Aspectos básicos de redes
GUÍA DE INTRODUCCIÓN
Introducción
Comenzar su transición a las redes en la nube puede parecer abrumador. Especialmente si está acostumbrado a la forma local tradicional de aprovisionar hardware y administrar y configurar redes. Tener un buen conocimiento de los conceptos básicos de redes, como las direcciones IP, la comunicación TCP, el enrutamiento IP, la seguridad y la virtualización, le ayudará a familiarizarse con las redes en la nube en AWS. En las siguientes secciones, responderemos a preguntas frecuentes sobre las redes en la nube y analizaremos las prácticas recomendadas para crear infraestructura en AWS.
-
¿Qué son las redes en la nube?
Al igual que las redes locales tradicionales, las redes en la nube brindan la capacidad de crear, administrar, operar y conectar de forma segura sus redes en todos sus entornos de nube y ubicaciones de borde y de nube distribuidas. Las redes en la nube le permiten diseñar una infraestructura que sea resiliente y de alta disponibilidad, lo que le ayuda a desplegar sus aplicaciones más rápido, a escala y más cerca de sus usuarios finales cuando lo necesite.
-
¿Por qué es importante el lugar donde realizo el despliegue?
Cuando abre un sitio web o utiliza una aplicación, los datos y las solicitudes tienen que viajar desde su computadora o teléfono hasta el servidor que aloja el sitio web o la aplicación, y volver a usted. Por lo general, esto se hace a través de una combinación de diferentes medios, como a través de wifi hasta el enrutador de su hogar, desde allí a su ISP a través de fibra, cable, ADSL, 5G, etc. Una vez que llega al ISP, estos, a su vez, se conectan a una red más grande. En algún momento, es probable que sus datos viajen a través de uno de los muchos cables de fibra submarinos. La velocidad de la luz determina cuál puede ser la velocidad más rápida a través de estos cables, lo que limita la respuesta más rápida posible: la luz del interior del cable también se refleja en el lateral a medida que viaja, por lo que la distancia total recorrida es mayor que la del propio cable. Por ejemplo, uno de los cables entre Japón y la costa oeste de los Estados Unidos tiene una longitud total de 21 000 km, lo que significa que la luz que viaja a 299 792 458 m/s tardaría unos 70 ms en cruzar la longitud total del cable, lo que ralentizaría el sitio web o la aplicación a medida que varias llamadas entran y salen. En ejemplos extremos, el tiempo puede ser mucho mayor debido no solo a la distancia recorrida, sino también a la congestión de la red entre los puntos a lo largo del camino, y las respuestas tardan varios segundos en completarse.
Con la nube, puede llegar a regiones geográficas nuevas y desplegar soluciones a escala global en cuestión de minutos. Por ejemplo, AWS tiene infraestructura distribuida en todo el mundo, por lo que los desarrolladores pueden desplegar sus aplicaciones en varias ubicaciones físicas con unos pocos clics. Al poner sus aplicaciones más cerca de los usuarios finales, puede reducir la latencia y mejorar la experiencia del usuario
La infraestructura de la nube de AWS está conformada por regiones y zonas de disponibilidad de AWS. Una región es una ubicación física en el mundo donde disponemos de varias zonas de disponibilidad. Las zonas de disponibilidad constan de uno o varios centros de datos discretos, cada uno de ellos con energía eléctrica, redes y conectividad suficientes, que se alojan en instalaciones independientes. Estas zonas de disponibilidad ofrecen la capacidad de operar bases de datos y aplicaciones de producción con un nivel de disponibilidad, tolerancia a fallos y escalabilidad mayor que el que ofrecería un único centro de datos.
-
¿Qué es Amazon VPC?
Con Amazon Virtual Private Cloud (Amazon VPC), puede aprovisionar una sección de la nube de AWS aislada de forma lógica, en la que puede lanzar recursos de AWS en una red virtual que usted defina. Puede controlar todos los aspectos del entorno de redes virtual, incluida la selección de sus propios rangos de direcciones IP, la creación de subredes y la configuración de tablas de ruteo y gateways de red. También puede crear una conexión de red privada virtual (VPN) de hardware entre su centro de datos corporativo y su VPC, lo que le permitirá conectar servidores entre ambos como si estuvieran en la misma red.
