Gateways NAT - Amazon Virtual Private Cloud

Gateways NAT

Una gateway NAT es un servicio de traducción de direcciones de red (NAT). Puede utilizar una gateway NAT para que las instancias de una subred privada puedan conectarse a servicios fuera de la VPC, pero los servicios externos no pueden iniciar una conexión con esas instancias.

Cuando se crea una gateway NAT, se especifica uno de los siguientes tipos de conectividad:

  • Pública (predeterminado): las instancias de subredes privadas pueden conectarse a Internet a través de una gateway NAT pública, pero no pueden recibir conexiones entrantes no solicitadas de Internet. Crea una gateway NAT pública en una subred pública y debe asociar una dirección IP elástica con la gateway NAT en el momento de la creación. El tráfico se dirige desde la gateway NAT a la gateway de Internet de la VPC. También puede utilizar una gateway NAT pública para conectarse a otras VPC o a la red en las instalaciones. En este caso, el tráfico se dirige desde la gateway NAT a través de una gateway de tránsito o una gateway privada virtual.

  • Privada: las instancias de subredes privadas pueden conectarse a otras VPC o a la red en las instalaciones a través de una gateway NAT privada. El tráfico se dirige desde la gateway NAT a través de una gateway de tránsito o una gateway privada virtual. No puede asociar una dirección IP elástica a una gateway NAT privada. Puede adjuntar una gateway de Internet a una VPC con una gateway NAT privada, pero si dirige el tráfico desde la gateway NAT privada a la gateway de Internet, esta última reduce el tráfico.

La gateway NAT reemplaza la dirección IP de fuente de las instancias con la dirección IP de la gateway NAT. Para una gateway NAT pública, esta es la dirección IP elástica de la gateway NAT. Para una gateway NAT privada, esta es la dirección IP privada de la gateway NAT. Cuando envía tráfico de respuesta a las instancias, el dispositivo NAT traduce las direcciones a las primeras direcciones IP fuente.

Pricing

Cuando aprovisione una gateway NAT, se le cobrará por cada hora que esté disponible y por cada Gigabyte de datos que procese. Para obtener más información, consulte Precios de Amazon VPC.

Las siguientes estrategias pueden servir de ayuda para reducir los cargos por transferencia de datos de su gateway NAT:

  • Si sus recursos de AWS envían o reciben un volumen significativo de tráfico entre las zonas de disponibilidad, asegúrese de que los recursos se encuentran en la misma zona de disponibilidad que la gateway NAT o cree una gateway NAT en la misma zona de disponibilidad que los recursos.

  • Si la mayor parte del tráfico que fluye a través de la gateway NAT se dirige a los servicios de AWS que admiten puntos de enlace de interfaz o puntos de enlace de gateway, considere la posibilidad de crear un punto de enlace de interfaz o un punto de enlace de gateway para estos servicios. Para obtener más información sobre el posible ahorro de costos, consulte Precios de AWS PrivateLink.

Conceptos básicos de la gateway NAT

Cada gateway NAT se crea en una zona de disponibilidad específica, y se implementa con redundancia en dicha zona. Hay una cuota establecida en la cantidad de gateways NAT que puede crear en cada zona de disponibilidad. Para obtener más información, consulte Cuotas de Amazon VPC.

Si tiene recursos en varias zonas de disponibilidad que comparten una gateway NAT y la zona de disponibilidad de la gateway NAT no funciona, los recursos de las demás zonas de disponibilidad perderán el acceso a Internet. Para crear una arquitectura independiente de la zona de disponibilidad, cree una gateway NAT en cada zona de disponibilidad y configure el direccionamiento para asegurarse de que los recursos utilicen la gateway NAT de la misma zona de disponibilidad.

Las siguientes características y reglas se aplican a las gateways NAT:

  • Una gateway NAT admite los siguientes protocolos: TCP, UDP e ICMP.

  • Las gateways NAT son compatibles con el tráfico IPv4 o IPv6. Para el tráfico IPv6, la gateway NAT ejecuta NAT64. Al utilizarla en combinación con DNS64 (disponible en Route 53 Resolver), las cargas de trabajo de IPv6 de una subred de Amazon VPC pueden comunicarse con los recursos de IPv4. Estos servicios IPv4 pueden existir en la misma VPC (en una subred independiente) o en una VPC diferente, en su entorno en las instalaciones o en Internet.

