Como funciona a Amazon VPC - Amazon Virtual Private Cloud
VPCs e sub-redesVPCs padrão e não padrãoEndereçamento IPTabelas de rotasAcesso à InternetAcessar uma rede corporativa ou domésticaConectar VPCs e redesAWSConsiderações sobre a rede global privada da

Como funciona a Amazon VPC

A Amazon Virtual Private Cloud (Amazon VPC) permite iniciar recursos da AWS em uma rede virtual definida por você. Essa rede virtual se assemelha a uma rede tradicional que você operaria no seu datacenter, com os benefícios de usar a infraestrutura dimensionável da AWS.

VPCs e sub-redes

Uma nuvem privada virtual (VPC) é uma rede virtual dedicada à sua conta da AWS. Ela é isolada de maneira lógica de outras redes virtuais na Nuvem da AWS. Você pode especificar um intervalo de endereços IP para a VPC, adicionar sub-redes, adicionar gateways e associar grupos de segurança.

Uma sub-rede é uma gama de endereços IP na VPC. Você inicia recursos da AWS, como instâncias do Amazon EC2, nas suas sub-redes. É possível conectar uma sub-rede à Internet, outras VPCs e aos seus próprios datacenters e rotear tráfego de e para as suas sub-redes utilizando tabelas de rotas.

Saiba mais

VPCs padrão e não padrão

Se a conta foi criada após 4/12/2013, ela vem com uma VPC padrão em cada região. Uma VPC padrão está configurada e pronta para uso. Por exemplo, ela tem uma sub-rede padrão em cada zona de disponibilidade da região, um gateway da Internet anexado, uma rota na tabela de rotas principal que envia todo o tráfego para o gateway da Internet e configurações de DNS que atribuem automaticamente nomes de hosts DNS públicos a instâncias com endereços IP públicos e habilitam a resolução de DNS por meio do servidor de DNS fornecido pela Amazon (consulte Atributos de DNS em sua VPC). Portanto, uma instância do EC2 iniciada em uma sub-rede padrão automaticamente tem acesso à Internet. Se você tiver uma VPC padrão em uma região e não especificar uma sub-rede quando iniciar uma instância do EC2 naquela região, uma das sub-redes padrão será escolhida e a instância será iniciada nessa sub-rede.

Você também pode criar sua própria VPC e configurá-la conforme necessário. Isso é conhecido como uma VPC não padrão. As sub-redes criadas na VPC não padrão e as sub-redes adicionais criadas na VPC padrão são chamadas de sub-redes não padrão.

Saiba mais

Endereçamento IP

Os endereços IP habilitam recursos na sua VPC para se comunicar com outros e com recursos na Internet.

A notação de Classless Inter-Domain Routing (CIDR) é uma forma de representar um endereço IP e sua máscara de rede. O formato desses endereços é:

  • Um endereço IPv4 individual tem 32 bits, com quatro grupos de até três dígitos decimais. Por exemplo: 10.0.1.0.

  • Um bloco CIDR IPv4 tem quatro grupos de até três dígitos decimais, 0-255, separados por pontos finais, seguidos por uma barra e um número de 0 a 32. Por exemplo, 10.0.0.0/16.

  • Um endereço IPv6 individual tem 128 bits, com 8 grupos de 4 dígitos hexadecimais. Por exemplo: 2001:0db8:85a3:0000:0000:8a2e:0370:7334.

  • Um bloco CIDR IPv6 tem quatro grupos de até quatro dígitos hexadecimais, separados por caracteres de dois pontos, seguidos por dois caractere dois pontos, uma barra e um número de 1 a 128. Por exemplo: 2001:db8:1234:1a00::/56.

Para obter mais informações, consulte Roteamento sem classe entre domínios na Wikipédia.

Ao criar uma VPC, você deve atribuí-la a um bloco CIDR IPv4 (uma variedade de endereços IPv4 privados), um bloco CIDR IPv6 ou ambos os blocos (dupla pilha).

Os endereços IPv4 privados não podem ser acessados pela Internet. Endereços IPv6 são globalmente exclusivos e podem ser configurados para permanecer privados ou acessíveis pela Internet.

A VPC pode operar em modo de pilha dupla. Isso significa que seus recursos podem se comunicar por IPv4, IPv6 ou IPv4 e IPv6. Os endereços IPv4 e IPv6 são independentes um do outro. É necessário adicionar rotas e regras de grupo de segurança distintas para IPv4 e IPv6.

Comparar IPv4 e IPv6

A tabela a seguir resume as diferenças entre IPv4 e IPv6 no Amazon EC2 e na Amazon VPC.

