VPCs padrão - Amazon Virtual Private Cloud

VPCs padrão

Quando começa a usar o Amazon VPC, você tem uma VPC padrão em cada região da AWS. Uma VPC padrão vem com uma sub-rede pública em cada zona de disponibilidade, um gateway da Internet e configurações para habilitar a resolução de DNS. Portanto, você pode começar a iniciar imediatamente instâncias do Amazon EC2 em uma VPC padrão. Você também pode usar serviços como Elastic Load Balancing, Amazon RDS e Amazon EMR em sua VPC padrão.

Uma VPC padrão é adequada para começar a operar rapidamente e iniciar instâncias públicas, como um blog ou um site simples. Você pode modificar os componentes da VPC padrão conforme necessário.

Você também pode adicionar sub-redes à VPC padrão. Para mais informações, consulte Crie uma sub-rede na VPC.

Componentes da VPC padrão

Quando criamos uma VPC padrão, nós realizamos as seguintes etapas para configurá-la:

  • Crie uma VPC com um bloco CIDR IPv4 de tamanho /16 (172.31.0.0/16). Isso fornece até 65.536 endereços IPv4 privados.

  • Crie uma sub-rede padrão de tamanho /20 em cada zona de disponibilidade. Isso fornece até 4.096 endereços por sub-rede, alguns dos quais são reservados para nosso uso.

  • Crie um gateway da internet e conecte-o à VPC padrão.

  • Crie uma rota na tabela de rotas que direcione todo o tráfego (0.0.0.0/0) para o gateway da Internet.

  • Criar um security group padrão e associá-lo à sua VPC padrão.

  • Criar uma lista de controle de acesso de rede padrão e associá-la à sua VPC padrão.

  • Associar o conjunto padrão de opções de DHCP da sua conta da AWS a sua VPC padrão.

nota

A Amazon cria os recursos acima em seu nome. As políticas do IAM não se aplicam a essas ações porque você não as executa. Por exemplo, se você tiver uma política do IAM que nega a possibilidade de chamar CreateInternetGateway, e você chamar CreateDefaultVpc, o gateway da Internet na VPC padrão ainda será criado.

A figura a seguir ilustra os principais componentes que configuramos para uma VPC padrão.


				Criamos uma VPC padrão em cada região, com uma sub-rede padrão em cada zona de disponibilidade.

A tabela a seguir mostra as rotas na tabela de rotas principal para a VPC padrão.

Destination (Destino) Destino
172.31.0.0/16 local
0.0.0.0/0 internet_gateway_id

Você pode usar uma VPC padrão como usaria qualquer outra VPC:

  • Adicionar mais sub-redes não padrão.

  • Modificar a tabela de rotas principal.

  • Adicionar mais tabelas de rotas.

  • Associar security groups adicionais.

  • Atualizar as regras do security group padrão.

  • Adicione conexões do AWS Site-to-Site VPN.

  • Adicione mais blocos CIDR IPv4.

  • Acesse VPCs em uma região remota usando um gateway Direct Connect. Para obter informações sobre opções do gateway Direct Connect, consulte Gateways Direct Connect no Manual do usuário do AWS Direct Connect.

Você pode usar uma sub-rede padrão da mesma forma como usaria qualquer outra sub-rede: adicionar tabelas de rotas personalizadas e definir Network ACLs. Você também pode especificar uma sub-rede padrão específica ao executar uma instância do EC2.

É possível associar, opcionalmente, um bloco CIDR IPv6 à VPC padrão. Para obter mais informações, Trabalhar com VPCs.

Sub-redes padrão

Por padrão, uma sub-rede padrão é uma sub-rede pública, porque a tabela de rotas principal envia o tráfego da sub-rede destinado para a internet para o gateway da internet. É possível transformar uma sub-rede padrão em uma sub-rede privada removendo a rota do destino 0.0.0.0/0 para o gateway da internet. No entanto, se você fizer isso, nenhuma instância do EC2 executada nessa sub-rede poderá acessar a Internet.

