Descripción de la arquitectura de red de VPC - Amazon Virtual Private Cloud
Ubicación geográficaSubredesLa conectividad de redControles de seguridadAdministración del tráficoRecursos relacionados

Descripción de la arquitectura de red de VPC

Amazon VPC le permite definir una red virtual aislada lógicamente dentro de la nube de AWS, que recibe el nombre de nube privada virtual (VPC). Cree VPC separadas para aislar la infraestructura por carga de trabajo o unidad organizativa. Puede configurar sus VPC seleccionando rangos de direcciones IP, configurando el enrutamiento y agregando puertas de enlace de red para conectar sus VPC entre sí, a Internet o a su propia red corporativa. Usted lanza recursos de AWS, como instancias de EC2 o instancias de RDS, en sus VPC.

La siguiente tabla describe las características clave de una red de VPC. Un administrador de red puede utilizar esta guía para describir la arquitectura y la configuración de su red de VPC. Disponer de esta información les permite configurar una red funcionalmente equivalente en las instalaciones o mediante otro proveedor de nube.

Característica Descripción
Ubicación geográfica Amazon VPC está alojado en todas las regiones de AWS del mundo. Puede seleccionar las regiones para su red de VPC que acerquen los recursos de AWS a sus clientes.
Subredes Las subredes que defina para sus VPC definen los límites de la red y determinan las direcciones IP de sus recursos de AWS. Puede agregar subredes en varias zonas de disponibilidad para aumentar la disponibilidad de los recursos.
Conectividad de red Las puertas de enlace que debe conectar a las VPC o subredes para proporcionar conectividad entre la red de VPC y otras redes, como otras VPC o subredes, Internet o las redes en las instalaciones.
Controles de seguridad Los grupos de seguridad que cree para sus VPC controlan el tráfico hacia y desde los recursos asociados, como los recursos informáticos, los recursos de bases de datos y los equilibradores de carga. Cada subred tiene una ACL de red que controla el tráfico entrante y saliente de la subred.
Administración del tráfico Las reglas de enrutamiento controlan el flujo de tráfico entre las subredes, las VPC y las ubicaciones externas. Los equilibradores de carga proporcionados por Elastic Load Balancing distribuyen el tráfico entrante entre varios destinos, como instancias de EC2, contenedores y funciones de Lambda.

Ubicación geográfica

Amazon VPC está disponible en todas las regiones de AWS del mundo. Cada región es un área geográfica independiente. Puede reducir la latencia de la red al crear VPC para sus recursos en regiones cercanas a la mayoría de sus usuarios.

Puede utilizar Amazon EC2 Global View para enumerar las VPC en todas las regiones mediante una interfaz gráfica de usuario (no hay una interfaz de programación equivalente). Con la consola de Amazon VPC, la API de AWS y las interfaces de línea de comandos de AWS, debe enumerar las VPC y los recursos de VPC de cada región de forma individual.

Por qué es importante

Una vez que determine dónde están ubicadas sus VPC, puede decidir si desea configurar una red funcionalmente equivalente en las mismas ubicaciones o en ubicaciones diferentes, según sus necesidades.

Obtención de un resumen de sus VPC en todas las regiones

  1. Abra la consola de Amazon EC2 Global View en https://console.aws.amazon.com/ec2globalview/home.

  2. En la pestaña Region explorer (Explorador de regiones), en Summary (Resumen), compruebe el recuento de recursos de las VPC, que incluye la cantidad de VPC y la cantidad de regiones. Esto incluye tanto las VPC predeterminadas que crea AWS en su nombre como las VPC no predeterminadas que usted crea. Haga clic en el texto subrayado para ver cómo se distribuye el recuento de VPC entre las regiones. Si una región tiene solo una VPC, lo más probable es que sea la predeterminada de la región.

  3. En la pestaña Búsqueda global (Global search), seleccione el filtro de cliente Resource type = Vpc (Tipo de recurso = Vpc). Puede filtrar aún más los resultados especificando una región o una etiqueta.

