VPCs e sub-redes - Amazon Virtual Private Cloud

VPCs e sub-redes

Para começar a usar a Amazon Virtual Private Cloud (Amazon VPC), crie uma VPC e sub-redes. Para obter uma visão geral da Amazon VPC, consulte O que é Amazon VPC?.

Conceitos básicos de sub-rede e VPC

Uma Virtual Private Cloud (VPC) é uma rede virtual dedicada à sua conta da AWS. Ela é isolada de maneira lógica de outras redes virtuais na Nuvem da AWS. É possível iniciar os recursos da AWS, como instâncias do Amazon EC2, na VPC.

Quando você cria uma VPC, é necessário especificar um intervalo de endereços IPv4 para a VPC sob a forma de um bloco CIDR (Roteamento entre Domínios sem Classificação); por exemplo, 10.0.0.0/16. Esse é o bloco CIDR principal da VPC. Para obter mais informações sobre notação de CIDR, consulte RFC 4632.

O diagrama a seguir mostra uma nova VPC com um bloco CIDR IPv4.


				VPC com a tabela de rotas principal

A tabela de rotas principais tem as rotas a seguir.

Destino Destino
10.0.0.0/16 local

Uma VPC abrange todas as zonas de disponibilidade na Região. Depois de criar uma VPC, você pode adicionar uma ou mais sub-redes em cada zona de disponibilidade. Também é possível adicionar sub-redes em uma zona local, que é uma implantação de infraestrutura da AWS que aproxima dos usuários finais serviços como computação, armazenamento e banco de dados, entre outros. Uma zona local permite que os usuários finais executem aplicativos que exigem latências de milissegundos de um dígito. Para obter informações sobre as Regiões que oferecem suporte a Local Zones, consulte as Regiões disponíveis no Manual do usuário do Amazon EC2 para instâncias do Linux. Ao criar uma sub-rede, você especifica o bloco CIDR para a sub-rede, que é um subconjunto do bloco CIDR da VPC. Cada sub-rede deve residir inteiramente dentro de uma zona de disponibilidade e não pode abranger zonas. As zonas de disponibilidade são locais distintos projetados para serem isolados de falhas em outras zonas de disponibilidade. Ao iniciar as instâncias em zonas de disponibilidade separadas, você pode proteger seus aplicativos de falhas de um único local. Nós atribuímos um ID exclusivo a cada sub-rede.

Você também pode atribuir opcionalmente um bloco CIDR IPv6 à sua VPC e atribuir blocos CIDR IPv6 às suas sub-redes.

O diagrama a seguir mostra uma VPC que foi configurada com sub-redes em várias zonas de disponibilidade. 1A, 2A e 3A são instâncias na sua VPC. Um bloco CIDR IPv6 está associado à VPC e um bloco CIDR IPv6 está associado à sub-rede 1. Um gateway de Internet permite comunicação através da Internet; uma conexão de rede privada virtual (VPN) permite comunicação com a rede corporativa.


				VPC com múltiplas zonas de disponibilidade

Se o tráfego de uma sub-rede for roteado para um gateway da Internet, a sub-rede será conhecida como uma sub-rede pública. Neste diagrama, a sub-rede 1 é uma sub-rede pública. Caso queira que a instância em uma sub-rede pública se comunique com a Internet por meio do IPv4, ela deve ter um endereço IPv4 público ou um endereço IP elástico (IPv4). Para mais informações sobre endereços IPv4 públicos, consulte Endereços IPv4 públicos. Caso queira que a instância na sub-rede pública se comunique com a Internet por meio do IPv6, ela deverá ter um endereço IPv6.

Se uma sub-rede não tiver uma rota para o gateway da Internet, ela será conhecida como uma sub-rede privada. Neste diagrama, a sub-rede 2 é uma sub-rede privada.

