Gateways da Internet - Amazon Virtual Private Cloud

Gateways da Internet

Um gateway da Internet é um componente da VPC horizontalmente dimensionado, redundante e altamente disponível que permite a comunicação entre a VPC e a Internet.

Um gateway da internet tem duas finalidades: fornecer um destino nas tabelas de rotas da VPC para o tráfego roteável na Internet e executar a network address translation (NAT - tradução de endereços de rede) para instâncias designadas com endereços IPv4 públicos. Para obter mais informações, consulte Habilitar acesso à Internet.

Um gateway da internet oferece suporte para tráfego IPv4 e IPv6. Não causa riscos de disponibilidade ou restrições de largura de banda no tráfego de rede. Não há custo adicional por ter um gateway da Internet na sua conta.

Habilitar acesso à Internet

Para permitir acesso à Internet ou a partir dela para instâncias em uma sub-rede em uma VPC, proceda da seguinte forma:

  • Crie um gateway de internet e anexe-o à sua VPC.

  • Adicione uma rota à tabela de rotas da sub-rede que direciona o tráfego de entrada da internet para o gateway da Internet.

  • Certifique-se de que as instâncias na sub-rede tenham um endereço IP exclusivo globalmente (endereço IPv4 público, endereço IP elástico ou endereço IPv6).

  • Certifique-se de que as listas de controle de acesso da rede e as regras do grupo de segurança permitam que o tráfego relevante flua para e da instância.

Sub-redes públicas e privadas

Se uma sub-rede estiver associada a uma tabela de rotas que tem uma rota para um gateway da Internet, ela é conhecida como sub-rede pública. Se uma sub-rede estiver associada a uma tabela de rotas que não tem uma rota para um gateway da Internet, ela é conhecida como sub-rede privada.

Na tabela de rotas da sub-rede pública, é possível especificar uma rota para o gateway da Internet para todos os destinos não explicitamente conhecidos pela tabela de rotas (0.0.0.0/0 para IPv4 ou ::/0 para IPv6). Como alternativa, avalie a rota para uma faixa menor de endereços IP, por exemplo, os endereços IPv4 públicos dos endpoints públicos da empresa fora da AWS, ou os endereços IP elásticos de outras instâncias do Amazon EC2 fora da VPC.

Endereços IP e NAT

Para permitir a comunicação pela internet para o IPv4, a instância deve ter um endereço público IPv4 ou um endereço IP elástico que esteja associado a um endereço IPv4 privado na instância. A instância detém a informação apenas do espaço de endereço IP privado (interno) definido na VPC e na sub-rede. O gateway da internet fornece logicamente o NAT individualizado em nome da instância, de modo que, quando o tráfego deixa a sub-rede da VPC e vai para a internet, o campo do endereço de resposta é definido como o endereço IPv4 público ou o endereço IP elástico da instância, e não como o endereço IP privado. Por outro lado, o tráfego destinado ao endereço IPv4 público ou ao endereço IP elástico da instância tem seu endereço de destino traduzido para o endereço IPv4 privado da instância antes do tráfego ser entregue à VPC.

Para permitir a comunicação pela internet para IPv6, a VPC e a sub-rede devem ter um bloco CIDR IPv6 associado, além de ser atribuído à instância um endereço IPv6 no intervalo da sub-rede. Os endereços IPv6 são exclusivos globalmente e, portanto, públicos por padrão.

No diagrama a seguir, a sub-rede 1 na VPC é uma sub-rede pública. Ela está associada a uma tabela de rotas personalizada que aponta todo o tráfego IPv4 vinculado à internet para um gateway da Internet. A instância possui um endereço IP elástico que permite a comunicação com a internet.


                Usar um gateway da internet

Para fornecer às instâncias acesso à Internet sem atribuir endereços IP públicos, é possível usar um dispositivo NAT. Um dispositivo NAT permite que instâncias em uma sub-rede privada se conectem à Internet, mas impede que os hosts na Internet iniciem conexões com as instâncias. Para obter mais informações, consulte Dispositivos NAT para sua VPC.

Acesso à Internet para VPCs padrão e não padrão

A tabela a seguir fornece uma visão geral para identificar se a VPC já possui os componentes necessários para acesso à Internet por meio de IPv4 ou IPv6.

