fbpx

Entenda o que é o Amazon VPC

Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp
Compartilhar no telegram

O Amazon VPC é a camada de rede do Amazon Elastic Compute Cloud (Amazon EC2) e permite que você crie sua própria rede virtual na AWS.

Você controla vários aspectos do seu Amazon VPC, incluindo a seleção de seu próprio intervalo de endereços IP, criando suas próprias sub-redes, e configurando suas próprias tabelas de rotas, gateways de rede e configurações de segurança.

Em uma região, você pode criar vários Amazon VPCs e cada Amazon VPC é logicamente isolado, mesmo que compartilhe seu espaço de endereço IP. Ao criar um Amazon VPC, você deve especificar o intervalo de endereços IPv4 escolhendo um bloco CIDR (Classless Inter-Domain Routing), como 10.0.0.0/16. O intervalo de endereços do Amazon VPC não pode ser alterado após a criação do Amazon VPC.

Um intervalo de endereços do Amazon VPC pode ser tão grande quanto / 16 (65.536 endereços disponíveis) ou tão pequeno quanto / 28 (16 endereços disponíveis) e não deve se sobrepor a nenhuma outra rede à qual eles devem ser conectados.

O serviço Amazon VPC foi lançado após o serviço Amazon EC2, por isso, existem duas plataformas de rede diferentes disponíveis na AWS: EC2-Classic e EC2-VPC.

O Amazon EC2 foi lançado originalmente com uma rede única e plana compartilhada com outros clientes da AWS, chamada EC2-Classic. Dessa forma, as contas da AWS criadas antes da chegada do serviço Amazon VPC podem iniciar instâncias na rede EC2-Classic e EC2-VPC.

As contas da AWS criadas após dezembro de 2013 suportam apenas o lançamento de instâncias usando o EC2-VPC. As contas da AWS que oferecem suporte ao EC2-VPC terão uma VPC padrão criada em cada região com uma sub-rede padrão criada em cada Zona de Disponibilidade. O bloco CIDR atribuído da VPC será 172.31.0.0/16.

 

Um Amazon VPC consiste nos seguintes componentes:

  • Sub-redes
  • Tabelas de rotas
  • Conjuntos de opções do protocolo DHCP (Dynamic Host Configuration Protocol)
  • Grupos de segurança
  • Listas de controle de acesso à rede (ACLs)

Um Amazon VPC possui os seguintes componentes opcionais:

  • Gateways da Internet (IGWs)
  • Endereços de IP elástico (EIP)
  • Interfaces de rede elástica (ENIs)
  • Endpoints
  • Peering
  • Instâncias de conversão de endereço de rede (NATs) e gateways NAT
  • Gateway Privado Virtual (VPG), Gateways de Cliente (CGWs) e Redes Privadas Virtuais (VPNs)

Sub-redes

Uma sub-rede é um segmento do intervalo de endereços IP de um Amazon VPC onde você pode iniciar instâncias do Amazon EC2, bancos de dados do Amazon Relational Database Service (Amazon RDS) e outros recursos da AWS. Os blocos CIDR definem sub-redes (por exemplo, 10.0.1.0/24 e 192.168.0.0/24).

A menor sub-rede que você pode criar é um / 28 (16 endereços IP). A AWS reserva os quatro primeiros endereços IP e o último endereço IP de cada sub-rede para fins de rede interna. Por exemplo, uma sub-rede definida como / 28 possui 16 endereços IP disponíveis; subtraia os 5 IPs necessários pela AWS para gerar 11 endereços IP para seu uso na sub-rede.

Após criar um Amazon VPC, você pode adicionar uma ou mais sub-redes em cada zona de disponibilidade. As sub-redes residem em uma zona de disponibilidade e não podem abranger zonas. Esse é um ponto importante que você deve entender. Lembre-se de que uma sub-rede é igual a uma zona de disponibilidade. No entanto, você pode ter várias sub-redes em uma zona de disponibilidade.

