Trabalhar com VPCs - Amazon Virtual Private Cloud

Trabalhar com VPCs

Use os procedimentos a seguir para criar e configurar nuvens privadas virtuais (VPC).

Criar uma VPC

Siga as etapas nesta seção para criar uma VPC. Ao criar uma VPC, você tem duas opções:

  • VPC, subnets, and other VPC resources (VPC, sub-redes e outros recursos de VPC): cria uma VPC, sub-redes, gateways NAT e endpoints da VPC.

  • VPC only (Somente VPC): cria somente uma VPC sem recursos adicionais, como sub-redes ou gateways NAT na VPC.

Siga as etapas em qualquer das seções abaixo, dependendo da opção que atenda às suas necessidades.

Criar uma VPC, sub-redes e outros recursos de VPC

Nesta etapa, você cria uma VPC, sub-redes, zonas de disponibilidade, gateways NAT e endpoints da VPC.

Para criar uma VPC, sub-redes e outros recursos de VPC
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs), Create VPC (Criar VPC).

  3. Em Resources to create (Recursos a serem criados), escolha VPC and more (VPC e mais).

  4. Modifique as opções conforme necessário:

    • Name tag auto-generation (Geração automática de etiquetas de nome): escolha a etiqueta de nome que será aplicada aos recursos que você criar. A etiqueta pode ser gerada automaticamente, ou você pode definir o valor. O valor definido será usado para gerar a etiqueta de nome em todos os recursos no formato “nome-recurso”. Por exemplo, se você inserir “Pré-produção”, cada sub-rede será marcada com uma etiqueta de nome “Pré-produção-”.

    • IPv4 CIDR block (Bloco CIDR IPv4): escolha um bloco CIDR IPv4 para a VPC. Essa opção é obrigatória.

    • IPv6 CIDR block (Bloco CIDR IPv6): escolha um bloco CIDR IPv6 para a VPC.

    • Tenancy (Locação): escolha a opção de locação para essa VPC.

      • Selecione Default (Padrão) para garantir que as instâncias do EC2 iniciadas nessa VPC usem o atributo de locação de instância do EC2 especificado quando a instância do EC2 for iniciada.

      • Selecione Dedicated (Dedicado) para garantir que as instâncias do EC2 iniciadas nessa VPC sejam executadas em instâncias de locação dedicada, independentemente do atributo de locação especificado na inicialização.

      Para mais informações sobre locação, consulte Configuring instance tenancy with a launch configuration (Configuração da locação de instância com uma configuração de execução) no Guia do usuário do Amazon EC2 Auto Scaling.

      nota

      Se seus AWS Outposts exigirem conectividade privada, você deverá selecionar Default (Padrão). Para obter mais informações sobre o AWS Outposts, consulte What is AWS Outposts? (O que é?) no AWS Outposts Guia do usuário.

    • Number of Availability Zones (AZs) (Número de zonas de disponibilidade [AZs]): escolha o número de AZs nas quais você deseja criar sub-redes. Uma AZ é um ou mais datacenters distintos com energia, redes e conectividade redundantes em uma região da AWS. As AZs oferecem a capacidade de operar aplicações e bancos de dados de produção com níveis superiores de alta disponibilidade, tolerância a falhas e escalabilidade do que seria possível com um só datacenter. Se particionar entre AZs suas aplicações executadas em sub-redes, você terá níveis melhores de isolamento e proteção contra problemas como falta de energia elétrica, raios, tornados, terremotos e muito mais.

    • Customize AZs (Personalizar AZs): escolha em quais AZs suas sub-redes serão criadas.

    • Number of public subnets (Número de sub-redes públicas): escolha quantas sub-redes deseja que sejam consideradas sub-redes “públicas”. Uma sub-rede "pública" é uma sub-rede que tem uma entrada na tabela de rotas que aponta para um gateway da Internet. Isso permite que as instâncias do EC2 em execução na sub-rede sejam acessíveis publicamente pela Internet.

