VPC com sub-redes públicas e privadas (NAT) - Amazon Virtual Private Cloud

VPC com sub-redes públicas e privadas (NAT)

A configuração desse cenário inclui uma virtual private cloud (VPC) com uma sub-rede pública e uma sub-rede privada. Recomendamos este cenário se você quiser executar um aplicativo web voltado para o público e ao mesmo tempo manter servidores back-end sem acesso público. Um exemplo comum é um site de várias camadas, com servidores web em uma sub-rede pública e servidores de banco de dados em uma sub-rede privada. Você pode configurar segurança e roteamento para que os servidores web comuniquem-se com os servidores de banco de dados.

As instâncias na sub-rede pública podem enviar tráfego de saída diretamente para a Internet, ao passo que as instâncias na sub-rede privada não podem. Em vez disso, as instâncias da sub-rede privada podem acessar a Internet usando um gateway de conversão de endereços de rede (NAT) que resida na sub-rede pública. Os servidores de banco de dados podem se conectar à Internet para atualizações de software usando gateway NAT, mas a Internet não pode estabelecer conexões com os servidores de banco de dados.

Esse cenário também pode ser configurado opcionalmente para IPv6. as instâncias executadas em sub-redes podem receber endereços IPv6 e se comunicar usando IPv6. As instâncias na sub-rede privada podem usar um gateway da Internet apenas de saída para se conectar à Internet por IPv6, mas a Internet não pode estabelecer conexões com as instâncias privadas por IPv6. Para obter mais informações sobre endereçamento IPv4 e IPv6, consulte Endereçamento IP.

Para obter informações sobre como gerenciar o software de instância do EC2, consulte Gerenciar software na instância do Linux no Manual do usuário do Amazon EC2 para instâncias do Linux.

Visão geral

O diagrama a seguir mostra os principais componentes da configuração deste cenário.


				Diagrama para o cenário 2: VPC com sub-redes pública e privada

A configuração deste cenário inclui o seguinte:

  • VPC com bloco CIDR IPv4 tamanho /16 (exemplo: 10.0.0.0/16). Nesse caso, são fornecidos 65.536 endereços IPv4.

  • Sub-rede pública com bloco CIDR IPv4 tamanho /24 (exemplo: 10.0.0.0/24). Nesse caso, são fornecidos 256 endereços IPv4. A sub-rede pública é uma sub-rede associada a uma tabela de rotas que contém uma rota para um gateway da Internet.

  • Sub-rede privada com bloco CIDR IPv4 tamanho /24 (exemplo: 10.0.1.0/24). Nesse caso, são fornecidos 256 endereços IPv4.

  • Um gateway de internet. Isso conecta a VPC à Internet e a outros serviços da AWS.

  • Instâncias com endereços IPv4 privados no intervalo da sub-rede (exemplos: 10.0.0.5, 10.0.1.5). Isso permite que elas se comuniquem entre si e com outras instâncias na VPC.

  • Instâncias na sub-rede pública com endereços IPv4 elásticos (exemplo: 198.51.100.1), os quais são endereços IPv4 públicos que permitem que elas sejam acessadas pela Internet. Instâncias que têm endereços IP públicos atribuídos na execução, em vez de endereços IP elásticos. As instâncias na sub-rede privada são servidores back-end que não precisam aceitar tráfego de entrada da Internet e por isso não têm endereços IP públicos; entretanto, elas podem enviar solicitações para a Internet usando o gateway NAT (consulte o próximo item).

  • Gateway NAT com seu próprio endereço IPv4 elástico. As instâncias na sub-rede privada podem enviar solicitações para a Internet por meio do gateway NAT por IPv4 (por exemplo, para atualizações de software).

  • Uma tabela de rotas personalizada associada à sub-rede pública. Essa tabela de rotas contém uma entrada que permite que as instâncias da sub-rede comuniquem-se com outras instâncias na VPC por IPv4 e uma entrada que permite que as instâncias da sub-rede comuniquem-se diretamente com a Internet por IPv4.

  • Tabela de rotas principal associada à sub-rede privada. Essa tabela de rotas contém uma entrada que permite que as instâncias da sub-rede comuniquem-se com outras instâncias na VPC por IPv4 e uma entrada que permite que as instâncias da sub-rede comuniquem-se diretamente com a Internet por meio do gateway NAT e por IPv4.

Para mais informações, consulte Sub-redes. Para obter mais informações sobre gateways da Internet, consulte Estabelecer conexão com a Internet usando um gateway da Internet. Para obter mais informações sobre gateways NAT;, consulte Gateways NAT.

