Estabelecer conexão com a Internet usando um gateway da Internet - Amazon Virtual Private Cloud

Estabelecer conexão com a Internet usando um gateway da Internet

Um gateway da Internet é um componente da VPC horizontalmente dimensionado, redundante e altamente disponível que permite a comunicação entre a VPC e a Internet. Ele oferece suporte para tráfego IPv4 e IPv6. Não causa riscos de disponibilidade ou restrições de largura de banda no tráfego de rede.

Um gateway da Internet habilita recursos em suas sub-redes públicas (como instâncias do EC2) para estabelecer conexão com a Internet se o recurso tiver um endereço IPv4 ou um endereço IPv6 público. Da mesma forma, os recursos na Internet podem iniciar uma conexão com recursos em sua sub-rede usando o endereço IPv4 ou o endereço IPv6 público. Por exemplo, um gateway da Internet permite que você estabeleça conexão com uma instância do EC2 na AWS usando seu computador local.

Um gateway da Internet fornece um destino nas tabelas de rotas da VPC para tráfego roteável pela Internet. Para a comunicação usando o IPv4, o gateway da Internet também executa a conversão de endereços de rede (NAT). Para comunicação usando IPv6, o NAT não é necessário porque os endereços IPv6 são públicos. Para obter mais informações, consulte Endereços IP e NAT.

Não há custo adicional para criar um gateway da Internet.

Habilitar acesso à Internet

Para permitir acesso à Internet ou a partir dela para instâncias em uma sub-rede em uma VPC usando um gateway da Internet, proceda da seguinte forma.

  • Crie um gateway de internet e anexe-o à sua VPC.

  • Adicione uma rota à tabela de rotas da sub-rede que direciona o tráfego de entrada da internet para o gateway da Internet.

  • Certifique-se de que as instâncias na sub-rede tenham um endereço IPv4 ou um endereço IPv6 público.

  • Certifique-se de que as listas de controle de acesso da rede e as regras do grupo de segurança permitam que o tráfego da Internet relevante flua para e da instância.

Sub-redes públicas e privadas

Se uma sub-rede estiver associada a uma tabela de rotas que tem uma rota para um gateway da Internet, ela é conhecida como sub-rede pública. Se uma sub-rede estiver associada a uma tabela de rotas que não tem uma rota para um gateway da Internet, ela é conhecida como sub-rede privada.

Na tabela de rotas da sub-rede pública, é possível especificar uma rota para o gateway da Internet para todos os destinos não explicitamente conhecidos pela tabela de rotas (0.0.0.0/0 para IPv4 ou ::/0 para IPv6). Como alternativa, avalie a rota para uma faixa menor de endereços IP, por exemplo, os endereços IPv4 públicos dos endpoints públicos da empresa fora da AWS, ou os endereços IP elásticos de outras instâncias do Amazon EC2 fora da VPC.

Endereços IP e NAT

Para permitir a comunicação pela internet para o IPv4, a instância deve ter um endereço IPv4 público. Você pode configurar a VPC para atribuir automaticamente endereços IPv4 públicos às instâncias ou pode atribuir endereços IP elásticos às instâncias. A instância detém a informação apenas do espaço de endereço IP privado (interno) definido na VPC e na sub-rede. O gateway da internet fornece logicamente o NAT individualizado em nome da instância, de modo que, quando o tráfego deixa a sub-rede da VPC e vai para a internet, o campo do endereço de resposta é definido como o endereço IPv4 público ou o endereço IP elástico da instância, e não como o endereço IP privado. Por outro lado, o tráfego destinado ao endereço IPv4 público ou ao endereço IP elástico da instância tem seu endereço de destino traduzido para o endereço IPv4 privado da instância antes do tráfego ser entregue à VPC.

Para permitir a comunicação pela internet para IPv6, a VPC e a sub-rede devem ter um bloco CIDR IPv6 associado, além de ser atribuído à instância um endereço IPv6 no intervalo da sub-rede. Os endereços IPv6 são exclusivos globalmente e, portanto, públicos por padrão.

No diagrama a seguir, a sub-rede na zona de disponibilidade é uma sub-rede pública. A tabela de rotas desta sub-rede tem uma rota que envia todo o tráfego IPv4 vinculado à Internet para o gateway da Internet. As instâncias na sub-rede pública devem ter endereços IP públicos ou endereços de IP elásticos para permitir a comunicação com a Internet pelo gateway da Internet. Para comparação, a sub-rede na Zona de disponibilidade B é uma sub-rede privada porque sua tabela de rotas não tem uma rota para o gateway da Internet. As instâncias na sub-rede privada não podem se comunicar com a Internet pelo gateway da Internet, mesmo que tenham endereços IP públicos.


                Usar um gateway da internet

Para fornecer às instâncias acesso à Internet sem atribuir endereços IP públicos, é possível usar um dispositivo NAT. Um dispositivo NAT permite que instâncias em uma sub-rede privada se conectem à Internet, mas impede que os hosts na Internet iniciem conexões com as instâncias. Para obter mais informações, consulte Estabelecer conexão com a Internet ou a outras redes usando dispositivos NAT.

