Redes

Diseño de red en Amazon VPC - Configuración de subredes y optimización de NAT Gateway

Presentamos el diseño de separación de subredes públicas/privadas, la gestión por capas de Security Groups y la reducción de costos de NAT Gateway mediante Gateway VPC Endpoints.

約 4 分で読めます

Descripción general de VPC

VPC es un servicio que construye una red virtual lógicamente aislada en AWS. Se define el rango de direcciones IP con bloques CIDR y se controla la red con subredes, tablas de rutas, Security Groups y Network ACLs. La separación entre subredes públicas y privadas establece los límites de seguridad entre los recursos expuestos a Internet y los recursos internos.

Diseño de subredes y NAT Gateway

Las subredes públicas tienen una ruta hacia el Internet Gateway y alojan ALB y NAT Gateway. Las subredes privadas no tienen ruta directa a Internet y alojan EC2, RDS y Lambda. NAT Gateway proporciona comunicación saliente desde subredes privadas (actualizaciones de paquetes, llamadas API), pero genera cargos por hora y por procesamiento de datos. Para el acceso a S3 y DynamoDB se utilizan VPC Endpoints (tipo gateway, gratuitos), evitando pasar por NAT Gateway y reduciendo costos. VPC Flow Logs registra el tráfico a nivel de ENI en CloudWatch Logs o S3, y se utiliza para detectar accesos no autorizados e investigar fallos de comunicación.

Diseño de Security Groups y NACL

Los Security Groups son firewalls stateful a nivel de instancia que solo definen reglas de permiso. Se recomienda separar los Security Groups por capa de aplicación (ALB), capa de lógica de negocio (EC2/ECS) y capa de datos (RDS), referenciando los IDs de Security Group para la comunicación entre capas. Las Network ACL son firewalls stateless a nivel de subred que pueden definir tanto permisos como denegaciones. Se utilizan para bloquear explícitamente el acceso desde rangos de IP específicos o para control grueso a nivel de subred. Se recomienda habilitar VPC Flow Logs para analizar el tráfico denegado por Security Groups y NACL, y revisar periódicamente la adecuación de las reglas. Para ampliar conocimientos sobre diseño de redes, también puede consultar libros especializados en Amazon.

Optimización de costos de NAT Gateway

NAT Gateway genera cargos por procesamiento de datos (aproximadamente 0,062 USD por GB) y por hora (aproximadamente 0,062 USD/hora), y los costos aumentan rápidamente en entornos con gran volumen de comunicación saliente. La medida de reducción más efectiva es configurar Gateway VPC Endpoints (gratuitos) para la comunicación con S3 y DynamoDB, evitando que pase por NAT Gateway. Para servicios AWS de acceso frecuente como ECR, CloudWatch Logs y STS, se configuran Interface VPC Endpoints para reducir el volumen de datos procesados por NAT Gateway. En configuraciones multi-AZ con NAT Gateway en cada AZ, no se generan cargos de transferencia de datos entre AZs, pero el cargo por hora se multiplica por el número de AZs. Se recomienda hacer seguimiento mensual de los costos de NAT Gateway con Cost Explorer y evaluar cuantitativamente el efecto de reducción al agregar VPC Endpoints.

Resumen

VPC es un servicio que asegura la seguridad de red en múltiples capas mediante separación de subredes, Security Groups y Network ACLs. Se separan los Security Groups por capa de aplicación, lógica de negocio y datos, y se analiza el tráfico con VPC Flow Logs. Se establece conectividad privada gratuita a S3/DynamoDB con Gateway VPC Endpoints y se optimizan los costos de procesamiento de datos de NAT Gateway.