Visão geral de IPv6

Opcionalmente, você pode ativar o IPv6 para este cenário. Além dos componentes listados anteriormente, a configuração inclui o seguinte:

  • Um bloco CIDR IPv6 tamanho /56 associado à VPC (exemplo: 2001:db8:1234:1a00::/56). A Amazon atribui automaticamente o CIDR; você não pode escolher o intervalo.

  • Um bloco CIDR IPv6 tamanho /64 associado a uma sub-rede pública (exemplo: 2001:db8:1234:1a00::/64). Você pode escolher o intervalo para sua sub-rede com base no intervalo alocado à VPC. Você não pode escolher o tamanho do bloco CIDR IPv6 da VPC.

  • Bloco CIDR IPv6 tamanho /64 associado a uma sub-rede privada (exemplo: 2001:db8:1234:1a01::/64). Você pode escolher o intervalo para sua sub-rede com base no intervalo alocado à VPC. Você não pode escolher o tamanho do bloco CIDR IPv6 da sub-rede.

  • Endereços IPv6 atribuídos às instâncias no intervalo da sub-rede (exemplo: 2001:db8:1234:1a00::1a).

  • Um gateway da Internet apenas de saída. Você usa o gateway para lidar com solicitações para a Internet de instâncias na sub-rede privada por IPv6 (por exemplo, para atualizações de software). Será necessário usar um gateway da Internet apenas de saída se desejar que as instâncias na sub-rede privada estabeleçam comunicação com a Internet por IPv6. Para obter mais informações, consulte Habilitar o tráfego IPv6 de saída usando gateways da Internet somente de saída.

  • Entradas na tabela de rotas personalizada que permitem que as instâncias na sub-rede pública usem IPv6 para se comunicarem entre si e diretamente na Internet.

  • Entradas de rotas na tabela de rotas principal que permite que as instâncias na sub-rede privada usem IPv6 para se comunicar entre si e para se comunicar com a Internet por meio de gateway da Internet apenas de saída.


					VPC habilitada para IPv6 com sub-rede pública e privada

Os servidores web na sub-rede pública têm os endereços a seguir.

de aplicativos IPv4 address (Endereço IPv4) Endereços elastic IP (EIPs) Endereço IPv6

1

10.0.0.5

198.51.100.1 2001:db8:1234:1a00::1a

2

10.0.0.6

198.51.100.2 2001:db8:1234:1a00::2b
3 10.0.0.7 198.51.100.3 2001:db8:1234:1a00::3c

Os servidores de banco de dados na sub-rede privada têm os endereços a seguir.

de aplicativos IPv4 address (Endereço IPv4) Endereço IPv6

1

10.0.1.5

2001:db8:1234:1a01::1a

2

10.0.1.6

2001:db8:1234:1a01::2b
3 10.0.1.7 2001:db8:1234:1a01::3c

Roteamento

Nesse cenário, o Amazon VPC atualiza a tabela de rotas principal usada com a sub-rede privada e cria uma tabela de rotas personalizada e associa-a à sub-rede pública.

Nesse cenário, todo o tráfego proveniente de cada sub-rede vinculada à AWS (por exemplo, aos endpoints do Amazon EC2 ou do Amazon S3) passa pelo gateway da Internet. Os servidores de banco de dados na sub-rede privada não podem receber tráfego diretamente da Internet porque eles não têm endereços IP elásticos. Entretanto, os servidores de banco de dados podem enviar e receber tráfego da Internet por meio do dispositivo NAT na sub-rede pública.

Quaisquer outras sub-redes que você criar usarão a tabela de rotas principal por padrão, o que significa que elas são sub-redes privadas por padrão. Quando desejar tornar uma sub-rede pública, sempre é possível alterar a tabela de rotas principal com a qual está associada.

As tabelas a seguir descrevem as tabelas de rotas para este cenário.

Tabela de rotas principal

Tabela de rotas principal associada à sub-rede privada. A primeira entrada é a padrão para roteamento local na VPC; essa entrada permite que as instâncias na VPC comuniquem-se entre si. A segunda entrada envia todos os outros tráfegos da sub-rede ao gateway NAT (por exemplo, nat-12345678901234567).

Destino Destino

10.0.0.0/16

local

0.0.0.0/0

nat-gateway-id

Tabela de rotas personalizada

Uma tabela de rotas personalizada é associada à sub-rede pública. A primeira entrada é a padrão para um roteamento local na VPC; essa entrada permite que as instâncias na VPC comuniquem-se entre si. A segunda entrada roteia todos os outros tráfegos da sub-rede à Internet por meio do gateway da Internet (por exemplo, igw-1a2b3d4d).