  • Las gateways NAT admiten 5 Gbps de ancho de banda y se amplían automáticamente hasta 45 Gbps. Si necesita más ancho de banda, puede dividir los recursos en varias subredes y crear una gateway NAT en cada subred.

  • Una gateway NAT puede procesar un millón de paquetes por segundo y escalar automáticamente hasta cuatro millones de paquetes por segundo. Más allá de este límite, una gateway NAT descartará paquetes. Para evitar la pérdida de paquetes, divida los recursos en varias subredes y cree una gateway NAT independiente para cada subred.

  • Una gateway NAT puede admitir hasta 55,000 conexiones simultáneas a cada destino único. Este límite se aplica también cuando se crean aproximadamente 900 conexiones por segundo hacia un único destino (sobre 55 000 conexiones por minuto). Si la dirección IP de destino, el puerto de destino o el protocolo (TCP/UDP/ICMP) cambian, puede crear 55 000 conexiones adicionales. Cuando hay más de 55 000 conexiones, las probabilidades de errores de conexión aumentan debido a errores de asignación de puertos. Estos errores se pueden monitorear examinando la métrica de CloudWatch ErrorPortAllocation para la gateway NAT. Para obtener más información, consulte Monitorear las puertas de enlace NAT mediante Amazon CloudWatch.

  • Puede asociar exactamente una dirección IP elástica a una gateway NAT pública. No puede desasociar una dirección IP elástica de una gateway NAT después de crearla. Para usar una dirección IP elástica distinta para su gateway NAT, debe crear una nueva gateway NAT con la dirección necesaria, actualizar sus tablas de ruteo y, a continuación, eliminar la gateway NAT existente si ya no la necesita.

  • Una gateway NAT privada recibe una dirección IP privada disponible de la subred en la que está configurada. No puede desconectar esta dirección IP privada ni adjuntar direcciones IP privadas adicionales.

  • No puede asociar un grupo de seguridad a una gateway NAT. Puede asociar grupos de seguridad a las instancias para controlar su tráfico entrante y saliente.

  • Puede usar una ACL de red para controlar el tráfico hacia la subred y procedente de esta en su gateway NAT. Las gateways NAT utilizan los puertos 1024-65535. Para obtener más información, consulte Controlar el tráfico hacia las subredes con las ACL de red.

  • Una gateway NAT recibe una interfaz de red a la que se asigna de forma automática una dirección IP privada del rango de direcciones IP de la subred. Puede consultar la interfaz de red de la gateway NAT con la consola de Amazon EC2. Para obtener más información, consulte Visualización de los detalles de una interfaz de red. No se pueden modificar los atributos de esta interfaz de red.

  • No se puede obtener acceso a una gateway NAT mediante una conexión de ClassicLink asociada a su VPC.

  • No se puede dirigir el tráfico a una gateway NAT mediante una interconexión de VPC, una conexión de Site-to-Site VPN ni AWS Direct Connect. No es posible utilizar una gateway NAT con recursos situados en el otro lado de dichas conexiones.

Controlar el uso de gateways NAT

De forma predeterminada, los usuarios de IAM no tienen permiso para trabajar con gateways NAT. Puede crear una política de usuario de IAM que conceda permisos a los usuarios para crear, describir y eliminar gateways NAT. Para obtener más información, consulte Identity and Access Management para Amazon VPC.

Trabajar con gateways NAT

Puede utilizar la consola de Amazon VPC para crear y administrar sus gateways NAT. También puede utilizar el asistente de Amazon VPC para crear una VPC con una subred pública, una subred privada y una gateway NAT. Para obtener más información, consulte VPC con subredes privadas y públicas (NAT).

Creación de una gateway NAT

Para crear una gateway NAT, ingrese un nombre opcional, una subred y un tipo de conectividad opcional. Con una gateway NAT pública, debe especificar una dirección IP elástica disponible. Una gateway NAT privada recibe una dirección IP privada principal que se selecciona de forma aleatoria de su subred. No puede desconectar la dirección IP privada principal ni agregar direcciones IP privadas secundarias.