    • Number of private subnets (Número de sub-redes privadas): escolha quantas sub-redes deseja que sejam consideradas sub-redes “privadas”. Uma sub-rede “privada” é uma sub-rede que não tem uma entrada de tabela de rotas que aponta para um gateway da Internet. Use sub-redes privadas para proteger recursos de backend que não precisam ser acessíveis publicamente pela Internet.

    • Customize subnets CIDR blocks (Personalizar blocos CIDR de sub-redes): escolha os blocos CIDR para as sub-redes públicas e privadas.

    • NAT gateways (Gateways NAT): escolha o número de AZs nas quais deseja criar gateways de Tradução de Endereço de Rede (NAT). Um gateway NAT é um serviço gerenciado da AWS que habilita instâncias do EC2 em sub-redes privadas a enviar tráfego de saída para a Internet. No entanto, os recursos na Internet não podem estabelecer uma conexão com as instâncias. Observe que há um custo associado aos gateways NAT. Para mais informações, consulte Gateways NAT.

    • VPC endpoints (Endpoints da VPC): escolha se desejar criar um endpoint da VPC para o Simple Storage Service (Amazon S3). Um endpoint da VPC permite conectar, de forma privada, a VPC aos serviços da AWS compatíveis e aos serviços de endpoint da VPC com tecnologia PrivateLink, sem necessidade de gateway da Internet, dispositivo NAT, conexão VPN ou conexão da AWS Direct Connect. As instâncias na sua VPC não exigem que endereços IP públicos se comuniquem com recursos no serviço. Para obter mais informações, consulte Gateway VPC endpoints (Endpoints da VPC no gateway) no Guia do AWS PrivateLink

    • DNS options (Opções de DNS): escolha as opções de resolução de nome de domínio para as instâncias do EC2 iniciadas nesta VPC.

      • Enable DNS hostnames (Habilitar nomes de host DNS): habilita o provisionamento de nomes de host para endereços IPv4 públicos de instância do EC2.

      • Enable DNS resolution (Habilitar resolução de DNS): habilita o provisionamento de nomes de host para endereços IPv4 públicos de instância do EC2 e habilita a resolução de nome de domínio dos nomes de host.

      nota

      Se quiser provisionar nomes de host DNS IPv4 públicos para as instâncias do EC2 iniciadas nas sub-redes que você estiver criando, você deverá habilitar ambas as opções Enable DNS hostnames (Habilitar nomes de host DNS) e Enable DNS resolution (Habilitar resolução de DNS) na VPC. Se você habilitar apenas Enable DNS hostnames (Habilitar nomes de host DNS), o nome de host DNS IPv4 público não será provisionado.

  5. No painel Preview (Prévia), você pode ver o planejamento da VPC, da sub-rede, das tabelas de rotas e das interfaces de rede que serão criadas.

  6. Escolha Create VPC (Criar VPC).

Criar apenas uma VPC

Siga as etapas desta seção para criar apenas uma VPC sem nenhum recurso adicional.

Para criar apenas uma VPC
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs), Create VPC (Criar VPC).

  3. Em Resources to create (Recursos a serem criados), escolha VPC only (Somente VPC).

  4. Especifique os seguintes detalhes da VPC conforme necessário.

    • Name tag (Tag do nome): opcionalmente, forneça um nome para a sua VPC. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

    • IPv4 CIDR block (Bloco CIDR IPv4): especifique um bloco CIDR IPv4 (ou intervalo de endereços IP) para a sua VPC. Escolha uma das seguintes opções:

      • IPv4 CIDR manual input (Entrada manual do CIDR IPv4): insira manualmente um CIDR IPv4. O bloco CIDR deve ter um tamanho entre /16 e /28. Recomendamos que você especifique um bloco CIDR dos intervalos de endereços IP privados (que não são encaminhados publicamente) conforme especificado em RFC 1918; por exemplo, 10.0.0.0/16 ou 192.168.0.0/16.