Puede personalizar fácilmente la configuración de red de su VPC en función de sus requisitos. Una VPC abarca toda una región y las subredes se utilizan para especificar los rangos de direcciones IP dentro de las zonas de disponibilidad de la región para asignarlos a máquinas virtuales y otros servicios. Por ejemplo, puede crear una subred de acceso público para los servidores web con acceso a Internet y colocar los sistemas backend, como bases de datos o servidores de aplicaciones, en una subred de acceso privado sin acceso a Internet. Puede utilizar varias capas de seguridad, incluidos grupos de seguridad y listas de control de acceso a la red, para ayudar a controlar el acceso a las instancias de Amazon EC2 en cada subred.
Las siguientes funciones le ayudan a configurar una VPC para proporcionar la conectividad que necesitan sus aplicaciones:
Característica Descripción VPC Una VPC es una red virtual que se asemeja en gran medida a las redes tradicionales que tendría en su propio centro de datos. Después de crear una VPC, puede añadir subredes. Subredes Una subred es un rango de direcciones IP de la VPC. Una subred tiene que residir en una única zona de disponibilidad. Después de añadir subredes, puede desplegar los recursos de AWS en su VPC. Direcciones IP Se pueden asignar direcciones IPv4 e IPv6 a sus VPC y subredes. También puede llevar sus GUA (direcciones de unidifusión globales) IPv4 e IPv6 públicas a AWS y asignarlas a los recursos de su VPC, como instancias EC2, puertas de enlace NAT y equilibradores de carga de red. Enrutamiento Utilice las tablas de enrutamiento para determinar hacia dónde se dirige el tráfico de red de su subred o puerta de enlace. Puertas de enlace y puntos de conexión Una puerta de enlace conecta la VPC a otra red. Por ejemplo, utilice una puerta de enlace de Internet para conectar su VPC a Internet. Utilice un punto de conexión de VPC para conectarse a los servicios de AWS de forma privada, sin utilizar una puerta de enlace de Internet ni un dispositivo NAT. Interconexiones Utilice una conexión de emparejamiento de VPC para enrutar el tráfico entre los recursos de dos VPC. Monitorización de tráfico Copie el tráfico de red de las interfaces de red y envíelo a los dispositivos de seguridad y monitoreo para una inspección profunda de los paquetes. Puertas de enlace de tránsito Utilice una puerta de enlace de tránsito, que actúa como hub central, para enrutar el tráfico entre las VPC, las conexiones de VPN y las conexiones de AWS Direct Connect. Registros de flujo de VPC Un registro de flujo captura la información relacionada con el tráfico IP hacia y desde interfaces en su VPC. Conexiones VPN Conecte sus VPC a sus redes locales mediante la red privada virtual de AWS (AWS VPN). Introducción a Amazon VPC
Su cuenta de AWS incluye una VPC predeterminada en cada región de AWS. Sus VPC predeterminadas están configuradas de manera que pueda empezar a lanzar instancias EC2 y a conectarse a ellas de forma inmediata. Para obtener más información, consulte Introducción a Amazon VPC.
-
¿Cómo se comunican los recursos de mi Amazon VPC?
VPC ofrece un control total sobre el entorno de red virtual, incluida la ubicación de los recursos, la conectividad y la seguridad. Comience configurando su VPC en la consola de administración de AWS. Luego, agréguele recursos, como instancias de Amazon EC2 y Amazon Relational Database Service (Amazon RDS). Por último, defina cómo se comunican sus VPC entre sí, entre cuentas, zonas de disponibilidad o regiones.
En una VPC, puede usar el direccionamiento IPv4 e IPv6. Con IPv4, selecciona y asigna un bloque CIDR (enrutamiento entre dominios sin clase) de VPC desde un tamaño máximo de /16 hasta un tamaño mínimo de /28. Puede usar cualquier dirección pública de su propiedad (en determinadas regiones). Le recomendamos que utilice direcciones RFC 1918 privadas. Una vez que tenga un CIDR, defina las subredes. Las subredes pueden tener un tamaño de entre /16 y /28 y están limitadas por zonas de disponibilidad. Cada subred de VPC debe estar asociada a una tabla de enrutamiento de subred.
