Skip to content

Componentes de Red en AWS (VPC, IGW, NACL)

Virtual Private Cloud (VPC)

La nube privada virtual o VPC es un servicio dentro de AWS que permite un aislado lógico entre las redes, uno de los usos más conocidos de las VPCs es el poder conectar instancias EC2 entre sí y con otros servicios de red incluyendo el internet. Cuando se crea una cuenta de AWS, Amazon crea automáticamente una VPC por defecto en cada región. Estas VPC por defecto ya están configuradas para que cuando se genere una instancia EC2 tenga acceso a internet. Sin embargo, también podemos crear nuestras propias VPCs.

Cuando se crea una VPC está queda completamente aislada de otras redes, se tienen que configurar accesos expliciticos para permitir a tu VPC pueda acceder a estos recursos.

VPC CIDR Blocks

Cada VPC requiere un bloque de direcciones IP Versión 4 (CIDR), estas direcciones serán las usadas por los recursos creados dentro de la VPC. La VPC por defecto tiene el bloque de direcciones 172.31.0.0/16 la cual incluye todas las direcciones de 172.31.0.0 a 172.31.255.255. Al momento de crear una VPC la máscara de red puede estar entre /16 a /28 algunos ejemplos de los bloques de direcciones IP que se pueden asignar a la hora de crear una VPC podrían ser:

  • 10.0.0.0/16 (10.0.0.0–10.0.255.255)
  • 192.168.0.0/24 (192.168.0.0–192.168.0.255)
  • 172.16.0.0/28 (172.16.0.0–172.16.0.15)

Subredes

El bloque de direcciones elegido a la hora de crear la VPC tiene que ser divido en 1 o más subredes, las subredes permiten la separación lógica de los recursos dentro la VPC, por ejemplo, si se quiere tener una aplicación web y su respectiva base de datos dentro de la misma VPC pero queremos que la aplicación web pueda ser accedida desde internet y por seguridad para la base de datos queremos evitar ese acceso externo, la manera de lograrlo es con subredes. Al momento de crear una subred debemos seleccionar a que zona de disponibilidad queremos que pertenezca. 

VPC con 2 subredes en disitintas AZs

Internet Gateway

Un Internet Gateway (IGW) es un recurso dentro de AWS que permite a las instancias EC2 poder acceder a Internet. Por ejemplo, si queremos que una subred tenga acceso a internet dicha subred debe tener una ruta por defecto al internet Gateway las subredes con esta ruta suelen llamarse subredes públicas. Otro de los requisitos para que una instancia pueda ser accedida desde el exterior es que tenga una IP Publica asignada, cuando se crea una instancia se puede seleccionar para que automáticamente se le sea asignada una o podemos asignarle una dirección IP publica luego de creada la instancia usando una IP elástica (EIP)

Grupos de Seguridad

Un grupo de seguridad es un firewall que determina que trafico puede entrar o salir de una instancia, cada instancia debe tener al menos un grupo de seguridad asociado.

Un grupo de seguridad consiste en una serie de reglas de entrada y salida del tráfico de red según una dirección IP y Protocolo. Las reglas de entrada controlan cual dirección IP puede enviar tráfico a la Instancia mientras que las reglas de salida controlan a cuál dirección la instancia puede enviar tráfico. Por defecto los grupos de seguridad no contienen ninguna regla de entrada, esto para asegurar que ningún tráfico indeseado pueda alcanzar a la instancia, por ejemplo, si queremos que nuestro servidor web puede ser accedido desde el exterior debemos agregar una regla al grupo de seguridad que permita el trafico HTTP desde cualquier origen.

Cada grupo de seguridad por defecto contiene una regla de salida que permite el acceso a cualquier dirección IP, es importante saber que cuando una instancia envía tráfico de salida el grupo de seguridad permitirá que el tráfico de retorno pueda alcanzar a la instancia sin importar las reglas de entrada que estén configuradas por eso se dice que los grupos de seguridad son STATEFUL.

Network Access Control Lists.

Una network access control lists (NACL) es un firewall que opera a nivel de subred, una NACL está compuesta por reglas de entrada y salida, por defecto las NACL permiten todo el tráfico. Una NACL no puede restringir el tráfico entre las instancias en la misma subred, pero puede controlar el tráfico que entra y sale de la subred donde se aplica. A diferencia de los grupos de seguridad las NACLs son conocidas como stateless (sin estado) eso significa que tanto el tráfico de entrada como de salida debe estar explícitamente declarado en las reglas.

VPC Peering

Un VPC peering es una conexión privada punto a punto entre solo 2 VPCs.

VPC peering permite a recursos en diferentes VPC poder comunicarse entre ellas a través de una conexión de red privada en lugar de conectarse a través de internet lo cual hace que las conexiones VPC peering sean rápidas, confiables y seguras este tipo de conexiones pueden realizarse sin importar si las VPCs están en la misma región o en diferentes.

A la hora de montar una infraestructura dentro de AWS es de suma importancia tener claro los conceptos de estos componentes de red ya que sin duda alguna juegan un papel fundamental, en futuros post iremos profundizando mas en su uso.

Published inAWS

Be First to Comment

Leave a Reply

Your email address will not be published. Required fields are marked *