        É possível especificar um intervalo de endereços IPv4 publicamente roteáveis. No entanto, atualmente não oferecemos suporte para acesso direto à Internet de blocos CIDR publicamente roteáveis em uma VPC. As instâncias do Windows não podem inicializar corretamente se forem executadas em uma VPC com intervalos de 224.0.0.0 a 255.255.255.255 (intervalos de endereço IP de classe D e classe E).

      • IPAM-allocated IPv4 CIDR block (Bloco CIDR IPv4 alocado pelo IPAM): se houver um grupo de endereços IPv4 do IP Address Manager (IPAM) da Amazon VPC disponível nesta região, você poderá obter um CIDR de um grupo do IPAM. Se você selecionar um grupo do IPAM, o tamanho do CIDR será limitado pelas regras de alocação no grupo do IPAM (mínimo e máximo permitidos e o padrão). Para saber mais sobre o IPAM, consulte O que é IPAM? no Guia do usuário do IPAM na Amazon VPC.

    • IPv6 CIDR block (Bloco CIDR IPv6): é possível associar um bloco CIDR IPv6 à VPC. Escolha uma das seguintes opções e selecione Select CIDR (Selecionar CIDR):

      • No IPv6 CIDR block (Nenhum bloco CIDR IPv6): nenhum CIDR IPv6 será provisionado para essa VPC.

      • IPAM-allocated IPv6 CIDR block (Bloco CIDR IPv6 alocado pelo IPAM): se houver um grupo de endereços IPv6 do IP Address Manager (IPAM) da Amazon VPC disponível nesta região, você poderá obter um CIDR de um grupo do IPAM. Se você selecionar um grupo do IPAM, o tamanho do CIDR será limitado pelas regras de alocação no grupo do IPAM (mínimo e máximo permitidos e o padrão). Para saber mais sobre o IPAM, consulte O que é IPAM? no Guia do usuário do IPAM na Amazon VPC.

      • Amazon-provided IPv6 CIDR block (Bloco CIDR IPv6 fornecido pela Amazon): solicita um bloco CIDR IPv6 de um grupo de endereços IPv6 da Amazon. Em Network Border Group (Grupo de borda de rede), selecione o grupo do qual a AWS anuncia endereços IP. A Amazon fornece um tamanho fixo de /56 para o bloco CIDR IPv6. Você não pode configurar o tamanho do CIDR IPv6 fornecido pela Amazon.

      • IPv6 CIDR owned by me (CIDR IPv6 pertencente a mim): (BYOIP) aloca um bloco CIDR IPv6 do seu grupo de endereços IPv6. Para Pool (Grupo), escolha o grupo de endereços IPv6 a partir do qual alocar o bloco CIDR IPv6.

    • Tenancy (Locação): escolha a opção de locação para essa VPC.

      • Selecione Default (Padrão) para garantir que as instâncias do EC2 iniciadas nessa VPC usem o atributo de locação de instância do EC2 especificado quando a instância do EC2 for iniciada.

      • Selecione Dedicated (Dedicado) para garantir que as instâncias do EC2 iniciadas nessa VPC sejam executadas em instâncias de locação dedicada, independentemente do atributo de locação especificado na inicialização.

      Para mais informações sobre locação, consulte Configuring instance tenancy with a launch configuration (Configuração da locação de instância com uma configuração de execução) no Guia do usuário do Amazon EC2 Auto Scaling.

      nota

      Se seus AWS Outposts exigirem conectividade privada, você deverá selecionar Default (Padrão). Para obter mais informações sobre o AWS Outposts, consulte What is AWS Outposts? (O que é?) no AWS Outposts Guia do usuário.

    • Tags (Etiquetas): adicione etiquetas opcionais à VPC. Uma tag é um rótulo atribuído a um recurso da AWS. Cada tag consiste em uma chave e um valor opcional. Você pode usar etiquetas para pesquisar e filtrar seus recursos ou monitorar seus custos na AWS.

  5. Escolha Create VPC (Criar VPC).

Como alternativa, você pode usar uma ferramenta de linha de comando.

