Habilitar o acesso à internet usando gateways da internet - Amazon Virtual Private Cloud

Habilitar o acesso à internet usando gateways da internet

Um gateway da Internet é um componente da VPC horizontalmente dimensionado, redundante e altamente disponível que permite a comunicação entre a VPC e a Internet. Ele oferece suporte para tráfego IPv4 e IPv6. Não causa riscos de disponibilidade ou restrições de largura de banda no tráfego de rede.

Um gateway da Internet habilita recursos em suas sub-redes públicas (como instâncias do EC2) para estabelecer conexão com a Internet se o recurso tiver um endereço IPv4 ou um endereço IPv6 público. Da mesma forma, os recursos na Internet podem iniciar uma conexão com recursos em sua sub-rede usando o endereço IPv4 ou o endereço IPv6 público. Por exemplo, um gateway da Internet permite que você estabeleça conexão com uma instância do EC2 na AWS usando seu computador local.

Um gateway da Internet fornece um destino nas tabelas de rotas da VPC para tráfego roteável pela Internet. Para a comunicação usando o IPv4, o gateway da Internet também executa a conversão de endereços de rede (NAT). Para obter mais informações, consulte Endereços IP e NAT.

Preços

Não há cobrança por um gateway da Internet, mas há cobranças para a transferência de dados para instâncias EC2 que usam gateways da Internet. Para mais informações, consulte Amazon EC2 On-Demand Pricing (Preços do Amazon EC2 sob demanda).

Noções básicas de gateway da internet

Para usar um gateway da internet, você deve anexá-lo a uma VPC e configurar o roteamento.

Configuração de roteamento

Se uma sub-rede estiver associada a uma tabela de rotas que tem uma rota para um gateway da Internet, ela é conhecida como sub-rede pública. Se uma sub-rede estiver associada a uma tabela de rotas que não tem uma rota para um gateway da Internet, ela é conhecida como sub-rede privada.

Na tabela de rotas da sub-rede pública, é possível especificar uma rota para o gateway da internet para todos os destinos não explicitamente conhecidos pela tabela de rotas (0.0.0.0/0 para IPv4 ou ::/0 para IPv6). Como alternativa, avalie a rota para uma faixa menor de endereços IP, por exemplo, os endereços IPv4 públicos dos endpoints públicos da empresa fora da AWS, ou os endereços IP elásticos de outras instâncias do Amazon EC2 fora da VPC.

Diagrama do gateway da internet

No diagrama a seguir, a sub-rede na Zona de Disponibilidade A é uma sub-rede pública porque sua tabela de rotas tem uma rota que envia todo o tráfego IPv4 destinado à internet para o gateway da internet. As instâncias na sub-rede pública devem ter endereços IP públicos ou endereços de IP elásticos para permitir a comunicação com a Internet pelo gateway da Internet. Para comparação, a sub-rede na Zona de disponibilidade B é uma sub-rede privada porque sua tabela de rotas não tem uma rota para o gateway da Internet. Como não há rota para o gateway da internet, as instâncias na sub-rede privada não podem se comunicar com a internet mesmo que tenham endereços IP públicos.

Uma VPC com um gateway da Internet
Endereços IP e NAT

Para permitir a comunicação pela internet para o IPv4, a instância deve ter um endereço IPv4 público. Você pode configurar a VPC para atribuir automaticamente endereços IPv4 públicos às instâncias ou pode atribuir endereços IP elásticos às instâncias. A instância detém a informação apenas do espaço de endereço IP privado (interno) definido na VPC e na sub-rede. O gateway da internet fornece logicamente o NAT individualizado em nome da instância, de modo que, quando o tráfego deixa a sub-rede da VPC e vai para a internet, o campo do endereço de resposta é definido como o endereço IPv4 público ou o endereço IP elástico da instância, e não como o endereço IP privado. Por outro lado, o tráfego destinado ao endereço IPv4 público ou ao endereço IP elástico da instância tem seu endereço de destino traduzido para o endereço IPv4 privado da instância antes do tráfego ser entregue à VPC.

Para permitir a comunicação pela internet para IPv6, a VPC e a sub-rede devem ter um bloco CIDR IPv6 associado, além de ser atribuído à instância um endereço IPv6 no intervalo da sub-rede. Os endereços IPv6 são exclusivos globalmente e, portanto, públicos por padrão.

Acesso à Internet para VPCs padrão e não padrão

A tabela a seguir fornece uma visão geral para identificar se a VPC já possui os componentes necessários para acesso à Internet por meio de IPv4 ou IPv6.

Componente VPC padrão VPC não padrão
Gateway da Internet Sim Não
Tabela de rotas com rota para o gateway da internet para tráfego IPv4 (0.0.0.0/0) Sim Não
Tabela de rotas com rota para o gateway da internet para tráfego IPv6 (::/0) Não Não
Endereço IPv4 público atribuído automaticamente à instância executada na sub-rede Sim (sub-rede padrão) Não (sub-rede não padrão)
Endereço IPv6 atribuído automaticamente à instância executada na sub-rede Não (sub-rede padrão) Não (sub-rede não padrão)