ネットワーキング

Amazon VPC

Servicio de red virtual aislada lógicamente dentro de AWS que permite definir subredes, tablas de rutas, gateways y controles de seguridad para desplegar recursos en una red personalizada

Unos 3 min de lectura

Descripción general

Amazon Virtual Private Cloud (VPC) permite crear una red virtual aislada lógicamente dentro de la nube de AWS donde se despliegan recursos como instancias EC2, bases de datos RDS y funciones Lambda. Se define el rango de direcciones IP (bloque CIDR), se crean subredes públicas y privadas en múltiples zonas de disponibilidad, se configuran tablas de rutas y se controla el tráfico entrante y saliente mediante grupos de seguridad y ACLs de red. VPC es el componente fundamental de red sobre el que se construyen la mayoría de las arquitecturas AWS.

Diseño de subredes y arquitectura multi-AZ

El diseño de VPC comienza con la selección del bloque CIDR (por ejemplo, 10.0.0.0/16 proporciona 65,536 direcciones). Las subredes se crean dentro de zonas de disponibilidad específicas y se clasifican como públicas (con ruta al Internet Gateway) o privadas (sin acceso directo a Internet). La arquitectura estándar de tres niveles incluye subredes públicas para balanceadores de carga, subredes privadas para servidores de aplicación y subredes privadas aisladas para bases de datos. Cada nivel se despliega en al menos dos AZs para alta disponibilidad. Los NAT Gateways en subredes públicas permiten que recursos en subredes privadas accedan a Internet para actualizaciones y llamadas API sin ser accesibles desde Internet. La planificación de CIDR debe considerar el crecimiento futuro y la necesidad de peering con otras VPCs (los rangos no deben solaparse).

Grupos de seguridad, ACLs de red y control de tráfico

Los grupos de seguridad actúan como firewalls virtuales a nivel de instancia con reglas stateful (el tráfico de retorno se permite automáticamente). Las ACLs de red operan a nivel de subred con reglas stateless (requieren reglas explícitas para tráfico entrante y saliente). La mejor práctica es usar grupos de seguridad como control principal y ACLs de red como capa de defensa adicional. Los grupos de seguridad pueden referenciar otros grupos de seguridad como origen/destino, permitiendo reglas como 'permitir tráfico desde el grupo de seguridad del balanceador de carga' sin especificar IPs. VPC Flow Logs captura información sobre el tráfico IP que entra y sale de las interfaces de red, esencial para auditoría de seguridad y troubleshooting de conectividad. Los logs se envían a CloudWatch Logs o S3 para análisis.

Conectividad y servicios de red avanzados

Internet Gateway proporciona conectividad bidireccional a Internet para recursos con IPs públicas. VPC Endpoints permiten acceso privado a servicios AWS (S3, DynamoDB, etc.) sin atravesar Internet, mejorando seguridad y reduciendo costos de transferencia. Los Gateway Endpoints son gratuitos para S3 y DynamoDB, mientras que los Interface Endpoints (PrivateLink) tienen costo por hora y por GB. VPC Peering conecta dos VPCs para comunicación directa usando IPs privadas, pero no es transitivo (A↔B y B↔C no implica A↔C). Para topologías complejas con múltiples VPCs, Transit Gateway proporciona conectividad hub-and-spoke. DNS Resolution dentro de la VPC usa Route 53 Resolver, y los endpoints de Resolver permiten resolución DNS bidireccional entre VPC y redes on-premises.

共有するXB!

Términos relacionados

Amazon EC2AWS Transit GatewayAWS PrivateLinkAWS Direct ConnectAWS Network Firewall

Servicios relacionados

Amazon EC2AWS Transit GatewayAWS PrivateLinkAWS Direct Connect

Artículos relacionados

Conexión dedicada con AWS Direct Connect - Configuración redundante y control de tráficoDiseñe configuraciones redundantes de conexión dedicada y conéctese a VPCs de múltiples regiones con Direct Connect Gateway. También presentamos la agregación de ancho de banda con LAG y el cifrado MACsec.Infraestructura de nube híbrida - Integración de on-premises y AWS con AWS OutpostsAprende a extender la infraestructura de AWS a entornos on-premises con AWS Outposts y construir arquitecturas de nube híbrida con integración EC2. Cubre patrones de diseño para requisitos de residencia de datos y baja latencia.Visualización de redes globales con AWS Network Manager - Gestión centralizada de topología y saludExplicación de la visualización de redes globales con AWS Network Manager. Se presenta la gestión centralizada de topología, el análisis de rutas y la integración con Cloud WAN.Red hub-and-spoke con AWS Transit Gateway - Diseño de conectividad multi-VPCAgregación de múltiples VPCs y redes on-premises en topología hub-and-spoke, estableciendo límites de seguridad con separación de tablas de rutas. También presentamos la conectividad multi-región mediante peering.Diseño de red en Amazon VPC - Configuración de subredes y optimización de NAT GatewayPresentamos el diseño de separación de subredes públicas/privadas, la gestión por capas de Security Groups y la reducción de costos de NAT Gateway mediante Gateway VPC Endpoints.

Términos y artículos similares

Amazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursosDiseño de red en Amazon VPC - Configuración de subredes y optimización de NAT GatewayPresentamos el diseño de separación de subredes públicas/privadas, la gestión por capas de Security Groups y la reducción de costos de NAT Gateway mediante Gateway VPC Endpoints.Por qué el CIDR predeterminado de VPC es /16 - Curiosidades y trampas del diseño de direcciones IPExplicamos por qué el CIDR predeterminado de VPC es /16, la historia del espacio de direcciones privadas RFC 1918, las 5 direcciones IP no utilizables en subredes y los patrones de fallo en el diseño CIDR.La profundidad de los servicios de red de AWS - Diseño de redes empresariales con VPC, Transit Gateway y PrivateLinkComparamos los servicios de red de AWS centrados en VPC, Transit Gateway, PrivateLink, Direct Connect y Network Firewall con Azure VNet/ExpressRoute y GCP VPC/Cloud Interconnect, explicando la ventaja en flexibilidad para el diseño de redes empresariales.