As instâncias que você executa em uma sub-rede padrão recebem um endereço IPv4 público e um endereço IPv4 privado, e os dois nomes de host DNS público e privado. As instâncias iniciadas em uma sub-rede não padrão em uma VPC padrão não recebem um endereço IPv4 público nem um nome de host DNS. É possível alterar o comportamento do endereçamento IP público padrão da sub-rede. Para obter mais informações, consulte Modificar o atributo de endereçamento IPv4 público para a sub-rede.

Periodicamente, a AWS poderá adicionar uma nova zona de disponibilidade a uma região. Na maioria dos casos, criaremos automaticamente uma nova sub-rede padrão nessa zona de disponibilidade para sua VPC padrão dentro de alguns dias. No entanto, se você tiver feito modificações na VPC padrão, não adicionaremos uma nova sub-rede padrão. Se quiser uma sub-rede padrão para a nova zona de disponibilidade, você mesmo poderá criar uma. Para mais informações, consulte Criar uma sub-rede padrão.

Visualizar a VPC e as sub-redes padrão

É possível visualizar a VPC e as sub-redes padrão usando o console da Amazon VPC ou a linha de comando.

Para visualizar a VPC e as sub-redes padrão usando o console da
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs).

  3. Na coluna Default VPC, procure um valor de Yes. Anote o ID da VPC padrão.

  4. No painel de navegação, escolha Sub-redes.

  5. Na barra de pesquisa, digite o ID da VPC padrão. As sub-redes retornadas são sub-redes na VPC padrão.

  6. Para verificar quais sub-redes são sub-redes padrão, procure um valor de Yes na coluna Default Subnet.

Para descrever a VPC padrão usando a linha de comando

Use os comandos com o filtro isDefault e defina o valor do filtro como true.

Para descrever as sub-redes padrão usando a linha de comando

Use os comandos com o filtro vpc-id e defina o valor do filtro como o ID da VPC padrão. Na saída, o campo DefaultForAz é definido como true para as sub-redes padrão.

Criar uma VPC padrão

Se excluir a VPC padrão, você poderá criar uma nova. Você não pode recuperar um VPC padrão anterior excluída e não pode marcar uma VPC não padrão existente como uma VPC padrão. Se sua conta oferecer suporte a EC2-Classic, você não poderá usar estes procedimentos para criar uma VPC padrão em uma região que ofereça suporte a EC2-Classic.

Quando você cria uma VPC padrão, ela é criada com os componentes padrão de uma VPC padrão, incluindo uma sub-rede padrão em cada zona de disponibilidade. Você não pode especificar seus próprios componentes. Os blocos CIDR da sub-rede da nova VPC padrão não podem ser mapeados para as mesmas zonas de disponibilidade que a VPC padrão anterior. Por exemplo, se a sub-rede com o bloco CIDR 172.31.0.0/20 foi criada em us-east-2a na VPC padrão anterior, ela poderá ser criada em us-east-2b na nova VPC padrão.

Se você já tem uma VPC padrão na região, não pode criar outra.

Para criar uma VPC padrão usando o console da
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs).

  3. Escolha Actions, Create Default VPC.

  4. Escolha Create (Criar OpsItem). Feche a tela de confirmação.

Para criar uma VPC padrão usando a linha de comando

Você pode usar o comando create-default-vpc da AWS CLI. Esse comando não tem nenhum parâmetro de entrada.

aws ec2 create-default-vpc

A seguir está um exemplo de saída.

{ "Vpc": { "VpcId": "vpc-3f139646", "InstanceTenancy": "default", "Tags": [], "Ipv6CidrBlockAssociationSet": [], "State": "pending", "DhcpOptionsId": "dopt-61079b07", "CidrBlock": "172.31.0.0/16", "IsDefault": true } }

Como alternativa, você pode usar o comando New-EC2DefaultVpc do Tools for Windows PowerShell ou a ação CreateDefaultVpc da API do Amazon EC2.

Criar uma sub-rede padrão

Você pode criar uma sub-rede padrão em uma zona de disponibilidade que não tenha uma. Por exemplo, talvez você queira criar uma sub-rede padrão se tiver excluído uma sub-rede padrão ou se a AWS tiver adicionado uma nova zona de disponibilidade e não tiver criado automaticamente uma sub-rede padrão para essa zona na VPC padrão.

Quando você cria uma sub-rede padrão, ela vem com um bloco CIDR IPv4 de tamanho /20 no espaço contíguo seguinte disponível na VPC padrão. As seguintes regras se aplicam:

  • Você não pode especificar o bloco CIDR sozinho.

  • Você não pode restaurar uma sub-rede padrão anterior que tenha excluído.

  • Você pode ter somente uma sub-rede padrão por zona de disponibilidade.

  • Não é possível criar uma sub-rede padrão em uma VPC não padrão.

Se a sua VPC padrão não tiver espaço de endereço suficiente para criar um bloco CIDR de tamanho /20, a solicitação falhará. Se você precisar de mais espaço de endereço, pode adicionar um bloco CIDR IPv4 à sua VPC.

Se você tiver associado um bloco CIDR IPv6 à VPC padrão, a nova sub-rede padrão não receberá automaticamente um bloco CIDR IPv6. Em vez disso, você pode associar um bloco CIDR IPv6 à sub-rede padrão depois de criá-la. Para obter mais informações, consulte Associar um bloco CIDR IPv6 à sub-rede.

Não é possível criar uma sub-rede padrão usando o AWS Management Console.

Como criar uma sub-rede padrão usando a AWS CLI

Use o comando create-default-subnet da AWS CLI e especifique a zona de disponibilidade na qual a sub-rede deve ser criada.

aws ec2 create-default-subnet --availability-zone us-east-2a

A seguir está um exemplo de saída.

{ "Subnet": { "AvailabilityZone": "us-east-2a", "Tags": [], "AvailableIpAddressCount": 4091, "DefaultForAz": true, "Ipv6CidrBlockAssociationSet": [], "VpcId": "vpc-1a2b3c4d", "State": "available", "MapPublicIpOnLaunch": true, "SubnetId": "subnet-1122aabb", "CidrBlock": "172.31.32.0/20", "AssignIpv6AddressOnCreation": false } }

Para obter mais informações sobre a configuração da AWS CLI, consulte o Manual do usuário da AWS Command Line Interface.

Como alternativa, é possível usar o comando New-EC2DefaultSubnet do Tools for Windows PowerShell ou a ação CreateDefaultSubnet da API do Amazon EC2.

Excluir sub-redes e VPC padrão

É possível excluir uma sub-rede padrão ou uma VPC padrão, assim como qualquer outra sub-rede ou VPC. Para obter mais informações, consulte Trabalhar com VPCs. No entanto, ao excluir suas sub-redes padrão ou VPC padrão, é preciso especificar explicitamente uma sub-rede em outra VPC para iniciar a instância, porque você não poderá iniciar as instâncias no EC2-Classic. Se você não tiver outra VPC, será preciso criar uma VPC não padrão e uma sub-rede não padrão. Para obter mais informações, consulte Criar uma VPC.

Se excluir a VPC padrão, você poderá criar uma nova. Para obter mais informações, consulte Criar uma VPC padrão.

Se excluir uma sub-rede padrão, você poderá criar uma nova. Para mais informações, consulte Criar uma sub-rede padrão. Para garantir que o comportamento da nova sub-rede padrão seja o desejável, modifique o atributo da sub-rede para atribuir endereços IP públicos às instâncias executadas naquela sub-rede. Para obter mais informações, consulte Modificar o atributo de endereçamento IPv4 público para a sub-rede. Você pode ter somente uma sub-rede padrão por zona de disponibilidade. Não é possível criar uma sub-rede padrão em uma VPC não padrão.