Acesso à Internet para VPCs padrão e não padrão

A tabela a seguir fornece uma visão geral para identificar se a VPC já possui os componentes necessários para acesso à Internet por meio de IPv4 ou IPv6.

Componente VPC padrão VPC não padrão
Gateway da Internet Sim Não
Tabela de rotas com rota para o gateway da internet para tráfego IPv4 (0.0.0.0/0) Sim Não
Tabela de rotas com rota para o gateway da internet para tráfego IPv6 (::/0) Não Não
Endereço IPv4 público atribuído automaticamente à instância executada na sub-rede Sim (sub-rede padrão) Não (sub-rede não padrão)
Endereço IPv6 atribuído automaticamente à instância executada na sub-rede Não (sub-rede padrão) Não (sub-rede não padrão)

Para obter mais informações sobre VPCs padrão, consulte VPCs padrão. Para obter mais informações sobre a criação de uma VPC, consulte Criar uma VPC.

Para obter mais informações sobre o endereçamento IP na VPC e sobre o controle da atribuição de endereços públicos IPv4 ou IPv6 às instâncias, consulte Endereçamento IP.

Ao adicionar uma nova sub-rede à VPC, é preciso configurar o roteamento e a segurança desejada para a sub-rede.

Acessar a Internet em uma sub-rede na VPC

As seções a seguir descrevem como oferecer suporte ao acesso à Internet em uma sub-rede na VPC usando um gateway da Internet. Para remover o acesso à Internet, você pode desvincular o gateway da Internet da sua VPC e depois excluí-lo.

Criar uma sub-rede

Adicionar uma sub-rede à VPC
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Subnets (Sub-redes), Create Subnet (Criar sub-rede).

  3. Especifique os detalhes da sub-rede conforme necessário:

    • Name tag (Tag de nome): opcionalmente, forneça um nome para sua sub-rede. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

    • VPC: Escolha a VPC na qual você está criando a sub-rede.

    • Availability Zone (Zona de disponibilidade): opcionalmente, escolha uma zona de disponibilidade ou uma zona local na qual sua sub-rede residirá ou mantenha o padrão No Preference (Sem preferência) para permitir que a AWS escolha uma zona de disponibilidade para você.

      Para obter informações sobre as regiões que oferecem suporte a Local Zones, consulte Regiões disponíveis no Manual do usuário do Amazon EC2 para instâncias do Linux.

    • Bloco CIDR IPv4: Especifique um bloco CIDR IPv4 para sua sub-rede, por exemplo, 10.0.1.0/24. Para obter mais informações, consulte Blocos CIDR IPv4 da VPC.

    • Bloco CIDR IPv6: (Opcional) Se você associou um bloco CIDR IPv6 a sua VPC, selecione Especificar um CIDR IPv6 personalizado. Especifique o valor do par hexadecimal para a sub-rede ou mantenha o valor padrão.

  4. Escolha Create (Criar OpsItem).

Para mais informações, consulte Sub-redes para sua VPC.

Criar e associar um gateway da Internet à VPC

Depois de criar um gateway da Internet, anexe-o à VPC

Para criar um gateway da internet e anexá-lo à VPC
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Internet Gateways (Gateways da internet) e selecione Create internet gateway (Criar gateway da internet).

  3. Opcionalmente, atribua um nome ao gateway da Internet.

  4. Opcionalmente, adicione ou remova uma tag.

    [Adicionar uma tag] Selecione Add tag (Adicionar tag) e faça o seguinte:

    • Em Key (Chave), insira o nome da chave.

    • Em Value (Valor), insira o valor da chave.

    [Remover uma tag] Escolha Remover à direita da chave e do valor da tag.

  5. Escolha Criar gateway da Internet.

  6. Selecione o gateway da internet criado e escolha Actions, Attach to VPC (Ações, anexar à VPC).

  7. Selecione a VPC na lista e escolha Anexar gateway da Internet.

Criar uma tabela de rotas personalizada

Ao criar uma sub-rede, nós a associamos automaticamente à tabela de rotas principais para a VPC. Por padrão, a tabela de rotas principal não contém uma rota para um gateway da internet. O procedimento a seguir cria uma tabela de rotas personalizada com uma rota que envia o tráfego destinado para fora da VPC para o gateway da internet e, em seguida, associa a rota à sub-rede.

Para criar uma tabela de rotas personalizada
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Route Tables (Tabelas de rotas) e selecione Create route table (Criar tabela de rotas).

  3. Na caixa de diálogo Create route table, atribua um nome (opcional) à tabela de rotas e selecione a VPC e escolha Yes, Create (Sim, criar).

  4. Selecione a tabela de rotas personalizada que acabou de ser criada. O painel de detalhes exibe as guias para trabalhar com as respectivas rotas, associações e propagação de rotas.