Se uma sub-rede não tiver uma rota para o gateway da Internet, mas tiver seu tráfego roteado para um gateway privado virtual de uma conexão Site-to-Site VPN, a sub-rede será conhecida como uma sub-rede somente VPN. Neste diagrama, a sub-rede 3 é uma sub-rede somente VPN. Atualmente, não oferecemos suporte para tráfego IPv6 em conexão Site-to-Site VPN.

Para obter mais informações, consulte Exemplos para a VPC, Gateways da Internet e O que é AWS Site-to-Site VPN? no Manual do usuário do AWS Site-to-Site VPN.

nota

Independentemente do tipo de sub-rede, o intervalo de endereços IPv4 interno da sub-rede é sempre privado: não anunciamos o bloco de endereços para a Internet.

Você tem uma cota no número de VPCs e sub-redes que pode criar em sua conta. Para obter mais informações, consulte Cotas da Amazon VPC.

Dimensionamento da VPC e da sub-rede

A Amazon VPC oferece suporte ao endereçamento de IPv4 e IPv6 e tem diferentes cotas de tamanho de bloco CIDR para cada um. Por padrão, todos as VPCs e as sub-redes devem ter blocos CIDR IPv4; não é possível alterar este comportamento. Opcionalmente, você pode associar um bloco CIDR IPv6 à VPC.

Para obter mais informações sobre endereçamento IP, consulte Endereçamento IP na sua VPC.

Dimensionamento da VPC e da sub-rede para IPv4

Ao criar uma VPC, você deve especificar um bloco CIDR IPv4 para a VPC. O tamanho permitido para o bloco é entre uma máscara de rede /16 (65.536 endereços IP) e uma máscara de rede /28 (16 endereços IP). Depois de criar a VPC, você pode associar blocos CIDR secundários à VPC. Para obter mais informações, consulte Adicionar blocos CIDR IPv4 a uma VPC.

Quando você cria uma VPC, é recomendável especificar um bloco CIDR dos intervalos de endereços IPv4 privados conforme especificado em RFC 1918:

Intervalo do RFC 1918 Bloco CIDR de exemplo
10.0.0.0 - 10.255.255.255 (prefixo 10/8) A VPC deve ser /16 ou menor, por exemplo, 10.0.0.0/16.
172.16.0.0 - 172.31.255.255 (prefixo 172.16/12) A VPC deve ser /16 ou menor, por exemplo, 172.31.0.0/16.
192.168.0.0 - 192.168.255.255 (prefixo 192.168/16) A VPC pode ser menor, por exemplo 192.168.0.0/20.

Você pode criar uma VPC com um bloco CIDR roteável publicamente que fica fora dos intervalos de endereços IPv4 privados especificados no RFC 1918. No entanto, para os fins desta documentação, nos referimos a endereços IP privados como os endereços IPv4 que estão dentro do intervalo CIDR da sua VPC.

nota

Se estiver criando uma VPC para uso com outro serviço da AWS, verifique a documentação do serviço para verificar se há requisitos específicos para o intervalo de endereços IP ou os componentes da rede.

O bloco CIDR de uma sub-rede pode ser igual ao bloco CIDR para a VPC (para uma única sub-rede na VPC) ou um subconjunto do bloco CIDR para a VPC (para várias sub-redes). O tamanho do bloco permitido é entre uma máscara de rede /28 e máscara de rede /16. Se você criar mais de uma sub-rede em uma VPC, os blocos CIDR das sub-redes não podem se sobrepor.

Por exemplo, se você criar uma VPC com o bloco CIDR 10.0.0.0/24, ela oferece suporte a 256 endereços IP. Você pode quebrar esse bloco CIDR em duas sub-redes, cada um oferecendo suporte a 128 endereços IP. Uma sub-rede usa o bloco CIDR 10.0.0.0/25 (para endereços 10.0.0.0 - 10.0.0.127) e o outro usa o bloco CIDR 10.0.0.128/25 (para endereços 10.0.0.128 - 10.0.0.255).