Componente VPC padrão VPC não padrão
Gateway da Internet Sim É possível criar a VPC usando a primeira ou a segunda opção no assistente VPC. Caso contrário, crie e anexe manualmente o gateway da internet.
Tabela de rotas com rota para o gateway da internet para tráfego IPv4 (0.0.0.0/0) Sim É possível criar a VPC usando a primeira ou a segunda opção no assistente VPC. Caso contrário, crie manualmente a tabela de rotas e adicione a rota.
Tabela de rotas com rota para o gateway da internet para tráfego IPv6 (::/0) Não É possível criar a VPC usando a primeira ou a segunda opção no assistente VPC, além de especificar a opção para associar um bloco CIDR IPv6 à VPC. Caso contrário, crie manualmente a tabela de rotas e adicione a rota.
Endereço IPv4 público atribuído automaticamente à instância executada na sub-rede Sim (sub-rede padrão) Não (sub-rede não padrão)
Endereço IPv6 atribuído automaticamente à instância executada na sub-rede Não (sub-rede padrão) Não (sub-rede não padrão)

Para obter mais informações sobre VPCs padrão, consulte VPC e sub-redes padrão. Para obter mais informações sobre como usar o assistente de VPC para criar uma VPC com um gateway da internet, consulte VPC com uma única sub-rede pública ou VPC com sub-redes públicas e privadas (NAT).

Para obter mais informações sobre o endereçamento IP na VPC e sobre o controle da atribuição de endereços públicos IPv4 ou IPv6 às instâncias, consulte Endereçamento IP na sua VPC.

Ao adicionar uma nova sub-rede à VPC, é preciso configurar o roteamento e a segurança desejada para a sub-rede.

Adicionar um gateway da Internet à VPC

As seções a seguir descrevem como criar manualmente uma sub-rede pública e anexar um gateway da Internet à VPC a fim de oferecer suporte ao acesso à Internet.

Criar uma sub-rede

Adicionar uma sub-rede à VPC

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Subnets (Sub-redes), Create Subnet (Criar sub-rede).

  3. Especifique os detalhes da sub-rede conforme necessário:

    • Name tag (Tag de nome): opcionalmente, forneça um nome para sua sub-rede. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

    • VPC: Escolha a VPC na qual você está criando a sub-rede.

    • Availability Zone (Zona de disponibilidade): opcionalmente, escolha uma zona de disponibilidade ou uma zona local na qual sua sub-rede residirá ou mantenha o padrão No Preference (Sem preferência) para permitir que a AWS escolha uma zona de disponibilidade para você.

      Para obter informações sobre as regiões que oferecem suporte a zonas locais, consulte Regiões disponíveis no Manual do usuário do Amazon EC2 para instâncias do Linux.

    • Bloco CIDR IPv4: Especifique um bloco CIDR IPv4 para sua sub-rede, por exemplo, 10.0.1.0/24. Para obter mais informações, consulte Dimensionamento da VPC e da sub-rede para IPv4.

    • Bloco CIDR IPv6: (Opcional) Se você associou um bloco CIDR IPv6 a sua VPC, selecione Especificar um CIDR IPv6 personalizado. Especifique o valor do par hexadecimal para a sub-rede ou mantenha o valor padrão.

  4. Escolha Create (Criar).

Para obter mais informações sobre sub-redes, consulte VPCs e sub-redes.

Criar e associar um gateway da Internet à VPC

Depois de criar um gateway da Internet, anexe-o à VPC

Para criar um gateway da internet e anexá-lo à VPC

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Internet Gateways (Gateways da internet) e selecione Create internet gateway (Criar gateway da internet).

  3. Opcionalmente, atribua um nome ao gateway da Internet.

  4. Opcionalmente, adicione ou remova uma tag.

    [Adicionar uma tag] Selecione Add tag (Adicionar tag) e faça o seguinte:

    • Em Key (Chave), insira o nome da chave.

    • Em Value (Valor), insira o valor da chave.

    [Remover uma tag] Escolha Remover à direita da chave e do valor da tag.

  5. Escolha Criar gateway da Internet.

  6. Selecione o gateway da internet criado e escolha Actions, Attach to VPC (Ações, anexar à VPC).

  7. Selecione a VPC na lista e escolha Anexar gateway da Internet.

Criar uma tabela de rotas personalizada

Ao criar uma sub-rede, nós a associamos automaticamente à tabela de rotas principais para a VPC. Por padrão, a tabela de rotas principal não contém uma rota para um gateway da internet. O procedimento a seguir cria uma tabela de rotas personalizada com uma rota que envia o tráfego destinado para fora da VPC para o gateway da internet e, em seguida, associa a rota à sub-rede.

Para criar uma tabela de rotas personalizada

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Route Tables (Tabelas de rotas) e selecione Create route table (Criar tabela de rotas).

  3. Na caixa de diálogo Create route table, atribua um nome (opcional) à tabela de rotas e selecione a VPC e escolha Yes, Create (Sim, criar).

  4. Selecione a tabela de rotas personalizada que acabou de ser criada. O painel de detalhes exibe as guias para trabalhar com as respectivas rotas, associações e propagação de rotas.

  5. Na guia Routes (Rotas), selecione Edit routes (Editar regras), Add route (Adicionar rota) e adicione as rotas a seguir conforme necessário. Após terminar, escolha Save changes (Salvar alterações).

