Cómo funciona Amazon VPC - Amazon Virtual Private Cloud

Cómo funciona Amazon VPC

Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual que haya definido. Esta red virtual es muy similar a la red tradicional que usaría en su propio centro de datos, pero con los beneficios que supone utilizar la infraestructura escalable de AWS.

VPC y subredes

Una nube virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS. Esta infraestructura en la nube está aislada lógicamente de otras redes virtuales de la nube de AWS. Puede especificar un intervalo de direcciones IP para la VPC, añadir subredes, añadir puertas de enlace y asociar grupos de seguridad.

Una subred es un rango de direcciones IP en su VPC. Lanza recursos de AWS, como instancias de Amazon EC2, en las subredes. Puede conectar una subred a Internet, a otras VPC y a sus propios centros de datos, y dirigir el tráfico hacia y desde las subredes mediante tablas de enrutamiento.

VPC predeterminadas y no predeterminadas

Si la cuenta se creó después del 04/12/2013, incluye una VPC predeterminada en cada región. Una VPC predeterminada está configurada y lista para utilizar. Por ejemplo, tiene una subred predeterminada en cada zona de disponibilidad de la región, una puerta de enlace de Internet conectada, una ruta de la tabla de enrutamiento principal que envía todo el tráfico a la puerta de enlace de Internet y una configuración de DNS que automáticamente aisgna nombres de host de DNS a las instancias de EC2 con direcciones IP públicas y habilita la resolución de DNS mediante el servidor de DNS proporcionado por Amazon (consulte Atributos de DNS en su VPC). Por lo tanto, una instancia de EC2 que se lanza en una subred predeterminada tiene acceso automáticamente a Internet. Si tiene una VPC predeterminada en una región y no especifica una subred al lanzar una instancia de EC2 en esa región, elegimos una de las subredes predeterminadas y lanzaremos la instancia en esa subred.

También puede crear su propia VPC y configurarla según sea necesario. Estas VPC se conocen como VPC no predeterminadas. Las subredes creadas en la VPC no predeterminada y las subredes adicionales que cree en su VPC predeterminada se denominan subredes no predeterminadas.

Direccionamiento IP

Las direcciones IP permiten que los recursos de la VPC se comuniquen entre sí y con otros recursos a través de Internet.

La notación de enrutamiento entre dominios sin clases (CIDR) es una forma de representar una dirección IP y su máscara de red. El formato de estas direcciones es el siguiente:

  • Una dirección IPv4 individual es de 32 bits, con 4 grupos de hasta 3 dígitos decimales. Por ejemplo, 10.0.1.0.

  • Un bloque de CIDR IPv4 tiene cuatro grupos de hasta tres dígitos decimales, de 0 a 255, separados por puntos, seguidos de una barra diagonal y un número de 0 a 32. Por ejemplo, 10.0.0.0/16.

  • Una dirección IPv6 individual es de 128 bits, con 8 grupos de hasta 4 dígitos hexadecimales. Por ejemplo, 2001:0db8:85a3:0000:0000:8a2e:0370:7334.

  • Un bloque de CIDR IPv6 tiene cuatro grupos de hasta cuatro dígitos hexadecimales, separados por caracteres de dos puntos, seguidos de dos caracteres de dos puntos, seguidos de una barra diagonal y un número del 1 al 128. Por ejemplo, 2001:db8:1234:1a00::/56.

Para obtener más información, consulte Enrutamiento entre dominios sin clase en Wikipedia.

Al crear una VPC, debe asignarle un bloque de CIDR de IPv4 (un rango de direcciones IPv4 privadas), un bloque de CIDR de IPv6 o ambos bloques de CIDR IPv4 e IPv6 (doble pila).

No es posible obtener acceso a las direcciones IPv4 privadas a través de Internet. Las direcciones IPv6 son únicas a escala mundial y se pueden configurar para que sigan siendo privadas o accesibles en Internet.

La VPC puede funcionar en modo de pila doble. Esto significa que los recursos se pueden comunicar mediante IPv4, IPv6 o tanto IPv4 como IPv6. Las direcciones IPv4 e IPv6 son independientes entre sí; debe agregar rutas y reglas de grupo de seguridad de forma individual para IPv4 e IPv6.

Comparar IPv4 e IPv6

En la tabla siguiente se resumen las diferencias entre IPv4 e IPv6 en Amazon EC2 y Amazon VPC.

