Conceitos básicos da Amazon VPC usando a AWS CLI - Amazon Virtual Private Cloud
Pré-requisitosCrie uma VPCCriação de sub-redesConfiguração da conectividade com a internetCriação de um gateway NATDefinição das configurações da sub-redeCriação de grupos de segurançaVerificar sua configuração de VPCImplantação de instâncias do EC2Solução de problemasLimpar recursosTransição para o ambiente de produçãoPróximas etapas

Conceitos básicos da Amazon VPC usando a AWS CLI

Neste tutorial, você receberá orientações sobre o processo de criação de uma nuvem privada virtual (VPC) usando a AWS Command Line Interface (AWS CLI). Você aprenderá a configurar uma VPC com sub-redes públicas e privadas, estabelecer a conectividade com a internet e implantar instâncias do EC2 com o objetivo de demonstrar uma arquitetura comum para as aplicações web.

Pré-requisitos

Certifique-se de atender aos seguintes pré-requisitos antes de iniciar este tutorial:

  1. O AWS CLI. Caso ainda seja necessário instalá-la, consulte o guia de instalação da AWS CLI.

  2. Certifique-se de que a AWS CLI esteja configurada com as credenciais apropriadas. Caso ainda não tenha realizado a configuração das credenciais, execute o comando aws configure.

  3. Compreensão básica dos conceitos relacionados às redes.

  4. Identity and Access Management para o Amazon VPC, visando a criação e o gerenciamento dos recursos da VPC em sua conta da AWS.

Considerações sobre custos

O presente tutorial cria recursos da AWS que poderão incorrer em custos em sua conta. Os custos predominantes são provenientes do gateway NAT (que tem o custo de USD 0,045 por hora, acrescido das cobranças de processamento de dados) e das instâncias do EC2 (do tipo t2.micro, que tem o custo de, aproximadamente, USD 0,0116 por hora cada uma). Se você concluir este tutorial em uma hora e, em seguida, limpar todos os recursos, o custo total será de, aproximadamente, USD 0,07. Para realizar uma otimização de custos em ambientes de desenvolvimento, considere usar uma instância NAT em vez de um gateway NAT, o que pode reduzir os custos de forma significativa.

Antes de prosseguir, vamos verificar se a AWS CLI está devidamente configurada.

aws configure list

É esperado que a chave de acesso da AWS, a chave secreta e a região padrão estejam visíveis. Além disso, certifique-se de que você tem as permissões necessárias para realizar a criação de recursos da VPC.

aws sts get-caller-identity

Ao executar este comando, serão exibidos o ID da conta da AWS, o ID do usuário e o ARN, confirmando que as credenciais são válidas.

Crie uma VPC

Uma nuvem privada virtual (VPC) consiste em uma rede virtual dedicada exclusivamente à sua conta da AWS. Nesta seção, você criará uma VPC com um bloco CIDR de 10.0.0.0/16, que possibilita a alocação de até 65.536 endereços IP.

Criação da VPC

O comando apresentado a seguir cria uma nova VPC e atribui a ela uma etiqueta de nome.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=MyVPC}]'

Anote o ID da VPC apresentado na saída. Você precisará dele para os próximos comandos. Para fins ilustrativos, neste tutorial você usará “vpc-0123456789abcdef0” como um exemplo de ID da VPC. Certifique-se de substituir esse valor pelo ID correspondente à VPC em todos os comandos.

Habilitação do suporte ao DNS e dos nomes de host

Por padrão, uma nova VPC não tem suporte habilitado para resolução de DNS nem para nomes de host do DNS. Habilite esses recursos para permitir que as instâncias na VPC resolvam nomes de domínio.

aws ec2 modify-vpc-attribute --vpc-id vpc-0123456789abcdef0 --enable-dns-support
aws ec2 modify-vpc-attribute --vpc-id vpc-0123456789abcdef0 --enable-dns-hostnames

Quando executados com êxito, esses comandos não produzem saídas. Agora, a VPC conta com suporte ao DNS e resolução de nomes de host habilitados.

Criação de sub-redes

As sub-redes consistem em segmentos de um intervalo de endereços IP de uma VPC que são destinados à alocação de grupos de recursos isolados. Nesta seção, você criará sub-redes públicas e privadas em duas zonas de disponibilidade com o objetivo de garantir alta disponibilidade.