Obtención de las VPC de una región mediante la AWS CLI

Utilice el siguiente comando describe-images. Debe ejecutarlo en cada región en la que tenga VPC. El parámetro --query solo incluye los ID de la VPC en la salida. Puede incluir cualquier campos adicionales según sea necesario.

aws ec2 describe-vpcs \
    --region us-east-2 \
    --query "Vpcs[*].VpcId"

Cada región incluye una VPC predeterminada. Si no utiliza las VPC predeterminadas, puede excluirlas de los resultados añadiendo el siguiente filtro.

--filters Name=is-default,Values=false

Subredes

Una subred es un límite de red lógico en una VPC. Al crear una subred, asigna un bloque de direcciones IP. A los recursos que lanza a una subred se les asignan direcciones IP del bloque de direcciones IP de la subred. Las direcciones IP permiten que los recursos se comuniquen entre sí a través de una red local o Internet.

El mapa de recursos de la consola de Amazon VPC proporciona una representación visual de las subredes de la VPC.

Por qué son importantes

Las subredes permiten a los administradores de red implementar límites de seguridad y controlar el tráfico entre los niveles de aplicaciones. Al anotar las direcciones IP de las subredes, puede ayudar a garantizar que los recursos en una red funcionalmente equivalente puedan comunicarse con los mismos clientes o aplicaciones que en su red de VPC.

Visualización de las subredes de una VPC mediante el mapa de recursos

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija VPC.

  3. Seleccione la casilla de verificación de la VPC.

  4. Elija la pestaña Resource map (Mapa de recursos).

  5. En el panel de VPC, seleccione Show details (Mostrar detalles). En el panel Subnets (Subredes), se presentan todas las subredes de la VPC y sus rangos de direcciones IP. Coloque el cursor sobre una subred para resaltar la tabla de enrutamiento y las conexiones de red asociadas. Para obtener más información, haga clic en el enlace para abrir la página de detalles de la subred.

Descripción de las subredes de una VPC mediante la AWS CLI

Utilice el siguiente comando describe-subnets. El parámetro --filters abarca la búsqueda para describir las subredes de la VPC especificada. El parámetro --query solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.

aws ec2 describe-subnets \
    --filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
    --query Subnets[*].[SubnetId,AvailabilityZoneId,CidrBlock,Ipv6CidrBlockAssociationSet[0].Ipv6CidrBlock] \
    --output table

A continuación, se muestra un ejemplo del resultado. Las columnas son el ID de la subred, el ID de la zona de disponibilidad, el rango de direcciones IPv4 y el primer rango de direcciones IPv6 (si lo hubiera).

---------------------------------------------------------------------------------------
|                                   DescribeSubnets                                   |
+---------------------------+-----------+----------------+----------------------------+
|  subnet-0d2d1b81e0bc9c6d4 |  usw2-az1 |  10.0.144.0/20 |  2600:1f14:1e6e:a003::/64  |
|  subnet-0e01d500780bb7468 |  usw2-az1 |  10.0.16.0/20  |  2600:1f14:1e6e:a001::/64  |
|  subnet-0eb17d85f5dfd33b1 |  usw2-az2 |  10.0.128.0/20 |  2600:1f14:1e6e:a002::/64  |
|  subnet-0e990c67809773b19 |  usw2-az2 |  10.0.0.0/20   |  2600:1f14:1e6e:a000::/64  |
+---------------------------+-----------+----------------+----------------------------+

La conectividad de red

Las opciones de conectividad que ofrece Amazon VPC le permiten crear una red que abarque las VPC de varias cuentas y regiones y redes remotas.

Puede utilizar el mapa de recursos de la consola de Amazon VPC para descubrir si sus VPC utilizan puertas de enlace de Internet, puertas de enlace de Internet de solo salida, puertas de enlace NAT o puntos de conexión de VPC de las puertas de enlace. El mapa de recursos no muestra ninguna puerta de enlace de tránsito, conexión de pares, puerta de enlace privada virtual ni ningún otro tipo de punto de conexión de VPC que esté en uso. Puede obtener la lista completa de puertas de enlace y conexiones de red de una VPC describiéndolas mediante la consola, la API o una interfaz de línea de comando de un tipo a la vez.