Característica IPv4 IPv6
Tamaño de la VPC Hasta 5 CIDR de /16 a /28. Esta cuota se puede ajustar. Hasta 5 CIDR fijos de /56. Esta cuota no se puede ajustar.
Tamaño de la subred De /16 a /28 Fijo de /64
Selección de direcciones Puede elegir el bloque de CIDR IPv4 para la VPC o puede asignar un bloque de CIDR desde Amazon VPC IP Address Manager (IPAM). Para obtener más información acerca de Amazon VPC, consulte ¿Qué es IPAM? en la Guía del usuario de IPAM de Amazon VPC. Puede traer su propio bloque de CIDR IPv6 a AWS para la VPC, elegir un bloque de CIDR IPv6 proporcionado por Amazon o asignar un bloque de CIDR de Amazon VPC IP Address Manager (IPAM). Para obtener más información acerca de Amazon VPC, consulte ¿Qué es IPAM? en la Guía del usuario de IPAM de Amazon VPC.
Direcciones IP elásticas Compatible No admitido
Gateways NAT Compatible No admitido
Puntos de conexión de VPC Compatible No admitido
Instancias EC2 Compatible con todos los tipos de instancias Compatible con todas las instancias de generación actual y con las instancias C3, R3 e I2.
AMI Compatible con todas las AMI Compatible con AMI configuradas para DHCPv6
Nombres DNS Las instancias reciben nombres de DNS basados en IPBN o RBN proporcionado por Amazon. El nombre de DNS se resuelve en los registros de DNS seleccionados para la instancia. Las instancias reciben nombres de DNS basado en IPBN o RBN proporcionado por Amazon. El nombre de DNS se resuelve en los registros de DNS seleccionados para la instancia.

Direcciones IPv4 privadas

Las direcciones IPv4 privadas (también denominadas direcciones IP privadas en este tema) no están disponibles a través de Internet y puede utilizarse para la comunicación entre las instancias de su VPC. Al lanzar una instancia en una VPC, se asigna una dirección IP privada principal del rango de direcciones IPv4 de la subred a la interfaz de red predeterminada (eth0) de la instancia. A cada instancia se le asigna también un nombre de host DNS privado (interno) que se resuelve en la dirección IP privada de la instancia. El nombre de host puede ser de dos tipos: basado en recursos o basado en IP. Para obtener más información, consulte Nombres de instancias EC2. Si no especifica ninguna dirección IP privada principal, se seleccionará una dirección IP disponible en el rango de la subred. Para obtener más información sobre las interfaces de red, consulte Interfaces de red elástica en la Guía del usuario de Amazon EC2 para instancias de Linux.

Es posible asignar direcciones IP privadas adicionales, conocidas como direcciones IP privadas secundarias, a las instancias en ejecución en la VPC. A diferencia de la dirección IP privada principal, es posible volver a asignar una dirección IP privada secundaria de una interfaz de red a otra. La dirección IP privada permanecerá asociada a la interfaz de red al detener y reiniciar la instancia. Asimismo, se liberará cuando se termine la instancia. Para obtener más información acerca de las direcciones IP principales y secundarias, consulte Varias direcciones IP en la Guía del usuario de Amazon EC2 para instancias de Linux.

Las direcciones IP privadas son las direcciones IP que se encuentran en el rango del CIDR IPv4 de la VPC. La mayoría de los rangos de direcciones IP de la VPC se engloban en los rangos de direcciones IP privadas (no direccionables públicamente) especificados en RFC 1918. Sin embargo, puede utilizar los bloques de CIDR direccionables públicamente para su VPC. Independientemente del rango de direcciones IP de su VPC, no se admite el acceso directo a Internet desde el bloque de CIDR de su VPC, incluido el bloque de CIDR públicamente direccionable. Por ello, debe configurar el acceso a Internet a través de una puerta de enlace como, por ejemplo, una puerta de enlace de Internet, una puerta de enlace privada virtual, una conexión de AWS Site-to-Site VPN o AWS Direct Connect.

Direcciones IPv4 públicas

Todas las subredes tienen un atributo que determina si una interfaz de red creada en la subred recibe automáticamente una dirección IPv4 pública (también denominada dirección IP pública en este tema). Por lo tanto, al lanzar una instancia en una subred con este atributo habilitado, se asigna una dirección IP pública a la interfaz de red principal (eth0) que se crea para la instancia. La dirección IP pública se asigna a la dirección IP privada principal mediante conversión de direcciones de red (NAT).

Para controlar si su instancia recibe una dirección IP pública, haga lo siguiente:

  • Modifique el atributo de direcciones IP públicas de su subred. Para obtener más información, consulte Modificar el atributo de direcciones IPv4 públicas de su subred.

  • Habilite o deshabilite la característica de direcciones IP públicas durante el lanzamiento de la instancia. Esta acción anulará el atributo de direcciones IP públicas de su subred.