As sub-redes podem ser classificadas como públicas, privadas ou somente VPN. Uma sub-rede pública é aquela na qual a tabela de rotas associada (discutida posteriormente) direciona o tráfego da sub-rede para o IGW do Amazon VPC (também discutido mais adiante).

Uma sub-rede privada é aquela em que a tabela de rotas associada não direciona o tráfego da sub-rede para o IGW do Amazon VPC. Uma sub-rede somente VPN é aquela em que a tabela de rotas associada direciona o tráfego da sub-rede para o VPG do Amazon VPC (discutido mais adiante) e não possui uma rota para o IGW. Independentemente do tipo de sub-rede, o IP interno e seu  intervalo de endereços da sub-rede é sempre privado (ou seja, não roteável na Internet).

Os Amazon VPCs padrão contêm uma sub-rede pública em todas as zonas de disponibilidade da região, com uma máscara de rede de / 20.

 

Tabelas de Rotas

Uma tabela de rota é uma construção lógica dentro de um Amazon VPC que contém um conjunto de regras (chamadas rotas) que são aplicadas à sub-rede e usadas para determinar para onde o tráfego de rede é direcionado. As rotas de uma tabela de rotas são o que permite que instâncias do Amazon EC2 em diferentes sub-redes de um Amazon VPC se comuniquem entre si.

Você pode modificar as tabelas de rotas e adicionar suas próprias rotas personalizadas. Você também pode usar tabelas de rotas para especificar quais sub-redes são públicas (direcionando o tráfego da Internet para o IGW) e quais sub-redes são privadas (não tendo uma rota que direcione o tráfego para o IGW).

 

Cada tabela de rota contém uma rota padrão chamada rota local, que permite a comunicação no Amazon VPC, e essa rota não pode ser modificada ou removida.

Rotas adicionais podem ser adicionadas ao tráfego direto para sair do Amazon VPC por meio do IGW (discutido mais tarde), do VPG (discutido mais tarde) ou da instância NAT (discutida mais adiante). Você deve se lembrar dos seguintes pontos sobre tabelas de rotas:

  • Sua VPC possui um roteador implícito.
  • Seu VPC vem automaticamente com uma tabela de rotas principal que você pode modificar.
  • Você pode criar tabelas de rotas personalizadas adicionais para sua VPC.
  • Cada sub-rede deve estar associada a uma tabela de rotas, que controla o roteamento da sub-rede. Se você não associar explicitamente uma sub-rede a uma tabela de rotas específica, a sub-rede usará a tabela de rotas principal.
  • Você pode substituir a tabela de rotas principal por uma tabela personalizada criada para que cada nova sub-rede seja automaticamente associada a ela.
  • Cada rota em uma tabela especifica um CIDR de destino e um destino; por exemplo, o tráfego destinado a 172.16.0.0/12 é direcionado para o VPG.
  • A AWS usa a rota mais específica que corresponde ao tráfego para determinar como rotear o tráfego.

 

Gateways da Internet

Um Internet Gateway (IGW) é um componente do Amazon VPC redundante e altamente disponível que permite a comunicação entre instâncias do Amazon VPC e da Internet.

Um IGW fornece um destino nas tabelas de rotas do Amazon VPC para tráfego roteável pela Internet e executa a conversão de endereços de rede para instâncias às quais foram atribuídos endereços IP públicos. As instâncias do Amazon EC2 em uma VPC estão cientes apenas de seus endereços IP privados.

 

Quando o tráfego é enviado da instância para a Internet, o IGW converte o endereço de resposta no endereço IP público da instância (ou endereço EIP, coberto posteriormente) e mantém o mapa individual do endereço IP privado e do endereço IP público da instância.

Quando uma instância recebe tráfego da Internet, o IGW converte o endereço de destino (endereço IP público) no endereço IP privado da instância e encaminha o tráfego para a VPC.

Você deve fazer o seguinte para criar uma sub-rede pública com acesso à Internet:

  • Anexe um IGW ao seu VPC.
  • Crie uma regra da tabela de rota de sub-rede para enviar todo o tráfego não local (0.0.0.0/0) para o IGW.
  • Configure as ACLs da rede e as regras do grupo de segurança para permitir que o tráfego relevante flua para e da sua instância.
  • Você deve fazer o seguinte para permitir que uma instância do Amazon EC2 envie e receba tráfego da Internet:
    • Atribua um endereço IP público ou endereço EIP.