Destino Destino

10.0.0.0/16

local

0.0.0.0/0

igw-id

Roteamento para o IPv6

Se você associar um bloco CIDR IPv6 à sua VPC e às sub-redes, a tabela de rotas deverá incluir rotas distintas para tráfego IPv6. As tabelas a seguir mostram a tabela de rotas personalizada para este cenário, se você escolher permitir comunicação IPv6 em sua VPC.

Tabela de rotas principal

A segunda entrada é a rota padrão adicionada automaticamente para roteamento local na VPC via IPv6. A quarta entrada roteia todos os outros tráfegos IPv6 da sub-rede para o gateway da Internet apenas de saída.

Destino Destino

10.0.0.0/16

local

2001:db8:1234:1a00::/56

local

0.0.0.0/0

nat-gateway-id

::/0

egress-only-igw-id

Tabela de rotas personalizada

A segunda entrada é a rota padrão adicionada automaticamente para roteamento local na VPC via IPv6. A quarta entrada roteia todos os outros tráfegos IPv6 da sub-rede para o gateway da Internet.

Destino Destino

10.0.0.0/16

local

2001:db8:1234:1a00::/56

local

0.0.0.0/0

igw-id

::/0

igw-id

Segurança

A AWS fornece dois recursos que você pode usar para aumentar a segurança da VPC: grupos de segurança e ACLs da rede. Os grupos de segurança controlam o tráfego de entrada e de saída de suas instâncias e as Network ACL controlam o tráfego de entrada e de saída de suas sub-redes. Na maioria dos casos, os grupos de segurança podem atender as suas necessidades; contudo, você também pode usar as Network ACL se desejar uma camada adicional de segurança para o seu VPC. Para obter mais informações, consulte Privacidade do tráfego entre redes na Amazon VPC.

No cenário 2, você usará security groups, mas não Network ACLs. Se quiser usar uma network ACL, consulte Regras de network ACL recomendadas para uma VPC com sub-redes públicas e privadas (NAT).

Sua VPC é fornecida com um security group padrão. Uma instância executada na VPC será automaticamente associada ao security group padrão se você não especificar um security group diferente durante a execução. Para este cenário, é recomendável criar os security groups a seguir, em vez de usar o security group padrão:

  • WebServerSG: especifique esse security group quando iniciar servidores web na sub-rede pública.

  • DBServerSG: especifique esse security group quando iniciar os servidores de banco de dados na sub-rede privada.

As instâncias atribuídas a um security group podem estar em diferentes sub-redes. Entretanto, neste cenário, cada security group corresponde ao tipo de função que uma instância desempenha e cada função requer que a instância esteja em uma sub-rede específica. Portanto, neste cenário, todas as instâncias atribuídas a um security group estão na mesma sub-rede.

A tabela a seguir descreve as regras recomendadas para o grupo de segurança WebServerSG, que permitem que os servidores web recebam tráfego da Internet, bem como tráfego SSH e RDP de sua rede. Os servidores web podem também iniciar solicitações de leitura e gravação para os servidores de banco de dados na sub-rede privada e enviar tráfego para a Internet; por exemplo, para obter atualizações de software. Pelo fato de o servidor Web não iniciar nenhuma outra comunicação de saída, a regra de saída padrão é removida.

nota

Essas recomendações incluem o acesso SSH e RDP e acesso do Microsoft SQL Server e MySQL. Na sua situação, talvez você precise apenas de regras para o Linux (SSH e MySQL) ou Windows (RDP e Microsoft SQL Server).

Entrada
Origem Protocolo Intervalo de portas Comentários

0.0.0.0/0

TCP

80

Permite acesso HTTP de entrada para servidores web de qualquer endereço IPv4.

0.0.0.0/0

TCP

443

Permite acesso HTTPS de entrada para servidores web de qualquer endereço IPv4.

Intervalo de endereços IPv4 públicos de sua rede doméstica

TCP

22

Permite acesso SSH de entrada de sua rede doméstica a instâncias Linux (por meio do gateway da Internet). Você pode obter o endereço IPv4 público de seu computador local usando um serviço como o http://checkip.amazonaws.com ou o https://checkip.amazonaws.com. Se estiver conectado por meio de um ISP ou atrás de um firewall sem um endereço IP estático, localize o intervalo de endereços IP usado por computadores cliente.