La dirección IP pública se asigna desde el grupo de direcciones IP públicas de Amazon. Por lo tanto, no se asocia a su cuenta. Cuando se desasocia una dirección IP pública de su instancia, esta se libera de nuevo al grupo y deja de estar disponible para su utilización. Por lo tanto, no es posible asociar o desasociar manualmente las direcciones IP públicas. En su lugar, en determinados casos, se libera la dirección IP pública desde su instancia, o bien se asigna una dirección nueva. Para obtener más información, consulte Direcciones IP públicas en la Guía del usuario de Amazon EC2 para instancias de Linux.

Si necesita asignar una dirección IP pública persistente a su cuenta con la posibilidad de asignarla o eliminarla de las instancias según sus necesidades, utilice una dirección IP elástica. Para obtener más información, consulte Asociar direcciones IP elásticas con recursos en la VPC.

Si su VPC está habilitada para ofrecer compatibilidad con los nombres de host DNS, cada instancia que reciba una dirección IP pública o una dirección IP elástica también recibirá un nombre de host DNS público. El nombre de host DNS público se resuelve en la dirección IP pública de la instancia fuera de la red de la instancia y en una dirección IP privada de la instancia desde dentro de la red de la instancia. Para obtener más información, consulte Atributos DNS para la VPC.

Direcciones IPv6

Es posible asociar de manera opcional un bloque de CIDR IPv6 a su VPC y sus subredes. Para obtener más información, consulte Asociar un bloque de CIDR IPv6 a su subred .

Su instancia de la VPC recibirá una dirección IPv6 si se asocia un bloque de CIDR IPv6 a su VPC y su subred y si se cumple alguna de las condiciones siguientes:

  • La subred está configurada para asignar automáticamente una dirección IPv6 a la interfaz de red principal de una instancia durante el lanzamiento.

  • Al asignar manualmente una dirección IPv6 a su instancia durante el lanzamiento.

  • Al asignar una dirección IPv6 a su instancia tras el lanzamiento.

  • Al asignar una dirección IPv6 a una interfaz de red de la misma subred y al adjuntar la interfaz de red a su instancia tras el lanzamiento.

Cuando su instancia recibe una dirección IPv6 durante el lanzamiento, la dirección se asocia a la interfaz de red principal (eth0) de la instancia. Es posible desasociar la dirección IPv6 de la interfaz de red principal. No se admite la utilización de nombres de host de DNS IPv6 con su instancia.

Tenga en cuenta que la dirección IPv6 persiste al detener e iniciar la instancia. Asimismo, se libera al terminar la instancia. No puede volver a asignar una dirección IPv6 mientras esté asignada a otra interfaz de red, primero debe anular la asignación.

Puede asignar direcciones IPv6 adicionales a su instancia. Para ello, asígnelas a una interfaz de red adjunta a su instancia. El número de direcciones IPv6 que puede asignar a una interfaz de red, así como el número de interfaces de red que puede adjuntar a una instancia varía según el tipo de instancia. Para obtener más información, consulte Direcciones IP por interfaz de red por tipo de instancia en la Guía del usuario de Amazon EC2.

Las direcciones de IPv6 son únicas a nivel global y se pueden configurar para que sigan siendo privadas o para que estén disponibles en Internet. Es posible controlar si las instancias están disponibles a través de sus direcciones IPv6 controlando el direccionamiento de su subred, o bien utilizando un grupo de seguridad y reglas de ACL de red. Para obtener más información, consulte Privacidad del tráfico entre redes en Amazon VPC.

Para obtener más información acerca de los rangos de direcciones IPv6 reservados, consulte IANA IPv6 Special-Purpose Address Registry y RFC4291.

Utilizar sus propias direcciones IP

Puede traer parte o todo su rango de direcciones IPv4 públicas o su rango de direcciones IPv6 a su cuenta de AWS. Sigue siendo el propietario del rango de direcciones, pero AWS lo anuncia en Internet de forma predeterminada. Una vez que traiga su gama de direcciones a AWS, aparecerá en su cuenta como un grupo de direcciones. Puede crear una dirección IP elástica desde el grupo de direcciones IPv4 y asociar un bloque de CIDR IPv6 de su grupo de direcciones IPv6 a una VPC.

Para obtener más información, consulte Traer sus propias direcciones IP (BYOIP) en la Guía del usuario de Amazon EC2 para instancias de Linux.

Tablas de ruteo

Las tablas de enrutamiento contienen conjuntos de reglas, denominadas rutas, que se utilizan para determinar dónde se dirige el tráfico de red de su VPC. Puede asociar de forma explícita una subred con una tabla de enrutamiento particular. De lo contrario, la subred se asocia de forma implícita con la tabla de enrutamiento principal.

Cada ruta de una tabla de enrutamiento especifica el rango de direcciones IP al que desea que vaya el tráfico (el destino) y la puerta de enlace, la interfaz de red o la conexión a través de la cual enviar el tráfico (el destino).