Existem ferramentas disponíveis na Internet que ajudam a calcular e criar blocos CIDR de sub-rede IPv4. É possível encontrar ferramentas que se adequam às suas necessidades procurando termos como “calculadora de sub-rede” ou “calculadora de CIDR”. O grupo de engenharia de rede também pode ajudar a determinar os blocos CIDR para especificar as sub-redes.

Os primeiros quatro endereços IP e o último endereço IP em cada bloco CIDR de sub-rede estão indisponíveis para uso e não podem ser atribuídos a uma instância. Por exemplo, em uma sub-rede com bloco CIDR 10.0.0.0/24, os seguintes cinco endereços IP são reservados:

  • 10.0.0.0: Endereço de rede.

  • 10.0.0.1: Reservado pela AWS para o roteador da VPC.

  • 10.0.0.2: Reservado pela AWS. O endereço IP do servidor DNS é a base do intervalo de rede da VPC mais dois. Para VPCs com vários blocos CIDR, o endereço IP de servidor DNS está localizado no CIDR principal. Também reservamos a base de cada intervalo de sub-rede mais dois para todos os blocos CIDR na VPC. Para obter mais informações, consulte Servidor DNS da Amazon.

  • 10.0.0.3: Reservado pela AWS para uso futuro.

  • 10.0.0.255: Endereço de transmissão de rede. Não oferecemos suporte para transmissão em uma VPC, portanto, reservamos este endereço.

Se você criar uma VPC ou uma sub-rede usando uma ferramenta de linha de comando ou a API do Amazon EC2, o bloco CIDR será automaticamente modificado para sua forma canônica. Por exemplo, se você especificar 100.68.0.18/18 para o bloco CIDR, criaremos um bloco CIDR de 100.68.0.0/18.

Adicionar blocos CIDR IPv4 a uma VPC

Você pode associar blocos CIDR IPv4 secundários à VPC. Quando você associa um bloco CIDR à VPC, uma rota é adicionada automaticamente às tabelas de rotas da VPC para habilitar o roteamento na VPC (o destino é o bloco CIDR e o alvo é local).

No exemplo a seguir, a VPC à esquerda tem um único bloco CIDR (10.0.0.0/16) e duas sub-redes. A VPC à direita representa a arquitetura da mesma VPC depois de você adicionar um segundo bloco CIDR (10.2.0.0/16) e criar uma nova sub-rede do intervalo do segundo CIDR.


					VPCs com um único ou vários blocos CIDR

Para adicionar um bloco CIDR à VPC, as seguintes regras devem ser aplicadas:

  • O tamanho do bloco permitido é entre uma máscara de rede /28 e máscara de rede /16.

  • O bloco CIDR não deve sobrepor nenhum bloco CIDR existente que esteja associado à VPC.

  • Há restrições nos intervalos de endereços IPv4 que você pode usar. Para obter mais informações, consulte Restrições de associação de bloco CIDR IPv4.

  • Não é possível aumentar ou diminuir o tamanho de um bloco CIDR existente.

  • Você tem uma cota no número de blocos CIDR que pode associar a uma VPC e ao número de rotas que pode adicionar a uma tabela de rotas. Não será possível associar um bloco CIDR se suas cotas forem excedidas por causa disso. Para obter mais informações, consulte Cotas da Amazon VPC.

  • O bloco CIDR não deve ser igual nem maior que um intervalo CIDR de destino em uma rota em nenhuma das tabelas de rotas da VPC. Por exemplo, em uma VPC na qual o bloco CIDR primário é 10.2.0.0/16, você tem uma rota existente em uma tabela de rotas com um destino de 10.0.0.0/24 para um gateway privado virtual. Você deseja associar um bloco CIDR secundário no intervalo 10.0.0.0/16. Devido à rota existente, não é possível associar um bloco CIDR de 10.0.0.0/24 ou maior. No entanto, é possível associar um bloco CIDR secundário de 10.0.0.0/25 ou menor.

  • Se tiver habilitado a VPC para o ClassicLink, você poderá associar blocos CIDR dos intervalos 10.0.0.0/16 e 10.1.0.0/16, mas não poderá associar nenhum outro bloco CIDR do intervalo 10.0.0.0/8.

