As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como funciona a Amazon VPC
Com a Amazon Virtual Private Cloud (Amazon VPC), você pode lançar AWS recursos em uma rede virtual logicamente isolada que você definiu. Essa rede virtual se assemelha a uma rede tradicional que você operaria no seu datacenter, com os benefícios de usar a infraestrutura dimensionável da AWS.
A seguir há uma representação visual de uma VPC e seus recursos no painel Visualização mostrado quando você cria uma VPC usando o AWS Management Console. Para uma VPC existente, é possível acessar essa visualização na guia Mapa de recursos. Este exemplo mostra os recursos inicialmente selecionados na página Criar VPC quando você escolhe criar a VPC e outros recursos de rede. Essa VPC é configurada com um CIDR IPv4 e um CIDR IPv6 fornecido pela Amazon, sub-redes em duas zonas de disponibilidade, três tabelas de rotas, um gateway da Internet e um endpoint de gateway. Como selecionamos o gateway da Internet, a visualização indica que o tráfego das sub-redes públicas é roteado para a Internet porque a tabela de rotas correspondente envia o tráfego para o gateway da Internet.
Conceitos
VPCs e sub-redes
Uma nuvem privada virtual (VPC) é uma rede virtual dedicada à sua conta da AWS . Ele é logicamente isolado de outras redes virtuais na AWS nuvem. Você pode especificar um intervalo de endereços IP para a VPC, adicionar sub-redes, adicionar gateways e associar grupos de segurança.
Uma sub-rede é um intervalo de endereços IP na VPC. Você inicia recursos da AWS , como instâncias do Amazon EC2, nas suas sub-redes. É possível conectar uma sub-rede à Internet, outras VPCs e aos seus próprios datacenters e rotear tráfego de e para as suas sub-redes utilizando tabelas de rotas.
Saiba mais
VPCs padrão e não padrão
Se a sua conta foi criada após 4 de dezembro de 2013, ela vem com uma VPC padrão em cada região. Uma VPC padrão está configurada e pronta para uso. Por exemplo, ela tem uma sub-rede padrão em cada zona de disponibilidade da região, um gateway da Internet anexado, uma rota na tabela de rotas principal que envia todo o tráfego para o gateway da Internet e configurações de DNS que atribuem automaticamente nomes de hosts DNS públicos a instâncias com endereços IP públicos e habilitam a resolução de DNS por meio do servidor de DNS fornecido pela Amazon (consulte Atributos de DNS em sua VPC). Portanto, uma instância do EC2 iniciada em uma sub-rede padrão automaticamente tem acesso à Internet. Se você tiver uma VPC padrão em uma região e não especificar uma sub-rede quando iniciar uma instância do EC2 naquela região, uma das sub-redes padrão será escolhida e a instância será iniciada nessa sub-rede.
Você também pode criar sua própria VPC e configurá-la conforme necessário. Isso é conhecido como uma VPC não padrão. As sub-redes criadas na VPC não padrão e as sub-redes adicionais criadas na VPC padrão são chamadas de sub-redes não padrão.
Saiba mais
Tabelas de rotas
Uma tabela de rotas contém um conjunto de regras chamado de rotas, as quais são usadas para determinar para onde o tráfego de rede da VPC é direcionado. Você pode associar explicitamente uma sub-rede a uma tabela de rotas específica. Caso contrário, a sub-rede é implicitamente associada à tabela de rotas principal.
Cada rota em uma tabela de rotas especifica o intervalo de endereços IP para onde você deseja que o tráfego vá (o destino) e o gateway, a interface de rede ou a conexão por meio da qual enviar o tráfego (o destino).
Saiba mais
Acesso à Internet
Controle o modo como as instâncias executadas em uma VPC acessam os recursos fora da VPC.
Uma VPC padrão inclui um gateway da Internet e cada sub-rede padrão é uma sub-rede pública. Cada instância executada em uma sub-rede padrão possui dois endereços IPv4: um público e outro privado. Essas instâncias podem se comunicar com a Internet através do gateway da Internet. Um gateway da Internet permite que as instâncias se conectem à Internet por meio da borda de rede do Amazon EC2.