Acceder a Internet

Es posible controlar el modo en que las instancias lanzadas en la VPC tienen acceso a los recursos externos a la VPC.

Una VPC predeterminada incluye una puerta de enlace de Internet y las subredes predeterminadas son subredes públicas. Las instancias que se lanzan en subredes predeterminadas tienen dirección IPv4 privada y dirección IPv4 pública. Dichas instancias pueden comunicarse con Internet a través del puerta de enlace de Internet. Una puerta de enlace de Internet permite que las instancias se conecten a Internet a través del borde de la red de Amazon EC2.

De forma predeterminada, las instancias que se lanzan en subredes no predeterminadas disponen de dirección IPv4 privada; sin embargo, no disponen de dirección IPv4 pública a no ser que asigne específicamente una en el lanzamiento o que modifique el atributo de dirección IP pública de la subred. Dichas instancias pueden comunicarse entre sí, pero no pueden tener acceso a Internet.

Puede habilitar el acceso a Internet para una instancia que se haya lanzado en una subred no predeterminada. Para ello, adjunte un puerta de enlace de Internet a su VPC (siempre que su VPC no sea una VPC predeterminada) y asocie una dirección IP elástica a la instancia.

De manera alternativa, para permitir que una instancia de su VPC inicie conexiones salientes a Internet y bloquear las conexiones entrantes no solicitadas, puede utilizar un dispositivo de conversión de direcciones de red (NAT). El dispositivo NAT asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública. Puede configurar los dispositivos NAT con una dirección IP elástica y conectarlos a Internet a través de puertas de enlace de Internet. Esto permite conectar una instancia de una subred privada a Internet a través del dispositivo NAT, direccionando el tráfico desde la instancia a la puerta de enlace de Internet y las respuestas a la instancia.

Si asocia un bloque de CIDR IPv6 a su VPC y asigna direcciones IPv6 a sus instancias, las instancias pueden conectarse a Internet a través de IPv6 a través de una puerta de enlace de Internet. De manera alternativa, las instancias podrán iniciar conexiones salientes a Internet mediante IPv6 a través de un puerta de enlace de Internet de solo salida. Puesto que el tráfico IPv6 está aislado del tráfico IPv4, las tablas de ruteo deben incluir rutas separadas para el tráfico IPv6.

Acceder a una red corporativa o doméstica

De manera opcional, puede conectar su VPC a su propio centro de datos corporativo utilizando una conexión de AWS Site-to-Site VPN de IPsec y, de este modo, convertir la nube de AWS en una ampliación de su centro de datos.

Una conexión VPN de sitio a sitio consta de dos túneles de VPN entre una puerta de enlace privada virtual o una puerta de enlace de tránsito en el lado de AWS y un dispositivo de puerta de enlace de cliente ubicado en su centro de datos. El dispositivo de puerta de enlace de cliente es un dispositivo físico o dispositivo de software que configure en su lado de la conexión de VPN de sitio a sitio.

Conectar VPC y redes

Puede crear una interconexión de VPC entre dos VPC que permite direccionar el tráfico entre ellas de forma privada. Las instancias de ambas VPC se pueden comunicar entre sí siempre que se encuentren en la misma red.

También puede crear una puerta de enlace de tránsito y utilizarla para interconectar las VPC y las redes locales. La puerta de enlace de tránsito actúa como un enrutador virtual regional para el tráfico que fluye entre sus asociaciones, que puede incluir VPC, conexiones de VPN, puerta de enlaces de AWS Direct Connect e interconexiones de puerta de enlaces de tránsito.

AWSConsideraciones sobre la red global privada de

AWS proporciona una red global privada de alto rendimiento y baja latencia que ofrece un entorno seguro de informática en la nube para satisfacer sus necesidades de redes. AWS Las regiones están conectadas a múltiples proveedores de servicios de Internet (ISP), así como a una red troncal global privada, lo que proporciona un mejor rendimiento de la red para el tráfico entre regiones enviado por los clientes.

Tenga en cuenta las siguientes consideraciones:

  • El tráfico que circula en una zona de disponibilidad, o entre las zonas de disponibilidad de todas las regiones, se transfiere a través de la red global privada de AWS.

  • El tráfico que circula entre las regiones siempre se dirige a través de la red global privada de AWS, salvo en las regiones de China.

Existen diversos factores que pueden causar la pérdida de paquetes de red, incluyendo las colisiones de flujos de red, los errores de nivel inferior (capa 2) y otros errores de red. Creamos y utilizamos nuestras redes para minimizar la pérdida de paquetes. Nos encargamos de medir las tasas de pérdida de paquetes (PLR) en toda la red troncal que conecta las regiones de AWS. Operamos la red troncal para obtener un valor de p99 de la tasa PLR por hora inferior al 0,0001 %.