Endereçamento IP de instâncias do Amazon EC2 - Amazon Elastic Compute Cloud

Endereçamento IP de instâncias do Amazon EC2

O Amazon EC2 e a Amazon VPC oferecem suporte aos protocolos de endereçamento IPv4 e IPv6. Por padrão, o Amazon VPC usa o protocolo de endereçamento IPv4. Não é possível desabilitar esse comportamento. Ao criar uma VPC, especifique um bloco CIDR IPv4 (um intervalo de endereços IPv4 privados). Opcionalmente, é possível atribuir um bloco CIDR IPv6 à VPC e atribuir os endereços IPv6 desse bloco às instâncias nas sub-redes.

Endereços IPv4 privados

Um endereço IPv4 privado é um endereço IP que não é acessível pela Internet. É possível usar endereços IPv4 privados para comunicação entre instâncias na mesma VPC. Para obter mais informações sobre os padrões e as especificações de endereços IPv4 privados, consulte a RFC 1918. Atribuímos os endereços IPv4 privados a instâncias usando o DHCP.

nota

É possível criar uma VPC com um bloco CIDR publicamente roteável que esteja fora dos intervalos de endereços IPv4 privados especificados na RFC 1918. No entanto, para fins dessa documentação, referimo-nos aos endereços IPv4 privados (ou “endereços IP privados ") como os endereços IP que estão no intervalo CIDR IPv4 da VPC.

As sub-redes da VPC podem ser de um destes tipos:

  • Sub-redes somente IPv4: você só pode criar recursos nessas sub-redes com endereços IPv4 atribuídos a eles.

  • Sub-redes somente IPv6: você só pode criar recursos nessas sub-redes com endereços IPv6 atribuídos a eles.

  • Sub-redes IPv4 e IPv6: você pode criar recursos nessas sub-redes com endereços IPv4 ou IPv6 atribuídos a eles.

Quando você inicia uma instância do EC2 em uma sub-rede somente IPv4 ou de pilha dupla (IPv4 e IPv6), a instância recebe um endereço IP privado primário do intervalo de endereços IPv4 da sub-rede. Para obter mais informações, consulte Endereçamento IP no Manual do usuário da Amazon VPC. Se você não especificar um endereço IP privado primário ao executar a instância, selecionaremos um endereço IP disponível no intervalo IPv4 da sub-rede para você. Cada instância tem uma interface de rede padrão (eth0) que recebe o endereço IPv4 privado primário. Também é possível especificar endereços IPv4 privados adicionais, conhecidos como endereços IPv4 privados secundários. Ao contrário de um endereço IP privado primário, os endereços IP privados secundários podem ser atribuídos novamente de uma instância para outra. Para obter mais informações, consulte Diversos endereços IP para as instâncias do EC2.

Um endereço IPv4 privado, independentemente de ser um endereço primário ou secundário, permanece associado à interface de rede quando a instância é interrompida e reiniciada ou é hibernada e iniciada, e é liberado quando a instância é encerrada.

Endereços IPv4 públicos

Um endereço IP público é um endereço IPv4 que é acessível pela Internet. É possível usar endereços públicos para comunicação entre as instâncias e a Internet.

Quando você inicia uma instância em uma VPC padrão, atribuímos a ela um endereço IP público por padrão. Quando você executa uma instância em uma VPC não padrão, a sub-rede tem um atributo que determina se as instâncias executadas naquela sub-rede recebem um endereço IP público do grupo de endereços IPv4 públicos. Por padrão, não atribuímos um endereço IP público a instâncias iniciadas em uma sub-rede não padrão.

É possível controlar se sua instância recebe um endereço IP público fazendo o seguinte:

Um endereço IP público é atribuído à instância no grupo de endereços IPv4 públicos da Amazon e não está associado à sua conta da AWS. Quando um endereço IP público é desassociado da instância, ele é liberado de volta para o grupo de endereços IPv4 públicos, e você não pode reutilizá-lo.

Em alguns casos, liberamos o endereço IP público de sua instância ou atribuímos um novo:

  • Liberamos o endereço IP público da instância quando ela é interrompida, hibernada ou encerrada. Sua instância interrompida ou hibernada recebe um novo endereço IP público quando é iniciada.

  • Liberamos o endereço IP público de sua instância ao associar um endereço IP elástico a ela. Quando você desassocia o endereço IP elástico da instância, ela recebe um novo endereço IP público.