  • As seguintes regras se aplicam quando você adiciona blocos CIDR IPv4 a uma VPC que faz parte de uma conexão de emparelhamento de VPC:

    • Se a conexão de emparelhamento da VPC for active, você poderá adicionar blocos CIDR a uma VPC desde que eles não sobreponham um bloco CIDR da VPC par.

    • Se a conexão de emparelhamento da VPC for pending-acceptance, o proprietário da VPC solicitante não poderá adicionar nenhum bloco CIDR à VPC, independentemente de ele sobrepor o bloco CIDR da VPC receptora. O proprietário da VPC receptora deve aceitar a conexão de emparelhamento, ou o proprietário da VPC solicitante deve excluir a solicitação da conexão de emparelhamento de VPC, adicionar o bloco CIDR e, em seguida, solicitar uma nova conexão de emparelhamento de VPC.

    • Se a conexão de emparelhamento da VPC for pending-acceptance, o proprietário da VPC solicitante poderá adicionar blocos CIDR à VPC. Se um bloco CIDR secundário for sobreposto por um bloco CIDR da VPC solicitante, a solicitação da conexão de emparelhamento da VPC falhará e não poderá ser aceita.

  • Se você estiver usando o AWS Direct Connect para se conectar a várias VPCs por um gateway do Direct Connect, as VPCs associadas ao gateway do Direct Connect não deverão ter blocos CIDR sobrepostos. Se você adicionar um bloco CIDR a uma das VPCs associadas ao gateway do Direct Connect, certifique-se de que o novo bloco CIDR não se sobreponha ao bloco CIDR existente de nenhuma outra VPC associada. Para obter mais informações, consulte Gateways do Direct Connect no Manual do usuário do AWS Direct Connect.

  • Ao adicionar ou remover um bloco CIDR, ele pode passar por vários estados: associating | associated | disassociating | disassociated | failing | failed. O bloco CIDR está pronto para uso quando está no estado associated.

A tabela a seguir fornece uma visão geral das associações de bloco CIDR permitidas e restritas que dependem do intervalo de endereços IPv4 no qual o bloco CIDR principal da VPC reside.

Restrições de associação de bloco CIDR IPv4
Intervalo de endereços IP no qual reside o bloco CIDR principal da VPC Associações restritas de bloco CIDR Associações permitidas de bloco CIDR

10.0.0.0/8

Blocos CIDR de outros intervalos RFC 1918* (172.16.0.0/12 e 192.168.0.0/16).

Se o CIDR principal estiver no intervalo 10.0.0.0/15, não será possível adicionar um bloco CIDR do intervalo 10.0.0.0/16.

Um bloco CIDR do intervalo 198.19.0.0/16.

Qualquer outro CIDR do intervalo 10.0.0.0/8 que não seja restrito.

Qualquer bloco CIDR IPv4 publicamente roteável (não RFC 1918) ou um bloco CIDR do intervalo 100.64.0.0/10.

172.16.0.0/12

Blocos CIDR de outros intervalos RFC 1918* (10.0.0.0/8 e 192.168.0.0/16).

Um bloco CIDR do intervalo 172.31.0.0/16.

Um bloco CIDR do intervalo 198.19.0.0/16.

Qualquer outro CIDR do intervalo 172.16.0.0/12 que não seja restrito.

Qualquer bloco CIDR IPv4 publicamente roteável (não RFC 1918) ou um bloco CIDR do intervalo 100.64.0.0/10.

192.168.0.0/16

Blocos CIDR de outros intervalos RFC 1918* (172.16.0.0/12 e 10.0.0.0/8).

Um bloco CIDR do intervalo 198.19.0.0/16.

Qualquer outro CIDR do intervalo 192.168.0.0/16.

Qualquer bloco CIDR IPv4 publicamente roteável (não RFC 1918) ou um bloco CIDR do intervalo 100.64.0.0/10.