Característica IPv4 IPv6
Tamanho da VPC Até 5 CIDRs de /16 a /28. Essa cota é ajustável. Até 5 CIDRs fixos em /56. Esta cota não é ajustável.
Tamanho da sub-rede De /16 a /28 Fixo em /64
Seleção de endereço Você pode escolher o bloco CIDR IPv4 para sua VPC ou alocar um bloco CIDR do Amazon VPC IP Address Manager (IPAM). Para mais informações, consulte What is IPAM? (O que é IPAM?) no Guia do usuário do Amazon VPC IPAM. Você pode trazer seu próprio bloco CIDR IPv6 para sua VPC na AWS, escolher um bloco CIDR IPv6 fornecido pela Amazon ou alocar um bloco CIDR do Amazon VPC IP Address Manager (IPAM). Para mais informações, consulte What is IPAM? (O que é IPAM?) no Guia do usuário do Amazon VPC IPAM.
Endereços IP elásticos Compatível Sem suporte
Gateways NAT Compatível Sem suporte
VPC endpoints Compatível Sem suporte
Instâncias do EC2 Compatível com todos os tipos de instâncias Compatível com todas as instâncias da geração atual além de instâncias C3, R3 e I2.
AMIs Compatível com todas as AMIs Compatível com AMIs configuradas para DHCPv6
Nomes de DNS As instâncias recebem um IPBN fornecido pela Amazon ou nomes de DNS baseados em RBN. O nome DNS determina os registros DNS selecionados para a instância. A instância recebe um IPBN fornecido pela Amazon ou nomes de DNS baseados em RBN. O nome DNS determina os registros DNS selecionados para a instância.

Endereços IPv4 privados

Endereços IPv4 privados (também chamados de endereços IP privados neste tópico) não são acessíveis pela Internet e podem ser usados para comunicação entre as instâncias na VPC. Quando você inicia uma instância em uma VPC, um endereço IP privado primário do intervalo de endereços IPv4 da sub-rede é atribuído à interface de rede (eth0) padrão da instância. Cada instância também recebe um nome do host DNS privado (interno) que determina o endereço IP privado da instância. O nome do host pode ser de dois tipos: baseado em recursos ou baseado em IP. Para obter mais informações, consulte Nomeação de instâncias do EC2. Se você não especificar um endereço IP privado primário, selecionaremos um endereço IP disponível no intervalo da sub-rede. Para obter mais informações sobre interfaces de rede, consulte Interfaces de rede elástica no Manual do usuário do Amazon EC2 para instâncias do Linux.

Você pode atribuir endereços IP privados adicionais, conhecidos como endereços IP privados secundários, a instâncias que estejam sendo executadas em uma VPC. Ao contrário de um endereço IP privado primário, você poderá atribuir novamente um endereço IP privado secundário de uma interface de rede para outra. Um endereço IP privado permanece associado à interface de rede quando a instância é interrompida e reiniciada e é liberada quando a instância é terminada. Para obter mais informações sobre endereços IP primários e secundários, consulte Vários endereços IP no Manual do usuário do Amazon EC2 para instâncias do Linux.

Fazemos referência a endereços IP privados como os endereços IP que estão dentro do intervalo CIDR IPv4 da VPC. A maioria dos intervalos de endereço IP da VPC se enquadram nas escalas de endereços IP privados (não roteáveis publicamente) especificados no RFC 1918. No entanto, você pode usar blocos CIDR roteáveis publicamente para sua VPC. Independentemente do intervalo de endereço IP da VPC, não oferecemos suporte para acesso direto à Internet do bloco CIDR da VPC, incluindo um bloco CIDR publicamente roteável. É necessário configurar o acesso à Internet por meio de um gateway. Por exemplo, um gateway da Internet, um gateway privado virtual, uma conexão do AWS Site-to-Site VPN ou do AWS Direct Connect.

Endereços IPv4 públicos

Todas as sub-redes têm um atributo que determina se uma interface de rede criada na sub-rede recebe automaticamente um endereço público IPv4 (também referido como um endereço IP público neste tópico). Portanto, quando você inicia uma instância em uma sub-rede que possui esse atributo habilitado, um endereço IP público é atribuído à interface de rede primária (eth0) criada para a instância. Um endereço IP público é mapeado para o endereço IP privado primário pela tradução de endereço de rede (NAT).

Você pode controlar se sua instância recebe um endereço IP público fazendo o seguinte:

  • Modificação do atributo de endereçamento IP público da sua sub-rede. Para obter mais informações, consulte Modificar o atributo de endereçamento IPv4 público para a sub-rede.

  • Habilitando ou desabilitando o recurso de endereçamento IP público durante a inicialização da instância, que substitui o atributo de endereçamento IP público da sub-rede.

