DNS IPv4 públicos para las instancias de EC2 lanzadas en las subredes, debe habilitar ambas opciones de DNS. Para obtener más información, consulte Atributos DNS para la VPC.

  • Habilitar nombres de host DNS: las instancias de EC2 que se lanzan en la VPC reciben nombres de host DNS públicos que corresponden a sus direcciones IPv4 públicas.

  • Habilitar resolución de DNS: el servidor de DNS de Amazon, llamado Route 53 Resolver, proporciona la resolución de DNS para los nombres de host DNS privados de la VPC.

Puerta de enlace de Internet

Conecta la VPC a Internet. Las instancias de una subred pública pueden acceder a Internet porque la tabla de enrutamiento de la subred contiene una ruta que envía el tráfico vinculado a Internet a la puerta de enlace de Internet. No es necesaria su implementación en una subred pública si no se necesita acceder al servidor directamente desde Internet. Para obtener más información, consulte Puertas de enlace de Internet.

Nombre

Los nombres que especifica para la VPC y los demás recursos de la VPC se utilizan para crear etiquetas de nombre. Si utiliza la característica de generación automática de etiquetas de nombre de la consola, los valores de las etiquetas tienen el formato name-resource.

Puerta de enlace NAT

Permite que las instancias de una subred privada envíen tráfico saliente a Internet, pero evita que los recursos de Internet se conecten a las instancias. En producción, se recomienda implementar una puerta de enlace de NAT en cada zona de disponibilidad (AZ) activa. Para obtener más información, consulte Puerta de enlace NAT.

Tablas de enrutamiento

Contienen un conjunto de reglas, denominado rutas, que determinan hacia dónde se dirige el tráfico de red de la subred o la puerta de enlace. Para obtener más información, consulte Tablas de enrutamiento.

Subredes

Un intervalo de direcciones IP en la VPC. Puede lanzar AWS recursos, como instancias EC2, en sus subredes. Cada subred reside exclusivamente en una zona de disponibilidad. Si lanza instancias en al menos dos zonas de disponibilidad, puede proteger las aplicaciones de los errores que se produzcan en una sola zona.

Una subred pública tiene una ruta directa a una puerta de enlace de Internet. Los recursos de una subred pública pueden acceder a la Internet pública. Una subred privada no tiene una ruta directa a una puerta de enlace de Internet. Los recursos de una subred privada necesitan otro componente, como un dispositivo NAT, para acceder a la Internet pública.

Para obtener más información, consulte Subredes.

Propiedad

Esta opción define si las instancias de EC2 que lance en la VPC se ejecutarán en hardware compartido con otras Cuentas de AWS o en hardware dedicado para su uso exclusivo. Si elige que la tenencia de la VPC sea Default, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para más información, consulte Lanzar una instancia utilizando parámetros definidos en la Guía del usuario de Amazon EC2 para instancias Linux. Si elige que la tenencia de la VPC sea Dedicated, las instancias siempre se ejecutarán como Instancias dedicadas en hardware dedicado para su uso. Si utilizas AWS Outposts, tu Outpost requiere conectividad privada; debes usar el arrendamiento. Default

Creación de una VPC y otros recursos de la VPC

Utilice el siguiente procedimiento para crear una VPC y los recursos adicionales de la VPC que necesita para ejecutar la aplicación, como subredes, tablas de enrutamiento, puertas de enlace de Internet y puertas de enlace de NAT. Para ver configuraciones de ejemplo de VPC, consulte Ejemplos de VPC.

Para crear una VPC, subredes y otros recursos de la VPC mediante la consola
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de VPC, elija Create VPC (Crear VPC).

  3. En Recursos para crear, elija VPC y más.

  4. Mantenga seleccionada la opción Generación automática de etiquetas de nombre para crear etiquetas de nombre para los recursos de la VPC, o desactívela para proporcionar sus propias etiquetas de nombre para los recursos de la VPC.

  5. En Bloque CIDR de IPv4, ingrese un rango de direcciones IPv4 para la VPC. Una VPC debe tener un rango de direcciones IPv4.

  6. (Opcional) Para admitir tráfico IPv6, elija Bloque CIDR de IPv6 y Bloque CIDR de IPv6 proporcionado por Amazon.