Para crear una gateway NAT

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija NAT Gateways.

  3. Elija Create a NAT Gateway (Crear una gateway NAT) y haga lo siguiente:

    1. (Opcional) Especifique un nombre para la gateway NAT. Esto crea una etiqueta en la que la clave es Name y el valor es el nombre que especifique.

    2. Seleccione la subred en la que crear la gateway NAT.

    3. En Connectivity type (Tipo de conectividad), seleccione Private (Privada) para crear una gateway NAT privada o (la opción predeterminada) Public (Pública) para crear una gateway NAT pública.

    4. (Solo para la gateway NAT pública) En Elastic IP allocation ID(ID de asignación de IP elástica), seleccione una dirección IP elástica para asociarla con la gateway NAT.

    5. (Opcional) Para cada etiqueta, elija Add new tag (Agregar nueva etiqueta) e ingrese el nombre y el valor de la clave.

    6. Elija Create a NAT Gateway (Crear una gateway NAT).

  4. El estado inicial de la gateway NAT es Pending. Una vez que el estado cambia a Available, la gateway NAT está lista para su uso. Agregue una ruta a la gateway NAT para las tablas de enrutamiento para las subredes privadas y agregue rutas a la tabla de enrutamiento para la gateway NAT.

    Si el estado de la gateway NAT cambia a Failed, es que ha habido un error durante la creación. Para obtener más información, consulte La creación de la gateway NAT produce un error.

Etiquetar una gateway NAT

Puede etiquetar la gateway NAT como ayuda para identificarla o clasificarla según las necesidades de su organización. Para obtener información sobre cómo trabajar con etiquetas, consulte Etiquetado de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Las etiquetas de asignación de costos son compatibles con las gateways NAT. Por lo tanto, también puede utilizar etiquetas para organizar su factura de AWS y reflejar su propia estructura de costos. Para obtener más información, consulte Uso de etiquetas de asignación de costos en la Guía del usuario de AWS Billing and Cost Management. Para obtener más información acerca de la configuración de un informe de asignación de costos con etiquetas, consulte Informe de asignación de costos mensual en la sección de Facturación de cuentas de AWS.

Eliminación de una gateway NAT

Si ya no necesita una gateway NAT, puede eliminarla. Una vez que se elimine la gateway NAT, la entrada permanece visible en la consola de Amazon VPC durante aproximadamente una hora, hasta que se elimine de forma automática. No puede quitar esta entrada por sí mismo.

Al eliminar una gateway NAT, se desasocia su dirección IP elástica, pero no se libera la dirección de su cuenta. Si elimina una gateway NAT, sus rutas permanecerán con el estado blackhole hasta que las elimine o las actualice.

Para eliminar una gateway NAT

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija NAT Gateways.

  3. Seleccione el botón de opción de la gateway NAT y, a continuación, elija Actions (Acciones), Delete NAT gateway (Eliminar gateway NAT).

  4. Cuando se le pida confirmación, ingrese delete y elija Delete (Eliminar).

  5. Si ya no necesita la dirección IP elástica asociada con la gateway NAT pública, es recomendable liberarla. Para obtener más información, consulte Liberación de una dirección IP elástica.

Casos de gateways NAT

Los siguientes son ejemplos de casos de uso de gateways NAT públicas y privadas.

Caso: acceder a Internet desde una subred privada

Puede utilizar una gateway NAT pública para permitir que las instancias de una subred privada envíen tráfico de salida a Internet, pero que Internet no pueda establecer conexiones a dichas instancias.

En el siguiente diagrama se ilustra la arquitectura de este caso de uso. La subred pública de la zona de disponibilidad A contiene la gateway NAT. La subred privada de la zona de disponibilidad B contiene las instancias. El enrutador principal envía el tráfico de Internet desde las instancias de la subred privada a la gateway NAT. La gateway NAT usa la dirección IP elástica de la gateway NAT como la dirección IP de origen para enviar el tráfico a la gateway de Internet.


