Endereçamento IP para suas VPCs e sub-redes - Amazon Virtual Private Cloud

Endereçamento IP para suas VPCs e sub-redes

Os endereços IP habilitam recursos na sua VPC para se comunicar com outros e com recursos na Internet.

A notação Encaminhamento Entre Domínios Sem Classificação (CIDR) é uma forma de representar um endereço IP e sua máscara de rede. O formato desses endereços é:

  • Um endereço IPv4 individual tem 32 bits, com quatro grupos de até três dígitos decimais. Por exemplo: 10.0.1.0.

  • Um bloco CIDR IPv4 tem quatro grupos de até três dígitos decimais, 0-255, separados por pontos finais, seguidos por uma barra e um número de 0 a 32. Por exemplo, 10.0.0.0/16.

  • Um endereço IPv6 individual tem 128 bits, com 8 grupos de 4 dígitos hexadecimais. Por exemplo: 2001:0db8:85a3:0000:0000:8a2e:0370:7334.

  • Um bloco CIDR IPv6 tem quatro grupos de até quatro dígitos hexadecimais, separados por caracteres de dois pontos, seguidos por dois caractere dois pontos, uma barra e um número de 1 a 128. Por exemplo: 2001:db8:1234:1a00::/56.

Para obter mais informações, consulte O que é CIDR?

Endereços IPv4 privados

Endereços IPv4 privados (também chamados de endereços IP privados neste tópico) não são acessíveis pela Internet e podem ser usados para comunicação entre as instâncias na VPC. Quando você inicia uma instância em uma VPC, um endereço IP privado primário do intervalo de endereços IPv4 da sub-rede é atribuído à interface de rede (eth0) padrão da instância. Cada instância também recebe um nome do host DNS privado (interno) que determina o endereço IP privado da instância. O nome do host pode ser de dois tipos: baseado em recursos ou baseado em IP. Para obter mais informações, consulte Nomeação de instâncias do EC2. Se você não especificar um endereço IP privado primário, selecionaremos um endereço IP disponível no intervalo da sub-rede. Para obter mais informações sobre interfaces de rede, consulte Interfaces de rede elástica no Guia do usuário do Amazon EC2.

Você pode atribuir endereços IP privados adicionais, conhecidos como endereços IP privados secundários, a instâncias que estejam sendo executadas em uma VPC. Ao contrário de um endereço IP privado primário, você poderá atribuir novamente um endereço IP privado secundário de uma interface de rede para outra. Um endereço IP privado permanece associado à interface de rede quando a instância é interrompida e reiniciada e é liberada quando a instância é terminada. Para obter mais informações sobre endereços IP primários e secundários, consulte Vários endereços IP no Guia do usuário do Amazon EC2.

Fazemos referência a endereços IP privados como os endereços IP que estão dentro do intervalo CIDR IPv4 da VPC. A maioria dos intervalos de endereço IP da VPC se enquadram nas escalas de endereços IP privados (não roteáveis publicamente) especificados no RFC 1918. No entanto, você pode usar blocos CIDR roteáveis publicamente para sua VPC. Independentemente do intervalo de endereço IP da VPC, não oferecemos suporte para acesso direto à Internet do bloco CIDR da VPC, incluindo um bloco CIDR publicamente roteável. É necessário configurar o acesso à Internet por meio de um gateway. Por exemplo, um gateway da Internet, um gateway privado virtual, uma conexão do AWS Site-to-Site VPN ou do AWS Direct Connect.

Nunca anunciamos o intervalo de endereços IPv4 de uma sub-rede na Internet.

Endereços IPv4 públicos

Todas as sub-redes têm um atributo que determina se uma interface de rede criada na sub-rede recebe automaticamente um endereço público IPv4 (também referido como um endereço IP público neste tópico). Portanto, quando você inicia uma instância em uma sub-rede que possui esse atributo habilitado, um endereço IP público é atribuído à interface de rede primária (eth0) criada para a instância. Um endereço IP público é mapeado para o endereço IP privado primário pela tradução de endereço de rede (NAT).

nota

A AWS cobra por todos os endereços IPv4 públicos, incluindo endereços IPv4 públicos associados a instâncias em execução e endereços IP elásticos. Para obter mais informações, consulte a guia Endereço IPv4 público na página de preços da Amazon VPC.

Você pode controlar se sua instância recebe um endereço IP público fazendo o seguinte:

  • Modificação do atributo de endereçamento IP público da sua sub-rede. Para obter mais informações, consulte Modificar os atributos de endereçamento IP da sua sub-rede.

  • Habilitando ou desabilitando o recurso de endereçamento IP público durante a inicialização da instância, que substitui o atributo de endereçamento IP público da sub-rede.

  • É possível cancelar a atribuição de um endereço IP público da sua instância após a execução gerenciando os endereços IP associados a uma interface de rede. Para obter mais informações, consulte Gerenciar endereços IP no Guia do usuário do Amazon EC2.