  7. Elija una opción de tenencia. Esta opción define si las instancias de EC2 que lance en la VPC se ejecutarán en hardware compartido con otras Cuentas de AWS o en hardware dedicado para su uso exclusivo. Si elige que la tenencia de la VPC sea Default, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para más información, consulte Lanzar una instancia utilizando parámetros definidos en la Guía del usuario de Amazon EC2 para instancias Linux. Si elige que la tenencia de la VPC sea Dedicated, las instancias siempre se ejecutarán como Instancias dedicadas en hardware dedicado para su uso. Si utilizas AWS Outposts, tu Outpost requiere conectividad privada; debes usar el arrendamiento. Default

  8. En Cantidad de zonas de disponibilidad (AZ), se recomienda aprovisionar subredes en al menos dos zonas de disponibilidad para un entorno de producción. Para elegir las AZ para las subredes, expanda Personalizar AZ. De lo contrario, deja que los AWS elijan por ti.

  9. Para configurar las subredes, elija valores para Cantidad de subredes públicas y Cantidad de subredes privadas. Para elegir los rangos de direcciones IP para las subredes, expanda Personalizar bloques CIDR de subredes. De lo contrario, deja que los AWS elijan por ti.

  10. (Opcional) Si los recursos de una subred privada necesitan acceso a la Internet pública a través de IPv4, en Puertas de enlace NAT, elija la cantidad de AZ en las que se crearán puertas de enlace NAT. En producción, se recomienda implementar una puerta de enlace de NAT en cada AZ con recursos que necesiten acceso a la Internet pública. Tenga en cuenta que existe un costo asociado a las puertas de enlace NAT. Para obtener más información, consulte Precios.

  11. (Opcional) Si los recursos de una subred privada necesitan acceso a la Internet pública a través de IPv6, en la opción Puerta de enlace de Internet solo de salida, elija .

  12. (Opcional) Si necesita acceder a Amazon S3 directamente desde su VPC, elija Puntos de conexión de VPC, Puerta de enlace de S3. Se crea un punto de conexión de VPC de puerta de enlace para Amazon S3. Para obtener más información, consulte Puntos de conexión de VPC de puerta de enlace en la Guía de AWS PrivateLink .

  13. (Opcional) En Opciones de DNS, ambas opciones de resolución de nombres de dominio están activadas de forma predeterminada. Si el valor predeterminado no satisface sus necesidades, puede deshabilitar estas opciones.

  14. (Opcional) Para agregar una etiqueta a su VPC, expanda Etiquetas adicionales, elija Agregar etiqueta nueva e ingrese una clave y un valor de etiqueta.

  15. En el panel Vista previa, puede visualizar las relaciones entre los recursos de la VPC que configuró. Las líneas continuas representan las relaciones entre los recursos. Las líneas punteadas representan el tráfico de red a las puertas de enlace de NAT, las puertas de enlace de Internet y los puntos de conexión de las puertas de enlace. Una vez que creó la VPC, puede visualizar los recursos de la VPC en este formato en cualquier momento en la pestaña Mapa de recursos. Para obtener más información, consulte Visualización de los recursos de su VPC.

  16. Cuando termine de configurar la VPC, elija Crear VPC.

Crear una sola VPC

Utilice el siguiente procedimiento para crear una VPC sin recursos adicionales mediante la consola de Amazon VPC.

Para crear una VPC sin recursos adicionales de VPC mediante la consola
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de VPC, elija Create VPC (Crear VPC).

  3. En Recursos para crear, elija Solo VPC.

  4. (Opcional) En Etiqueta de nombre, ingrese un nombre para su VPC. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

  5. Para IPv4 CIDR block (Bloque de CIDR de IPv4), realice una de las siguientes operaciones:

    • Elija Entrada manual de CIDR de IPv4 e ingrese un rango de direcciones IPv4 para su VPC.

    • Elija el bloque de CIDR IPv4 asignado por IPAM, seleccione su grupo de direcciones IPv4 del Administrador de direcciones IP (IPAM) de Amazon VPC y una máscara de red. El tamaño del bloque CIDR está limitado por las reglas de asignación del grupo de IPAM. IPAM es una función de VPC que le facilita la planificación, el seguimiento y la supervisión de las direcciones IP de sus cargas de AWS trabajo. Para obtener más información, consulte la Guía del usuario de IPAM de Amazon VPC.

      Si utiliza IPAM para administrar las direcciones IP, le recomendamos que elija esta opción. De lo contrario, el bloque CIDR que especifique para la VPC podría superponerse con una asignación de CIDR de IPAM.