Al crear subredes, debe asociarlas a una tabla de enrutamiento de la VPC principal. De forma predeterminada, esta tabla de enrutamiento solo contendrá los CIDR IPv4 e IPv6 locales de la VPC. Una subred solo se puede asociar a una tabla de enrutamiento de subred. Una tabla de enrutamiento puede tener varias asociaciones de subredes. Las tablas de enrutamiento se utilizan para controlar el tráfico que sale de la subred. Cada subred tiene un enrutador de VPC. No hay un solo dispositivo para una VPC. El software VPC se encarga del enrutamiento por usted. Puede añadir rutas más específicas para filtrar el tráfico de este a oeste.
-
¿Cómo puedo conectarme a mi Amazon VPC?
Puede conectar su VPC a otras redes, como otras VPC, Internet o su red local. Puede conectar su Amazon VPC a:
Cómo conectarse Descripción Internet (a través de una puerta de enlace de Internet) Una puerta de enlace de Internet es un componente de VPC de escalamiento horizontal, redundante y de alta disponibilidad que permite la comunicación entre su VPC e Internet. Es compatible con el tráfico IPv4 e IPv6 y no provoca riesgos de disponibilidad ni restricciones de ancho de banda en el tráfico de la red. Una puerta de enlace de Internet permite que los recursos de sus subredes públicas (como las instancias EC2) se conecten a Internet si el recurso tiene una dirección IPv4 o una dirección IPv6 pública. Del mismo modo, los recursos de Internet pueden iniciar una conexión a los recursos de la subred mediante la dirección IPv4 pública o la dirección IPv6. Por ejemplo, una puerta de enlace a Internet le permite conectarse a una instancia de EC2 en AWS mediante su computadora local. Una puerta de enlace de Internet proporciona un destino en las tablas de enrutamiento de la VPC para el tráfico enrutable de Internet. Para la comunicación mediante IPv4, la puerta de enlace de Internet también realiza la traducción de direcciones de red (NAT). Para la comunicación mediante IPv6, no se necesita NAT porque las direcciones IPv6 son públicas. El centro de datos de su empresa mediante una conexión AWS Site-to-Site VPN (a través de la puerta de enlace privada virtual) Por defecto, las instancias que lance a una nube virtual privada (VPC) de Amazon no se pueden comunicar con su propia red (remota). Puede habilitar el acceso a su red remota desde su VPC mediante la creación de una conexión AWS Site-to-Site VPN (VPN de sitio a sitio) de AWS y la configuración del enrutamiento para que pase el tráfico a través de la conexión.
NOTA: Al conectar las VPC a una red local común, le recomendamos que utilice bloques de CIDR no solapados para sus redes.Internet y el centro de datos de su empresa (con una puerta de enlace de Internet y una puerta de enlace privada virtual) La VPC tiene una puerta de enlace privada virtual conectada y su red local (remota) incluye un dispositivo de puerta de enlace de cliente, que debe configurar para habilitar la conexión VPN de sitio a sitio. Configure el enrutamiento para que cualquier tráfico de la VPC con destino a su red se enrute a la puerta de enlace privada virtual. Instancia de NAT Puedes usar una instancia de NAT para permitir que los recursos de las subredes privadas se conecten a Internet, a otras VPC o a redes locales. Estas instancias pueden comunicarse con servicios externos a la VPC, pero no pueden recibir solicitudes de conexión no solicitadas. Puertas de enlace NAT Una puerta de enlace NAT es un servicio de traducción de direcciones de red (NAT). Puede utilizar una puerta de enlace NAT para que las instancias de una subred privada puedan conectarse a servicios fuera de su VPC, pero los servicios externos no pueden iniciar una conexión con esas instancias. Al crear una puerta de enlace NAT, especifica uno de los siguientes tipos de conectividad:
Público: (predeterminado) Las instancias de subredes privadas pueden conectarse a Internet a través de una puerta de enlace NAT pública, pero no pueden recibir conexiones entrantes no solicitadas desde Internet. Crea una puerta de enlace NAT pública en una subred pública y debe asociar una dirección IP elástica a la puerta de enlace NAT en el momento de la creación. Usted enruta el tráfico desde la puerta de enlace NAT a la puerta de enlace de Internet para la VPC. Como alternativa, puede usar una puerta de enlace NAT pública para conectarse a otras VPC o a su red local. En este caso, usted enruta el tráfico desde la puerta de enlace NAT a través de una puerta de enlace de tránsito o una puerta de enlace privada virtual.