  • Se o endereço IP público da instância em uma VPC foi liberado, ela não receberá um novo se houver mais de uma interface de rede anexada à instância.

  • Se o endereço IP público da instância for liberado enquanto houver um endereço IP privado secundário associado a um endereço IP elástico, a instância não receberá um novo endereço IP público.

Se você precisar de um endereço IP público persistente que possa ser associado às instâncias e das instâncias conforme necessário, use um endereço IP elástico.

Se você usar o DNS dinâmico para mapear um nome DNS existente para o endereço IP público de uma nova instância, poderá demorar até 24 horas para o endereço IP ser propagado via Internet. Como resultado, as novas instâncias não poderão receber tráfego quando as instâncias encerradas continuarem a receber solicitações. Para resolver o problema, use um endereço IP elástico. É possível alocar seu próprio endereço IP elástico e associá-lo à instância. Para ter mais informações, consulte Endereços IP elásticos.

Se você estiver usando o Gerenciador de endereços IP (IPAM) do Amazon VPC IP), pode obter um bloco contíguo de endereços IPv4 públicos da AWS e usá-lo para alocar endereços IP elásticos aos recursos da AWS. O uso de blocos de endereços IPv4 contíguos pode reduzir significativamente a sobrecarga de gerenciamento das listas de controle de acesso de segurança e simplificar a alocação e o rastreamento de endereços IP para empresas em expansão na AWS. Para obter mais informações, consulte Allocate sequential Elastic IP addresses from an IPAM pool no Guia do usuário do Amazon VPC IPAM.

nota
  • A AWS cobra por todos os endereços IPv4 públicos, incluindo endereços IPv4 públicos associados a instâncias em execução e endereços IP elásticos. Para obter mais informações, consulte a guia Endereço IPv4 público na página de preços da Amazon VPC.

  • As instâncias que acessam outras instâncias por meio de seu endereço IP NAT público são cobradas pela transferência de dados regional ou via Internet, dependendo de se as instâncias estão na mesma região.

Otimização de endereço IPv4 público

A AWS cobra por todos os endereços IPv4 públicos, incluindo endereços IPv4 públicos associados a instâncias em execução e endereços IP elásticos. Para obter mais informações, consulte a guia Endereço IPv4 público na página de preços da Amazon VPC.

A lista a seguir contém ações que você pode tomar para otimizar o número de endereços IPv4 públicos que você usa:

  • Use um balanceador de carga elástico para balancear a carga do tráfego para suas instâncias do EC2 e desabilitar a atribuição automática de IP público na ENI primária atribuída às instâncias. Os balanceadores de carga usam um único endereço IPv4 público, o que reduz o número de endereços IPv4 público. Talvez você também queira consolidar os balanceadores de carga existentes para reduzir ainda mais a contagem de endereços IPv4 públicos.

  • Se o único motivo para usar um gateway NAT for usar SSH em uma instância do EC2 em uma sub-rede privada para manutenção ou emergências, considere usar o Endpoint do EC2 Instance Connect no lugar. Com o Endpoint do EC2 Instance Connect, você pode se conectar a uma instância da Internet sem a necessidade de que a instância tenha um endereço IPv4 público.

  • Se suas instâncias do EC2 estiverem em uma sub-rede pública com endereços IP públicos alocados a elas, considere mover as instâncias para uma sub-rede privada, remover os endereços IP públicos e usar um gateway NAT público para permitir o acesso de e para suas instâncias do EC2. Há considerações de custo para usar gateways NAT. Use este método de cálculo para decidir se os gateways NAT são econômicos. Você pode obter o Number of public IPv4 addresses necessário para esse cálculo criando um relatório de uso e custo de cobrança da AWS.

    NAT gateway per hour + NAT gateway public IPs + NAT gateway transfer / Existing public IP cost

    Em que:

    • NAT gateway per hour = $0.045 * 730 hours in a month * Number of Availability Zones the NAT gateways are in

    • NAT gateway public IPs = $0.005 * 730 hours in a month * Number of IPs associated with your NAT gateways

    • NAT gateway transfer = $0.045 * Number of GBs that will go through the NAT gateway in a month

    • Existing public IP cost = $0.005 * 730 hours in a month * Number of public IPv4 addresses

    Se o total for menor que 1, os gateways NAT são mais baratos que os endereços IPv4 públicos.

  • Use AWS PrivateLink para se conectar de forma privada a serviços da AWS ou serviços hospedados por outras contas da AWS, em vez de usar endereços IPv4 públicos e gateways da Internet.