Um endereço IP público é atribuído do grupo da Amazon de endereços IP públicos; não está associado à sua conta. Quando um endereço IP público é desassociado de sua instância, ele é lançado de volta para o grupo e não está mais disponível para você usar. Você não pode associar manualmente ou desassociar um endereço IP público. Em vez disso, em certos casos, liberamos o endereço IP público de sua instância ou atribuímos um novo. Para obter mais informações, consulte Endereços IP públicos no Manual do usuário do Amazon EC2 para instâncias do Linux.

Se você precisar de um endereço IP público persistente alocado para sua conta, que pode ser atribuído e removido de instâncias conforme necessário, use um endereço IP elástico em vez disso. Para obter mais informações, consulte Associar endereços de IP elásticos a recursos em sua VPC.

Se sua VPC estiver ativada para oferecer suporte a nomes de host DNS, cada instância que recebe um endereço IP público ou um endereço IP elástico e um nome de host DNS público. Resolvemos um nome de host DNS público para o endereço IP público da instância fora da rede da instância e para o endereço IP privado da instância dentro da rede da instância. Para obter mais informações, consulte Atributos de DNS para sua VPC.

Endereços IPv6

Você pode opcionalmente associar um bloco CIDR IPv6 a sua VPC e sub-redes. Para obter mais informações, consulte Associar um bloco CIDR IPv6 à sub-rede.

A sua instância em uma VPC recebe um endereço IPv6 se um bloco CIDR IPv6 estiver associado a sua VPC e sua sub-rede, e se uma das seguintes afirmações for verdadeira:

  • Sua sub-rede está configurada para atribuir automaticamente um endereço IPv6 à interface de rede principal de uma instância durante a inicialização.

  • Você atribui manualmente um endereço IPv6 à sua instância durante a inicialização.

  • Você atribui um endereço IPv6 à sua instância após a inicialização.

  • Você atribui um endereço IPv6 a uma interface de rede na mesma sub-rede e anexa a interface de rede à instância após a execução.

Quando a instância recebe um endereço IPv6 durante a execução, o endereço é associado à interface de rede primária (eth0) da instância. Você pode desassociar o endereço IPv6 da interface de rede primária. Não oferecemos suporte a nomes de host DNS IPv6 da instância.

Um endereço IPv6 persiste quando você para e inicia a instância, e é liberado quando você termina a instância. Você não pode atribuir novamente um endereço IPv6 enquanto ele estiver atribuído a outra interface de rede — você deve primeiro cancelar a atribuição.

Você pode atribuir endereços IPv6 adicionais à instância atribuindo-os a uma interface de rede anexada à instância. O número de endereços IPv6 que você pode atribuir a uma interface de rede e o número de interfaces de rede que você pode anexar a uma instância varia de acordo com o tipo de instância. Para obter mais informações, consulte Endereços IP por interface de rede por tipo de instância no Manual do usuário do Amazon EC2.

Os endereços IPv6 são globalmente exclusivos e podem ser configurados para permanecer privados ou acessíveis pela Internet. Você pode controlar se as instâncias são acessíveis através de seus endereços IPv6, controlando o roteamento da sua sub-rede ou usando o security group e as regras de Network ACL. Para obter mais informações, consulte Privacidade do tráfego entre redes na Amazon VPC.

Para obter mais informações sobre intervalos de endereço IPv6 reservados, consulte Registro de endereço para finalidades especiais IANA IPv6 e RFC4291.

Use seus próprios endereços IP

É possível trazer todo ou parte do seu próprio intervalo público de endereços IPv4 ou intervalo de endereços IPv6 para sua conta da AWS. Você continua a ter o intervalo de endereços, mas a AWS o anuncia na Internet por padrão. Depois de levar o intervalo de endereços para a AWS, ele aparece em sua conta como um grupo de endereços. É possível criar um endereço IP elástico pelo grupo de endereços IPv4 e associar um bloco CIDR IPv6 do grupo de endereços IPv6 a uma VPC.

Para obter mais informações, consulte Bring your own IP addresses (BYOIP) no Manual do usuário do Amazon EC2 para instâncias do Linux.

Tabelas de rotas

Uma tabela de rotas contém um conjunto de regras chamado de rotas, as quais são usadas para determinar para onde o tráfego de rede da VPC é direcionado. Você pode associar explicitamente uma sub-rede a uma tabela de rotas específica. Caso contrário, a sub-rede é implicitamente associada à tabela de rotas principal.

Cada rota em uma tabela de rotas especifica o intervalo de endereços IP para onde você deseja que o tráfego vá (o destino) e o gateway, a interface de rede ou a conexão por meio da qual enviar o tráfego (o destino).

Saiba mais

Acesso à Internet

Controle o modo como as instâncias executadas em uma VPC acessam os recursos fora da VPC.

Uma VPC padrão inclui um gateway da Internet e cada sub-rede padrão é uma sub-rede pública. Cada instância executada em uma sub-rede padrão possui dois endereços IPv4: um público e outro privado. Essas instâncias podem se comunicar com a Internet através do gateway da Internet. Um gateway da Internet permite que as instâncias se conectem à Internet por meio da borda de rede do Amazon EC2.

Em regra, cada instância executada em uma sub-rede não padrão tem apenas um endereço IPv4 privado. Para haver o endereço público IPv4 será preciso atribuir especificamente um no momento da execução ou modificar o atributo do endereço IP público da sub-rede. Essas instâncias podem se comunicar entre si, mas não podem acessar a Internet.

Habilite o acesso à Internet para uma instância executada em uma sub-rede não padrão anexando um gateway da Internet à sua VPC (caso essa não seja padrão) e associando um endereço IP elástico à instância.

Como alternativa, para permitir que uma instância na VPC inicie as conexões de saída para a Internet, mas também evitar as conexões de entrada não solicitadas pela Internet, use um dispositivo de Network Address Translation (NAT – Tradução de endereços de rede). O NAT mapeia vários endereços IPv4 privados para um único endereço público IPv4. Você pode configurar um dispositivo de NAT com um endereço IP elástico e conectá-lo à Internet por meio de um gateway da Internet. Isso permite que uma instância em uma sub-rede privada se conecte à Internet via dispositivo de NAT, roteando tráfego da instância para um gateway da Internet e quaisquer respostas para a instância.

Se você associar um bloco CIDR IPv6 à sua VPC e atribuir endereços IPv6 às suas instâncias, as instâncias poderão se conectar à Internet via IPv6 por meio de um gateway de Internet. Alternativamente, as instâncias podem executar conexões de saída para a Internet via IPv6 usando um gateway da Internet somente de saída. Como há separação entre os tráfegos IPv4 e IPv6, as tabelas de rotas devem incluir rotas distintas para o tráfego IPv6.

Saiba mais

Acessar uma rede corporativa ou doméstica

Opcionalmente, você pode conectar a VPC ao seu próprio datacenter corporativo usando uma conexão IPsec do AWS Site-to-Site VPN, transformando assim a Nuvem AWS em uma extensão do seu datacenter.

Uma conexão Site-to-Site VPN consiste em dois túneis de VPN entre um gateway privado virtual ou um gateway de trânsito no lado da AWS e um dispositivo de gateway do cliente localizado em seu datacenter. Um dispositivo de gateway do cliente é um dispositivo físico ou um software configurado no seu lado da conexão do Site-to-Site VPN.

Saiba mais

Conectar VPCs e redes

É possível criar uma conexão de emparelhamento de VPC entre duas VPCs que permite rotear o tráfego entre elas de forma privada. Instâncias em qualquer VPC podem se comunicar umas com as outras como se estivessem na mesma rede.

Você também pode criar um gateway de trânsito e usá-lo para interconectar as VPCs e redes on-premises. O gateway de trânsito atua como roteador virtual regional para o tráfego que flui entre seus anexos, o que pode incluir VPCs, conexões VPN, gateways do AWS Direct Connect e conexões de emparelhamento de gateway de trânsito.

Saiba mais

AWSConsiderações sobre a rede global privada da

A AWS fornece uma rede global privada de alta performance e baixa latência que proporciona um ambiente de computação em nuvem seguro para oferecer suporte às suas necessidades de redes. AWS As regiões são conectadas a diversos provedores de serviços de Internet (ISPs), bem como a uma estrutura da rede global privada, que fornece uma performance de rede melhor para o tráfego entre regiões enviado por clientes.

As seguintes considerações se aplicam:

  • O tráfego que está em uma zona de disponibilidade, ou entre zonas de disponibilidade em todas as regiões, faz o roteamento pela rede global privada da AWS.

  • O tráfego que está entre regiões sempre faz o roteamento pela rede global privada da AWS, exceto regiões da China.

Pode haver perda do pacote de rede devido a vários fatores, incluindo colisões de fluxo de rede, nível baixo de erros (Camada 2) e outras falhas de rede. Nós projetamos e operamos nossas redes de modo a minimizar a perda de pacotes. Medimos a taxa de perda de pacote (PLR) na estrutura global que conecta as regiões da AWS. Operamos nossa rede de backbone com meta de p99 da PLR por hora de menos do que 0,0001%.