Intervalo de endereços IPv4 públicos de sua rede doméstica

TCP

3389

Permite acesso RDP de entrada de sua rede doméstica a instâncias Windows (por meio do gateway da Internet).

Saída

Destino Protocolo Intervalo de portas Comentários

ID do security group DBServerSG

TCP

1433

Permite acesso de saída do Microsoft SQL Server aos servidores de banco de dados atribuídos ao security group DBServerSG.

ID do security group DBServerSG

TCP

3306

Permite acesso de saída do MySQL aos servidores de banco de dados atribuídos ao security group DBServerSG.

0.0.0.0/0

TCP

80

Permite acesso HTTP de saída a qualquer endereço IPv4.

0.0.0.0/0

TCP

443

Permite acesso HTTPS de saída a qualquer endereço IPv4.

A tabela a seguir descreve as regras recomendadas para o security group DBServerSG, que permitem solicitações de leitura e gravação ao banco de dados nos servidores web. Os servidores de banco de dados podem também iniciar tráfego destinado à Internet (a tabela de rotas envia o tráfego ao gateway NAT, que o encaminha à Internet por meio do gateway da Internet).

Entrada
Origem Protocolo Intervalo de portas Comentários

ID do security group WebServerSG

TCP

1433

Permite acesso de entrada ao Microsoft SQL Server de servidores web associados ao security group WebServerSG.

ID do security group WebServerSG

TCP

3306

Permite acesso de entrada ao MySQL Server de servidores web associados ao security group WebServerSG.

Saída

Destino Protocolo Intervalo de portas Comentários

0.0.0.0/0

TCP

80

Permite acesso HTTP de saída à Internet por IPv4 (por exemplo, para atualizações de software).

0.0.0.0/0

TCP

443

Permite acesso HTTPS de saída à Internet por IPv4 (por exemplo, para atualizações de software).

(Opcional) O security group padrão para uma VPC tem regras que permite automaticamente que as instâncias atribuídas comuniquem-se entre si. Para permitir esse tipo de comunicação a um security group personalizado, é necessário adicionar as regras a seguir:

Entrada
Origem Protocolo Intervalo de portas Comentários

O ID do security group

Tudo

Tudo

(Opcional) Permite tráfego de entrada de outras instâncias atribuídas para esse security group.

Saída
Destino Protocolo Intervalo de portas Comentários
The ID of the security group All All Allow outbound traffic to other instances assigned to this security group.

(Opcional) Se você executar um bastion host na sub-rede pública para ser usado como proxy para tráfego SSH ou RDP da rede doméstica à sub-rede privada, adicione uma regra ao security group DBServerSG que permita que o tráfego de entrada SSH ou RDP da instância do bastion ou do seu security group associado.

Regras de grupos de segurança para IPv6

Se você associar um bloco CIDR IPv6 à sua VPC e às sub-redes, deverá adicionar regras distintas aos seus security groups WebServerSG e DBServerSG a fim de controlar o tráfego IPv6 de entrada e saída de suas instâncias. Neste cenário, os servidores web poderão receber todo o tráfego da Internet por IPv6 e tráfego RDP ou SSH de sua rede local por IPv6. Além disso, eles poderão iniciar tráfego IPv6 de saída para a Internet. Os servidores de banco de dados podem iniciar tráfego IPv6 de saída para a Internet.

A seguir encontram-se regras específicas do IPv6 ao security group WebServerSG (que são um complemento às regras listadas anteriormente).

Entrada
Origem Protocolo Intervalo de portas Comentários

::/0

TCP

80

Permite acesso HTTP de entrada para servidores web de qualquer endereço IPv6.

::/0

TCP

443

Permite acesso HTTPS de entrada para servidores web de qualquer endereço IPv6.

Intervalo de endereços IPv6 de sua rede

TCP

22

(Instâncias Linux) Permite acesso SSH de entrada de sua rede por IPv6.

Intervalo de endereços IPv6 de sua rede

TCP

3389

(Instâncias Windows) Permite acesso RDP de entrada de sua rede por IPv6

Saída
Destino Protocolo Intervalo de portas Comentários
::/0 TCP HTTP Allow outbound HTTP access to any IPv6 address.
::/0 TCP HTTPS Allow outbound HTTPS access to any IPv6 address.

A seguir encontram-se regras específicas do IPv6 ao security group DBServerSG (que são um complemento às regras listadas anteriormente).

Saída

Destino Protocolo Intervalo de portas Comentários

::/0

TCP

80

Permite acesso HTTP de saída a qualquer endereço IPv6.