  6. (Opcional) Para crear una VPC de doble pila, especifique un rango de direcciones IPv6 para la VPC. Para IPv6 CIDR block (Bloque de CIDR de IPv6), realice una de las siguientes operaciones:

    • Elija Bloque de CIDR de IPv6 asignado por el IPAM si utiliza el Administrador de direcciones IP de Amazon VPC y desea aprovisionar un CIDR de IPv6 desde un grupo de IPAM. Tiene dos opciones para aprovisionar un rango de direcciones IP a la VPC en el Bloque de CIDR:

      • Longitud de la máscara de red: elija esta opción a fin de seleccionar una longitud de máscara de red para el CIDR. Realice una de las acciones siguientes:

        • Si se ha seleccionado una longitud de máscara de red predeterminada para el grupo de IPAM, puede elegir Longitud de máscara de red predeterminada del IPAM a fin de utilizar la longitud de máscara de red predeterminada establecida para el grupo de IPAM por el administrador de IPAM. Para obtener más información sobre la regla opcional de asignación de longitud de máscara de red predeterminada, consulte Crear un grupo IPv6 regional en la Guía del usuario de IPAM de Amazon VPC.

        • Si no se ha seleccionado una longitud de máscara de red predeterminada para el grupo de IPAM, elija una longitud de máscara de red que sea más específica que la longitud de máscara de red del CIDR del grupo de IPAM. Por ejemplo, si el CIDR del grupo de IPAM es /50, puede elegir una longitud de máscara de red entre /52 y /60 para la VPC. Las longitudes posibles de la máscara de red oscilan entre /44 y /60 en incrementos de /4.

      • Seleccionar un CIDR: elija esta opción para ingresar de forma manual una dirección IPv6. Solo puede elegir una longitud de máscara de red que sea más específica que la longitud de la máscara de red del grupo de IPAM. Por ejemplo, si el CIDR del grupo de IPAM es /50, puede elegir una longitud de máscara de red entre /52 y /60 para la VPC. Las longitudes posibles de las máscaras de red IPv6 oscilan entre /44 y /60 en incrementos de /4.

    • Elija Bloque CIDR de IPv6 proporcionado por Amazon para solicitar un bloque CIDR de IPv6 de un grupo de direcciones IPv6 de Amazon. En Network Border Group, seleccione el grupo desde el que se AWS anuncian las direcciones IP. Amazon proporciona un tamaño de bloque de CIDR de IPv6 fijo de /56.

    • Elija CIDR de IPv6 de mi propiedad para aprovisionar un CIDR de IPv6 que ya haya traído a AWS. Para obtener más información sobre cómo incorporar sus propios rangos de direcciones IP a AWS, consulte Bring your own IP addresses (BYOIP) en la Guía del usuario de Amazon EC2 para instancias de Linux. Puede aprovisionar un rango de direcciones IP para la VPC mediante las siguientes opciones para el bloque CIDR:

      • Sin preferencia: elija esta opción para utilizar una longitud de máscara de red de /56.

      • Seleccionar un CIDR: elija esta opción para ingresar de forma manual una dirección IPv6 y elegir una longitud de máscara de red que sea más específica que el tamaño del CIDR de BYOIP. Por ejemplo, si el CIDR del grupo de BYOIP es /50, puede elegir una longitud de máscara de red entre /52 y /60 para la VPC. Las longitudes posibles de las máscaras de red IPv6 oscilan entre /44 y /60 en incrementos de /4.

  7. (Opcional) Elija una opción de tenencia. Esta opción define si las instancias de EC2 que lance en la VPC se ejecutarán en hardware compartido con otras Cuentas de AWS o en hardware dedicado para su uso exclusivo. Si elige que la tenencia de la VPC sea Default, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para más información, consulte Lanzar una instancia utilizando parámetros definidos en la Guía del usuario de Amazon EC2 para instancias Linux. Si elige que la tenencia de la VPC sea Dedicated, las instancias siempre se ejecutarán como Instancias dedicadas en hardware dedicado para su uso. Si utilizas AWS Outposts, tu Outpost requiere conectividad privada; debes usar el arrendamiento. Default

  8. (Opcional) Para agregar una etiqueta a su VPC, elija Agregar etiqueta nueva e ingrese una clave y un valor de etiqueta.