Você pode definir o escopo da rota para todos os destinos que não sejam explicitamente conhecidos na tabela de rotas (0.0.0.0/0), ou pode definir a rota para um intervalo mais restrito de endereços IP, como os endereços IP públicos dos endpoint públicos da sua empresa fora de Endereços AWS ou EIP de outras instâncias do Amazon EC2 fora do seu Amazon VPC.

 

DHCP (Dynamic Host Configuration Protocol)

O DHCP (Dynamic Host Configuration Protocol) fornece um padrão para passar informações de configuração para hosts em uma rede TCP / IP.

O campo de opções de uma mensagem DHCP contém os parâmetros de configuração. Alguns desses parâmetros são o nome de domínio, o servidor de nomes de domínio e o tipo netbios-node-type.

 

A AWS cria e associa automaticamente uma opção DHCP definida para o Amazon VPC na criação e define duas opções: servidores de nome de domínio (padrão no AmazonProvidedDNS) e nome de domínio (padrão no nome de domínio da sua região).

O AmazonProvidedDNS é um servidor DNS (Sistema de nomes de domínio da Amazon), e essa opção habilita o DNS para instâncias que precisam se comunicar pelo IGW do Amazon VPC. A opção DHCP define o elemento de um Amazon VPC permite direcionar as atribuições de nome de host do Amazon EC2 para seus próprios recursos.

Para atribuir seu próprio nome de domínio às suas instâncias, crie um conjunto de opções DHCP personalizado e atribua-o ao seu Amazon VPC.

Você pode configurar os seguintes valores em um conjunto de opções DHCP:

  • servidores de nome de domínio – os endereços IP de até quatro servidores de nome de domínio, separados por vírgulas. O padrão é AmazonProvidedDNS.
  • nome do domínio – especifique aqui o nome de domínio desejado (por exemplo, minhaempresa.com.br).
  • servidores ntp – os endereços IP de até quatro servidores NTP (Network Time Protocol), separados por vírgulas
  • netbios-name-servers – Os endereços IP de até quatro servidores de nomes NetBIOS, separados por vírgulas
  • netbios-node-type – defina esse valor como 2.

Toda VPC deve ter apenas um conjunto de opções DHCP atribuído a ele.

 

Endereços IP Elásticos (EIPs)

A AWS mantém um conjunto de endereços IP públicos em cada região e os disponibiliza para você associar a recursos em seus Amazon VPCs.

 

Um endereço IP elástico (EIP) é um endereço IP público estático no pool para a região que você pode alocar para sua conta (extrair do pool) e liberar (retornar ao pool).

Os EIPs permitem manter um conjunto de endereços IP que permanecem fixos enquanto a infraestrutura subjacente pode mudar com o tempo. Aqui estão os pontos importantes para entender:

  • Você deve primeiro alocar um EIP para uso em uma VPC e depois atribuí-lo a uma instância.
  • Os EIPs são específicos para uma região (ou seja, um EIP em uma região não pode ser atribuído a uma instância dentro de um Amazon VPC em uma região diferente).
  • Há um relacionamento individual entre interfaces de rede e EIPs.
  • Você pode mover EIPs de uma instância para outra, no mesmo Amazon VPC ou em um Amazon VPC diferente na mesma região.
  • Os EIPs permanecem associados à sua conta da AWS até que você os libere explicitamente.
  • Existem cobranças por EIPs alocados à sua conta, mesmo quando não estão associados a um recurso.

 

Interfaces de Rede Elástica (ENIs)

Uma interface de rede elástica (ENI) é uma interface de rede virtual que você pode conectar a uma instância em um Amazon VPC.

As ENIs estão disponíveis apenas em uma VPC e são associadas a uma sub-rede na criação. Eles podem ter um endereço IP público e vários endereços IP privados.