198.19.0.0/16

Blocos CIDR dos intervalos RFC 1918*.

Qualquer bloco CIDR IPv4 publicamente roteável (não RFC 1918) ou um bloco CIDR do intervalo 100.64.0.0/10.

Bloco CIDR publicamente roteável (não RFC 1918) ou um bloco CIDR do intervalo 100.64.0.0/10.

Blocos CIDR dos intervalos RFC 1918*.

Um bloco CIDR do intervalo 198.19.0.0/16.

Qualquer outro bloco CIDR IPv4 publicamente roteável (não RFC 1918) ou um bloco CIDR do intervalo 100.64.0.0/10.

Os intervalos *RFC 1918 são os intervalos de endereços IPv4 privados especificados na RFC 1918.

Você pode desassociar um bloco CIDR que associou à VPC. No entanto, você não pode desassociar o bloco CIDR com o qual você criou a VPC originalmente (o bloco CIDR principal). Para visualizar o CIDR principal da VPC no console da Amazon VPC, escolha Your VPCs (Suas VPCs), selecione a VPC e anote a primeira entrada em CIDR blocks (Blocos CIDR). Como alternativa, use o comando describe-vpcs:

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d

O CIDR primário é retornado no elemento CidrBlock de nível superior.

{ "Vpcs": [ { "VpcId": "vpc-1a2b3c4d", "InstanceTenancy": "default", "Tags": [ { "Value": "MyVPC", "Key": "Name" } ], "CidrBlockAssociations": [ { "AssociationId": "vpc-cidr-assoc-3781aa5e", "CidrBlock": "10.0.0.0/16", "CidrBlockState": { "State": "associated" } }, { "AssociationId": "vpc-cidr-assoc-0280ab6b", "CidrBlock": "10.2.0.0/16", "CidrBlockState": { "State": "associated" } } ], "State": "available", "DhcpOptionsId": "dopt-e0fe0e88", "CidrBlock": "10.0.0.0/16", "IsDefault": false } ] }

Dimensionamento da VPC e da sub-rede para IPv6

Você pode associar um único bloco CIDR IPv6 com uma VPC existente em sua conta ou ao criar uma nova VPC. O bloco CIDR é um comprimento de prefixo fixo de /56. É possível solicitar um bloco CIDR IPv6 do grupo de endereços IPv6 da Amazon.

Se você associou um bloco CIDR IPv6 a sua VPC, é possível associar um bloco CIDR IPv6 a uma sub-rede existente na sua VPC ou ao criar uma nova sub-rede. O bloco CIDR IPv6 de uma sub-rede é um comprimento de prefixo fixo de /64.

Por exemplo, você cria uma VPC e especifica que deseja associar um bloco CIDR IPv6 fornecido pela Amazon à VPC. A Amazon atribui o seguinte bloco CIDR IPv6 a sua VPC: 2001:db8:1234:1a00::/56. Não é possível escolher o intervalo de endereços IP por conta própria. Você pode criar uma sub-rede e associar um bloco CIDR IPv6 deste intervalo; por exemplo, 2001:db8:1234:1a00::/64.

Existem ferramentas disponíveis na Internet para ajudar a calcular e criar blocos CIDR de sub-rede IPv6; por exemplo, IPv6 Address Planner. É possível encontrar outras ferramentas que se adequam às suas necessidades procurando termos como “calculadora de sub-rede IPv6” ou “calculadora de CIDR IPv6”. O grupo de engenharia de rede também pode ajudar a determinar os blocos CIDR IPv6 para especificar as sub-redes.

Você pode desassociar um bloco CIDR IPv6 de uma sub-rede e você pode desassociar um bloco CIDR IPv6 de uma VPC. Depois de ter desassociado um bloco CIDR IPv6 de uma VPC, você não poderá esperar receber o mesmo CIDR se você associar um bloco CIDR IPv6 com sua VPC novamente mais tarde.