Em regra, cada instância executada em uma sub-rede não padrão tem apenas um endereço IPv4 privado. Para haver o endereço público IPv4 será preciso atribuir especificamente um no momento da execução ou modificar o atributo do endereço IP público da sub-rede. Essas instâncias podem se comunicar entre si, mas não podem acessar a Internet.
Habilite o acesso à Internet para uma instância executada em uma sub-rede não padrão anexando um gateway da Internet à sua VPC (caso essa não seja padrão) e associando um endereço IP elástico à instância.
Como alternativa, para permitir que uma instância na VPC inicie as conexões de saída para a Internet, mas também evitar as conexões de entrada não solicitadas pela Internet, use um dispositivo de Network Address Translation (NAT – Tradução de endereços de rede). O NAT mapeia vários endereços IPv4 privados para um único endereço público IPv4. Você pode configurar um dispositivo de NAT com um endereço IP elástico e conectá-lo à Internet por meio de um gateway da Internet. Isso permite que uma instância em uma sub-rede privada se conecte à Internet via dispositivo de NAT, roteando tráfego da instância para um gateway da Internet e quaisquer respostas para a instância.
Se você associar um bloco CIDR IPv6 à sua VPC e atribuir endereços IPv6 às suas instâncias, as instâncias poderão se conectar à Internet via IPv6 por meio de um gateway de Internet. Alternativamente, as instâncias podem executar conexões de saída para a Internet via IPv6 usando um gateway da Internet somente de saída. Como há separação entre os tráfegos IPv4 e IPv6, as tabelas de rotas devem incluir rotas distintas para o tráfego IPv6.
Saiba mais
Acessar uma rede corporativa ou doméstica
Opcionalmente, você pode conectar sua VPC ao seu próprio data center corporativo usando uma conexão AWS Site-to-Site VPN IPsec, tornando AWS a nuvem uma extensão do seu data center.
Uma conexão VPN Site-to-Site consiste em dois túneis VPN entre um gateway privado virtual ou um gateway de trânsito na lateral e um dispositivo de gateway AWS do cliente localizado em seu data center. Um dispositivo de gateway do cliente é um dispositivo físico ou um software configurado no seu lado da conexão do Site-to-Site VPN.
Conectar VPCs e redes
É possível criar uma conexão de emparelhamento de VPC entre duas VPCs que permite rotear o tráfego entre elas de forma privada. Instâncias em qualquer VPC podem se comunicar umas com as outras como se estivessem na mesma rede.
Você também pode criar um gateway de trânsito e usá-lo para interconectar as VPCs e redes on-premises. O gateway de trânsito atua como um roteador virtual regional para o tráfego que flui entre seus anexos, o que pode incluir VPCs, conexões VPN, AWS Direct Connect gateways e conexões de emparelhamento de gateway de trânsito.
AWS rede global privada
AWS fornece uma rede global privada de alto desempenho e baixa latência que oferece um ambiente seguro de computação em nuvem para atender às suas necessidades de rede. AWS As regiões são conectadas a diversos provedores de serviços de Internet (ISPs), bem como a uma estrutura da rede global privada, que fornece uma performance de rede melhor para o tráfego entre regiões enviado por clientes.
As seguintes considerações se aplicam:
-
O tráfego que está em uma zona de disponibilidade, ou entre zonas de disponibilidade em todas as regiões, é AWS roteado pela rede global privada.
-
O tráfego entre regiões sempre é AWS roteado pela rede global privada, exceto nas regiões da China.
Pode haver perda do pacote de rede devido a vários fatores, incluindo colisões de fluxo de rede, nível baixo de erros (Camada 2) e outras falhas de rede. Nós projetamos e operamos nossas redes de modo a minimizar a perda de pacotes. Medimos a taxa de perda de pacotes (PLR) em todo o backbone global que conecta as regiões. AWS Operamos nossa rede de backbone com meta de p99 da PLR por hora de menos do que 0,0001%.
