Sub-redes para sua VPC - Amazon Virtual Private Cloud

Sub-redes para sua VPC

Uma sub-rede é uma gama de endereços IP na VPC. Você pode iniciar recursos da AWS em uma sub-rede especificada. Use uma sub-rede pública para recursos que devem estar conectados à Internet e uma sub-rede privada para recursos que não estarão conectados à Internet.

Para proteger os recursos da AWS em cada sub-rede, você pode usar várias camadas de segurança, incluindo grupos de segurança e listas de controle de acesso (ACL) da rede.

Conceitos básicos sobre sub-redes

Uma sub-rede é uma gama de endereços IP na VPC. Você pode iniciar recursos da AWS, como instâncias do EC2, em uma sub-rede específica. Ao criar uma sub-rede, você especifica o bloco CIDR IPv4 para a sub-rede, o qual é um subconjunto do bloco CIDR da VPC. Cada sub-rede deve residir inteiramente dentro de uma zona de disponibilidade e não pode abranger zonas. Ao iniciar as instâncias em zonas de disponibilidade separadas, você pode proteger suas aplicações contra a falha de uma única zona.

Também é possível adicionar sub-redes em uma zona local, que é uma implantação de infraestrutura da AWS que aproxima dos usuários finais serviços como computação, armazenamento e banco de dados, entre outros. Uma zona local permite que os usuários finais executem aplicativos que exigem latências de milissegundos de um dígito. Para obter mais informações, consulte Local Zones no Guia do usuário do Amazon EC2 para instâncias do Linux.

Tipos de sub-redes

Dependendo de como você configurar a sua VPC, as sub-redes são consideradas públicas, privadas ou somente VPN:

  • Public subnet (Sub-rede pública): o tráfego da sub-rede é encaminhado à Internet pública por meio de um gateway da Internet ou de um gateway da Internet somente de saída. Para mais informações, consulte Estabelecer conexão com a Internet usando um gateway da Internet.

  • Private subnet (Sub-rede privada): o tráfego da sub-rede não consegue acessar a Internet pública através de um gateway da Internet ou de gateway da Internet somente de saída. O acesso à Internet pública exige um dispositivo NAT.

  • Sub-rede apenas VPN: o tráfego da sub-rede é roteado a uma conexão do Site-to-Site VPN por meio de um gateway virtual privado. O tráfego da sub-rede não consegue alcançar a Internet pública por meio de um gateway da Internet. Para obter mais informações, consulte o Guia do usuário do AWS Site-to-Site VPN.

Ao criar uma sub-rede, especifique seus endereços IP, dependendo da configuração da VPC:

  • Apenas IPv4: a sub-rede tem um bloco CIDR IPv4, mas não um bloco CIDR IPv6. Os recursos de uma sub-rede apenas IPv4 devem se comunicar via IPv4.

  • Dupla pilha: a sub-rede tem um bloco CIDR IPv4 e um bloco CIDR IPv6. É necessário que a VPC tenha um bloco CIDR IPv4 e um bloco CIDR IPv6. Os recursos de uma sub-rede de dupla pilha conseguem se comunicar via IPv4 e IPv6.

  • Apenas IPv6: a sub-rede tem um bloco CIDR IPv6, mas não um bloco CIDR IPv4. A VPC deve ter um bloco CIDR IPv6. Os recursos de uma sub-rede apenas IPv6 devem se comunicar via IPv6.

Independentemente do tipo de sub-rede, o intervalo de endereços IPv4 interno da sub-rede é sempre privado: não anunciamos o bloco de endereços para a Internet. Para obter mais informações sobre endereçamento IP privado em VPCs, consulte Endereçamento IP.

Configurações de sub-redes

Todas as sub-redes têm um atributo modificável que determina se uma interface de rede criada nesta sub-rede recebe um endereço IPv4 público e, se aplicável, um endereço IPv6. Isso inclui a interface de rede primária (eth0) criada para uma instância quando você inicia uma instância nesta sub-rede. Independentemente do atributo da sub-rede, você ainda pode substituir esta configuração para uma instância específica durante a inicialização.

Após criar uma sub-rede, é possível modificar as seguintes configurações de sub-rede.

  • Auto-assign IP settings (Atribuir configurações de IP automaticamente): esta opção permite que você defina a atribuição automática das configurações de IP para solicitar automaticamente um endereço IPv4 ou IPv6 público para uma nova interface de rede nesta sub-rede.

  • Configurações de nomes baseados em recursos (RBN): permitem que você especifique o tipo de nome do host para as instâncias do EC2 nesta sub-rede e configure como as consultas de registros DNS A e AAAA são geridas. Para obter mais informações sobre essas configurações, consulte Tipos de nomes do host de instâncias do Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux.

Diagrama de sub-rede

O diagrama a seguir mostra duas VPCs em uma região. Cada VPC tem sub-redes públicas e privadas, além de um gateway da Internet. A VPC também abrange uma zona local.


                    Uma VPC com sub-redes em zonas de disponibilidade e uma zona local.

Dimensionamento de sub-rede

O bloco CIDR de uma sub-rede pode ser igual ao bloco CIDR para a VPC (para uma só sub-rede na VPC) ou um subconjunto do bloco CIDR para a VPC (para criar várias sub-redes na VPC). O tamanho do bloco permitido é entre uma máscara de rede /28 e máscara de rede /16. Se você criar mais de uma sub-rede em uma VPC, os blocos CIDR das sub-redes não podem se sobrepor.