Um endereço IP público é atribuído do grupo da Amazon de endereços IP públicos; não está associado à sua conta. Quando um endereço IP público é desassociado de sua instância, ele é lançado de volta para o grupo e não está mais disponível para você usar. Em certos casos, liberamos o endereço IP público da instância ou atribuímos a ela um novo. Para obter mais informações, consulte Endereços IP públicos no Guia do usuário do Amazon EC2.

Se você precisar de um endereço IP público persistente alocado para sua conta, que pode ser atribuído e removido de instâncias conforme necessário, use um endereço IP elástico em vez disso. Para obter mais informações, consulte Associar endereços de IP elásticos a recursos em sua VPC.

Se sua VPC estiver ativada para oferecer suporte a nomes de host DNS, cada instância que recebe um endereço IP público ou um endereço IP elástico e um nome de host DNS público. Resolvemos um nome de host DNS público para o endereço IP público da instância fora da rede da instância e para o endereço IP privado da instância dentro da rede da instância. Para ter mais informações, consulte Atributos de DNS para sua VPC.

Caso esteja usando o Gerenciador de endereços IP (IPAM) da Amazon VPC, você pode obter um bloco contíguo de endereços IPv4 públicos da AWS e usá-lo para alocar endereços IP elásticos sequenciais aos recursos da AWS. O uso de blocos de endereços IPv4 contíguos pode reduzir significativamente a sobrecarga de gerenciamento das listas de controle de acesso de segurança e simplificar a alocação e o rastreamento de endereços IP para empresas escalando na AWS. Para obter mais informações, consulte Allocate sequential Elastic IP addresses from an IPAM pool no Guia do usuário do IPAM da Amazon VPC.

Endereços IPv6

À medida que a Internet continua a crescer, também aumenta a necessidade de endereços IP. O formato mais comum para endereços IP é o IPv4. O novo formato para endereços IP é o IPv6, que fornece um espaço de endereçamento maior que o IPv4. O IPv6 resolve o problema de esgotamento do endereço IPv4 e permite que você conecte mais dispositivos à Internet. A transição é gradual, mas à medida que a adoção do IPv6 aumentar, você poderá simplificar suas redes e aproveitar os recursos avançados do IPv6 para melhorar a conectividade, a performance e a segurança.

Muitos serviços da AWS, como o Amazon EC2, o Amazon S3 e o Amazon CloudFront, são compatíveis com pilha dupla (IPv4 e IPv6) ou somente IPv6, o que permite que endereços IPv6 sejam atribuídos aos recursos e que eles sejam acessados pelo protocolo IPv6, e simplifica a configuração e o gerenciamento de rede para os clientes que adotam o IPv6. Outros serviços são compatíveis de modo limitado ou parcial com pilha dual e somente IPv6. Para obter mais informações sobre os serviços que são compatíveis com iPv6, consulte Serviços da AWS que oferecem suporte a IPv6.

Observe que alguns endereços IPv6 são reservados pela Internet Engineering Task Force. Para obter mais informações sobre intervalos de endereço IPv6 reservados, consulte Registro de endereço para finalidades especiais IANA IPv6 e RFC4291.

nota

O endereçamento IPv6 tanto público quanto privado está disponível na AWS. A AWS considera endereços IP públicos os que são anunciados na Internet pela AWS, enquanto os endereços IP privados não são e não podem ser anunciados na Internet pela AWS.

Endereços IPv6 públicos

Os endereços IPv6 públicos são os endereços IPv6 que podem ser configurados para permanecer privados ou para ser acessados pela Internet.

Estas são algumas maneiras de você se preparar para usar endereços IPv6 públicos em suas workloads:

  • Crie um IPAM com o Gerenciador de endereços IP da Amazon VPC e provisione um intervalo de endereços IPv6 públicos pertencente à Amazon para um grupo de endereços do IPAM. Para obter mais informações, consulte Criar grupos de IPv6 no Guia do usuário do IPAM da Amazon VPC.

  • Se você tiver um IPAM e for proprietário de um intervalo de endereços IPv6 público, traga parte ou todo o intervalo de endereços IPv6 públicos para o IPAM, e provisione o intervalo de endereços IPv6 públicos para um grupo de endereços do IPAM. Para obter mais informações, consulte Tutorial: trazer seus endereços IP para o IPAM no Guia do usuário do IPAM da Amazon VPC.

  • Se você não tiver um IPAM, mas for proprietário de um intervalo de endereços IPv6 públicos, traga parte ou todo o intervalo de endereços IPv6 públicos para a AWS. Para obter mais informações, consulte Traga seus próprios endereços IP (BYOIP) no Amazon EC2 no Guia do usuário do Amazon EC2.