Os primeiros quatro endereços IPv6 e o último endereço IPv6 em cada bloco CIDR de sub-rede não estão disponíveis para você usar e não podem ser atribuídos a uma instância. Por exemplo, em uma sub-rede com bloco CIDR 2001:db8:1234:1a00/64, os seguintes cinco endereços IP são reservados:

  • 2001:db8:1234:1a00::

  • 2001:db8:1234:1a00::1

  • 2001:db8:1234:1a00::2

  • 2001:db8:1234:1a00::3

  • 2001:db8:1234:1a00:ffff:ffff:ffff:ffff

Roteamento de sub-rede

Cada sub-rede deve estar associada a uma tabela de rotas, que especifica as rotas permitidas para o tráfego de saída deixando a sub-rede. Cada sub-rede que você cria é automaticamente associada à tabela de rotas principal da VPC. Você pode alterar a associação e o conteúdo da tabela de rotas principal. Para obter mais informações, consulte Tabelas de rotas para sua VPC.

No diagrama anterior, a tabela de rotas associada à sub-rede 1 roteia todo o tráfego IPv4 (0.0.0.0/0) e o tráfego IPv6 (::/0) para um gateway da Internet (por exemplo, igw-1a2b3c4d). Como a instância 1A tem um endereço IP elástico IPv4 e um endereço IPv6, ela pode ser acessada pela Internet por IPv4 e IPv6.

nota

(Somente IPv4) O endereço IPv4 elástico ou o endereço IPv4 público que está associado à instância é acessado pelo gateway da Internet da VPC. O tráfego que atravessa uma conexão do AWS Site-to-Site VPN entre sua instância e outra rede atravessa um gateway privado virtual, não o gateway da Internet e, portanto, não acessa o endereço IPv4 elástico nem o endereço IPv4 público.

A instância 2A não pode acessar a Internet, mas pode acessar outras instâncias na VPC. É possível permitir que uma instância na VPC inicie conexões de saída para a internet por meio do IPv4, mas evite conexões de entrada não solicitadas da Internet usando um gateway de conversão de endereço de rede (NAT) ou uma instância. Como você pode alocar um número limitado de endereços IP elásticos, recomendamos que você use um dispositivo NAT caso tenha mais instâncias que exigem um endereço IP público estático. Para obter mais informações, consulte Dispositivos NAT para sua VPC. Para iniciar a comunicação somente de saída com a Internet por meio do IPv6, você pode usar um gateway da Internet somente de saída. Para obter mais informações, consulte Gateways da Internet apenas de saída.

A tabela de rotas associada à sub-rede 3 roteia todo o tráfego IPv4 (0.0.0.0/0) para um gateway privado virtual (por exemplo, vgw-1a2b3c4d). A instância 3A pode chegar a computadores na rede corporativa pela conexão Site-to-Site VPN.

Segurança de sub-rede

A AWS fornece dois recursos que você pode usar para aumentar a segurança da VPC: grupos de segurança e ACLs da rede. Os grupos de segurança controlam o tráfego de entrada e de saída de suas instâncias e as Network ACL controlam o tráfego de entrada e de saída de suas sub-redes. Na maioria dos casos, os grupos de segurança podem atender as suas necessidades; contudo, você também pode usar as Network ACL se desejar uma camada adicional de segurança para o seu VPC. Para obter mais informações, consulte Privacidade do tráfego entre redes na Amazon VPC.

Por design, cada sub-rede deve estar associada a um Network ACL. Toda sub-rede que você cria está automaticamente associada ao Network ACL padrão da VPC. Você pode alterar a associação e o conteúdo do Network ACL padrão. Para obter mais informações, consulte Network ACLs.

Você pode criar um log de fluxo em sua VPC ou sub-rede para capturar o tráfego que entra e sai das interfaces de rede em sua VPC ou sub-rede. Você também pode criar um log de fluxo em uma interface de rede individual. Os logs de fluxo são publicados no CloudWatch Logs ou no Amazon S3. Para obter mais informações, consulte VPC Flow Logs.