Por exemplo, se você criar uma VPC com o bloco CIDR 10.0.0.0/24, ela oferece suporte a 256 endereços IP. Você pode quebrar esse bloco CIDR em duas sub-redes, cada um oferecendo suporte a 128 endereços IP. Uma sub-rede usa o bloco CIDR 10.0.0.0/25 (para endereços 10.0.0.0 - 10.0.0.127) e o outro usa o bloco CIDR 10.0.0.128/25 (para endereços 10.0.0.128 - 10.0.0.255).

Existem ferramentas disponíveis na Internet que ajudam a calcular e criar blocos CIDR de sub-rede IPv4. É possível encontrar ferramentas que se adequam às suas necessidades procurando termos como “calculadora de sub-rede” ou “calculadora de CIDR”. O grupo de engenharia de rede também pode ajudar a determinar os blocos CIDR para especificar as sub-redes.

Os quatro primeiros endereços IP e o último endereço IP em cada bloco CIDR de sub-rede não estão disponíveis para você usar e não podem ser atribuídos a um recurso, p. ex., a uma instância do EC2. Por exemplo, em uma sub-rede com bloco CIDR 10.0.0.0/24, os seguintes cinco endereços IP são reservados:

  • 10.0.0.0: endereço de rede.

  • 10.0.0.1: reservado pela AWS para o roteador da VPC.

  • 10.0.0.2: reservado pela AWS. O endereço IP do servidor de DNS é a base do intervalo de rede da VPC mais dois. Para VPCs com vários blocos CIDR, o endereço IP de servidor de DNS está localizado no CIDR principal. Também reservamos a base de cada intervalo de sub-rede mais dois para todos os blocos CIDR na VPC. Para mais informações, consulte Servidor de DNS da Amazon.

  • 10.0.0.3: reservado pela AWS para uso futuro.

  • 10.0.0.255: endereço de transmissão de rede. Não oferecemos suporte para transmissão em uma VPC, portanto, reservamos este endereço.

Se você criar uma sub-rede usando uma ferramenta da linha de comando ou a API do Amazon EC2, o bloco CIDR será automaticamente modificado para sua forma canônica. Por exemplo, se você especificar 100.68.0.18/18 para o bloco CIDR, criaremos um bloco CIDR de 100.68.0.0/18.

Dimensionamento da sub-rede para IPv6

Se você associou um bloco CIDR IPv6 a sua VPC, é possível associar um bloco CIDR IPv6 a uma sub-rede existente na sua VPC ou ao criar uma nova sub-rede. O bloco CIDR IPv6 de uma sub-rede é um comprimento de prefixo fixo de /64.

Existem ferramentas disponíveis na Internet para ajudar a calcular e criar blocos CIDR de sub-rede IPv6; por exemplo, IPv6 Address Planner. É possível encontrar outras ferramentas que se adequam às suas necessidades procurando termos como “calculadora de sub-rede IPv6” ou “calculadora de CIDR IPv6”. O grupo de engenharia de rede também pode ajudar a determinar os blocos CIDR IPv6 para especificar as sub-redes.

Os quatro primeiros endereços IPv6 e o último endereço IPv6 em cada bloco CIDR de sub-rede não estão disponíveis para você usar e não podem ser atribuídos a uma instância do EC2. Por exemplo, em uma sub-rede com bloco CIDR 2001:db8:1234:1a00/64, os seguintes cinco endereços IP são reservados:

  • 2001:db8:1234:1a00::

  • 2001:db8:1234:1a00::1

  • 2001:db8:1234:1a00::2

  • 2001:db8:1234:1a00::3

  • 2001:db8:1234:1a00:ffff:ffff:ffff:ffff

Roteamento de sub-rede

Cada sub-rede deve estar associada a uma tabela de rotas, que especifica as rotas permitidas para o tráfego de saída deixando a sub-rede. Cada sub-rede que você cria é automaticamente associada à tabela de rotas principal da VPC. Você pode alterar a associação e o conteúdo da tabela de rotas principal. Para mais informações, consulte Configurar tabelas de rotas.

Segurança de sub-rede

A AWS fornece dois recursos que você pode usar para aumentar a segurança da VPC: grupos de segurança e ACLs da rede. Os grupos de segurança controlam o tráfego de entrada e de saída de suas instâncias e as Network ACL controlam o tráfego de entrada e de saída de suas sub-redes. Na maioria dos casos, os grupos de segurança podem atender as suas necessidades; contudo, você também pode usar as Network ACL se desejar uma camada adicional de segurança para o seu VPC. Para obter mais informações, consulte Privacidade do tráfego entre redes na Amazon VPC.

Por design, cada sub-rede deve estar associada a um Network ACL. Toda sub-rede que você cria é automaticamente associada à ACL padrão de rede para a VPC. Você pode alterar a associação e o conteúdo do Network ACL padrão. Para obter mais informações, consulte Controlar o tráfego para sub-redes com ACLs de rede.

Você pode criar um log de fluxo em sua VPC ou sub-rede para capturar o tráfego que entra e sai das interfaces de rede em sua VPC ou sub-rede. Você também pode criar um log de fluxo em uma interface de rede individual. Para mais informações, consulte Como registrar tráfego IP em log com logs de fluxo da VPC.