Anatomia y funcionamiento de la VPC

Clase 21 de 69Curso de AWS Certified Solutions Architect Associate

Clase anteriorSiguiente clase

Resumen

La arquitectura de redes en AWS es un componente crítico para diseñar soluciones en la nube que sean seguras, eficientes y altamente disponibles. Entender cómo funcionan las VPCs (Virtual Private Clouds) y sus componentes es fundamental para cualquier profesional que trabaje con infraestructura en AWS, especialmente para aquellos que buscan certificarse como arquitectos de soluciones. En este artículo, exploraremos los conceptos esenciales de networking en AWS y cómo aplicarlos para resolver problemas comunes.

¿Qué es una VPC y por qué es importante en AWS?

Una VPC (Virtual Private Cloud) es un servicio fundamental dentro del ecosistema de AWS que permite configurar y separar de forma independiente diferentes redes para distintos casos de uso. Cada región que tengamos habilitada en nuestra cuenta de AWS tendrá al menos una VPC asociada.

Dentro de una misma VPC, podemos habilitar una o más zonas de disponibilidad (AZ). Esta configuración es crucial porque nos asegura tener diferentes servicios distribuidos en distintas ubicaciones físicas, garantizando alta disponibilidad en caso de que ocurra una falla en algún centro de datos específico.

Las VPCs son esenciales porque:

  • Proporcionan aislamiento a nivel de red para nuestros recursos
  • Permiten controlar el tráfico entrante y saliente
  • Facilitan la implementación de arquitecturas multi-capa para aplicaciones
  • Ayudan a cumplir con requisitos de seguridad y cumplimiento normativo

¿Cómo funcionan las subredes dentro de una VPC?

Las subredes son subdivisiones de la red VPC principal, y debemos tener al menos una subred por cada zona de disponibilidad habilitada en nuestra VPC. Estas subredes se clasifican en dos tipos principales:

  • Subredes públicas: Por defecto tienen acceso a Internet, tanto de entrada como de salida. Son ideales para servicios que necesitan ser accesibles desde Internet, como servidores web o aplicaciones de cara al cliente.

  • Subredes privadas: Por defecto, no tienen acceso a Internet (ni entrante ni saliente). Sólo pueden comunicarse con otros servicios dentro de la misma red privada. Este tipo de subred mejora significativamente la seguridad y es perfecta para recursos como bases de datos que no requieren acceso directo a Internet.

En una arquitectura típica, podríamos tener una VPC con dos zonas de disponibilidad, cada una con una subred pública y una privada, creando así una infraestructura resiliente y segmentada de manera adecuada.

¿Cómo gestionar el acceso a Internet en AWS?

El acceso a Internet dentro de una VPC se gestiona principalmente a través de gateways (puertas de enlace) y tablas de enrutamiento. Estos componentes son fundamentales para controlar cómo fluye el tráfico dentro y fuera de nuestra infraestructura.

¿Qué tipos de gateways existen en AWS?

El tipo más común es el Internet Gateway, que permite a las subredes públicas conectarse y recibir conexiones desde Internet. Este componente es esencial para cualquier recurso que necesite comunicarse con el mundo exterior.

Las tablas de enrutamiento determinan cómo se dirige el tráfico de red. En una configuración típica, podemos observar:

  • Para subredes públicas:

    • Una regla que permite el enrutamiento local (ejemplo: 10.0.0.0/16 con destino "local"), facilitando la comunicación entre instancias de la misma subred.
    • Una regla para todo el tráfico externo (0.0.0.0/0) que se dirige al Internet Gateway, permitiendo el acceso a Internet.

  • Para subredes privadas:

    • Únicamente la regla de enrutamiento local, limitando la comunicación sólo a recursos dentro de la misma red privada.
# Ejemplo de tabla de enrutamiento para subred pública
Destino        Target
10.0.0.0/16    local
0.0.0.0/0      igw-id

# Ejemplo de tabla de enrutamiento para subred privada
Destino        Target
10.0.0.0/16    local

¿Cómo dar acceso a Internet a subredes privadas de manera segura?

Para proporcionar acceso a Internet de salida (pero no de entrada) a subredes privadas, AWS ofrece dos componentes clave:

  1. IPs elásticas: Son direcciones IP públicas que pueden asignarse a instancias en EC2 u otros servicios. Estas IPs pueden reutilizarse incluso si la instancia se apaga o termina.

  2. NAT Gateways (Network Address Translation Gateways): Son artefactos que permiten a las instancias en una subred privada acceder a Internet para, por ejemplo, descargar actualizaciones o dependencias, pero sin exponerse a conexiones entrantes.

El funcionamiento de un NAT Gateway es ingenioso:

  • Se ubica en una subred pública
  • Las instancias en subredes privadas se configuran para enviar su tráfico internet (0.0.0.0/0) al NAT Gateway
  • El NAT Gateway traduce las direcciones y envía el tráfico al Internet Gateway
  • El tráfico de retorno sigue el camino inverso

Con esta configuración, las instancias en subredes privadas pueden acceder a recursos externos mientras permanecen protegidas de conexiones no solicitadas desde Internet.

¿Cuáles son las mejores prácticas para el diseño de VPCs?

Para crear arquitecturas de red sólidas en AWS, es recomendable seguir estas prácticas:

  1. Evitar el uso de la VPC por defecto para entornos productivos: AWS habilita automáticamente una VPC en cada región, pero esta viene con configuraciones que no son ideales para la seguridad, como subredes públicas con acceso a Internet de entrada y salida. Es crucial crear VPCs personalizadas para entornos de producción.

  2. Diseñar la VPC según las necesidades específicas del negocio: Determinar el número de subredes (públicas y privadas), tipos de gateways a utilizar, y reglas de enrutamiento basándose en los requisitos específicos de la aplicación o sistema.

  3. Aprovechar el soporte para IPv6: AWS ofrece soporte nativo para IPv6 desde hace años. Si tu carga de trabajo lo requiere, puedes habilitar un "dual stack" para que las instancias manejen tanto redes IPv4 como IPv6. Para IPv6 en subredes privadas, se utiliza un Internet Gateway Egress Only en lugar de NAT Gateways, cumpliendo la misma función de permitir tráfico de salida pero no de entrada.

  4. Distribuir recursos en múltiples zonas de disponibilidad: Para garantizar alta disponibilidad, es recomendable distribuir recursos críticos en al menos dos zonas de disponibilidad diferentes.

  5. Utilizar subredes privadas para recursos que no necesitan acceso directo desde Internet: Bases de datos, servidores de aplicaciones internos y otros componentes de backend deberían ubicarse en subredes privadas por seguridad.

Estas prácticas no solo mejorarán la seguridad de tu infraestructura de red, sino que también facilitarán la administración y escala de tus recursos en AWS.

El dominio de los conceptos de networking en AWS es esencial para diseñar arquitecturas robustas y seguras en la nube. Estos conocimientos no solo son fundamentales para la práctica profesional, sino también para obtener certificaciones como la de Arquitecto de Soluciones. Te invito a compartir en los comentarios cómo aplicarías estos conceptos para resolver el escenario planteado al inicio sobre habilitar el acceso a Internet para subredes privadas.