Habilitar el tráfico IPv6 saliente mediante una puerta de enlace de Internet de solo salida

La gateway de internet de solo salida es un componente de VPC de escalado horizontal, redundante y de alta disponibilidad que permite la comunicación saliente a través de IPv6 desde instancias de su VPC a internet. Asimismo, impide que internet inicie conexiones IPv6 con sus instancias.

nota

La gateway de internet de solo salida se utiliza solo para el tráfico IPv6. Para habilitar la comunicación con internet de solo salida mediante IPv4, utilice una gateway NAT. Para obtener más información, consulte Gateways NAT.

Conceptos básicos de las gateways de Internet de solo salida

Las direcciones IPv6 son únicas de forma global y, por lo tanto, son públicas de manera predeterminada. Si desea que su instancia pueda obtener acceso a internet pero desea evitar que los recursos de internet inicien comunicaciones con su instancia, utilice una gateway de internet de solo salida. Para ello, cree una gateway de internet de solo salida en su VPC y, a continuación, añada una ruta a su tabla de enrutamiento que apunte a todo el tráfico IPv6 (::/0) o un rango específico de direcciones IPv6 a la gateway de internet de solo salida. El tráfico IPv6 de la subred asociado a la tabla de enrutamiento se direcciona a la gateway de internet de solo salida.

La gateway de internet de solo salida tiene estado: reenvía el tráfico desde las instancias de la subred a internet o a otros servicios de AWS y, a continuación, envía la respuesta de nuevo a las instancias.

La gateway de internet de solo salida tiene las características siguientes:

• No puede asociar un grupo de seguridad a una gateway de internet de solo salida. Puede utilizar grupos de seguridad para sus instancias de la subred privada para controlar el tráfico entrante y saliente de estas instancias.

• Puede usar una ACL de red para controlar el tráfico hacia la subred y procedente de esta para la que la gateway de internet de solo salida direcciona el tráfico.

En el siguiente diagrama, la VPC tiene bloques de CIDR IPv4 e IPv6 y la subred bloques de CIDR IPv4 e IPv6. La VPC tiene una puerta de enlace de Internet de solo salida.

A continuación se muestra un ejemplo de la tabla de enrutamiento asociada a la subred. Hay una ruta que envía todo el tráfico IPv6 de internet (::/0) a la puerta de enlace de Internet de solo salida.

Destino	Objetivo
10.0.0.0/16	Local
2001:db8:1234:1a00:/64	Local
::/0	eigw-id

Trabajar con gateways de Internet de solo salida

Las tareas siguientes describen cómo crear una gateway de Internet de solo salida (saliente) para su subred privada y configurar el enrutamiento para la subred.

Tareas

• Creación de una gateway de internet de solo salida
• Ver la gateway de Internet de solo salida
• Creación de una tabla de ruteo personalizada
• Eliminación de una gateway de internet de solo salida

Creación de una gateway de internet de solo salida

Puede crear una gateway de Internet de solo salida para la VPC mediante la consola de Amazon VPC.

Para crear una gateway de internet de solo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Egress Only Internet Gateways.

3. Elija Create Egress Only Internet Gateway.

4. (Opcional) Añada o elimine una etiqueta.

   [Agregar una etiqueta] Elija Agregar etiqueta y haga lo siguiente:

   • En Key (Clave), escriba el nombre de la clave.

   • En Value (Valor), escriba el valor de la clave.

   [Eliminar una etiqueta] Elija Eliminar a la derecha de la clave y el valor de la etiqueta.

5. Seleccione la VPC en la que desea crear el puerto de enlace a Internet de solo salida.

6. Seleccione Create (Crear).

Ver la gateway de Internet de solo salida

Puede consultar información acerca de la gateway de Internet de solo salida en la consola de Amazon VPC.

Para ver la información acerca de la gateway de internet de solo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Egress Only Internet Gateways.

3. Seleccione la gateway de internet de solo salida para ver su información en el panel de detalles.

Creación de una tabla de ruteo personalizada

Para enviar el tráfico con destino fuera de la VPC a la gateway de internet de solo salida, debe crear una tabla de enrutamiento personalizada, añadir una ruta que envíe el tráfico a la gateway y, a continuación, asociarla a la subred.

Para crear una tabla de enrutamiento personalizada y añadir una ruta a la gateway de internet de solo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Route Tables (Tablas de enrutamiento) y Create route table (Crear tabla de enrutamiento).

3. En el cuadro de diálogo Create route table (Crear tabla de enrutamiento), podrá, de manera opcional, asignar un nombre a su tabla de enrutamiento y, a continuación, seleccionar su VPC y elegir Create route table (Crear tabla de enrutamiento).

4. Seleccione la tabla de ruteo personalizada que acaba de crear. El panel de detalles muestra pestañas para trabajar con sus rutas, sus asociaciones y la propagación de rutas.

5. En la pestaña Routes (Rutas), elija Edit routes (Editar rutas), especifique ::/0 en el cuadro Destination (Destino), seleccione el ID de la puerta de enlace de Internet de solo salida en la lista Target (Objetivo) y, a continuación, elija Save changes (Guardar cambios).

6. En la pestaña Subnet associations (Asociaciones de subred), elija Edit subnet associations (Editar asociaciones de subred) y seleccione la casilla de verificación de la subred. Seleccione Save.

De manera alternativa, pude añadir una ruta a la tabla de ruteo existente asociada a su subred. Seleccione la tabla de enrutamiento existente y siga los pasos 5 y 6 anteriores para añadir una ruta a la gateway de internet de solo salida.

Para obtener más información acerca de las tablas de ruteo, consulte Configurar tablas de enrutamiento.

Eliminación de una gateway de internet de solo salida

Si ya no necesita la gateway de internet de solo salida, puede eliminarla. Las rutas de la tabla de enrutamiento que apuntan a la gateway de internet de solo salida permanecerán con el estado blackhole hasta que elimine o actualice manualmente la ruta.

Para eliminar la gateway de internet de solo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Gateways de Internet de solo salida y seleccione la gateway de internet de solo salida.

3. Elija Eliminar.

4. Elija Delete Egress Only Internet Gateway en el cuadro de diálogo de confirmación.

Información general de la API y de la CLI

Puede realizar las tareas descritas en esta página utilizando la línea de comandos o una API. Para obtener más información acerca de las interfaces de la línea de comando, junto con una lista de las acciones de API disponibles, consulte Trabajo con VPC de Amazon.

Creación de una gateway de internet de solo salida

• create-egress-only-internet-gateway (AWS CLI)

• New-EC2EgressOnlyInternetGateway (AWS Tools for Windows PowerShell)

Descripción de una gateway de internet de solo salida

• describe-egress-only-internet-gateways (AWS CLI)

• Get-EC2EgressOnlyInternetGatewayList (AWS Tools for Windows PowerShell)

Eliminación de una gateway de internet de solo salida

• delete-egress-only-internet-gateway (AWS CLI)

• Remove-EC2EgressOnlyInternetGateway (AWS Tools for Windows PowerShell)