Anatomia y funcionamiento de la VPC

Clase 21 de 69 • Curso de AWS Certified Solutions Architect Associate

Resumen

La arquitectura de redes en AWS es un componente crítico para diseñar soluciones en la nube que sean seguras, eficientes y altamente disponibles. Entender cómo funcionan las VPCs (Virtual Private Clouds) y sus componentes es fundamental para cualquier profesional que trabaje con infraestructura en AWS, especialmente para aquellos que buscan certificarse como arquitectos de soluciones. En este artículo, exploraremos los conceptos esenciales de networking en AWS y cómo aplicarlos para resolver problemas comunes.

¿Qué es una VPC y por qué es importante en AWS?

Una VPC (Virtual Private Cloud) es un servicio fundamental dentro del ecosistema de AWS que permite configurar y separar de forma independiente diferentes redes para distintos casos de uso. Cada región que tengamos habilitada en nuestra cuenta de AWS tendrá al menos una VPC asociada.

Dentro de una misma VPC, podemos habilitar una o más zonas de disponibilidad (AZ). Esta configuración es crucial porque nos asegura tener diferentes servicios distribuidos en distintas ubicaciones físicas, garantizando alta disponibilidad en caso de que ocurra una falla en algún centro de datos específico.

Las VPCs son esenciales porque:

Proporcionan aislamiento a nivel de red para nuestros recursos
Permiten controlar el tráfico entrante y saliente
Facilitan la implementación de arquitecturas multi-capa para aplicaciones
Ayudan a cumplir con requisitos de seguridad y cumplimiento normativo

¿Cómo funcionan las subredes dentro de una VPC?

Las subredes son subdivisiones de la red VPC principal, y debemos tener al menos una subred por cada zona de disponibilidad habilitada en nuestra VPC. Estas subredes se clasifican en dos tipos principales:

Subredes públicas: Por defecto tienen acceso a Internet, tanto de entrada como de salida. Son ideales para servicios que necesitan ser accesibles desde Internet, como servidores web o aplicaciones de cara al cliente.
Subredes privadas: Por defecto, no tienen acceso a Internet (ni entrante ni saliente). Sólo pueden comunicarse con otros servicios dentro de la misma red privada. Este tipo de subred mejora significativamente la seguridad y es perfecta para recursos como bases de datos que no requieren acceso directo a Internet.

En una arquitectura típica, podríamos tener una VPC con dos zonas de disponibilidad, cada una con una subred pública y una privada, creando así una infraestructura resiliente y segmentada de manera adecuada.

¿Cómo gestionar el acceso a Internet en AWS?

El acceso a Internet dentro de una VPC se gestiona principalmente a través de gateways (puertas de enlace) y tablas de enrutamiento. Estos componentes son fundamentales para controlar cómo fluye el tráfico dentro y fuera de nuestra infraestructura.

¿Qué tipos de gateways existen en AWS?

El tipo más común es el Internet Gateway, que permite a las subredes públicas conectarse y recibir conexiones desde Internet. Este componente es esencial para cualquier recurso que necesite comunicarse con el mundo exterior.

Las tablas de enrutamiento determinan cómo se dirige el tráfico de red. En una configuración típica, podemos observar:

Para subredes públicas:
- Una regla que permite el enrutamiento local (ejemplo: 10.0.0.0/16 con destino "local"), facilitando la comunicación entre instancias de la misma subred.
- Una regla para todo el tráfico externo (0.0.0.0/0) que se dirige al Internet Gateway, permitiendo el acceso a Internet.
Para subredes privadas:
- Únicamente la regla de enrutamiento local, limitando la comunicación sólo a recursos dentro de la misma red privada.

# Ejemplo de tabla de enrutamiento para subred pública
Destino        Target
10.0.0.0/16    local
0.0.0.0/0      igw-id

# Ejemplo de tabla de enrutamiento para subred privada
Destino        Target
10.0.0.0/16    local

¿Cómo dar acceso a Internet a subredes privadas de manera segura?

Para proporcionar acceso a Internet de salida (pero no de entrada) a subredes privadas, AWS ofrece dos componentes clave:

IPs elásticas: Son direcciones IP públicas que pueden asignarse a instancias en EC2 u otros servicios. Estas IPs pueden reutilizarse incluso si la instancia se apaga o termina.
NAT Gateways (Network Address Translation Gateways): Son artefactos que permiten a las instancias en una subred privada acceder a Internet para, por ejemplo, descargar actualizaciones o dependencias, pero sin exponerse a conexiones entrantes.