    • Para o tráfego IPv4, especifique 0.0.0.0/0 na caixa Destination (Destino) e selecione o ID do gateway da internet na lista Target (Destino).

    • Para o tráfego IPv6, especifique ::/0 na caixa Destination (Destino) e selecione o ID do gateway da internet na lista Target (Destino).

  6. Na guia Subnet associations (Associações de sub-rede), escolha Edit subnet associations (Editar associações de sub-rede), marque a caixa de seleção da sub-rede e, em seguida, escolha Save associations (Salvar associações).

Para obter mais informações, consulte Tabelas de rotas para sua VPC.

Criar um grupo de segurança para acesso à Internet

Por padrão, um grupo de segurança da VPC permite todo o tráfego de saída. É possível criar um grupo de segurança e adicionar regras que permitam tráfego de entrada da Internet. Depois, associe o grupo de segurança a instâncias na sub-rede pública.

Criar um novo grupo de segurança e associá-lo às instâncias

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Security Groups (Grupos de segurança), Create Security Group (Criar grupo de segurança).

  3. Na caixa de diálogo Create Security Group, especifique um nome para o security group e forneça uma descrição. Selecione o ID na lista VPC e, então, escolha Yes, Create.

  4. Selecione o security group. O painel de detalhes exibe informações sobre o security group, assim como guias para trabalhar com as respectivas regras de entrada e saída.

  5. Na guia Inbound Rules, escolha Edit. Escolha Add Rule (Adicionar regra) e complete as informações necessárias. Por exemplo, selecione HTTP ou HTTPS na lista Type (Tipo) e, em Source (Origem), insira 0.0.0.0/0 para tráfego IPv4 ou ::/0 para tráfego IPv6. Selecione Save (Salvar) ao concluir.

  6. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  7. No painel de navegação, escolha Instances (Instâncias).

  8. Selecione a instância, depois Actions e Redes. Escolha Change Security Groups.

  9. Na caixa de diálogo Change Security Groups, desmarque o security group da caixa de seleção e escolha um novo. Escolha Assign Security Groups.

Para obter mais informações, consulte Grupos de segurança para a VPC.

Atribuir um endereço IP elástico à instância

Depois de executar uma instância na sub-rede, atribua um endereço IP elástico a ela, se desejar que ela seja acessível pela internet por meio do IPv4.

nota

Se você tiver atribuído um endereço IPv4 público à instância durante a execução, a instância será acessível na internet, e você não precisará atribuir um endereço IP elástico. Para obter mais informações sobre o endereçamento IP para a instância, consulte Endereçamento IP na sua VPC.

Para alocar um endereço IP elástico e atribuí-lo a uma instância usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Elastic IPs.

  3. Escolha Allocate new address.

  4. Escolha Allocate.

    nota

    Se sua conta for compatível com o EC2-Classic, escolha primeiro VPC.

  5. Selecione o endereço IP elástico na lista, selecione Actions (Ações) e Associate address (Associar endereço).

  6. Selecione Instance (Instância) ou Network interface (Interface de rede) e selecione o ID da instância ou da interface de rede. Selecione o endereço IP privado que será associado ao endereço IP elástico e, então, escolha Associar.

Para obter mais informações, consulte Endereços IP elásticos.

Separar um gateway da Internet da VPC

Se não precisar mais de acesso à Internet para as instâncias executadas em uma VPC não padrão, você poderá desanexar um gateway da internet de uma VPC. Você não poderá desanexar um gateway da internet se a VPC tiver recursos com endereços IP públicos ou endereços IP elásticos associados.

Para desanexar um gateway da internet

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Elastic IPs e selecione Elastic IP address.

  3. Escolha Actions e Disassociate address. Escolha Disassociate address.

  4. No painel de navegação, escolha Gateways da Internet.

  5. Selecione o gateway da internet e escolha Actions, Detach from VPC (Ações, Desanexar da VPC).

  6. Na caixa de diálogo Desanexar da VPC, escolha Desanexar gateway da Internet.

Excluir um gateway da internet

Caso não precise mais de um gateway da internet, exclua-o. Você não pode excluir um gateway da internet se ele ainda estiver anexado a uma VPC.

Para excluir um gateway da internet

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Gateways da Internet.

  3. Selecione o gateway da internet e escolha Actions (Ações), Delete internet gateway (Excluir gateway da internet).

  4. Na caixa de diálogo Excluir gateway da Internet, insira delete e escolha Excluir gateway da Internet.

Visão geral da API e dos comandos

Você pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obter mais informações sobre as interfaces de linha de comando e sobre a lista de ações de API disponíveis, consulte Acessar a Amazon VPC.

Criar um gateway da internet

Anexar um gateway da internet a uma VPC

Descrever um gateway da internet

Desanexar um gateway da Internet de uma VPC

Excluir um gateway da internet