Privado: las instancias de subredes privadas se pueden conectar a otras VPC o a la red local a través de una puerta de enlace NAT privada. Puede enrutar el tráfico desde la puerta de enlace NAT a través de una puerta de enlace de tránsito o una puerta de enlace privada virtual. No puede asociar una dirección IP elástica con una puerta de enlace NAT. Puede conectar una puerta de enlace de Internet a una VPC con una puerta de enlace NAT privada, pero si enruta el tráfico desde la puerta de enlace NAT privada a la puerta de enlace de Internet, la puerta de enlace de Internet interrumpe el tráfico.
Una puerta de enlace NAT sustituye la dirección IP fuente de las instancias por la dirección IP privada de la puerta de enlace NAT. Para una puerta de enlace NAT pública, esta es la dirección IP elástica de la puerta de enlace NAT. Para una puerta de enlace NAT privada, esta es la dirección IP privada de la puerta de enlace NAT. Al enviar el tráfico de respuesta a las instancias, el dispositivo NAT convierte las direcciones en las direcciones IP de fuente originales.AWS Direct Connect Si bien la VPN a través de Internet es una excelente opción para comenzar, es posible que la conectividad a Internet no sea confiable para el tráfico de producción. Debido a esta falta de fiabilidad, muchos clientes eligen AWS Direct Connect. AWS Direct Connect es un servicio de redes que proporciona una alternativa al uso de Internet para conectarse a AWS. Con AWS Direct Connect, los datos que anteriormente se habrían transportado a través de Internet se entregan mediante una conexión de red privada entre sus instalaciones y AWS. En muchas circunstancias, las conexiones de red privadas pueden reducir costos, aumentar al ancho de banda y proporcionar una experiencia de red más estable que las conexiones basadas en Internet. Para más información, consulte el documento técnico Building a Scalable and Secure Multi-VPC AWS Network Infrastructure (Creación de una infraestructura de red de AWS de varias VPC escalable y segura). Otras Amazon VPC (a través de conexiones de emparejamiento de VPC) Una conexión de emparejamiento de VPC es una conexión de redes entre dos VPC que permite enrutar el tráfico entre ellas de manera privada. Las instancias de cualquiera de las VPC pueden comunicarse entre sí como si estuvieran dentro de la misma red. Puede crear una conexión de emparejamiento de VPC entre sus propias VPC, con una VPC de otra cuenta de AWS o con una VPC de una región de AWS diferente. AWS usa la infraestructura existente de una VPC para crear una conexión de emparejamiento de VPC; no es ni una puerta de enlace ni una conexión AWS Site-to-Site VPN, y tampoco se basa en una pieza independiente del hardware físico. No hay un único punto de error para la comunicación ni un cuello de botella de ancho de banda. -
¿Puedo conectarme a otras VPC en cuentas diferentes?
Sí, suponiendo que el propietario de la otra VPC acepta su solicitud de conexión de emparejamiento, puede conectar otras VPC en cuentas diferentes.
Uso compartido de VPC
El uso compartido de las VPC resulta útil cuando no es necesario que el propietario de la VPC administre estrictamente el aislamiento de la red entre los equipos, pero sí los usuarios y los permisos a nivel de cuenta. Con una VPC compartida, varias cuentas de AWS crean sus recursos de aplicaciones (como instancias EC2) en VPC compartidas y administradas de Amazon de forma centralizada. En este modelo, la cuenta a la que pertenece la VPC (propietaria) comparte una o más subredes con otras cuentas (participantes). Después de compartir una subred, los participantes pueden ver, crear, modificar y eliminar los recursos de sus aplicaciones en las subredes compartidas con ellos. Los participantes no pueden ver, modificar ni eliminar recursos que pertenezcan a otros participantes o al propietario de la VPC. La seguridad entre los recursos de las VPC compartidas se gestiona mediante grupos de seguridad, listas de control de acceso a la red (NACL) o mediante un firewall entre las subredes
AWS PrivateLink
AWS PrivateLink ofrece conectividad privada entre las VPC, los servicios de AWS y las redes locales, sin exponer el tráfico a la Internet pública. AWS PrivateLink facilita la conexión de servicios entre diferentes cuentas y las VPC a fin de simplificar la arquitectura de la red de forma considerable. Esto permite a los clientes que deseen exponer de forma privada un servicio o una aplicación que reside en una VPC (proveedor de servicios) a otras VPC (consumidores) de una región de AWS, de forma que solo las VPC consumidoras inicien conexiones con la VPC del proveedor de servicios. Un ejemplo de esto es la posibilidad de que sus aplicaciones privadas accedan a las API de los proveedores de servicios.