Por qué es importante

Una vez que comprenda la conectividad que proporciona su red de VPC, puede asegurarse de que los recursos de una red funcionalmente equivalente puedan comunicarse con los mismos recursos locales y remotos.

Visualización de las conexiones de red de una VPC mediante el mapa de recursos

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija VPC.

  3. Seleccione la casilla de verificación de la VPC.

  4. Elija la pestaña Resource map (Mapa de recursos).

  5. En el panel de VPC, seleccione Show details (Mostrar detalles). En el panel Network connections (Conexiones de red), se presentan las puertas de enlace de Internet, las puertas de enlace de Internet de solo salida, las puertas de enlace NAT y los puntos de conexión de VPC de las puertas de enlace. Si el tipo de recurso no está claro, coloque el cursor sobre el icono de enlace de la conexión de red y examine la URL resultante. Esta URL es un enlace al recurso en la consola y contiene el tipo y el ID del recurso (por ejemplo, internetGatewayId=igw-0123456780abcdef).

Obtención de las conexiones de red de sus VPC mediante la AWS CLI

  1. Utilice el comando describe-internet-gateways para obtener las puertas de enlace de Internet de la región especificada. El parámetro --query solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.

    aws ec2 describe-internet-gateways \
    --region us-east-2 \
    --query InternetGateways[*].[Attachments[0].VpcId,InternetGatewayId] \
    --output table

    A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de la VPC y los ID de la puerta de enlace de Internet.

    ----------------------------------------------------
|             DescribeInternetGateways             |
+------------------------+-------------------------+
|  None                  |  igw-04c61dba10EXAMPLE  |
|  vpc-0bf4c2739bEXAMPLE |  igw-09737a4029EXAMPLE  |
|  vpc-060415a18fEXAMPLE |  igw-0c562bd22aEXAMPLE  |
|  vpc-0ea9d41094EXAMPLE |  igw-0e06f7033dEXAMPLE  |
|  vpc-03b86de356EXAMPLE |  igw-0a9ff72d05EXAMPLE  |
+------------------------+-------------------------+

  2. Utilice el comando describe-egress-only-internet-gateways para obtener las puertas de enlace de Internet de solo salida de la región especificada. El parámetro --query solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.

    aws ec2 describe-egress-only-internet-gateways \
    --region us-east-2 \
    --query EgressOnlyInternetGateways[*].[Attachments[0].VpcId,EgressOnlyInternetGatewayId] \
    --output table

    A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de la VPC y los ID de las puertas de enlace de Internet de solo salida.

    -----------------------------------------------------
|        DescribeEgressOnlyInternetGateways         |
+------------------------+--------------------------+
|  vpc-060415a18fEXAMPLE |  eigw-0b8ca558acEXAMPLE  |
+------------------------+--------------------------+

  3. Utilice el comando describe-nat-gateways para obtener las puertas de enlace NAT de la región especificada. El parámetro --query solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.

    aws ec2 describe-nat-gateways \
    --region us-east-2 \
    --query NatGateways[*].[VpcId,NatGatewayId,SubnetId] \
    --output table

    A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de la VPC, los ID de la puerta de enlace NAT y los ID de la subred.

    ---------------------------------------------------------------------------------
|                              DescribeNatGateways                              |
+------------------------+-------------------------+----------------------------+
|  vpc-060415a18fEXAMPLE |  nat-026316334aEXAMPLE  |  subnet-0eb17d85f5EXAMPLE  |
|  vpc-060415a18fEXAMPLE |  nat-0f08bc5f52EXAMPLE  |  subnet-0d2d1b81e0EXAMPLE  |
+------------------------+-------------------------+----------------------------+

  4. Utilice el comando describe-transit-gateway-vpc-attachments para obtener los adjuntos de VPC de la puerta de enlace de tránsito de la región especificada. El parámetro --query solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.

    aws ec2 describe-transit-gateway-vpc-attachments \
    --region us-east-2 \
    --query TransitGatewayVpcAttachments[*].[VpcId,TransitGatewayId,length(SubnetIds[])] \
    --output table

    A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de la VPC, los ID de las puertas de enlace de tránsito y el recuento de subredes.