Para criar uma VPC usando uma ferramenta de linha de comando
Para descrever uma VPC usando uma ferramenta de linha de comando

Para obter mais informações sobre endereços IP, consulte Endereçamento IP.

Após criar uma VPC, você pode criar sub-redes. Para mais informações, consulte Crie uma sub-rede na VPC.

Exibir suas VPCs

Siga as etapas abaixo para exibir os detalhes sobre suas VPCs.

Para visualizar os detalhes da VPC usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha VPCs.

  3. Selecione a VPC, em seguida, escolha View Details (Visualizar detalhes).

Para descrever uma VPC usando uma ferramenta de linha de comando
Para visualizar todas as suas VPCs em todas as regiões

Abra o console do Amazon EC2 Global View em https://console.aws.amazon.com/ec2globalview/home.

Para obter mais informações sobre como usar o Amazon EC2 Global View, consulte Listar e filtrar recursos usando o Amazon EC2 Global View no Manual do usuário do Amazon EC2 para instâncias do Linux.

Associar blocos CIDR IPv4 adicionais à sua VPC

É possível adicionar até cinco blocos CIDR IPv4 à VPC por padrão, mas esse limite é ajustável. Para mais informações, consulte Cotas da Amazon VPC. Para saber mais sobre restrições em blocos CIDR IPv4 associados a uma VPC, consulte Blocos CIDR da VPC.

Após associar um bloco CIDR IPv4 à VPC, o status é alterado para associating. O bloco CIDR está pronto para uso quando estiver no estado associated. Depois de adicionar os blocos CIDR necessários, você poderá criar sub-redes que usam os novos blocos CIDR. Para mais informações, consulte Crie uma sub-rede na VPC.

Para associar um bloco CIDR IPv4 a uma VPC usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs).

  3. Selecione a VPC e escolha Actions (Ações), Edit CIDRs (Editar CIDRs).

  4. Escolha Add new IPv4 CIDR (Adicionar novo CIDR IPv4).

  5. Em IPv4 CIDR block (Bloco CIDR IPv4), execute uma das seguintes ações:

    • Escolha IPv4 CIDR manual input (Entrada manual de CIDR IPv4) e insira um bloco CIDR IPv4.

    • Escolha IPAM-allocated IPv4 CIDR (CIDR IPv4 alocado por IPAM) e selecione um CIDR de um grupo IPAM IPv4.

Para adicionar um bloco CIDR usando uma ferramenta de linha de comando

Depois de adicionar os blocos CIDR IPv4 necessários, você pode criar sub-redes. Para mais informações, consulte Crie uma sub-rede na VPC.

Associar blocos CIDR IPv6 à VPC

Você pode associar até cinco blocos CIDR IPv6 a qualquer VPC existente. O limite não é ajustável. Para mais informações, consulte Cotas da Amazon VPC. Para saber mais sobre restrições em blocos CIDR IPv6 associados a uma VPC, consulte Blocos CIDR da VPC.

Para associar um bloco CIDR IPv6 a uma VPC usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs).

  3. Selecione a VPC e escolha Actions (Ações), Edit CIDRs (Editar CIDRs).

  4. Escolha Add new IPv6 CIDR (Adicionar novo CIDR IPv6).

  5. As opções de blocos CIDR ao adicionar um CIDR são idênticas às opções ao criar uma VPC. Para obter informações completas sobre quais são suas opções de blocos CIDR, consulte Criar uma VPC.

  6. Escolha Select CIDR (Selecionar CIDR).

  7. Escolha Close (Fechar).

Para associar um bloco CIDR IPv4 a uma VPC usando a linha de comando

Desassociar um bloco CIDR IPv4 da VPC

Se a VPC tiver mais de um bloco CIDR IPv4 associado a ela, você poderá desassociar um bloco CIDR IPv4 da VPC. Você não pode desassociar o bloco CIDR IPv4 principal. Você só pode desassociar um bloco CIDR inteiro. Não é possível desassociar um subconjunto de um bloco CIDR ou um intervalo mesclado de blocos CIDR. Você deve primeiro excluir todas as sub-redes no bloco CIDR.