AWS Transit Gateway
AWS Transit Gateway permite a los clientes conectar miles de VPC. Puede conectar toda su conectividad híbrida (conexiones VPN y Direct Connect) a una única instancia de Transit Gateway, y así consolidar y controlar toda la configuración de enrutamiento de AWS de su organización en un solo lugar. Transit Gateway controla cómo se enruta el tráfico entre todas las redes radiales conectadas mediante tablas de enrutamiento. Este modelo de sistema radial simplifica la administración y reduce los costos operativos, ya que las VPC solo se conectan a la instancia de Transit Gateway para acceder a las redes conectadas.
Solución para VPC de tránsito
Las VPC de tránsito pueden resolver algunas de las deficiencias de la conexión de emparejamiento de VPC al introducir un sistema radial para la conectividad entre VPC. En una red de VPC de tránsito, una VPC central (la VPC central) se conecta con todas las demás VPC (VPC radiales) a través de una conexión VPN, normalmente mediante BGP a través de IPsec. La VPC central contiene instancias EC2 que ejecutan dispositivos de software que enrutan el tráfico entrante a sus destinos mediante la superposición de VPN. El emparejamiento de VPC de tránsito tiene las siguientes ventajas:
- El enrutamiento transitivo se habilita mediante la red VPN superpuesta, lo que permite un diseño radial más sencillo.
- Cuando se utiliza software de un proveedor externo en la instancia EC2 de la VPC de tránsito del hub, se pueden utilizar las funciones del proveedor en torno a la seguridad avanzada, como el firewall de capa 7, el sistema de prevención de intrusiones (IPS) o el sistema de detección de intrusiones (IDS). Si los clientes utilizan el mismo software de forma local, se benefician de una experiencia operativa y de supervisión unificada.
- La arquitectura Transit VPC permite la conectividad deseada en algunos casos de uso. Por ejemplo, puede conectar una instancia de AWS GovCloud y una VPC de región comercial o una instancia de Transit Gateway a una VPC de tránsito y habilitar la conectividad entre VPC entre las dos regiones. Evalúe sus requisitos de seguridad y cumplimiento cuando considere esta opción. Para mayor seguridad, puede desplegar un modelo de inspección centralizado mediante los patrones de diseño que se describen más adelante en este documento técnico.
NOTA: Las VPC de tránsito presentan sus propios desafíos, como los costos más altos para ejecutar dispositivos virtuales de proveedores externos en Amazon EC2, según el tamaño o la familia de las instancias; el rendimiento limitado por conexión VPN (hasta 1,25 Gbps por túnel VPN) y los gastos generales de configuración, administración y resiliencia (los clientes son responsables de administrar la alta disponibilidad y la redundancia de las instancias EC2 que ejecutan los dispositivos virtuales de los proveedores externos).
-
¿Cuáles son algunas de las mejores prácticas de seguridad para su VPC?
Las siguientes prácticas recomendadas son directrices generales y no representan una solución de seguridad completa. Dado que estas prácticas recomendadas pueden no ser adecuadas o suficientes para su entorno, considérelas como consideraciones útiles y no como recetas.
- Cuando añada subredes a su VPC para alojar su aplicación, créelas en varias zonas de disponibilidad. Una zona de disponibilidad hace referencia a uno o más centros de datos discretos con alimentación, redes y conectividad redundantes en una región de AWS. El uso de varias zonas de disponibilidad hace que sus aplicaciones de producción tengan una alta disponibilidad, tolerancia a errores y escalabilidad.
- Utilice las ACL de red para controlar el acceso a las subredes y utilice los grupos de seguridad para controlar el tráfico a las instancias de EC2 de las subredes.
- Gestione el acceso a los recursos y las API de Amazon VPC mediante la federación de identidades, los usuarios y los roles de AWS Identity and Access Management (IAM).