    ---------------------------------------------------------
|         DescribeTransitGatewayVpcAttachments          |
+------------------------+-------------------------+----+
|  vpc-0bf4c2739bEXAMPLE |  tgw-055dc4e47bEXAMPLE  |  4 |
|  vpc-0ea9d41094EXAMPLE |  tgw-055dc4e47bEXAMPLE  |  2 |
+------------------------+-------------------------+----+

  5. Utilice el comando describe-vpc-peering-connections para obtener las conexiones de emparejamiento de las VPC de la región especificada. El parámetro --query solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.

    aws ec2 describe-vpc-peering-connections \
    --region us-east-2 \
    --query VpcPeeringConnections[*].[AccepterVpcInfo.VpcId,RequesterVpcInfo.VpcId] \
    --output table

    A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de las VPC que aceptan, los propietarios de las VPC que aceptan, los ID de las VPC que solicitan y los propietarios de las VPC que solicitan.

    ------------------------------------------------------------------------------------
|                          DescribeVpcPeeringConnections                           |
+------------------------+---------------+------------------------+----------------+
|  vpc-0ea9d41094EXAMPLE |  123456789012 |  vpc-03b86de356EXAMPLE |  123456789012  |
+------------------------+---------------+------------------------+----------------+

  6. Use el comando describe-vpn-gateways para obtener las puertas de enlace privadas virtuales de la región especificada. El parámetro --query solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.

    aws ec2 describe-vpn-gateways \
    --region us-east-2 \
    --query VpnGateways[*].[VpcAttachments[0].VpcId,VpnGatewayId] \
    --output table

    A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de la VPC y los ID de puerta de enlace privada virtual.

    ----------------------------------------------------
|                DescribeVpnGateways               |
+------------------------+-------------------------+
|  vpc-0bf4c2739bEXAMPLE |  vgw-0cb3226c4aEXAMPLE  |
+------------------------+-------------------------+

  7. Utilice el comando describe-vpc-endpoints para obtener los puntos de enlace de VPC de la región especificada. El parámetro --query solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.

    aws ec2 describe-vpc-endpoints \
    --region us-east-2 \
    --query 'VpcEndpoints[*].[VpcId,VpcEndpointType,ServiceName||ServiceNetworkArn||ResourceConfigurationArn]' \
    --output table

    A continuación, se muestra un ejemplo del resultado. La primera columna muestra el ID de la VPC, y la segunda columna muestra el tipo de punto de conexión de VPC. La tercera columna depende del tipo de punto de conexión y muestra el nombre del servicio, el ARN de la configuración del recurso o el ARN de la red de servicio.

    ----------------------------------------------------------------------------------------------------------------------------------------
|                                                         DescribeVpcEndpoints                                                         |
+------------------------+-----------------+-------------------------------------------------------------------------------------------+
|  vpc-060415a18fcc9afde |  Interface      |  com.amazonaws.vpce.us-west-2.vpce-svc-007832a03d60fc387                                  |
|  vpc-060415a18fcc9afde |  Interface      |  com.amazonaws.vpce.us-west-2.vpce-svc-007832a03d60fc387                                  |
|  vpc-0bf4c2739bc05a694 |  Gateway        |  com.amazonaws.us-west-2.s3                                                               |
|  vpc-0ea9d410947d27b7d |  Interface      |  com.amazonaws.us-west-2.logs                                                             |
|  vpc-0bf4c2739bc05a694 |  Resource       |  arn:aws:vpc-lattice:us-east-2:123456789012:resourceconfiguration/rcfg-07129f3acded87625  |
|  vpc-0bf4c2739bc05a694 |  ServiceNetwork |  arn:aws:vpc-lattice:us-east-2:123456789012:servicenetwork/sn-0808d1748faee0c1e           |
|  vpc-0bf4c2739bc05a694 |  ServiceNetwork |  arn:aws:vpc-lattice:us-east-2:123456789012:servicenetwork/sn-0808d1748faee0c1e           |
+------------------------+-----------------+-------------------------------------------------------------------------------------------+