Servicios relacionados

Amazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursosAmazon EC2Un servicio de cómputo que proporciona servidores virtuales en la nubeAWS PrivateLinkConecte de forma privada desde su VPC a servicios de AWS y servicios de terceros sin atravesar internet

Artículos relacionados

Red hub-and-spoke con AWS Transit Gateway - Diseño de conectividad multi-VPCAgregación de múltiples VPCs y redes on-premises en topología hub-and-spoke, estableciendo límites de seguridad con separación de tablas de rutas. También presentamos la conectividad multi-región mediante peering.Conectividad privada con AWS PrivateLink - VPC Endpoints y Endpoint ServicesAccede a servicios AWS y servicios de terceros de forma privada sin pasar por internet. Presentamos el diseño de Interface Endpoints y Gateway Endpoints.Diseño de conexión dedicada - Conexión de red privada estable con Direct ConnectExplicamos las técnicas de diseño de conexión dedicada con AWS Direct Connect, presentando la selección entre conexión dedicada y conexión hospedada, la configuración redundante y la integración con VPC para lograr una conexión de red privada estable.

Más sobre este tema

Construcción de service mesh con AWS App Mesh - Control de comunicación entre microservicios y observabilidadPresentamos cómo configurar de forma declarativa despliegues canary con sidecar Envoy, políticas de reintento y cifrado mTLS, y cómo visualizar las dependencias entre servicios con la integración de X-Ray.Descubrimiento de servicios con AWS Cloud Map - Resolución dinámica de nombres para microserviciosDescubra dinámicamente endpoints de microservicios usando enfoques basados en DNS y API. Aprenda cómo automatizar el registro y desregistro de servicios mediante integración con ECS y EKS.Cómo funcionan los más de 600 PoPs de CloudFront - Enrutamiento Anycast y la jerarquía de cachéAprenda cómo CloudFront enruta las solicitudes de los usuarios al PoP más cercano usando Anycast, la estructura de dos niveles de edge locations y cachés de borde regionales, y los factores de diseño que determinan las tasas de acierto de caché.Diseño de conexión dedicada - Conexión de red privada estable con Direct ConnectExplicamos las técnicas de diseño de conexión dedicada con AWS Direct Connect, presentando la selección entre conexión dedicada y conexión hospedada, la configuración redundante y la integración con VPC para lograr una conexión de red privada estable.Conexión dedicada con AWS Direct Connect - Configuración redundante y control de tráficoDiseñe configuraciones redundantes de conexión dedicada y conéctese a VPCs de múltiples regiones con Direct Connect Gateway. También presentamos la agregación de ancho de banda con LAG y el cifrado MACsec.Gestión y diseño de Elastic IP - Uso de IP estáticas y optimización de costosExplicamos la asignación de Elastic IP, la asociación con EC2, el impacto en costos de EIP no utilizadas y la consideración de alternativas.Por qué ELB tiene 3 tipos - La lógica de diseño detrás de la separación de ALB, NLB y CLBExplicamos por qué los 3 tipos de balanceadores de carga ALB, NLB y CLB (Classic) coexisten sin unificarse, desde la perspectiva de las capas del modelo OSI, las características de rendimiento y la evolución histórica.Optimización de red global con AWS Global Accelerator - Entrega de baja latencia y failoverAprende a enrutar tráfico hacia la red global de AWS usando IPs Anycast, diseñar grupos de endpoints y lograr failover mediante health checks.

Artículos y servicios similares

La verdadera razón por la que NAT Gateway es caro - Estructura de tarifas de procesamiento de datos y estrategias de reducciónExplicación de la estructura de doble cobro de NAT Gateway, los patrones que inflan los costos de procesamiento de datos, la reducción de costos con VPC Endpoints, la alternativa de NAT Instance y la migración a IPv6.Amazon VPCServicio de red virtual aislada lógicamente dentro de AWS que permite definir subredes, tablas de rutas, gateways y controles de seguridad para desplegar recursos en una red personalizadaAWS PrivateLinkFunción de red que permite conexión privada a servicios AWS y servicios de terceros desde dentro de la VPC sin pasar por Internet