  • Traga seu próprio intervalo de endereços IP (BYOIP) para a AWS e use-o para endereços IPv4 públicos em vez de usar endereços IPv4 públicos de propriedade da Amazon.

  • Desative o endereço IPv4 público atribuído automaticamente à instância executada em sub-redes. Essa opção geralmente é desabilitada por padrão para VPCs quando você cria uma sub-rede, mas você deve verificar suas sub-redes existentes para garantir que ela esteja desabilitada.

  • Se você tiver instâncias do EC2 que não precisam de endereços IPv4 públicos, verifique se as interfaces de rede anexadas às suas instâncias têm a atribuição automática de IP público desabilitada.

  • Configure endpoints do acelerador no AWS Global Accelerator para instâncias do EC2 em sub-redes privadas para permitir que o tráfego da Internet flua diretamente para os endpoints em suas VPCs sem exigir endereços IP públicos. Você também pode trazer seus próprios endereços para o AWS Global Accelerator e usar seus próprios endereços IPv4 para os endereços IP estáticos do seu acelerador.

Endereços IPv6

Os endereços IPv6 são globalmente exclusivos e podem ser configurados para permanecer privados ou acessíveis pela Internet. O endereçamento IPv6 público e privado está disponível na AWS:

  • IPv6 privado: a AWS considera endereços IPv6 privados aqueles que não são anunciados e não podem ser anunciados na internet da AWS.

  • IPv6 público: a AWS considera endereços IPv6 públicos aqueles que são anunciados na internet da AWS.

Para obter mais informações sobre o endereçamento IPv6, consulte Endereços IPv6 no Manual do usuário da Amazon VPC.

As instâncias EC2 receberão um endereço IPv6 se um bloco CIDR IPv6 estiver associado à VPC e à sub-rede, e se uma das seguintes afirmações for verdadeira:

  • A sub-rede está configurada para atribuir automaticamente um endereço IPv6 a uma instância durante a execução. Para obter mais informações, consulte Modificar os atributos de endereçamento IP da sua sub-rede.

  • Você atribui um endereço IPv6 à instância durante a execução.

  • Você atribui um endereço IPv6 à interface de rede primária da instância após a execução.

  • Você atribui um endereço IPv6 a uma interface de rede na mesma sub-rede e anexa a interface de rede à instância após a execução.

Quando a instância recebe um endereço IPv6 durante a execução, o endereço é associado à interface de rede primária (eth0) da instância. Você pode gerenciar os endereços IPv6 da interface de rede primária (eth0) das seguintes maneiras:

Um endereço IPv6 persiste quando você interrompe e inicia ou hiberna e inicia a instância, e é liberado quando você encerra a instância. Você não pode atribuir novamente um endereço IPv6 enquanto ele estiver atribuído a outra interface de rede — é necessário primeiro cancelar a atribuição.

Você pode controlar se as instâncias são acessíveis através de seus endereços IPv6, controlando o roteamento da sua sub-rede ou usando o grupo de segurança e as regras de ACL de rede. Para obter mais informações, consulte Privacidade do tráfego entre redes no Guia do usuário da Amazon VPC.

Para obter mais informações sobre intervalos de endereço IPv6 reservados, consulte Registro de endereço para finalidades especiais IANA IPv6 e RFC4291.

Hostnames de instância do EC2

Quando você cria uma instância do EC2, o AWS cria um hostname para essa instância. Para obter mais informações sobre os tipos de nome de host e como são provisionados pela AWS, consulte Tipos de nome de host de instância do Amazon EC2. A Amazon fornece um servidor DNS que resolve hostnames fornecidos pela Amazon em endereços IPv4 e IPv6. O servidor DNS da Amazon está localizado na base de seu intervalo de rede VPC mais dois. Para ter mais informações, consulte Atributos de DNS para sua VPC no Guia do usuário da Amazon VPC.

Os endereços de link local são endereços IP bem conhecidos e não roteáveis. O Amazon EC2 usa endereços do espaço de endereços locais de link para fornecer serviços que são acessíveis somente por uma instância do EC2. Esses serviços não são executados na instância, mas sim no host subjacente. Ao acessar os endereços locais de link desses serviços, você está se comunicando com o hipervisor Xen ou o controlador do Nitro.

Intervalos de endereços locais de link
  • IPv4: 169.254.0.0/16 (169.254.0.0 a 169.254.255.255)

  • IPv6: fe80::/10

Serviços acessados usando endereços locais de link