Configuração para acesso à Internet - Amazon Virtual Private Cloud

Configuração para acesso à Internet

Para permitir que as instâncias recebam ou enviem tráfego da Internet, faça o seguinte:

Caso deseje proporcionar acesso à internet para suas instâncias sem atribuir a elas endereços IP públicos, empregue um dispositivo NAT. Um dispositivo NAT permite que instâncias em uma sub-rede privada se conectem à Internet, mas impede que os hosts na Internet iniciem conexões com as instâncias. Para ter mais informações, consulte Dispositivos NAT.

Sub-redes públicas e privadas

Se uma sub-rede estiver associada a uma tabela de rotas que tem uma rota para um gateway da Internet, ela é conhecida como sub-rede pública. Se uma sub-rede estiver associada a uma tabela de rotas que não tem uma rota para um gateway da Internet, ela é conhecida como sub-rede privada.

Na tabela de rotas da sub-rede pública, é possível especificar uma rota para o gateway da Internet para todos os destinos não explicitamente conhecidos pela tabela de rotas (0.0.0.0/0 para IPv4 ou ::/0 para IPv6). Como alternativa, avalie a rota para uma faixa menor de endereços IP, por exemplo, os endereços IPv4 públicos dos endpoints públicos da empresa fora da AWS, ou os endereços IP elásticos de outras instâncias do Amazon EC2 fora da VPC.

Endereços IP e NAT

Para permitir a comunicação pela internet para o IPv4, a instância deve ter um endereço IPv4 público. Você pode configurar a VPC para atribuir automaticamente endereços IPv4 públicos às instâncias ou pode atribuir endereços IP elásticos às instâncias. A instância detém a informação apenas do espaço de endereço IP privado (interno) definido na VPC e na sub-rede. O gateway da internet fornece logicamente o NAT individualizado em nome da instância, de modo que, quando o tráfego deixa a sub-rede da VPC e vai para a internet, o campo do endereço de resposta é definido como o endereço IPv4 público ou o endereço IP elástico da instância, e não como o endereço IP privado. Por outro lado, o tráfego destinado ao endereço IPv4 público ou ao endereço IP elástico da instância tem seu endereço de destino traduzido para o endereço IPv4 privado da instância antes do tráfego ser entregue à VPC.

Para permitir a comunicação pela internet para IPv6, a VPC e a sub-rede devem ter um bloco CIDR IPv6 associado, além de ser atribuído à instância um endereço IPv6 no intervalo da sub-rede. Os endereços IPv6 são exclusivos globalmente e, portanto, públicos por padrão.

No diagrama a seguir, a sub-rede na zona de disponibilidade é uma sub-rede pública. A tabela de rotas desta sub-rede tem uma rota que envia todo o tráfego IPv4 vinculado à Internet para o gateway da Internet. As instâncias na sub-rede pública devem ter endereços IP públicos ou endereços de IP elásticos para permitir a comunicação com a Internet pelo gateway da Internet. Para comparação, a sub-rede na Zona de disponibilidade B é uma sub-rede privada porque sua tabela de rotas não tem uma rota para o gateway da Internet. Como não há rota para o gateway da Internet, as instâncias na sub-rede privada não podem se comunicar com a Internet mesmo que tenham endereços IP públicos.

Uma VPC com um gateway da Internet
Acesso à Internet para VPCs padrão e não padrão

A tabela a seguir fornece uma visão geral para identificar se a VPC já possui os componentes necessários para acesso à Internet por meio de IPv4 ou IPv6.

Componente VPC padrão VPC não padrão
Gateway da Internet Sim Não
Tabela de rotas com rota para o gateway da internet para tráfego IPv4 (0.0.0.0/0) Sim Não
Tabela de rotas com rota para o gateway da internet para tráfego IPv6 (::/0) Não Não
Endereço IPv4 público atribuído automaticamente à instância executada na sub-rede Sim (sub-rede padrão) Não (sub-rede não padrão)
Endereço IPv6 atribuído automaticamente à instância executada na sub-rede Não (sub-rede padrão) Não (sub-rede não padrão)

Para obter mais informações sobre VPCs padrão, consulte VPCs padrão. Para obter mais informações sobre a criação de uma VPC, consulte Crie uma VPC.