Para remover um bloco CIDR de uma VPC usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs).

  3. Selecione a VPC e escolha Actions, Edit CIDRs.

  4. Em VPC IPv4 CIDRs, escolha o botão de exclusão (uma cruz) do bloco CIDR a ser removido.

  5. Escolha Close (Fechar).

Como alternativa, você pode usar uma ferramenta de linha de comando.

Para remover um bloco CIDR IPv4 de uma VPC usando uma ferramenta de linha de comando

Desassociar um bloco CIDR IPv6 da sua VPC

Se não quiser mais compatibilidade com IPv6 em sua VPC, mas deseja continuar usando sua VPC para criar e se comunicar com recursos IPv4, é possível desassociar o bloco CIDR IPv6.

Para desassociar um bloco CIDR IPv6, você deve primeiro cancelar a atribuição de quaisquer endereços IPv6 atribuídos a qualquer instância em sua sub-rede.

Para desassociar um bloco CIDR IPv6 de uma VPC usando o console
  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Your VPCs (Suas VPCs).

  3. Selecione sua VPC, escolha Ações, Edit CIDRs.

  4. Remova o bloco CIDR IPv6 escolhendo o ícone de cruz.

  5. Escolha Close (Fechar).

nota

A desassociação de um bloco CIDR IPv6 não exclui automaticamente quaisquer regras do security group, as regras do Network ACL ou as rotas da tabela de rotas que você configurou para redes IPv6. Você deve modificar manualmente ou excluir essas regras ou rotas.

Como alternativa, você pode usar uma ferramenta de linha de comando.

Para desassociar um bloco CIDR IPv6 de uma VPC usando uma ferramenta de linha de comando

Excluir a VPC:

Quando não precisar mais de uma VPC, você poderá excluí-la. Se você excluir uma VPC usando o console da VPC, também excluímos os seguintes componentes da VPC para você:

  • Opções do DHCP

  • Gateways da Internet apenas de saída

  • Endpoints de gateway

  • Gateways da Internet

  • Network ACLs

  • Tabelas de rotas

  • Grupos de segurança

  • Sub-redes

Se você tiver uma conexão do AWS Site-to-Site VPN, não será necessário excluí-la, nem outros componentes relacionados à VPN (como o gateway do cliente e o gateway privado virtual). Caso planeje usar o gateway do cliente com outra VPC, recomendamos que você mantenha a conexão Site-to-Site VPN e os gateways. Caso contrário, será necessário configurar o dispositivo de gateway do cliente novamente depois que você criar uma nova conexão Site-to-Site VPN.

Requisito

Para poder excluir uma VPC, você deve primeiro terminar ou excluir os recursos que criaram uma interface de rede gerenciada pelo solicitante na VPC. Por exemplo, você deve terminar as instâncias do EC2 e excluir os balanceadores de carga, gateways NAT, gateways de trânsito e endpoints da VPC de interface.

Para excluir a VPC usando o console
  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Termine todas as instâncias na VPC. Para obter mais informações, consulte Terminar a instância no Manual do usuário do Amazon EC2 para instâncias do Linux.

  3. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  4. No painel de navegação, escolha Your VPCs (Suas VPCs).

  5. Selecione a VPC para excluir e escolha Ações, Excluir VPC.

  6. Se você tiver uma conexão Site-to-Site VPN, selecione a opção para excluí-la. Caso contrário, deixe-a desmarcada. Escolha Delete VPC (Excluir VPC).

Como alternativa, você pode usar uma ferramenta de linha de comando. Para poder excluir uma VPC usando a linha de comando, você deve primeiro terminar ou excluir todos os recursos que criaram uma interface de rede gerenciada pelo solicitante na VPC, além de excluir ou desvincular todos os recursos associados, como sub-redes, grupos de segurança personalizados, ACLs de rede personalizadas, tabelas de rotas personalizadas, gateways da Internet e gateways da Internet somente de saída.

Para excluir uma VPC usando a linha de comando