Se houver vários endereços IP privados, um deles é primário. A atribuição de uma segunda interface de rede a uma instância por meio de uma ENI permite que ela seja de hospedagem dupla (tenha presença de rede em diferentes sub-redes).

Uma ENI criada independentemente de uma instância específica persiste, independentemente do tempo de vida de qualquer instância à qual está anexada. Se uma instância subjacente falhar, o endereço IP pode ser preservado anexando o ENI a uma instância de substituição. As ENIs permitem criar uma rede de gerenciamento, usar dispositivos de rede e segurança no Amazon VPC, criar instâncias de hospedagem dupla com cargas de trabalho / funções em sub-redes distintas ou criar uma solução de baixo orçamento e alta disponibilidade.

 

Endpoints

Um endpoint da Amazon VPC permite criar uma conexão privada entre o Amazon VPC e outro serviço da AWS sem exigir acesso pela Internet ou por meio de uma instância NAT, conexão VPN ou AWS Direct Connect.

Você pode criar vários endpoints para um único serviço e pode usar tabelas de rotas diferentes para impor políticas de acesso diferentes a partir de sub-redes diferentes para o mesmo serviço.

Atualmente, os endpoints da Amazon VPC oferecem suporte à comunicação com o Amazon Simple Storage Service (Amazon S3), e espera-se que outros serviços sejam adicionados no futuro. Você deve fazer o seguinte para criar um endpoint:

  • Especifique o Amazon VPC.
  • Especifique o serviço. Um serviço é identificado por uma lista de prefixos no formato com.amazonaws. <Região>. <Serviço>.
  • Especifique a política. Você pode permitir acesso completo ou criar uma política personalizada. Esta política pode ser alterada a qualquer momento.
  • Especifique as tabelas de rotas. Uma rota será adicionada a cada tabela de rotas especificada, que indicará o serviço como destino e o terminal como destino.

 

Peering

Uma conexão de emparelhamento do Amazon VPC é uma conexão de rede entre dois Amazon VPCs que permite que instâncias no Amazon VPC se comuniquem entre si como se estivessem na mesma rede.

 

Você pode criar uma conexão de peering do Amazon VPC entre o seu Amazon VPCs ou com um Amazon VPC em outra conta da AWS em uma única região.

Uma conexão de mesmo nível não é um gateway nem uma conexão VPN da Amazon e não apresenta um único ponto de falha para a comunicação. As conexões de peering são criadas por meio de um protocolo de solicitação / aceitação.

O proprietário do Amazon VPC solicitante envia uma solicitação ao mesmo nível para o proprietário do Amazon VPC do mesmo nível. Se o Amazon VPC de mesmo nível estiver na mesma conta, ele será identificado pelo seu ID de VPC. Se a VPC de mesmo nível for em uma conta diferente, ele é identificado pelo ID da conta e pelo ID da VPC.

O proprietário do Amazon VPC de mesmo nível tem uma semana para aceitar ou rejeitar a solicitação de mesmo nível com o Amazon VPC solicitante antes que a solicitação de peering expire.

Um Amazon VPC pode ter várias conexões de peering, e o emparelhamento é um relacionamento individual entre os Amazon VPCs, o que significa que dois Amazon VPCs não podem ter dois acordos de peering entre eles. Além disso, as conexões de mesmo nível não oferecem suporte ao roteamento transitivo.

 

Grupos de Segurança

Um grupo de segurança é um firewall com estado virtual que controla o tráfego de rede de entrada e saída para recursos da AWS e instâncias do Amazon EC2.

Todas as instâncias do Amazon EC2 devem ser iniciadas em um grupo de segurança. Se um grupo de segurança não for especificado na inicialização, a instância será iniciada no grupo de segurança padrão do Amazon VPC.

O grupo de segurança padrão permite a comunicação entre todos os recursos dentro do grupo de segurança, permite todo o tráfego de saída e nega todo o outro tráfego. Aqui estão os pontos importantes para entender sobre grupos de segurança:

  • Você pode criar até 500 grupos de segurança para cada Amazon VPC.

 

  • Você pode adicionar até 50 regras de entrada e 50 de saída a cada grupo de segurança. Se você precisar aplicar mais de 100 regras a uma instância, poderá associar até cinco grupos de segurança a cada interface de rede.
  • Você pode especificar regras de permissão, mas não negar regras. Essa é uma diferença importante entre grupos de segurança e ACLs.
  • Você pode especificar regras separadas para o tráfego de entrada e saída.
  • Por padrão, nenhum tráfego de entrada é permitido até você adicionar regras de entrada ao grupo de segurança.
  • Por padrão, os novos grupos de segurança têm uma regra de saída que permite todo o tráfego de saída.
  • Você pode remover a regra e adicionar regras de saída que permitem apenas tráfego de saída específico.
  • Grupos de segurança são stateful. Isso significa que as respostas ao tráfego de entrada permitido podem fluir de saída, independentemente das regras de saída e vice-versa. Essa é uma diferença importante entre grupos de segurança e ACLs de rede.
  • As instâncias associadas ao mesmo grupo de segurança não podem se comunicar a menos que você adicione regras que permitam (com a exceção o grupo de segurança padrão).
  • Você pode alterar os grupos de segurança aos quais uma instância está associada após o lançamento, e as alterações entrarão em vigor imediatamente.

 

Listas de Controle de Acesso à Rede (ACLs)

Uma lista de controle de acesso à rede (ACL) é outra camada de segurança que atua como um firewall sem estado no nível de sub-rede.

Uma ACL de rede é uma lista numerada de regras que a AWS avalia em ordem, começando com a regra numerada mais baixa, para determinar se o tráfego é permitido dentro ou fora de qualquer sub-rede associada à ACL da rede.

Os Amazon VPCs são criados com uma ACL de rede padrão modificável associada a todas as sub-redes que permitem todo o tráfego de entrada e saída.

Quando você cria uma ACL de rede personalizada, sua configuração inicial negará todo o tráfego de entrada e saída até você criar regras que permitam o contrário.

Você pode configurar ACLs de rede com regras semelhantes aos seus grupos de segurança para adicionar uma camada de segurança ao Amazon VPC ou pode optar por usar a ACL de rede padrão que não filtra o tráfego que atravessa o limite da sub-rede. No geral, todas as sub-redes devem estar associadas a uma ACL da rede.

 

Instâncias de Conversão de Endereço de Redes (Instâncias NAT) e Gateways de Entradas (NAT Gateways)

 

Por padrão, qualquer instância iniciada em uma sub-rede privada em um Amazon VPC não pode se comunicar com a Internet por meio do IGW. Isso é problemático se as instâncias nas sub-redes privadas precisarem de acesso direto à Internet a partir do Amazon VPC para aplicar atualizações de segurança, baixar patches ou atualizar o aplicativo.

A AWS fornece instâncias NAT e gateways NAT para permitir que instâncias implantadas em sub-redes privadas obtenham acesso à Internet.

Para casos de uso comuns, recomendamos que você use um gateway NAT em vez de uma instância NAT. O gateway NAT fornece melhor disponibilidade e maior largura de banda e requer menos esforço administrativo do que as instâncias NAT.

 

Instância NAT

Uma instância de conversão de endereço de rede (Instância NAT) é uma AMI (Amazon Machine Image) da Amazon Linux projetada para aceitar tráfego de instâncias em uma sub-rede privada, converter o endereço IP de origem no endereço IP público da instância NAT e encaminhar o tráfego para o IGW.

Além disso, a instância do NAT mantém o estado do tráfego encaminhado para retornar o tráfego de resposta da Internet para a instância apropriada na sub-rede privada. Essas instâncias têm a cadeia amzn-ami-vpc-nat em seus nomes, que pode ser pesquisada no console do Amazon EC2.

Para permitir que instâncias em uma sub-rede privada acessem recursos da Internet através do IGW por meio de uma instância NAT, faça o seguinte:

  • Crie um grupo de segurança para o NAT com regras de saída que especificam os recursos necessários da Internet por porta, protocolo e endereço IP.
  • Inicie uma AMI NAT do Amazon Linux como uma instância em uma sub-rede pública e associe-a ao grupo de segurança NAT.
  • Desative o atributo Source / Destination Check do NAT.
  • Configure a tabela de rotas associada a uma sub-rede privada para direcionar o tráfego vinculado à Internet para a instância NAT (por exemplo, i-1a2b3c4d).
  • Aloque um EIP e associe-o à instância NAT.

 

Essa configuração permite que instâncias em sub-redes privadas enviem comunicação de saída da Internet, mas impede que as instâncias recebam tráfego de entrada iniciado por alguém na Internet.

 

Gateway NAT

Um gateway NAT é um recurso gerenciado da Amazon, projetado para operar como uma instância NAT, mas é mais simples de gerenciar e altamente disponível em uma Zona de Disponibilidade.

Para permitir que instâncias em uma sub-rede privada acessem os recursos da Internet por meio do IGW por meio de um gateway NAT, faça o seguinte:

  • Configure a tabela de rotas associada à sub-rede privada para direcionar o tráfego vinculado à Internet para o gateway NAT (por exemplo, nat-1a2b3c4d).

 

  • Aloque um EIP e associe-o ao gateway NAT.

 

Como uma instância NAT, esse serviço gerenciado permite a comunicação de saída da Internet e impede que as instâncias recebam tráfego de entrada iniciado por alguém na Internet.

Para criar uma arquitetura independente da zona de disponibilidade, crie um gateway NAT em cada zona de disponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT na mesma zona de disponibilidade.

Gateways Privados Virtuais (VPGs), Gateways de Cliente (CGWs),

e Redes Privadas Virtuais (VPNs)

 

Você pode conectar um datacenter existente ao Amazon VPC usando conexões VPN de hardware ou software, o que tornará o Amazon VPC uma extensão do datacenter.

O Amazon VPC oferece duas maneiras de conectar uma rede corporativa a um VPC: VPG e CGW.

Um gateway privado virtual (VPG) é o concentrador de rede virtual privada (VPN) no lado da AWS da conexão VPN entre as duas redes.

Um gateway de cliente (CGW) representa um dispositivo físico ou um aplicativo de software no lado do cliente da conexão VPN.

Após a criação desses dois elementos de um Amazon VPC, a última etapa é criar um túnel VPN. O túnel da VPN é estabelecido depois que o tráfego é gerado a partir do lado do cliente da conexão VPN. Você deve especificar o tipo de roteamento que planeja usar ao criar uma conexão VPN.

Se o CGW suportar o BGP (Border Gateway Protocol), configure a conexão VPN para roteamento dinâmico. Caso contrário, configure as conexões para roteamento estático. Se você estiver usando roteamento estático, deverá inserir as rotas da sua rede que devem ser comunicadas ao VPG.

As rotas serão propagadas para o Amazon VPC para permitir que seus recursos direcionem o tráfego de rede de volta para a rede corporativa através do VGW e através do túnel VPN.

O Amazon VPC também oferece suporte a vários CGWs, cada um com uma conexão VPN com um único VPG (design muitos-para-um). Para suportar essa topologia, os endereços IP do CGW devem ser exclusivos na região.

O Amazon VPC fornecerá as informações necessárias ao administrador da rede para configurar o CGW e estabelecer a conexão VPN com o VPG.

A conexão VPN consiste em dois túneis IPSec (Internet Protocol Security) para maior disponibilidade ao Amazon VPC. A seguir, estão os pontos importantes a serem entendidos sobre VPGs, CGWs e VPNs:

  • O VPG é o final da AWS do túnel da VPN.
  • O CGW é um aplicativo de hardware ou software no lado do cliente do túnel da VPN.
  • Você deve iniciar o túnel VPN do CGW para o VPG.
  • Os VPGs suportam roteamento dinâmico com BGP e roteamento estático.
  • A conexão VPN consiste em dois túneis para maior disponibilidade da VPC.