          Una VPC con subredes públicas y privadas y una gateway NAT

La siguiente es la tabla de enrutamiento asociada a la subred pública en la zona de disponibilidad A. La primera entrada es la entrada predeterminada para el enrutamiento local en la VPC y permite que las instancias de la VPC se comuniquen entre sí. La segunda entrada envía el resto del tráfico de la subred a la gateway de Internet, lo que permite que la gateway NAT tenga acceso a Internet.

Destino Objetivo
10.0.0.0/16 local
0.0.0.0/0 internet-gateway-id

La siguiente es la tabla de enrutamiento asociada a la subred privada en la zona de disponibilidad B. La primera entrada es la entrada predeterminada para el enrutamiento local en la VPC y permite que las instancias de la VPC se comuniquen entre sí. La segunda entrada envía el resto del tráfico de la subred, como el tráfico de Internet, a la gateway NAT.

Destino Objetivo
10.0.0.0/16 local
0.0.0.0/0 nat-gateway-id

Prueba de la gateway NAT pública

Una vez que ha creado su gateway NAT y ha actualizado sus tablas de enrutamiento, puede hacer ping a direcciones remotas de Internet desde una instancia de su subred privada para comprobar si puede conectarse a Internet. Para ver un ejemplo práctico, consulte Comprobación de la conexión a Internet.

Si puede conectarse a Internet, también podrá probar si el tráfico de Internet se dirige a través de la gateway NAT:

  • Trace la ruta de tráfico desde una instancia de su subred privada. Para ello, ejecute el comando traceroute desde una instancia de Linux en su subred privada. En el resultado, debería ver la dirección IP privada de la gateway NAT en uno de los saltos (suele ser el primero).

  • Puede utilizar un sitio web o una herramienta de terceros que muestre la dirección IP de origen al conectarse desde una instancia de su subred privada. La dirección IP de origen debería ser la dirección IP elástica de la gateway NAT.

Si estas pruebas no son satisfactorias, consulte Solucionar problemas de las gateways NAT.

Comprobación de la conexión a Internet

En el siguiente ejemplo se muestra cómo comprobar si una instancia en una subred privada se puede conectar a Internet.

  1. Lance una instancia en su subred pública (la usará como alojamiento bastión). Para obtener más información, consulte Lanzar una instancia en su subred. En el asistente de lanzamiento, asegúrese de seleccionar una AMI de Amazon Linux y de asignar una dirección IP pública a la instancia. Asegúrese de que las reglas de su grupo de seguridad admiten el tráfico SSH entrante del rango de direcciones IP de su red local y el tráfico SSH saliente al rango de direcciones IP de su subred privada (también puede utilizar 0.0.0.0/0 para el tráfico SSH tanto entrante como saliente en esta prueba).

  2. Lance una instancia en su subred privada. En el asistente de lanzamiento, asegúrese de seleccionar una AMI de Amazon Linux. No asigne una dirección IP pública a su instancia. Asegúrese de que las reglas de su grupo de seguridad admiten el tráfico SSH entrante de la dirección IP privada de la instancia que lanzó en la subred pública, así como todo el tráfico ICMP saliente. Debe elegir el mismo par de claves que utilizó para lanzar su instancia en la subred pública.

  3. Configure el reenvío de agentes SSH en su equipo local, y conéctese a su host bastión en la subred pública. Para obtener más información, consulte Para configurar el reenvío de agentes SSH para Linux o macOS o Para configurar el reenvío de agentes SSH para Windows (PuTTY).

  4. Desde el host bastión, conéctese a su instancia en la subred privada y, a continuación, compruebe la conexión a Internet desde su instancia en la subred privada. Para obtener más información, consulte Para comprobar la conexión a Internet.

Para configurar el reenvío de agentes SSH para Linux o macOS

  1. Desde su equipo local, añada su clave privada al agente de autenticación.

    Para Linux, utilice el siguiente comando.

    ssh-add -c mykeypair.pem

    Para macOS, utilice el siguiente comando.

    ssh-add -K mykeypair.pem
  2. Conéctese a su instancia en la subred pública utilizando la opción -A para habilitar el reenvío de agentes SSH y utilice la dirección pública de la instancia, como se muestra en el ejemplo siguiente.

    ssh -A ec2-user@54.0.0.123

Para configurar el reenvío de agentes SSH para Windows (PuTTY)

  1. Descargue e instale Pageant desde la página de descargas de PuTTY, si aún no lo tiene instalado.

  2. Convierta su clave privada al formato .ppk. Para obtener más información, consulte Conversión de la clave privada mediante PuTTYgen en la Guía del usuario de Amazon EC2 para instancias de Linux.

  3. Inicie Pageant, haga clic con el botón derecho en el icono de Pageant de la barra de tareas (puede estar oculto) y elija Add Key. Seleccione el archivo .ppk que ha creado, escriba la frase de contraseña si es necesario y elija Open (Abrir).

  4. Inicie una sesión de PuTTY y conéctese a su instancia en la subred pública utilizando su dirección IP pública. Para obtener más información, consulte Conexión a la instancia de Linux. En la categoría Auth, asegúrese de seleccionar la opción Allow agent forwarding y deje el cuadro Private key file for authentication en blanco.

Para comprobar la conexión a Internet

  1. Desde su instancia en la subred pública, conéctese a su instancia en la subred privada utilizando su dirección IP privada, como se muestra en el ejemplo siguiente.

    ssh ec2-user@10.0.1.123
  2. Desde su instancia privada, compruebe que puede conectarse a Internet ejecutando el comando ping para un sitio web que tenga ICMP habilitado.

    ping ietf.org
    PING ietf.org (4.31.198.44) 56(84) bytes of data. 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms ...

    Pulse Ctrl+C en su teclado para cancelar el comando ping. Si el comando ping da error, consulte Las instancias no pueden obtener acceso a Internet.

  3. (Opcional) Si ya no necesita las instancias, termínelas. Para obtener más información, consulte Terminar la instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

Caso: permitir el acceso a la red desde direcciones IP permitidas

En lugar de asignar a cada instancia una dirección IP independiente del rango de direcciones IP que tiene permiso para acceder a la red en las instalaciones, puede crear una subred en su VPC con el rango de direcciones IP permitido, crear una gateway NAT privada en la subred y dirigir el tráfico desde su VPC destinado a su red de las instalaciones a través de la gateway NAT.

Migrar desde una instancia NAT a una gateway NAT

Si ya está utilizando una instancia NAT, recomendamos que la reemplace por una gateway NAT. Para ello, puede crear una gateway NAT en la misma subred que su instancia NAT, y luego reemplazar la ruta existente en su tabla de enrutamiento que apunta a la instancia NAT por una ruta que apunte a la gateway NAT. Para usar la misma dirección IP elástica para la gateway NAT que utiliza actualmente para su instancia NAT, primero debe desasociar la dirección IP elástica de su instancia NAT y después asociarla a su gateway NAT al crear la gateway.

Si cambia su direccionamiento de una instancia NAT a una gateway NAT, o si desasocia la dirección IP elástica de su instancia NAT, las conexiones actuales se perderán y tendrá que volver a establecerlas. Asegúrese de no estar ejecutando ninguna tarea crítica (o cualquier otra tarea que opere mediante la instancia NAT).

Información general de la API y de la CLI

Puede realizar las tareas descritas en esta página utilizando la línea de comandos o al API. Para obtener más información acerca de las interfaces de la línea de comandos, junto con una lista de las operaciones de API disponibles, consulte Acceder a Amazon VPC.

Creación de una gateway NAT

Descripción de una gateway NAT

Etiquetar una gateway NAT

Eliminación de una gateway NAT

DNS64 y NAT64

La gateway NAT admite la traducción de direcciones de red de IPv6 a IPv4, y se la conoce popularmente como NAT64. La NAT64 ayuda a los recursos IPv6 de AWS a comunicarse con los recursos IPv4 en la misma VPC o en una VPC diferente, en la red en las instalaciones o en Internet. Puede utilizar NAT64 con DNS64 en Amazon Route 53 Resolver o puede utilizar su propio servidor DNS64.

¿Qué es DNS64?

Las cargas de trabajo solo de IPv6 que se ejecutan en las VPC solo pueden enviar y recibir paquetes de red IPv6. Sin DNS64, una consulta de DNS para un servicio solo de IPv4 producirá una dirección de destino IPv4 en respuesta, y su servicio exclusivo IPv6 no puede comunicarse con esta. Para reducir esta brecha de comunicación, puede habilitar DNS64 para una subred y se aplicará a todos los recursos de AWS dentro de esa subred. Con DNS64, Amazon Route 53 Resolver busca el registro DNS del servicio para el cual realizó la consulta y realiza una de las siguientes acciones:

  • Si el registro contiene una dirección IPv6, devuelve el registro original y la conexión se establece sin ninguna traducción a través de IPv6.

  • Si no hay ninguna dirección IPv6 asociada al destino en el registro DNS, Route 53 Resolver sintetiza una al anteponer el conocido prefijo /96, definido en RFC6052 (64:ff9b::/96), a la dirección IPv4 del registro. El servicio solo de IPv6 envía paquetes de red a la dirección IPv6 sintetizada. A continuación, deberá dirigir este tráfico a través de la gateway NAT, que realiza la traducción necesaria del tráfico para permitir que los servicios IPv6 de su subred accedan a los servicios IPv4 fuera de esa subred.

Puede habilitar o desactivar DNS64 en una subred mediante modify-subnet-attribute con AWS CLI o la consola de VPC al seleccionar una subred y elegir Actions > Modify DNS64 settings (Acciones > Modificar la configuración de DNS64).

¿Qué es NAT64?

NAT64 permite que los servicios solo de IPv6 en Amazon VPC se comuniquen con servicios solo de IPv4 dentro de la misma VPC (en distintas subredes) o VPC conectadas, en sus redes en las instalaciones o en Internet.

NAT64 está disponible automáticamente en las gateways NAT actuales o en cualquier gateway NAT nueva que cree. No puede habilitar o desactivar esta característica.

Una vez que habilitó DNS64 y el servicio solo de IPv6 envía paquetes de red a la dirección IPv6 sintetizada a través de la gateway NAT, ocurre lo siguiente:

  • Desde el prefijo 64:ff9b::/96, la gateway NAT reconoce que el destino original es IPv4 y traduce los paquetes IPv6 a IPv4 al reemplazar:

    • La IPv6 fuente con su propia IP privada, que la gateway de Internet traduce a una dirección IP elástica.

    • La IPv6 de destino a IPv4 al truncar el prefijo 64:ff9b::/96.

  • La gateway NAT envía los paquetes IPv4 traducidos al destino a través de la gateway de Internet, la gateway privada virtual o la gateway de tránsito e inicia una conexión.

  • El host solo de IPv4 envía paquetes de respuesta IPv4. Una vez establecida una conexión, la gateway NAT acepta los paquetes IPv4 de respuesta de los hosts externos.

  • Los paquetes IPv4 de respuesta están destinados a la gateway NAT, que recibe los paquetes y revierte la traducción de NAT al reemplazar su IP (IP de destino) por la dirección IPv6 del host y anteponiendo nuevamente 64:ff9b::/96 en la dirección IPv4 fuente. A continuación, el paquete fluye hacia el host siguiendo la ruta local.

De este modo, la gateway NAT permite que las cargas de trabajo solo de IPv6 de una subred de Amazon VPC se comuniquen con los servicios solo de IPv4 en cualquier lugar fuera de la subred.

Configuración de DNS64 y NAT64

Siga los pasos de esta sección para configurar DNS64 y NAT64 a fin de habilitar la comunicación con los servicios solo de IPv4.

Habilite la comunicación con los servicios solo de IPv4 en Internet con AWS CLI

Si tiene una subred con cargas de trabajo solo de IPv6 que necesita comunicarse con servicios solo de IPv4 fuera de la subred, en este ejemplo se muestra cómo habilitar estos servicios solo de IPv6 para comunicarse con servicios solo de IPv4 en Internet.