Controles de seguridad

Los controles de seguridad proporcionados por Amazon VPC determinan el acceso de red a sus VPC y los recursos desplegados allí.

Por qué es importante

Después de determinar el tráfico entrante permitido para llegar a sus subredes y recursos y el tráfico de salida permitido para dejar sus subredes y recursos, puede planificar las reglas de firewall necesarias para una red funcionalmente equivalente.

Controles de seguridad

Grupos de seguridad

Un grupo de seguridad permite el tráfico entrante y saliente específico a nivel de recursos. Los grupos de seguridad son el mecanismo principal para controlar el acceso a los recursos de su VPC.

Obtención de grupos de seguridad para sus VPC

Utilice el comando describe-security-groups para mostrar los grupos de seguridad de la VPC especificada.

aws ec2 describe-security-groups \
    --filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
    --query SecurityGroups[*].GroupId
Obtención de reglas de entrada para un grupo de seguridad

Utilice el comando describe-security-group-rules para mostrar las reglas del grupo de seguridad especificado, donde IsEgress es false.

aws ec2 describe-security-group-rules \
    --filters Name=group-id,Values=sg-0abcdef1234567890 \
    --query 'SecurityGroupRules[?IsEgress==`false`]'
Obtención de reglas de salida para un grupo de seguridad

Utilice el comando describe-security-group-rules para mostrar las reglas del grupo de seguridad especificado, donde IsEgress es true.

aws ec2 describe-security-group-rules \
    --filters Name=group-id,Values=sg-0abcdef1234567890 \
    --query 'SecurityGroupRules[?IsEgress==`true`]'

ACL de red

Una lista de control de acceso (ACL) de red permite o deniega el tráfico entrante y saliente específico en el nivel de subred. Puede utilizar las ACL de red como defensa en profundidad en caso de que un recurso se implemente sin el grupo de seguridad correcto.

Obtención de las ACL de red para sus subredes

Utilice el comando describe-network-acls para mostrar las ACL de red para la VPC especificada y sus asociaciones de subredes.

aws ec2 describe-network-acls \
    --filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
    --query "NetworkAcls[*].{ID:NetworkAclId,Subnets:Associations[].SubnetId}"
Obtención de las reglas de entrada para una ACL de red

Utilice el comando describe-network-acls para mostrar las reglas de la ACL de red especificada, donde Egress es false.

aws ec2 describe-network-acls \
    --network-acl-ids acl-0abcdef1234567890 \
    --query 'NetworkAcls[*].Entries[?Egress==`false`]'
Obtención de las reglas de salida para una ACL de red

Utilice el comando describe-network-acls para mostrar las reglas de la ACL de red especificada, donde Egress es true.

aws ec2 describe-network-acls \
    --network-acl-ids acl-0abcdef1234567890 \
    --query 'NetworkAcls[*].Entries[?Egress==`true`]'

Administración del tráfico

La administración eficaz del tráfico combina las decisiones de enrutamiento a nivel de red proporcionadas por las tablas de enrutamiento con las estrategias de distribución a nivel de aplicación proporcionadas por el equilibrio de carga.

Por qué es importante

Los administradores de red deben diseñar subredes, enrutamiento, resolución DNS y equilibrador de carga para optimizar el flujo de tráfico, al mismo tiempo que mantienen los límites de seguridad y requisitos de rendimiento. Al observar la configuración de estos componentes en la red de VPC, puede garantizar que los recursos de una red funcionalmente equivalente se comuniquen con los mismos clientes o dispositivos que en la red de VPC.