  9. Seleccione Crear VPC.

  10. Una vez creada una VPC, podrá agregar las subredes. Para obtener más información, consulte Creación de una subred.

Cree una VPC mediante AWS CLI

El siguiente procedimiento contiene AWS CLI comandos de ejemplo para crear una VPC, además de los recursos de VPC adicionales necesarios para ejecutar una aplicación. Si ejecuta todos los comandos en este procedimiento, creará una VPC, una subred pública, una subred privada, una tabla de enrutamiento para cada subred, una puerta de enlace de Internet, una puerta de enlace de Internet de solo salida y una puerta de enlace de NAT pública. Si no necesita todos estos recursos, puede utilizar solo los comandos de ejemplo que necesita.

Requisitos previos

Antes de comenzar, instale y configure la AWS CLI. Al configurar la AWS CLI, se le solicitarán las credenciales. AWS En los ejemplos de este procedimiento se asume que configuró una región predeterminada. De lo contrario, agregue la opción --region para cada comando. Para obtener más información, consulte Installing or updating the AWS CLI and Configuring the AWS CLI (Instalación o actualización de la CLI y Configuración de la CLI).

Etiquetado

Puede agregar etiquetas a un recurso después de crearlo mediante el comando create-tags. Como alternativa, puede agregar la opción --tag-specification al comando de creación del recurso de la siguiente manera.

--tag-specifications ResourceType=vpc,Tags=[{Key=Name,Value=my-project}]
Para crear una VPC más los recursos de VPC mediante AWS CLI
  1. Utilice el siguiente comando create-vpc para crear una VPC con el bloque CIDR de IPv4 especificado.

    aws ec2 create-vpc --cidr-block 10.0.0.0/24 --query Vpc.VpcId --output text

    Como alternativa, para crear una VPC de doble pila, agregue la opción --amazon-provided-ipv6-cidr-block para agregar un bloque CIDR de IPv6 proporcionado por Amazon, como se muestra en el siguiente ejemplo.

    aws ec2 create-vpc --cidr-block 10.0.0.0/24 --amazon-provided-ipv6-cidr-block --query Vpc.VpcId --output text

    Estos comandos devuelven el ID de la VPC nueva. A continuación, se muestra un ejemplo.

    vpc-1a2b3c4d5e6f1a2b3
  2. [VPC de doble pila] Obtenga el bloque de CIDR IPv6 asociado a su VPC mediante el siguiente comando describe-vpcs.

    aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query Vpcs[].Ipv6CidrBlockAssociationSet[].Ipv6CidrBlock --output text

    A continuación, se muestra un ejemplo del resultado.

    2600:1f13:cfe:3600::/56
  3. Cree una o más subredes, en función del caso de uso. En producción, le recomendamos que lance recursos en al menos dos zonas de disponibilidad. Utilice uno de los siguientes comandos para crear cada subred.

    • Subred de solo IPv4: para crear una subred con un bloque CIDR de IPv4 específico, utilice el siguiente comando create-subnet.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --cidr-block 10.0.1.0/20 --availability-zone us-east-2a --query Subnet.SubnetId --output text
    • Subred de doble pila: si creó una VPC de doble pila, puede utilizar la opción --ipv6-cidr-block para crear una subred de doble pila, como se muestra en el siguiente comando.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --cidr-block 10.0.1.0/20 --ipv6-cidr-block 2600:1f13:cfe:3600::/64 --availability-zone us-east-2a --query Subnet.SubnetId --output text
    • Subred de solo IPv6: si creó una VPC de doble pila, puede utilizar la opción --ipv6-native para crear una subred de solo IPv6, como se muestra en el siguiente comando.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --ipv6-native --ipv6-cidr-block 2600:1f13:cfe:3600::/64 --availability-zone us-east-2a --query Subnet.SubnetId --output text

    Estos comandos devuelven el ID de la subred nueva. A continuación, se muestra un ejemplo.

    subnet-1a2b3c4d5e6f1a2b3
  4. Si necesita una subred pública para los servidores web o para una puerta de enlace de NAT, haga lo siguiente:

    1. Cree una puerta de enlace a Internet mediante el siguiente create-internet-gatewaycomando. El comando devuelve el ID de la nueva puerta de enlace de Internet.