::/0

TCP

443

Permite acesso HTTPS de saída a qualquer endereço IPv6.

Implementar o cenário 2

Você pode usar o Amazon VPC para criar a VPC, sub-redes, gateway NAT e, opcionalmente, um gateway da Internet apenas de saída. Você precisa especificar um endereço IP elástico para seu gateway NAT; se não tiver um, primeiro deverá alocar um à sua conta. Se desejar usar um endereço IP elástico existente, verifique se no momento ele não está associado a outra instância ou interface de rede. O gateway NAT é criado automaticamente na sub-rede pública de sua VPC.

Regras de network ACL recomendadas para uma VPC com sub-redes públicas e privadas (NAT)

Para esse cenário você tem uma network ACL para a sub-rede pública e outra network ACL para a sub-rede privada. A tabela a seguir mostra as regras que recomendamos para cada ACL. Elas bloqueiam todos os tráfegos, exceto aquele explicitamente necessário. Eles basicamente imitam as regras do security group do cenário.

Inbound
Regra nº IP de origem Protocolo Porta Permissão/Negação Comentários

100

0.0.0.0/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de entrada de qualquer endereço IPv4.

110

0.0.0.0/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de entrada de qualquer endereço IPv4.

120

Intervalo de endereços IP públicos da sua rede doméstica

TCP

22

PERMISSÃO

Permite tráfego SSH de entrada de sua rede doméstica (pelo gateway da Internet).

130

Intervalo de endereços IP públicos da sua rede doméstica

TCP

3389

PERMISSÃO

Permite tráfego RDP de entrada de sua rede doméstica (pelo gateway da Internet).

140

0.0.0.0/0

TCP

1024-65535

PERMISSÃO

Permite tráfego de retorno de entrada de hosts na Internet que estão respondendo a solicitações originadas na sub-rede.

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

*

0.0.0.0/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv4 de entrada ainda não controlados por uma regra precedente (não modificável).

Outbound
Regra nº Dest IP Protocolo Porta Permissão/Negação Comentários

100

0.0.0.0/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de saída da sub-rede para a Internet.

110

0.0.0.0/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de saída da sub-rede para a Internet.

120

10.0.1.0/24

TCP

1433

PERMISSÃO

Permite acesso MS SQL de saída a servidores de banco de dados na sub-rede privada.

Esse número de porta é apenas de exemplo. Outros exemplos incluem 3306 para acesso MySQL/Aurora, 5432 para acesso PostgreSQL, 5439 para acesso Amazon Redshift e 1521 para acesso Oracle.

140

0.0.0.0/0

TCP

32768-65535

PERMISSÃO

Permite respostas de saída a clientes na Internet (por exemplo, fornece páginas da Web a pessoas que visitam os servidores da web na sub-rede).

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

150

10.0.1.0/24

TCP

22

PERMISSÃO

Permite acesso SSH de saída a instância em sua sub-rede privada (de um SSH Bastion, se tiver um).

*

0.0.0.0/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv4 de saída ainda não controlados por uma regra precedente (não modificável).

Inbound
Regra nº IP de origem Protocolo Porta Permissão/Negação Comentários

100

10.0.0.0/24

TCP

1433

PERMISSÃO

Permite que servidores web na sub-rede pública leiam e gravem em servidores MS SQL na sub-rede privada.

Esse número de porta é apenas de exemplo. Outros exemplos incluem 3306 para acesso MySQL/Aurora, 5432 para acesso PostgreSQL, 5439 para acesso Amazon Redshift e 1521 para acesso Oracle.

120

10.0.0.0/24

TCP

22

PERMISSÃO

Permite tráfego SSH de entrada de um SSH Bastion na sub-rede pública (se tiver um).

130

10.0.0.0/24

TCP

3389

PERMISSÃO

Permite tráfego RDP de entrada do gateway Microsoft Terminal Services na sub-rede pública.

140

0.0.0.0/0

TCP

1024-65535

PERMISSÃO

Permite tráfego de retorno de saída do dispositivo NAT na sub-rede pública para solicitações originadas na sub-rede privada.

Para obter informações sobre como especificar as portas efêmeras corretas, consulte uma observação fundamental no início deste tópico.

*

0.0.0.0/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv4 de entrada ainda não controlados por uma regra precedente (não modificável).

Outbound
Regra nº Dest IP Protocolo Porta Permissão/Negação Comentários

100

0.0.0.0/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de saída da sub-rede para a Internet.