  5. Na guia Routes (Rotas), selecione Edit routes (Editar regras), Add route (Adicionar rota) e adicione as rotas a seguir conforme necessário. Após terminar, escolha Save changes (Salvar alterações).

    • Para o tráfego IPv4, especifique 0.0.0.0/0 na caixa Destination (Destino) e selecione o ID do gateway da internet na lista Target (Destino).

    • Para o tráfego IPv6, especifique ::/0 na caixa Destination (Destino) e selecione o ID do gateway da internet na lista Target (Destino).

  6. Na guia Subnet associations (Associações de sub-rede), escolha Edit subnet associations (Editar associações de sub-rede), marque a caixa de seleção da sub-rede e, em seguida, escolha Save associations (Salvar associações).

Para obter mais informações, consulte Configurar tabelas de rotas.

Criar um grupo de segurança para acesso à Internet

Por padrão, um grupo de segurança da VPC permite todo o tráfego de saída. É possível criar um grupo de segurança e adicionar regras que permitam tráfego de entrada da Internet. Depois, associe o grupo de segurança a instâncias na sub-rede pública.

Para criar um novo grupo de segurança e associá-lo a uma instância
  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Security Groups (Grupos de segurança), Create security group (Criar grupo de segurança).

  3. Insira um nome e uma descrição para o grupo de segurança.

  4. Em VPC, selecione sua VPC.

  5. Em Inbound Rules (Regras de entrada), escolha Add Rule (Adicionar regra) e preencha as informações necessárias. Por exemplo, selecione HTTP ou HTTPS em Type (Tipo) e, em Source (Origem), insira 0.0.0.0/0 para tráfego IPv4 ou ::/0 para tráfego IPv6.

  6. Escolha Create grupo de segurança (Criar grupo de segurança).

  7. No painel de navegação, escolha Instances (Instâncias).

  8. Selecione a instância e, em seguida, escolha Actions (Ações), Security (Segurança), Change security groups (Mudar grupos de segurança).

  9. Em Associated security groups (Grupos de segurança associados), selecione um grupo de segurança existente e escolha Add security group (Adicionar grupo de segurança). Para remover um grupo de segurança já associado, escolha Remove (Remover). Quando terminar de fazer as alterações, escolha Save (Salvar).

Para mais informações, consulte Controle o tráfego para recursos usando grupos de segurança.

Atribuir um endereço IP elástico à instância

Depois de executar uma instância na sub-rede, atribua um endereço IP elástico a ela, se desejar que ela seja acessível pela internet por meio do IPv4.

nota

Se você tiver atribuído um endereço IPv4 público à instância durante a execução, a instância será acessível na internet, e você não precisará atribuir um endereço IP elástico. Para obter mais informações sobre o endereçamento IP para a instância, consulte Endereçamento IP.

Para alocar um endereço IP elástico e atribuí-lo a uma instância usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Elastic IPs.

  3. Escolha Allocate new address.

  4. Escolha Allocate.

    nota

    Se sua conta for compatível com o EC2-Classic, escolha primeiro VPC.

  5. Selecione o endereço IP elástico na lista, selecione Actions (Ações) e Associate address (Associar endereço).

  6. Selecione Instance (Instância) ou Network interface (Interface de rede) e selecione o ID da instância ou da interface de rede. Selecione o endereço IP privado que será associado ao endereço IP elástico e, então, escolha Associar.

Para obter mais informações, consulte Associar endereços de IP elásticos a recursos em sua VPC.

Separar um gateway da Internet da VPC

Se não precisar mais de acesso à Internet para as instâncias executadas em uma VPC não padrão, você poderá desanexar um gateway da internet de uma VPC. Você não poderá desanexar um gateway da internet se a VPC tiver recursos com endereços IP públicos ou endereços IP elásticos associados.

Para desanexar um gateway da internet
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Elastic IPs e selecione Elastic IP address.

  3. Escolha Actions e Disassociate address. Escolha Disassociate address.

  4. No painel de navegação, escolha Internet gateways (Gateways da Internet).

  5. Selecione o gateway da internet e escolha Actions, Detach from VPC (Ações, Desanexar da VPC).

  6. Na caixa de diálogo Desanexar da VPC, escolha Desanexar gateway da Internet.

Excluir um gateway da internet

Caso não precise mais de um gateway da internet, exclua-o. Você não pode excluir um gateway da internet se ele ainda estiver anexado a uma VPC.

Para excluir um gateway da internet
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Internet gateways (Gateways da Internet).

  3. Selecione o gateway da internet e escolha Actions (Ações), Delete internet gateway (Excluir gateway da internet).

  4. Na caixa de diálogo Excluir gateway da Internet, insira delete e escolha Excluir gateway da Internet.

Visão geral da API e dos comandos

Você pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obter mais informações sobre as interfaces de linha de comando e sobre a lista de ações de API disponíveis, consulte Trabalhar com a Amazon VPC.

Criar um gateway da internet
Anexar um gateway da internet a uma VPC
Descrever um gateway da internet
Desanexar um gateway da Internet de uma VPC
Excluir um gateway da internet