      aws ec2 create-internet-gateway --query InternetGateway.InternetGatewayId --output text
    2. Conecte la puerta de enlace de Internet a su VPC mediante el siguiente attach-internet-gatewaycomando. Utilice el ID de la puerta de enlace de Internet que obtuvo en el paso anterior.

      aws ec2 attach-internet-gateway --vpc-id vpc-1a2b3c4d5e6f1a2b3 --internet-gateway-id igw-id
    3. Cree una tabla de enrutamiento personalizada para su subred pública mediante el siguiente create-route-tablecomando. El comando devuelve el ID de la nueva tabla de enrutamiento.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text
    4. Cree una ruta en la tabla de enrutamiento que envíe todo el tráfico IPv4 a la puerta de enlace de Internet mediante el siguiente comando create-route. Utilice el ID de la tabla de enrutamiento para la subred pública.

      aws ec2 create-route --route-table-id rtb-id-public --destination-cidr-block 0.0.0.0/0 --gateway-id igw-id
    5. Asocie la tabla de rutas a la subred pública mediante el siguiente associate-route-tablecomando. Utilice el ID de la tabla de enrutamiento para la subred pública y el ID de la subred pública.

      aws ec2 associate-route-table --route-table-id rtb-id-public --subnet-id subnet-id-public-subnet
  5. [IPv6] Puede agregar una puerta de enlace de Internet de solo salida para que las instancias de una subred privada puedan acceder a Internet a través de IPv6 (por ejemplo, para obtener actualizaciones de software), pero los hosts de Internet no puedan acceder a las instancias.

    1. Cree una puerta de enlace a Internet de solo salida mediante el siguiente comando -gateway. create-egress-only-internet El comando devuelve el ID de la nueva puerta de enlace de Internet.

      aws ec2 create-egress-only-internet-gateway --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query EgressOnlyInternetGateway.EgressOnlyInternetGatewayId --output text
    2. Cree una tabla de enrutamiento personalizada para su subred privada mediante el siguiente comando. create-route-table El comando devuelve el ID de la nueva tabla de enrutamiento.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text
    3. Cree una ruta en la tabla de enrutamiento para que la subred privada envíe todo el tráfico IPv6 a la puerta de enlace de Internet de solo salida mediante el siguiente comando create-route. Utilice el ID de la tabla de enrutamiento que obtuvo en el paso anterior.

      aws ec2 create-route --route-table-id rtb-id-private --destination-cidr-block ::/0 --egress-only-internet-gateway eigw-id
    4. Asocie la tabla de rutas a la subred privada mediante el siguiente associate-route-tablecomando.

      aws ec2 associate-route-table --route-table-id rtb-id-private --subnet-id subnet-id-private-subnet
  6. Si necesita una puerta de enlace de NAT para los recursos de una subred privada, haga lo siguiente:

    1. Cree una dirección IP elástica para la puerta de enlace de NAT mediante el siguiente comando allocate-address.

      aws ec2 allocate-address --domain vpc --query AllocationId --output text
    2. Cree la puerta de enlace NAT en la subred pública mediante el siguiente create-nat-gatewaycomando. Utilice el ID de asignación que obtuvo en el paso anterior.

      aws ec2 create-nat-gateway --subnet-id subnet-id-public-subnet --allocation-id eipalloc-id
    3. (Opcional) Si ya creó una tabla de enrutamiento para la subred privada en el paso 5, omita este paso. De lo contrario, utilice el siguiente create-route-tablecomando para crear una tabla de enrutamiento para la subred privada. El comando devuelve el ID de la nueva tabla de enrutamiento.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text
    4. Cree una ruta en la tabla de enrutamiento para que la subred privada envíe todo el tráfico IPv4 a la puerta de enlace de NAT mediante el siguiente comando create-route. Utilice el ID de la tabla de enrutamiento para la subred privada, que creó en este paso o en el paso 5.

      aws ec2 create-route --route-table-id rtb-id-private --destination-cidr-block 0.0.0.0/0 --gateway-id nat-id
    5. (Opcional) Si ya asoció una tabla de enrutamiento a la subred privada en el paso 5, omita este paso. De lo contrario, utilice el siguiente associate-route-tablecomando para asociar la tabla de enrutamiento a la subred privada. Utilice el ID de la tabla de enrutamiento para la subred privada, que creó en este paso o en el paso 5.

      aws ec2 associate-route-table --route-table-id rtb-id-private --subnet-id subnet-id-private-subnet