110

0.0.0.0/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de saída da sub-rede para a Internet.

120

10.0.0.0/24

TCP

32768-65535

PERMISSÃO

Permite respostas de saída à sub-rede pública (por exemplo, respostas de servidores web na sub-rede pública que estão se comunicando com servidores de banco de dados na sub-rede privada).

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

*

0.0.0.0/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv4 de saída ainda não controlados por uma regra precedente (não modificável).

Regras de network ACL recomendadas para IPv6

Se tiver implementado suporte de IPv6 e criado uma VPC e sub-redes com blocos CIDR de IPv6 associados, deverá adicionar regras distintas às suas network ACLs para controlar o tráfego IPv6 de entrada e saída.

Veja a seguir regras específicas de IPv6 para suas network ACLs (que são um complemento às regras precedentes).

Inbound
Regra nº IP de origem Protocolo Porta Permissão/Negação Comentários

150

::/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de entrada de qualquer endereço IPv6.

160

::/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de entrada de qualquer endereço IPv6.

170

Intervalo de endereços IPv6 de sua rede doméstica

TCP

22

PERMISSÃO

Permite tráfego SSH de entrada por IPv6 de sua rede doméstica (pelo gateway da Internet).

180

Intervalo de endereços IPv6 de sua rede doméstica

TCP

3389

PERMISSÃO

Permite tráfego RDP de entrada por IPv6 de sua rede doméstica (pelo gateway da Internet).

190

::/0

TCP

1024-65535

PERMISSÃO

Permite tráfego de retorno de entrada de hosts na Internet que estão respondendo a solicitações originadas na sub-rede.

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

*

::/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv6 de entrada ainda não controlados por uma regra precedente (não modificável).

Outbound
Regra nº Dest IP Protocolo Porta Permissão/Negação Comentários

160

::/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de saída da sub-rede para a Internet.

170

::/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de saída da sub-rede para a Internet

180

2001:db8:1234:1a01::/64

TCP

1433

PERMISSÃO

Permite acesso MS SQL de saída a servidores de banco de dados na sub-rede privada.

Esse número de porta é apenas de exemplo. Outros exemplos incluem 3306 para acesso MySQL/Aurora, 5432 para acesso PostgreSQL, 5439 para acesso Amazon Redshift e 1521 para acesso Oracle.

200

::/0

TCP

32768-65535

PERMISSÃO

Permite respostas de saída a clientes na Internet (por exemplo, fornece páginas da Web a pessoas que visitam os servidores da web na sub-rede).

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

210

2001:db8:1234:1a01::/64

TCP

22

PERMISSÃO

Permite acesso SSH de saída a instância em sua sub-rede privada (de um SSH Bastion, se tiver um).

*

::/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv6 de saída ainda não controlados por uma regra precedente (não modificável).

Inbound
Regra nº IP de origem Protocolo Porta Permissão/Negação Comentários

150

2001:db8:1234:1a00::/64

TCP

1433

PERMISSÃO

Permite que servidores web na sub-rede pública leiam e gravem em servidores MS SQL na sub-rede privada.

Esse número de porta é apenas de exemplo. Outros exemplos incluem 3306 para acesso MySQL/Aurora, 5432 para acesso PostgreSQL, 5439 para acesso Amazon Redshift e 1521 para acesso Oracle.

170

2001:db8:1234:1a00::/64

TCP

22

PERMISSÃO

Permite tráfego SSH de entrada de um SSH Bastion na sub-rede pública (se aplicável).

180

2001:db8:1234:1a00::/64

TCP

3389

PERMISSÃO

Permite tráfego RDP de entrada de um gateway Microsoft Terminal Services na sub-rede pública, se aplicável.

190

::/0

TCP

1024-65535

PERMISSÃO

Permite tráfego de retorno de entrada do gateway da Internet apenas de saída para solicitações originadas na sub-rede privada.

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

*

::/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv6 de entrada ainda não controlados por uma regra precedente (não modificável).

Outbound
Regra nº Dest IP Protocolo Porta Permissão/Negação Comentários

130

::/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de saída da sub-rede para a Internet.

140

::/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de saída da sub-rede para a Internet.

150

2001:db8:1234:1a00::/64

TCP

32768-65535

PERMISSÃO

Permite respostas de saída à sub-rede pública (por exemplo, respostas de servidores web na sub-rede pública que estão se comunicando com servidores de banco de dados na sub-rede privada).

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

*

::/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv6 de saída ainda não controlados por uma regra precedente (não modificável).