- Utilice Amazon CloudWatch con los registros de flujo de la VPC para supervisar el tráfico IP que entra y sale de las interfaces de red de la VPC.
Para obtener respuestas a las preguntas más frecuentes relacionadas con la seguridad de las VPC, consulte la sección Seguridad y filtrado de las preguntas frecuentes sobre Amazon VPC.
-
¿Cuáles son los escenarios de VPC más comunes?
VPC con una única subred pública
La configuración para este escenario incluye una VPC con una única subred pública y una puerta de enlace de Internet para permitir la comunicación a través de Internet. Recomendamos esta configuración si necesita ejecutar una aplicación web pública de un solo nivel, como un blog o un sitio web simple. Este escenario también se puede configurar opcionalmente para IPv6. Las instancias lanzadas a la subred pública pueden recibir direcciones IPv6 y comunicarse mediante IPv6.
VPC con subredes públicas y privadas (NAT)
La configuración para este escenario incluye una VPC con una subred pública y una subred privada. Recomendamos este escenario si desea ejecutar una aplicación web con acceso público y, al mismo tiempo, mantener servidores de backend a los que no se puede acceder públicamente. Un ejemplo habitual es un sitio web de varios niveles, con los servidores web en una subred pública y los servidores de bases de datos en una subred privada. Puede configurar la seguridad y el enrutamiento para que los servidores web puedan comunicarse con los servidores de bases de datos.
Las instancias de la subred pública pueden enviar tráfico saliente directamente a Internet, mientras que las instancias de la subred privada no pueden. Las instancias de una subred privada acceden a Internet mediante una puerta de enlace de traducción de direcciones de red (NAT) que reside en la subred pública. Los servidores de bases de datos pueden conectarse a Internet para recibir actualizaciones de software mediante la puerta de enlace NAT, pero Internet no puede establecer conexiones con los servidores de bases de datos.
Este escenario también se puede configurar opcionalmente para IPv6. Las instancias lanzadas en las subredes pueden recibir direcciones IPv6 y comunicarse mediante IPv6. Las instancias de la subred privada pueden usar una puerta de enlace de Internet de solo salida para conectarse a Internet a través de IPv6, pero Internet no puede establecer conexiones a las instancias privadas a través de IPv6.
VPC con subredes públicas y privadas y acceso de AWS Site-to-Site VPN
La configuración para este escenario incluye una VPC con una subred pública y una subred privada, y una puerta de enlace privada virtual para permitir la comunicación con su propia red a través de un túnel VPN de IPsec. Recomendamos este escenario si desea extender su red a la nube y también acceder directamente a Internet desde su VPC. Este escenario le permite ejecutar una aplicación de varios niveles con una interfaz web escalable en una subred pública y alojar sus datos en una subred privada que esté conectada a su red mediante una conexión AWS Site-to-Site VPN IPsec.
Este escenario también se puede configurar opcionalmente para IPv6. Las instancias lanzadas a las subredes pueden recibir direcciones IPv6. No admitimos la comunicación IPv6 a través de una conexión VPN de sitio a sitio en una puerta de enlace privada virtual; sin embargo, las instancias de la VPC pueden comunicarse entre sí a través de IPv6 y las instancias de la subred pública pueden comunicarse a través de Internet a través de IPv6.
VPC solo con una subred privada y acceso de AWS Site-to-Site VPN
La configuración para este escenario incluye una VPC con una única subred privada y una puerta de enlace privada virtual para permitir la comunicación con su propia red a través de un túnel VPN de IPsec. No existe una puerta de enlace de Internet que permita la comunicación a través de Internet. Recomendamos este escenario si desea extender su red a la nube mediante la infraestructura de AWS sin exponerla a Internet.
Este escenario también se puede configurar opcionalmente para IPv6. Las instancias lanzadas a la subred pueden recibir direcciones IPv6. No admitimos la comunicación IPv6 a través de una conexión AWS Site-to-Site VPN en una puerta de enlace privada virtual; sin embargo, las instancias de la VPC pueden comunicarse entre sí a través de IPv6.
Siguientes pasos
Puede empezar a crear en AWS de inmediato con el nivel gratuito de AWS y nuestra biblioteca de tutoriales prácticos y guías de introducción.