Obtenção das zonas de disponibilidade disponíveis

Primeiro, recupere as zonas de disponibilidade disponíveis em sua região.

aws ec2 describe-availability-zones

Para este tutorial, usaremos as duas primeiras zonas de disponibilidade listadas. Anote os nomes, conforme apresentado na saída, por exemplo, “us-east-1a” e “us-east-1b”.

Criação de sub-redes públicas

As sub-redes públicas são usadas para hospedar recursos que necessitam de acesso direto pela internet, como servidores web.

aws ec2 create-subnet \
  --vpc-id vpc-0123456789abcdef0 \
  --cidr-block 10.0.0.0/24 \
  --availability-zone us-east-1a \
  --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Public-Subnet-AZ1}]'

Anote o ID da sub-rede apresentado na saída. Para este tutorial, usaremos “subnet-0123456789abcdef0” como um exemplo para a primeira sub-rede pública.

aws ec2 create-subnet \
  --vpc-id vpc-0123456789abcdef0 \
  --cidr-block 10.0.1.0/24 \
  --availability-zone us-east-1b \
  --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Public-Subnet-AZ2}]'

Anote o ID da sub-rede apresentado na saída. Para este tutorial, usaremos “subnet-0123456789abcdef1” como um exemplo para a segunda sub-rede pública.

Criar sub-redes privadas

As sub-redes privadas são usadas para hospedar recursos que não devem ser acessados diretamente pela internet, como bancos de dados.

aws ec2 create-subnet \
  --vpc-id vpc-0123456789abcdef0 \
  --cidr-block 10.0.2.0/24 \
  --availability-zone us-east-1a \
  --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Private-Subnet-AZ1}]'

Anote o ID da sub-rede apresentado na saída. Para este tutorial, usaremos “subnet-0123456789abcdef2” como um exemplo para a primeira sub-rede privada.

aws ec2 create-subnet \
  --vpc-id vpc-0123456789abcdef0 \
  --cidr-block 10.0.3.0/24 \
  --availability-zone us-east-1b \
  --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Private-Subnet-AZ2}]'

Anote o ID da sub-rede apresentado na saída. Para este tutorial, usaremos “subnet-0123456789abcdef3” como um exemplo para a segunda sub-rede privada.

Neste momento, você conta com quatro sub-redes, duas sub-redes públicas e duas sub-redes privadas, distribuídas em duas zonas de disponibilidade.

Dica: ao planejar os blocos CIDR, certifique-se de que os blocos não se sobreponham às redes existentes. Em ambientes de produção, é importante alocar uma quantidade adequada de endereços IP para crescimento futuro, ao mesmo tempo em que mantém as sub-redes em um tamanho apropriado para assegurar a segurança e o gerenciamento.

Configuração da conectividade com a internet

Para permitir que os recursos na VPC estabeleçam comunicações com a internet, é necessário criar e anexar um gateway da internet. Nesta seção, você realizará a configuração da conectividade com a internet para a VPC.

Criar um gateway da Internet

Um gateway da internet possibilita a comunicação entre a VPC e a internet.

aws ec2 create-internet-gateway \
  --tag-specifications 'ResourceType=internet-gateway,Tags=[{Key=Name,Value=MyIGW}]'

Anote o ID do gateway da internet apresentado na saída. Para este tutorial, usaremos “igw-0123456789abcdef0” como um exemplo.

Anexação do gateway da internet à VPC

Após a criação do gateway da internet, é necessário anexá-lo à VPC.

aws ec2 attach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0

Criação e configuração das tabelas de rotas

As tabelas de rotas armazenam regras, chamadas de rotas, que determinam o direcionamento do tráfego de rede. Primeiro, crie uma tabela de rotas para as sub-redes públicas.

aws ec2 create-route-table \
  --vpc-id vpc-0123456789abcdef0 \
  --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=Public-RT}]'

Anote o ID da tabela de rotas apresentado na saída. Para este tutorial, usaremos “rtb-0123456789abcdef0” como um exemplo para a tabela de rotas pública.

Adicione uma rota para o gateway da internet na tabela de rotas pública.

aws ec2 create-route --route-table-id rtb-0123456789abcdef0 --destination-cidr-block 0.0.0.0/0 --gateway-id igw-0123456789abcdef0

Associe as sub-redes públicas à tabela de rotas pública.

aws ec2 associate-route-table --route-table-id rtb-0123456789abcdef0 --subnet-id subnet-0123456789abcdef0
aws ec2 associate-route-table --route-table-id rtb-0123456789abcdef0 --subnet-id subnet-0123456789abcdef1

Agora, crie uma tabela de rotas destinada às sub-redes privadas.

aws ec2 create-route-table \
  --vpc-id vpc-0123456789abcdef0 \
  --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=Private-RT}]'

Anote o ID da tabela de rotas apresentado na saída. Para este tutorial, usaremos “rtb-0123456789abcdef1” como um exemplo para a tabela de rotas privada.

Associe as sub-redes privadas à tabela de rotas privada.

aws ec2 associate-route-table --route-table-id rtb-0123456789abcdef1 --subnet-id subnet-0123456789abcdef2
aws ec2 associate-route-table --route-table-id rtb-0123456789abcdef1 --subnet-id subnet-0123456789abcdef3

Criação de um gateway NAT

Um gateway NAT permite que as instâncias localizadas em sub-redes privadas iniciem tráfego de saída para a internet, ao mesmo tempo em que impede o tráfego de entrada proveniente da internet. Essa configuração é essencial para as instâncias que necessitam fazer o download de atualizações ou acessar serviços externos.

Alocação de um IP elástico

Primeiro, aloque um endereço IP elástico para o gateway NAT.

aws ec2 allocate-address --domain vpc

Anote o ID da alocação apresentado na saída. Para este tutorial, usaremos “eipalloc-0123456789abcdef0” como um exemplo.

Criação do gateway NAT

Crie um gateway NAT em uma das sub-redes públicas, fazendo o uso do endereço IP elástico que foi alocado.

aws ec2 create-nat-gateway \
  --subnet-id subnet-0123456789abcdef0 \
  --allocation-id eipalloc-0123456789abcdef0 \
  --tag-specifications 'ResourceType=natgateway,Tags=[{Key=Name,Value=MyNATGateway}]'

Anote o ID do gateway NAT apresentado na saída. Para este tutorial, usaremos “nat-0123456789abcdef0” como um exemplo.

Antes de prosseguir, aguarde a confirmação de que o gateway NAT está disponível.

aws ec2 wait nat-gateway-available --nat-gateway-ids nat-0123456789abcdef0

Adição de uma rota para o gateway NAT

Adicione uma rota para o gateway NAT na tabela de rotas privada com a finalidade de permitir que as instâncias localizadas em sub-redes privadas acessem a internet.

aws ec2 create-route --route-table-id rtb-0123456789abcdef1 --destination-cidr-block 0.0.0.0/0 --nat-gateway-id nat-0123456789abcdef0

Observação: em ambientes de produção, considere criar um gateway NAT em cada zona de disponibilidade na qual existam sub-redes privadas com a finalidade de eliminar possíveis pontos únicos de falha.

Definição das configurações da sub-rede

Defina as sub-redes públicas para que atribuam automaticamente endereços IP públicos às instâncias que forem inicializadas nelas.

aws ec2 modify-subnet-attribute --subnet-id subnet-0123456789abcdef0 --map-public-ip-on-launch
aws ec2 modify-subnet-attribute --subnet-id subnet-0123456789abcdef1 --map-public-ip-on-launch

Essa configuração assegura que as instâncias inicializadas em sub-redes públicas recebam um endereço IP público por padrão, o que as torna acessíveis por meio da internet.

Criação de grupos de segurança

Os grupos de segurança funcionam como firewalls virtuais para as instâncias com a finalidade de controlar o tráfego de entrada e de saída. Nesta seção, você criará grupos de segurança para servidores web e para servidores de banco de dados.

Criação de um grupo de segurança para os servidores web

aws ec2 create-security-group \
  --group-name WebServerSG \
  --description "Security group for web servers" \
  --vpc-id vpc-0123456789abcdef0

Anote o ID do grupo de segurança apresentado na saída. Para este tutorial, usaremos “sg-0123456789abcdef0” como um exemplo para o grupo de segurança do servidor web.

Permita o tráfego HTTP e HTTPS direcionado aos servidores web.

aws ec2 authorize-security-group-ingress --group-id sg-0123456789abcdef0 --protocol tcp --port 80 --cidr 0.0.0.0/0
aws ec2 authorize-security-group-ingress --group-id sg-0123456789abcdef0 --protocol tcp --port 443 --cidr 0.0.0.0/0

Observação: em ambientes de produção, restrinja o tráfego de entrada a intervalos de endereços IP específicos, em vez de permitir tráfego proveniente de 0.0.0.0/0, que corresponde a qualquer endereço IP.

Criação de um grupo de segurança para os servidores de banco de dados

aws ec2 create-security-group \
  --group-name DBServerSG \
  --description "Security group for database servers" \
  --vpc-id vpc-0123456789abcdef0

Anote o ID do grupo de segurança apresentado na saída. Para este tutorial, usaremos “sg-0123456789abcdef1” como um exemplo para o grupo de segurança do servidor de banco de dados.

Permita o tráfego MySQL/Aurora proveniente exclusivamente dos servidores web.

aws ec2 authorize-security-group-ingress --group-id sg-0123456789abcdef1 --protocol tcp --port 3306 --source-group sg-0123456789abcdef0

Essa configuração assegura que somente as instâncias incluídas no grupo de segurança dos servidores web possam estabelecer conexões com os servidores de banco de dados pela porta 3306, atendendo ao princípio do privilégio mínimo.

Verificar sua configuração de VPC

Após a criação de todos os componentes necessários, verifique a configuração da VPC para assegurar que todos os elementos estejam devidamente configurados.

Verificação da VPC

aws ec2 describe-vpcs --vpc-id vpc-0123456789abcdef0

Verificação das sub-redes

aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-0123456789abcdef0"

Verificação das tabelas de rotas

aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-0123456789abcdef0"

Verificação do gateway da internet

aws ec2 describe-internet-gateways --filters "Name=attachment.vpc-id,Values=vpc-0123456789abcdef0"

Verificação do gateway NAT

aws ec2 describe-nat-gateways --filter "Name=vpc-id,Values=vpc-0123456789abcdef0"

Verificação dos grupos de segurança

aws ec2 describe-security-groups --filters "Name=vpc-id,Values=vpc-0123456789abcdef0"

Esses comandos fornecem informações detalhadas sobre cada componente da VPC, permitindo que você verifique se tudo está configurado corretamente.

Implantação de instâncias do EC2

Agora que você criou a infraestrutura da VPC, é possível realizar a implantação das instâncias do EC2 para demonstrar como a arquitetura funciona. Você realizará a inicialização de um servidor web em uma sub-rede pública e de um servidor de banco de dados em uma sub-rede privada.

Criação de um par de chaves para permitir o acesso usando o SSH

Primeiro, crie um par de chaves para se conectar com segurança às instâncias:

aws ec2 create-key-pair --key-name vpc-tutorial-key --query 'KeyMaterial' --output text > vpc-tutorial-key.pem
chmod 400 vpc-tutorial-key.pem

Esse comando cria um novo par de chaves e armazena a chave privada em um arquivo com permissões de acesso restritas.

Localização da versão mais atual da AMI do Amazon Linux 2

Localize a versão mais atual da AMI do Amazon Linux 2 para usar nas instâncias:

aws ec2 describe-images --owners amazon \
  --filters "Name=name,Values=amzn2-ami-hvm-*-x86_64-gp2" "Name=state,Values=available" \
  --query "sort_by(Images, &CreationDate)[-1].ImageId" --output text

Anote o ID da AMI apresentado na saída. Para este tutorial, usaremos “ami-0123456789abcdef0” como um exemplo.

Inicialização de um servidor web na sub-rede pública

Agora, realize a inicialização de uma instância do EC2 na sub-rede pública para funcionar como um servidor web:

aws ec2 run-instances \
  --image-id ami-0123456789abcdef0 \
  --count 1 \
  --instance-type t2.micro \
  --key-name vpc-tutorial-key \
  --security-group-ids sg-0123456789abcdef0 \
  --subnet-id subnet-0123456789abcdef0 \
  --associate-public-ip-address \
  --user-data '#!/bin/bash
                yum update -y
                yum install -y httpd
                systemctl start httpd
                systemctl enable httpd
                echo "<h1>Hello from $(hostname -f)</h1>" > /var/www/html/index.html' \
  --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=WebServer}]'

Anote o ID da instância apresentado na saída. Para este tutorial, usaremos “i-0123456789abcdef0” como um exemplo para a instância do servidor web.

Inicialização de um servidor de banco de dados na sub-rede privada

Em seguida, realize a inicialização de uma instância do EC2 na sub-rede privada para funcionar como um servidor de banco de dados:

aws ec2 run-instances \
  --image-id ami-0123456789abcdef0 \
  --count 1 \
  --instance-type t2.micro \
  --key-name vpc-tutorial-key \
  --security-group-ids sg-0123456789abcdef1 \
  --subnet-id subnet-0123456789abcdef2 \
  --user-data '#!/bin/bash
                yum update -y
                yum install -y mariadb-server
                systemctl start mariadb
                systemctl enable mariadb' \
  --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=DBServer}]'

Anote o ID da instância apresentado na saída. Para este tutorial, usaremos “i-0123456789abcdef1” como um exemplo para a instância do servidor de banco de dados.

Acesso ao servidor web

Uma vez que a instância do servidor web esteja em execução, você pode acessá-la usando o endereço IP público:

aws ec2 describe-instances \
  --instance-ids i-0123456789abcdef0 \
  --query 'Reservations[0].Instances[0].PublicIpAddress' \
  --output text

Esse comando fornecerá como saída o endereço IP público atribuído ao servidor web. Para este tutorial, usaremos “203.0.113.10” como um exemplo.

Agora você pode acessar este URL por meio do navegador web: http://203.0.113.10

Conexão com as instâncias usando o SSH

Para estabelecer conexões com o servidor web:

ssh -i vpc-tutorial-key.pem ec2-user@203.0.113.10

Para estabelecer conexões com o servidor de banco de dados, é necessário acessar primeiro o servidor web usando o SSH e, em seguida, acessar o servidor de banco de dados:

# Get the private IP of the database server
aws ec2 describe-instances \
  --instance-ids i-0123456789abcdef1 \
  --query 'Reservations[0].Instances[0].PrivateIpAddress' \
  --output text

Esse comando fornecerá como saída o endereço IP privado atribuído ao servidor de banco de dados. Para este tutorial, usaremos “10.0.2.10” como um exemplo.

# First SSH to web server, then to database server
ssh -i vpc-tutorial-key.pem -A ec2-user@203.0.113.10
ssh ec2-user@10.0.2.10

Essa configuração demonstra a arquitetura de rede que você criou. O servidor web está disponível publicamente, enquanto o servidor de banco de dados permanece acessível exclusivamente no âmbito da VPC.

Solução de problemas

A seguir, apresentamos alguns problemas comuns que podem ocorrer durante a criação de uma VPC e as respectivas soluções:

Sobreposições de blocos CIDR

Se você receber um erro relacionado às sobreposições de blocos CIDR, certifique-se de que os blocos CIDR para a VPC e para as sub-redes não se sobreponham às demais VPCs ou sub-redes existentes em sua conta.

Erros relacionados às permissões

Se você enfrentar erros relacionados às permissões, verifique se o perfil ou o usuário do IAM tem as permissões necessárias para realizar a criação e o gerenciamento de recursos da VPC. Pode ser necessário anexar a política AmazonVPCFullAccess ou criar uma política personalizada que contenha as permissões requeridas.

Limites de recursos

As contas da AWS estão sujeitas a limites padrão quanto à quantidade de VPCs, sub-redes e outros recursos que podem ser criados. Se você atingir esses limites, é possível solicitar um aumento por meio do AWS Support Center.

Falhas de dependência ocorridas durante a limpeza

Ao realizar a limpeza dos recursos, é possível enfrentar erros relacionados à dependência ao tentar excluir os recursos em uma ordem inadequada. Sempre realize a exclusão dos recursos na ordem reversa da criação, começando pelos recursos com maior dependência.

Limpar recursos

Quando você concluir o uso da VPC, poderá limpar os recursos para evitar que incorram em cobranças. Realize a exclusão dos recursos na ordem reversa à criação a fim de gerenciar adequadamente as dependências.

Encerramento de instâncias do EC2

aws ec2 terminate-instances --instance-ids i-0123456789abcdef0 i-0123456789abcdef1
aws ec2 wait instance-terminated --instance-ids i-0123456789abcdef0 i-0123456789abcdef1

Exclusão do par de chaves

aws ec2 delete-key-pair --key-name vpc-tutorial-key
rm vpc-tutorial-key.pem

Exclusão do gateway NAT

aws ec2 delete-nat-gateway --nat-gateway-id nat-0123456789abcdef0
aws ec2 wait nat-gateway-deleted --nat-gateway-ids nat-0123456789abcdef0

Liberação do IP elástico

aws ec2 release-address --allocation-id eipalloc-0123456789abcdef0

Exclusão de grupos de segurança

aws ec2 delete-security-group --group-id sg-0123456789abcdef1
aws ec2 delete-security-group --group-id sg-0123456789abcdef0

Exclusão de tabelas de rotas

Primeiro, localize os IDs de associação da tabela de rotas:

aws ec2 describe-route-tables --route-table-id rtb-0123456789abcdef0
aws ec2 describe-route-tables --route-table-id rtb-0123456789abcdef1

Em seguida, desassocie as tabelas de rotas das sub-redes ao substituir os IDs de associação pelos IDs retornados na saída:

aws ec2 disassociate-route-table --association-id rtbassoc-0123456789abcdef0
aws ec2 disassociate-route-table --association-id rtbassoc-0123456789abcdef1
aws ec2 disassociate-route-table --association-id rtbassoc-0123456789abcdef2
aws ec2 disassociate-route-table --association-id rtbassoc-0123456789abcdef3

Em seguida, exclua as tabelas de rotas:

aws ec2 delete-route-table --route-table-id rtb-0123456789abcdef1
aws ec2 delete-route-table --route-table-id rtb-0123456789abcdef0

Desanexação e exclusão do gateway da internet

aws ec2 detach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0
aws ec2 delete-internet-gateway --internet-gateway-id igw-0123456789abcdef0

Exclusão de sub-redes

aws ec2 delete-subnet --subnet-id subnet-0123456789abcdef0
aws ec2 delete-subnet --subnet-id subnet-0123456789abcdef1
aws ec2 delete-subnet --subnet-id subnet-0123456789abcdef2
aws ec2 delete-subnet --subnet-id subnet-0123456789abcdef3

Exclusão da VPC

aws ec2 delete-vpc --vpc-id vpc-0123456789abcdef0

Transição para o ambiente de produção

Este tutorial foi desenvolvido com o objetivo auxiliar você a aprender como criar uma VPC usando a AWS CLI. Em ambientes de produção, considere as seguintes práticas recomendadas de segurança e de arquitetura:

  1. Regras do grupo de segurança: restrinja o tráfego de entrada a intervalos de endereços IP específicos, em vez de permitir tráfego proveniente de 0.0.0.0/0.

  2. Alta disponibilidade: implante gateways NAT em cada zona de disponibilidade em que existir sub-redes privadas com a finalidade de eliminar possíveis pontos únicos de falha.

  3. ACLs da rede: implemente listas de controle de acesso à rede (ACLs da rede) como uma camada adicional de segurança além dos grupos de segurança.

  4. Logs de fluxo da VPC: habilite os logs de fluxo da VPC para monitorar e analisar os padrões de tráfego de rede.

  5. Marcação de recursos: implemente uma estratégia de marcação abrangente para facilitar o gerenciamento de recursos.

Para obter mais informações sobre o desenvolvimento de arquiteturas prontas para o ambiente de produção, consulte Framework Well-Architected da AWS e Práticas recomendadas de segurança da AWS.

Próximas etapas

Agora que você criou uma VPC com sub-redes públicas e privadas, é possível:

  1. Iniciar instâncias do EC2 localizadas em sub-redes públicas ou privadas.

  2. Implantar balanceadores de carga para distribuir o tráfego entre diversas instâncias.

  3. Configurar grupos do Auto Scaling para a obtenção de alta disponibilidade e escalabilidade.

  4. Definir bancos de dados do RDS nas sub-redes privadas.

  5. Implementar o emparelhamento da VPC para estabelecer conexões com outras VPCs.

  6. Configurar conexões VPN para estabelecer conexões entre a VPC e a rede on-premises.