Quando estiver pronto para usar endereços IPv6 públicos, você pode atribuí-los às instâncias (consulte Endereços IPv6 no Guia do usuário do Amazon EC2), alocar um bloco CIDR IPv6 público à sua VPC (consulte Adicionar ou remover um bloco CIDR da sua VPC) e associar o bloco CIDR IPv6 às suas sub-redes (consulte Modificar os atributos de endereçamento IP da sua sub-rede).

Endereços IPv6 privados

Endereços IPv6 privados são endereços IPv6 que não são anunciados e não podem ser anunciados na Internet pela AWS.

Você poderá usar endereços IPv6 privados se quiser que suas redes privadas sejam compatíveis com IPv6 e não tiver intenção de rotear o tráfego desses endereços para a Internet. Se você quiser se conectar à Internet em um recurso que tenha um endereço IPv6 privado, poderá fazê-lo, mas deverá rotear o tráfego por um recurso em outra sub-rede com um endereço IPv6 público para ter sucesso.

Há dois tipos de endereços IPv6 privados:

Observe o seguinte:

  • Endereços IPv6 privados só estão disponíveis por meio do Gerenciador de endereços IP (IPAM) da Amazon VPC. O IPAM descobre recursos com endereços IPv6 ULA e GUA e monitora grupos em busca de espaços de endereços IPv6 ULA e GUA sobrepostos.

  • Quando você usa intervalos de GUAs IPv6 privado, exigimos que use seus próprios intervalos de GUAs IPv6.

  • Os endereços IPv6 privados não são e não podem ser anunciados na Internet pela AWS. A AWS não permite saída direta para a Internet pública de um intervalo IPv6 privado, mesmo que haja um gateway da internet ou um gateway da internet somente de saída na VPC. Os endereços IPv6 privados são automaticamente descartados na borda do gateway da Internet, garantindo que não sejam roteados publicamente.

  • A AWS reserva os 4 primeiros e o último endereço IPv6 privado da sub-rede.

  • Os intervalos válidos de ULAs IPv6 privados são de /9 a /60, a partir de fd80::/9.

  • Se você tiver um intervalo de GUAs IPv6 privados alocado para uma VPC, não poderá usar um espaço de GUAs IPv6 públicos que coincida com espaço de GUAs que coincida com o espaço de GUAs iPv6 privados na mesma VPC.

  • A comunicação entre recursos com intervalos de ULAs e GUAs IPv6 privados é compatível (por exemplo, por Direct Connect, emparelhamento de VPC, gateway de trânsito e conexões de VPN).

  • Você pode usar endereços IPv6 privados com sub-redes da VPC somente IPv6 e de pilha dupla, balanceadores de carga elásticos e endpoints do AWS Global Accelerator.

  • Endereços IPv6 privados não são cobrados.

Estas são algumas maneiras de você se preparar para usar endereços IPv6 privados em suas workloads:

  • Crie um IPAM com o Gerenciador de endereços IP da Amazon VPC e provisione um intervalo de ULAs IPv6 privados para um grupo de endereços do IPAM. Para obter mais informações, consulte Criar grupos de IPv6 no Guia do usuário do IPAM da Amazon VPC.

  • Crie um IPAM com o Gerenciador de endereços IP da Amazon VPC e provisione um intervalo de GUAs IPv6 privado para um grupo de endereços do IPAM. A opção de usar intervalos de GUAs IPv6 como endereços IPv6 privados está desabilitada por padrão e deve ser habilitada no IPAM para poder ser usada. Para obter mais informações, consulte Habilitar provisionamento de CIDRs de GUAs IPv6 no Guia do usuário do IPAM da Amazon VCP.

Quando estiver pronto para usar endereços IPv6 privados, você poderá alocar um bloco CIDR IPv6 privado de um grupo do IPAM para sua VPC (consulte Adicionar ou remover um bloco CIDR da sua VPC) e associar o bloco CIDR IPv6 às suas sub-redes (consulte Modificar os atributos de endereçamento IP da sua sub-rede).

Use seus próprios endereços IP

É possível trazer todo ou parte do seu próprio intervalo público de endereços IPv4 ou intervalo de endereços IPv6 para sua conta da AWS. Você continua a ter o intervalo de endereços, mas a AWS o anuncia na Internet por padrão. Depois de levar o intervalo de endereços para a AWS, ele aparece em sua conta como um grupo de endereços. É possível criar um endereço IP elástico pelo grupo de endereços IPv4 e associar um bloco CIDR IPv6 do grupo de endereços IPv6 a uma VPC.

Para obter mais informações, consulte Traga seus próprios endereços IP (BYOIP) no Guia do usuário do Amazon EC2.

Use o IP Address Manager da Amazon VPC

O IP Address Manager da Amazon VPC (IPAM) é um recurso da VPC que facilita o planejamento, o rastreamento e o monitoramento de endereços IP de suas workloads da AWS. É possível usar o IPAM para alocar CIDRs de endereço IP para VPCs usando regras de negócios específicas.

Para mais informações, consulte What is IPAM? (O que é IPAM?) no Guia do usuário do Amazon VPC IPAM.