Tablas de enrutamiento

Las tablas de enrutamiento determinan cómo fluye el tráfico de red a través de los límites de la red, como las subredes, las VPC, las redes en las instalaciones e Internet.

El mapa de recursos de la consola de Amazon VPC proporciona una representación visual de las tablas de enrutamiento de la VPC.

Visualización de las tablas de enrutamiento de una VPC mediante el mapa de recursos

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija VPC.

  3. Seleccione la casilla de verificación de la VPC.

  4. Elija la pestaña Resource map (Mapa de recursos).

  5. En el panel Route tables (Tablas de enrutamiento), se presentan todas las tablas de enrutamiento de la VPC. Coloque el cursor sobre una tabla de enrutamiento para resaltar las subredes y las conexiones de red asociadas. Para obtener más información, haga clic en el enlace para abrir la página de detalles de la tabla de enrutamiento.

Para describir las tablas de enrutamiento

Use el comando describe-route-tables para describir las tablas de enrutamiento de la VPC especificada y sus asociaciones de subred.

aws ec2 describe-route-tables \
    --filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
    --query "RouteTables[*].{ID:RouteTableId,Subnets:Associations[].SubnetId}"
Obtención de las rutas de una tabla de enrutamiento

Use el comando describe-route-tables para describir las rutas de la tabla de enrutamiento especificada.

aws ec2 describe-route-tables \
    --route-table-ids rtb-02ec01715bEXAMPLE \
    --query RouteTables[*].Routes

Conjunto de opciones de DHCP

La VPC posee un conjunto de opciones de DHCP para configurar diversos ajustes de red. Por ejemplo, los servidores DNS personalizados se pueden configurar para que las instancias EC2 resuelvan los nombres de host internos con la infraestructura de DNS existente. Para obtener más información, consulte Conceptos de conjuntos de opciones de DHCP.

Para describir las opciones de DHCP para la VPC

Use el comando describe-dhcp-options para describir las opciones de DHCP especificadas. El ejemplo también obtiene el ID de las opciones de DHCP para la VPC especificada con el comando describe-vpcs.

aws ec2 describe-dhcp-options \
    --dhcp-options-id "$(aws ec2 describe-vpcs \
        --vpc-id vpc-1234567890abcdef0 \   
        --query Vpcs[].DhcpOptionsId --output text)"

A continuación, se muestra un ejemplo de salida para una VPC que usa las opciones de DHCP que vienen por defecto.

{
    "DhcpOptions": [
        {
            "OwnerId": "415546850671",
            "Tags": [],
            "DhcpOptionsId": "dopt-1234567890abcdef0",
            "DhcpConfigurations": [
                {
                    "Key": "domain-name",
                    "Values": [
                        {
                            "Value": "us-west-2.compute.internal"
                        }
                    ]
                },
                {
                    "Key": "domain-name-servers",
                    "Values": [
                        {
                            "Value": "AmazonProvidedDNS"
                        }
                    ]
                }
            ]
        }
    ]
}

Equilibradores de carga

El equilibrador de carga distribuye el tráfico entrante de los clientes entre varios destinos. Los equilibradores de carga supervisan el estado de los destinos y eliminan automáticamente los que no están en buen estado de la distribución del tráfico, lo que garantiza que solo se utilicen destinos en buen estado. Esto mejora la disponibilidad y el rendimiento de sus aplicaciones para optimizar el uso de los recursos. Para obtener más información, consulte la Guía del usuario de Elastic Load Balancing.

Para describir sus equilibradores de carga

Use el comando describe-load-balancers para mostrar los equilibradores de carga de la VPC especificada.

aws elbv2 describe-load-balancers \
    --query 'LoadBalancers[?VpcId==`vpc-1234567890abcdef0`].LoadBalancerArn'

Los siguientes son servicios o características opcionales que podría estar utilizando en su red de VPC: