Como funciona a Amazon VPC - Amazon Virtual Private Cloud

Como funciona a Amazon VPC

A Amazon Virtual Private Cloud (Amazon VPC) permite iniciar recursos da AWS em uma rede virtual definida por você. Essa rede virtual se assemelha a uma rede tradicional que você operaria no seu datacenter, com os benefícios de usar a infraestrutura dimensionável da AWS.

A Amazon VPC é a camada de rede do Amazon EC2. Se você não tem experiência com o Amazon EC2, consulte O que é o Amazon EC2? no Manual do usuário do Amazon EC2 para instâncias do Linux para obter uma breve visão geral.

VPCs e sub-redes

Uma nuvem privada virtual (VPC) é uma rede virtual dedicada à sua conta da AWS. Ela é isolada de maneira lógica de outras redes virtuais na Nuvem da AWS. É possível iniciar os recursos da AWS, como instâncias do Amazon EC2, na VPC. Você pode especificar um intervalo de endereços IP para a VPC, adicionar sub-rede, associar security groups e configurar tabelas de rota.

Uma sub-rede é uma gama de endereços IP na VPC. Você pode iniciar recursos da AWS em uma sub-rede especificada. Use uma sub-rede pública para recursos que devem estar conectados à Internet e uma sub-rede privada para recursos que não estarão conectados à Internet.

Para proteger os recursos da AWS em cada sub-rede, você pode usar várias camadas de segurança, incluindo grupos de segurança e listas de controle de acesso (ACL) da rede.

Associe, opcionalmente, um bloco CIDR IPv6 à VPC e atribua endereços IPv6 às instâncias em sua VPC.

VPCs padrão e não padrão

Se sua conta tiver sido criada depois de 4/12/2013, ela tem uma VPC padrão com uma sub-rede padrão em cada zona de disponibilidade. Uma VPC padrão detém os benefícios dos recursos avançados fornecidos pelo EC2-VPC e está pronta para o uso. Caso você tenha um padrão VPC e não especifique uma sub-rede ao executar uma instância, a instância será iniciada no padrão VPC. É possível executar instâncias em sua VPC padrão sem precisar conhecer absolutamente nada sobre o Amazon VPC.

Você também pode criar sua própria VPC e configurá-la conforme necessário. Isso é conhecido como uma VPC não padrão. As sub-redes criadas na VPC não padrão e as sub-redes adicionais criadas na VPC padrão são chamadas de sub-redes não padrão.

Tabelas de rotas

Uma tabela de rotas contém um conjunto de regras chamado de rotas, as quais são usadas para determinar para onde o tráfego de rede da VPC é direcionado. Você pode associar explicitamente uma sub-rede a uma tabela de rotas específica. Caso contrário, a sub-rede é implicitamente associada à tabela de rotas principal.

Cada rota em uma tabela de rotas especifica o intervalo de endereços IP para onde você deseja que o tráfego vá (o destino) e o gateway, a interface de rede ou a conexão por meio da qual enviar o tráfego (o destino).

Acesso à Internet

Controle o modo como as instâncias executadas em uma VPC acessam os recursos fora da VPC.

A VPC padrão inclui um gateway da Internet. Cada sub-rede padrão é uma sub-rede pública. Cada instância executada em uma sub-rede padrão possui dois endereços IPv4: um público e outro privado. Essas instâncias podem se comunicar com a Internet através do gateway da Internet. Um gateway da Internet permite que as instâncias se conectem à Internet por meio da borda de rede do Amazon EC2.


						Usar uma VPC padrão

Em regra, cada instância executada em uma sub-rede não padrão tem apenas um endereço IPv4 privado. Para haver o endereço público IPv4 será preciso atribuir especificamente um no momento da execução ou modificar o atributo do endereço IP público da sub-rede. Essas instâncias podem se comunicar entre si, mas não podem acessar a Internet.


						Usar uma VPC não padrão

Habilite o acesso à Internet para uma instância executada em uma sub-rede não padrão anexando um gateway da Internet à sua VPC (caso essa não seja padrão) e associando um endereço IP elástico à instância.


					Usar um gateway da internet

Como alternativa, para permitir que uma instância na VPC inicie as conexões de saída para a Internet, mas também evitar as conexões de entrada não solicitadas pela Internet, use um dispositivo de Network Address Translation (NAT – Tradução de endereços de rede). O NAT mapeia vários endereços IPv4 privados para um único endereço público IPv4. Você pode configurar um dispositivo de NAT com um endereço IP elástico e conectá-lo à Internet por meio de um gateway da Internet. Isso permite que uma instância em uma sub-rede privada se conecte à Internet via dispositivo de NAT, roteando tráfego da instância para um gateway da Internet e quaisquer respostas para a instância.


					VPC com sub-redes públicas e privadas e um gateway NAT

Se você associar um bloco CIDR IPv6 à sua VPC e atribuir endereços IPv6 às suas instâncias, as instâncias poderão se conectar à Internet via IPv6 por meio de um gateway de Internet. Alternativamente, as instâncias podem executar conexões de saída para a Internet via IPv6 usando um gateway da Internet somente de saída. Como há separação entre os tráfegos IPv4 e IPv6, as tabelas de rotas devem incluir rotas distintas para o tráfego IPv6.

Acessar uma rede corporativa ou doméstica

Opcionalmente, você pode conectar a VPC ao seu próprio datacenter corporativo usando uma conexão IPsec do AWS Site-to-Site VPN, transformando assim a Nuvem AWS em uma extensão do seu datacenter.

Uma conexão da Site-to-Site VPN consiste em dois túneis de VPN entre um gateway privado virtual ou um gateway de trânsito no lado da AWS e um dispositivo de gateway do cliente localizado no datacenter. Um dispositivo de gateway do cliente é um dispositivo físico ou um software configurado no seu lado da conexão do Site-to-Site VPN.


						Usar um gateway privado virtual

Conectar VPCs e redes

É possível criar uma conexão de emparelhamento de VPC entre duas VPCs que permite rotear o tráfego entre elas de forma privada. Instâncias em qualquer VPC podem se comunicar umas com as outras como se estivessem na mesma rede.

Você também pode criar um gateway de trânsito e usá-lo para interconectar as VPCs e redes no local. O gateway de trânsito atua como roteador virtual regional para o tráfego que flui entre seus anexos, o que pode incluir VPCs, conexões VPN, gateways do AWS Direct Connect e conexões de emparelhamento de gateway de trânsito.

AWSConsiderações sobre a rede global privada da

A AWS fornece uma rede global privada de alta performance e baixa latência que proporciona um ambiente de computação em nuvem seguro para oferecer suporte às suas necessidades de redes. AWS As regiões são conectadas a diversos provedores de serviços de Internet (ISPs), bem como a uma estrutura da rede global privada, que fornece uma performance de rede melhor para o tráfego entre regiões enviado por clientes.

As seguintes considerações se aplicam:

  • O tráfego que está em uma zona de disponibilidade, ou entre zonas de disponibilidade em todas as regiões, faz o roteamento pela rede global privada da AWS.

  • O tráfego que está entre regiões sempre faz o roteamento pela rede global privada da AWS, exceto regiões da China.

Pode haver perda do pacote de rede devido a vários fatores, incluindo colisões de fluxo de rede, nível baixo de erros (Camada 2) e outras falhas de rede. Nós projetamos e operamos nossas redes de modo a minimizar a perda de pacotes. Medimos a taxa de perda de pacote (PLR) na estrutura global que conecta as regiões da AWS. Operamos nossa rede de backbone com meta de p99 da PLR por hora de menos do que 0,0001%.

Plataformas compatíveis

A versão original de Amazon EC2 era compatível com uma rede única que é compartilhada com outros clientes, designada como plataforma EC2-Classic. As contas da AWS mais antigas ainda oferecem suporte a essa plataforma e podem executar as instâncias tanto no EC2-Classic como em uma VPC. As contas criadas após 04/12/2013 oferecem suporte somente para EC2-VPC. Para obter mais informações, consulte EC2-Classic no Manual do usuário do Amazon EC2 para instâncias do Linux.

Documentação da Amazon VPC

A tabela a seguir lista a documentação adicional que pode ser útil ao trabalhar com a Amazon VPC.

Guia Descrição

Opções de conectividade da Amazon Virtual Private Cloud

Fornece uma visão geral das opções de conectividade na rede.

Emparelhamento de VPC

Descreve os cenários de conexões emparelhadas de VPC e as configurações de emparelhamento compatíveis.

Transit Gateway

Descreve os gateways de trânsito e ajuda os administradores de rede a configurá-los.

Gerenciador de rede do Transit Gateway

Descreve o gerenciador de rede do Transit Gateway e ajuda a configurar e monitorar uma rede global

Espelhamento de tráfego

Descreve destinos, filtros e sessões do espelhamento de tráfego e ajuda os administradores a configurá-los.

AWS Direct Connect

Descreve como usar o AWS Direct Connect para criar uma conexão privada dedicada de uma rede remota para a VPC.

AWS Client VPN

Descreve como criar e configurar um endpoint de VPN cliente para permitir que usuários remotos acessem recursos em uma VPC.

VPC Reachability Analyzer

Descreve como analisar e depurar a acessibilidade da rede entre recursos em suas VPCs.