Amazon Virtual Private Cloud
Guía del usuario

¿Qué es Amazon VPC?

Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual que haya definido. Dicha red virtual es prácticamente idéntica a las redes tradicionales que se utilizan en sus propios centros de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS.

Conceptos de Amazon VPC

A medida que vaya utilizando Amazon VPC, comprenderá los conceptos clave de esta red virtual, así como las similitudes y diferencias con respecto a sus propias redes. Esta sección proporciona una descripción breve de los conceptos clave de Amazon VPC.

Amazon VPC es la capa de red de Amazon EC2. Si no conoce Amazon EC2, consulte ¿Qué es Amazon EC2? en la Guía del usuario de Amazon EC2 para instancias de Linux para obtener información general.

VPC y subredes

Una nube virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS. Esta infraestructura en la nube está aislada lógicamente de otras redes virtuales de la nube de AWS. Por lo tanto, puede lanzar a su VPC recursos de AWS como, por ejemplo, instancias de Amazon EC2. Puede especificar un intervalo de direcciones IP para la VPC, añadir subredes, asociar grupos de seguridad y configurar tablas de ruteo.

Una subred es un rango de direcciones IP en su VPC. Puede lanzar recursos de AWS a cualquier subred que especifique. Utilice una subred pública para los recursos que deben conectarse a Internet y una subred privada para los recursos que no dispondrán de conexión a Internet. Para obtener más información acerca de las subredes públicas y privadas, consulte Conceptos básicos de VPC y subredes.

Para proteger los recursos de AWS de cada subred, puede utilizar varias capas de seguridad, incluidos grupos de seguridad y las listas de control de acceso (ACL) a la red. Para obtener más información, consulte Seguridad.

Plataformas admitidas

La versión original de Amazon EC2 admitía una red plana y sencilla que se compartía con los demás clientes. Dicha red se conocía como plataforma EC2-Classic. Las cuentas de AWS anteriores siguen siendo compatibles con esta plataforma y pueden lanzar instancias en EC2-Classic o en VPC. Las cuentas creadas a partir del 04/12/2013 solo son compatibles con EC2-VPC. Para obtener más información, consulte Detección de plataformas compatibles y comprobación de si tiene una VPC predeterminada.

El lanzamiento de instancias en una VPC en lugar de en EC2-Classic, permite realizar lo siguiente:

  • Asignar direcciones IPv4 privadas a las instancias que persisten tras los inicios y las paradas.

  • Asociar de manera opcional un bloque de CIDR IPv6 a su VPC y asignar direcciones IPv6 a sus instancias.

  • Asignar varias direcciones IP a sus instancias.

  • Definir interfaces de red y adjuntar una o varias interfaces de red a sus instancias.

  • Cambiar la pertenencia al grupo de seguridad de las instancias mientras se están ejecutando

  • Controlar el tráfico saliente de las instancias (filtrado de tráfico saliente), además de controlar el tráfico entrante a las instancias (filtrado de tráfico entrante)

  • Añadir una capa de control de acceso adicional a las instancias como listas de control de acceso (ACL) de red

  • Ejecutar sus instancias en hardware de un solo propietario.

VPC predeterminadas y no predeterminadas

Si su cuenta solo es compatible con la plataforma EC2-VPC, esta incluirá una VPC predeterminada que tiene una subred predeterminada en cada zona de disponibilidad. Las VPC predeterminadas ofrecen los beneficios de las características avanzadas de EC2-VPC y están listas para el uso. Si tiene una VPC predeterminada y no especifica una subred al lanzar una instancia, la instancia se lanzará en la VPC predeterminada. No hace falta tener conocimientos sobre la VPC de Amazon para lanzar instancias en la VPC predeterminada.

Independientemente de las plataformas con las que sea compatible su cuenta, podrá crear su propia VPC y configurarla en función de sus necesidades. Estas VPC se conocen como VPC no predeterminadas. Las subredes creadas en la VPC no predeterminada y las subredes adicionales que cree en su VPC predeterminada se denominan subredes no predeterminadas.

Acceso a Internet

Es posible controlar el modo en que las instancias lanzadas en la VPC tienen acceso a los recursos externos a la VPC.

La VPC predeterminada incluye un gateway de Internet, y las subredes predeterminadas son subredes públicas. Las instancias que se lanzan en subredes predeterminadas tienen dirección IPv4 privada y dirección IPv4 pública. Dichas instancias pueden comunicarse con Internet a través del gateway de Internet. Un gateway de Internet permite que las instancias se conecten a Internet a través del límite de la red de Amazon EC2.


						Utilización de VPC predeterminadas

De forma predeterminada, las instancias que se lanzan en subredes no predeterminadas disponen de dirección IPv4 privada; sin embargo, no disponen de dirección IPv4 pública a no ser que asigne específicamente una en el lanzamiento o que modifique el atributo de dirección IP pública de la subred. Dichas instancias pueden comunicarse entre sí, pero no pueden tener acceso a Internet.


						Utilización de VPC no predeterminadas

Puede habilitar el acceso a Internet para una instancia que se haya lanzado en una subred no predeterminada. Para ello, adjunte un gateway de Internet a su VPC (siempre que su VPC no sea una VPC predeterminada) y asocie una dirección IP elástica a la instancia.


					Uso de la gateway de Internet

De manera alternativa, para permitir que una instancia de su VPC inicie conexiones salientes a Internet y bloquear las conexiones entrantes no deseadas, puede utilizar un dispositivo de conversión de direcciones de red (NAT) para el tráfico IPv4. El dispositivo NAT asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública. Los dispositivos NAT tienen dirección IP elástica y están conectados a Internet a través de gateways de Internet. Puede conectar una instancia de una subred privada a Internet a través del dispositivo NAT, que direcciona el tráfico desde la instancia al gateway de Internet y direcciona las respuestas a la instancia.

Para obtener más información, consulte NAT.

De manera opcional, puede asociar bloques de CIDR IPv6 proporcionados por Amazon a su VPC y asignar direcciones IPv6 a sus instancias. Esto permite a dichas instancias conectarse a Internet mediante IPv6 a través de un gateway de Internet. De manera alternativa, las instancias podrán iniciar conexiones salientes a Internet mediante IPv6 a través de un gateway de Internet de solo salida. Para obtener más información, consulte Gateways de Internet de solo salida. Puesto que el tráfico IPv6 está aislado del tráfico IPv4, las tablas de ruteo deben incluir rutas separadas para el tráfico IPv6.

Acceso a redes corporativas o domésticas

De manera opcional, puede conectar su VPC a su propio centro de datos corporativo utilizando una conexión de AWS Site-to-Site VPN de IPsec y, de este modo, convertir la nube de AWS en una ampliación de su centro de datos.

Las conexiones de Site-to-Site VPN constan de una gateway privada virtual asociada a su VPC y de una gateway de cliente que se encuentra en su centro de datos. La gateway privada virtual es el concentrador VPN que se encuentra en el extremo de Amazon de la conexión de Site-to-Site VPN. La gateway de cliente es un dispositivo físico o de software en su extremo de la conexión de Site-to-Site VPN.


						Utilización de una gateway privada virtual

Para obtener más información, consulte ¿Qué es AWS Site-to-Site VPN? en la Guía del usuario de AWS Site-to-Site VPN.

AWS PrivateLink es una tecnología escalable y de alta disponibilidad que le permite conectar su VPC de forma privada con servicios de AWS, servicios alojados en otras cuentas de AWS (servicios de punto de enlace de VPC) y servicios compatibles de socios de AWS Marketplace. Para comunicar con el servicio no necesita un gateway de Internet, un dispositivo NAT, una dirección IP pública, una conexión a AWS Direct Connect ni una conexión de AWS Site-to-Site VPN. El tráfico entre su VPC y el servicio no sale de la red de Amazon.

Para usar AWS PrivateLink, cree un punto de conexión de VPC de interfaz para un servicio de su VPC. Con ello se creará una interfaz de red elástica en su subred con una dirección IP privada que sirve como punto de entrada al tráfico dirigido al servicio. Para obtener más información, consulte Puntos de conexión de la VPC.


					Uso de un punto de enlace de interfaz para el acceso a un servicio de AWS

Puede crear su propio servicio basado en AWS PrivateLink (servicio de punto de enlace) y permitir que otros clientes de AWS obtengan acceso a él. Para obtener más información, consulte Servicios de punto de conexión de la VPC (AWS PrivateLink).

Consideraciones sobre la red global privada de AWS

AWS proporciona una red global privada de alto rendimiento y baja latencia que ofrece un entorno de informática en la nube seguro para satisfacer sus necesidades de red. Las regiones de AWS están conectadas a múltiples proveedores de servicios de Internet (ISP), así como a una red troncal global privada, lo que proporciona un mejor rendimiento de red para el tráfico entre regiones enviado por los clientes.

Tenga en cuenta las siguientes consideraciones:

  • El tráfico que circula en una zona de disponibilidad, o entre las zonas de disponibilidad de todas las regiones, se transfiere a través de la red global privada de AWS.

  • El tráfico que circula entre las regiones siempre se transfiere a través de la red global privada de AWS, salvo en las Regiones de China.

Existen diversos factores que pueden causar la pérdida de paquetes de red, incluyendo las colisiones de flujos de red, los errores de nivel inferior (capa 2) y otros errores de red. Creamos y utilizamos nuestras redes para minimizar la pérdida de paquetes. Nos encargamos de medir las tasas de pérdida de paquetes (PLR) en todo el núcleo global que conecta las regiones de AWS. Operamos la red troncal para obtener un valor de p99 de la tasa PLR por hora inferior al 0,0001 %.

Primeros pasos con Amazon VPC

Para obtener una introducción práctica a Amazon VPC, complete Introducción a Amazon VPC. Este ejercicio le guiará por los pasos necesarios para crear una VPC no predeterminada con una subred pública y lanzar una instancia en su subred.

Si dispone de una VPC predeterminada y desea lanzar instancias en su VPC sin realizar ninguna configuración adicional en su VPC, consulte Lanzamiento de una instancia EC2 en su VPC predeterminada.

Para obtener información acerca de los escenarios básicos de Amazon VPC, consulte Escenarios y ejemplos. También puede configurar su VPC y sus subredes de otras formas para adaptarlas a sus necesidades.

En la tabla siguiente se enumeran todos los recursos relacionados que podrían resultarle útiles cuando trabaje con este servicio.

Recurso Descripción

Opciones de conectividad de Amazon Virtual Private Cloud

Proporciona información general de las opciones de conectividad de red.

Amazon VPC forum

Foro de la comunidad en el que se tratan aspectos técnicos relacionados con Amazon VPC.

Recursos para desarrolladores de AWS

Principal punto de partida para buscar documentación, ejemplos de código, notas de las versiones y otra información que le ayudará a crear aplicaciones innovadoras con AWS.

Centro de AWS Support

Página de inicio de AWS Support.

Contáctese con nosotros

Punto de contacto central para consultas relacionadas con la facturación, las cuentas y los eventos de AWS.

Acceso a Amazon VPC

Amazon VPC cuenta con una interfaz de usuario basada en web, la consola de Amazon VPC. Si ha registrado una cuenta de AWS, podrá obtener acceso a la consola de Amazon VPC iniciando sesión en la Consola de administración de AWS y eligiendo VPC.

Si prefiere utilizar una interfaz de línea de comandos, dispone de las siguientes opciones:

AWS Command Line Interface (AWS CLI)

Ofrece comandos para un amplio conjunto de servicios de AWS y está disponible para Windows, macOS y Linux/Unix. Para empezar, consulte AWS Command Line Interface Guía del usuario. Para obtener más información acerca de los comandos de Amazon VPC consulte ec2.

Herramientas de AWS para Windows PowerShell

Ofrece comandos para un amplio conjunto de servicios de AWS para los usuarios que crean scripts en el entorno PowerShell. Para empezar, consulte Guía del usuario de Herramientas de AWS para Windows PowerShell.

Amazon VPC ofrece un API de consulta. Estas solicitudes son solicitudes de HTTP o HTTPS que utilizan los verbos GET o POST de HTTP y un parámetro de consulta denominado Action. Para obtener más información, consulte Acciones en la Amazon EC2 API Reference.

Para crear aplicaciones con API específicas de un lenguaje en lugar de enviar una solicitud a través de HTTP o HTTPS, AWS le proporciona bibliotecas, ejemplos de código, tutoriales y otros recursos para desarrolladores de software. Estas bibliotecas proporcionan funciones básicas que automatizan tareas como la firma criptográfica de las solicitudes, el reintento de las solicitudes o el tratamiento de las respuestas de error. Para obtener más información, consulte SDK y herramientas de AWS.

Precios de Amazon VPC

No hay cargo adicional por la utilización de Amazon VPC. Solo pagará las tarifas estándar de las instancias y las demás características de Amazon EC2 que utilice. La utilización de conexiones de Site-to-Site VPN y de gateway NAT está sujeta a cargos. Para obtener más información, consulte Precios de Amazon VPC y Precios de Amazon EC2.

Límites de Amazon VPC

Existen límites en cuanto al número de componentes de Amazon VPC que puede aprovisionar. Puede solicitar un aumento de algunos de estos límites. Para obtener más información, consulte Límites de Amazon VPC.

Conformidad con DSS de PCI

Amazon VPC admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de crédito por parte de un comerciante o proveedor de servicios, y se ha validado por estar conforme con el Estándar de Seguridad de los Datos de la Industria de las Tarjetas de Pago (DSS PCI). Para obtener más información acerca de PCI DSS, incluido cómo solicitar una copia de AWS PCI Compliance Package, consulte PCI DSS nivel 1.