Primero debe configurar una gateway NAT en una subred pública (independiente de la subred que contiene las cargas de trabajo solo de IPv6). Por ejemplo, la subred que contiene la gateway NAT debe tener una ruta 0.0/0 con dirección a la gateway de Internet.

Siga estos pasos para permitir que estos servicios solo de IPv6 se conecten con servicios solo de IPv4 en Internet:

  1. Agregue las tres rutas siguientes a la tabla de enrutamiento de la subred que contiene las cargas de trabajo solo de IPv6:

    • Ruta IPv4 (si la hay) en dirección a la gateway NAT.

    • 64:ff9b::/96Ruta en dirección a la gateway NAT. Esto permitirá que el tráfico de las cargas de trabajo solo de IPv6 destinadas a servicios solo de IPv4 se enrute a través de la gateway NAT.

    • Ruta IPv6 ::/0 en dirección a la gateway de Internet solo de salida (o gateway de Internet).

    Tenga en cuenta que dirigir ::/0 a la gateway de Internet permitirá que los hosts IPv6 externos (fuera de la VPC) inicien la conexión a través de IPv6.

    aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block 0.0.0.0/0 –-nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 –-destination-ipv6-cidr-block 64:ff9b::/96 –-nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 –-destination-ipv6-cidr-block ::/0 --egress-only-internet-gateway-id eigw-c0a643a9
  2. Habilite la función de DNS64 en la subred que contiene las cargas de trabajo solo de IPv6.

    aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d –-enable-dns64

Ahora, los recursos de su subred privada pueden establecer conexiones con estado con servicios IPv4 e IPv6 en Internet. Configure el grupo de seguridad y las NACL de manera apropiada para permitir el tráfico de salida e entrada a 64:ff9b::/96.

Habilitar la comunicación con los servicios solo de IPv4 en su entorno en las instalaciones

Amazon Route 53 Resolver le permite reenviar consultas de DNS desde la VPC a una red en las instalaciones y viceversa. Para hacerlo, siga estos pasos:

  • Cree un punto de enlace de salida de Route 53 Resolver en una VPC y asígnelo a las direcciones IPv4 desde las que desea que Route 53 Resolver reenvíe las consultas. Para su solucionador de DNS en las instalaciones, estas son las direcciones IP desde las que se originan las consultas de DNS y, por lo tanto, deben ser direcciones IPv4.

  • Cree una o más reglas que especifiquen los nombres de dominio de las consultas de DNS que desea que Route 53 Resolver reenvíe a los solucionadores en las instalaciones. También debe especificar las direcciones IPv4 de los solucionadores en las instalaciones.

  • Ahora que ha configurado un punto de enlace de salida de Route 53 Resolver, debe habilitar DNS64 en la subred que contiene sus cargas de trabajo solo de IPv6 y dirigir los datos destinados a la red en las instalaciones a través de una gateway NAT.

Cómo funciona DNS64 para destinos solo de IPv4 en redes en las instalaciones:

  1. Asigne una dirección IPv4 al punto de enlace de salida de Route 53 Resolver de la VPC.

  2. La consulta de DNS de su servicio IPv6 va a Route 53 Resolver a través de IPv6. Route 53 Resolver coteja la consulta con la regla de reenvío y obtiene una dirección IPv4 para el solucionador en las instalaciones.

  3. Route 53 Resolver convierte el paquete de consulta de IPv6 a IPv4 y lo reenvía al punto de enlace de salida. Cada dirección IP del punto de enlace representa una ENI que reenvía la solicitud a la dirección IPv4 en las instalaciones de su solucionador DNS.

  4. El solucionador en las instalaciones envía el paquete de respuesta a través de IPv4 nuevamente a través del punto de enlace de salida a Route 53 Resolver.

  5. Suponiendo que la consulta se realizó desde una subred habilitada para DNS64, Route 53 Resolver realiza dos cosas:

    1. Verifica el contenido del paquete de respuestas. Si hay una dirección IPv6 en el registro, mantiene el contenido tal cual, pero si contiene solo un registro IPv4. Sintetiza también un registro IPv6 al anteponer 64:ff9b::/96 a la dirección IPv4.

    2. Vuelve a empaquetar el contenido y lo envía al servicio de la VPC a través de IPv6.