El funcionamiento de un NAT Gateway es ingenioso:

Se ubica en una subred pública
Las instancias en subredes privadas se configuran para enviar su tráfico internet (0.0.0.0/0) al NAT Gateway
El NAT Gateway traduce las direcciones y envía el tráfico al Internet Gateway
El tráfico de retorno sigue el camino inverso

Con esta configuración, las instancias en subredes privadas pueden acceder a recursos externos mientras permanecen protegidas de conexiones no solicitadas desde Internet.

¿Cuáles son las mejores prácticas para el diseño de VPCs?

Para crear arquitecturas de red sólidas en AWS, es recomendable seguir estas prácticas:

Evitar el uso de la VPC por defecto para entornos productivos: AWS habilita automáticamente una VPC en cada región, pero esta viene con configuraciones que no son ideales para la seguridad, como subredes públicas con acceso a Internet de entrada y salida. Es crucial crear VPCs personalizadas para entornos de producción.
Diseñar la VPC según las necesidades específicas del negocio: Determinar el número de subredes (públicas y privadas), tipos de gateways a utilizar, y reglas de enrutamiento basándose en los requisitos específicos de la aplicación o sistema.
Aprovechar el soporte para IPv6: AWS ofrece soporte nativo para IPv6 desde hace años. Si tu carga de trabajo lo requiere, puedes habilitar un "dual stack" para que las instancias manejen tanto redes IPv4 como IPv6. Para IPv6 en subredes privadas, se utiliza un Internet Gateway Egress Only en lugar de NAT Gateways, cumpliendo la misma función de permitir tráfico de salida pero no de entrada.
Distribuir recursos en múltiples zonas de disponibilidad: Para garantizar alta disponibilidad, es recomendable distribuir recursos críticos en al menos dos zonas de disponibilidad diferentes.
Utilizar subredes privadas para recursos que no necesitan acceso directo desde Internet: Bases de datos, servidores de aplicaciones internos y otros componentes de backend deberían ubicarse en subredes privadas por seguridad.

Estas prácticas no solo mejorarán la seguridad de tu infraestructura de red, sino que también facilitarán la administración y escala de tus recursos en AWS.

El dominio de los conceptos de networking en AWS es esencial para diseñar arquitecturas robustas y seguras en la nube. Estos conocimientos no solo son fundamentales para la práctica profesional, sino también para obtener certificaciones como la de Arquitecto de Soluciones. Te invito a compartir en los comentarios cómo aplicarías estos conceptos para resolver el escenario planteado al inicio sobre habilitar el acceso a Internet para subredes privadas.

Gustavo Bautista Hernández

student•

La respuesta correcta es la Opción A:

"Crear tres NAT Gateways, uno para cada subred pública en cada AZ. Crear una tabla de rutas privada para cada AZ que reenvíe el tráfico que no sea de la VPC al NAT Gateway de su AZ."

¿Por qué es la respuesta correcta?

Esta solución cumple con todos los requisitos del escenario:

Alta disponibilidad: Al colocar un NAT Gateway en cada Zona de Disponibilidad (3 en total), se elimina el punto único de fallo. Si una AZ falla, las otras dos siguen funcionando independientemente.
Arquitectura correcta: Los NAT Gateways deben ubicarse en las subredes públicas (que tienen acceso directo a Internet a través del Internet Gateway).
Enrutamiento apropiado: Cada subred privada tiene su propia tabla de rutas que dirige el tráfico destinado a Internet (0.0.0.0/0) al NAT Gateway en su propia AZ.
Permite actualizaciones: Las instancias EC2 en subredes privadas pueden descargar actualizaciones de software desde Internet a través de sus respectivos NAT Gateways.
Optimización de tráfico: El tráfico no cruza entre AZs innecesariamente, reduciendo latencia y costos de transferencia de datos.

¿Por qué las otras opciones no son correctas?

Opción B - "Crear tres instancias NAT...":

Incorrecta: Las instancias NAT son una solución legacy y menos recomendada que NAT Gateway. Requieren más gestión manual, no son tan altamente disponibles ni escalables, y AWS recomienda usar NAT Gateway en su lugar.

Opción C - "Crear una segunda gateway de Internet en una de las subredes privadas...":

Incorrecta:
- Solo puede haber un Internet Gateway por VPC
- Un Internet Gateway no puede estar en una subred privada (contradice su definición)
- Las subredes privadas por definición no tienen ruta directa a un Internet Gateway

Opción D - "Crear una gateway de Internet de solo salida (egress-only)...":

Incorrecta:
- Los Egress-Only Internet Gateways son exclusivamente para IPv6, no para IPv4
- El enunciado especifica que se utilizan bloques CIDR IPv4
- Esta solución no funcionaría para el escenario descrito

Hans Arias

student•

La respuesta es la A)

Ya que el nat gateway se debe adicionar en la subnet publicas, en el route table que se asocia en la subnet privada es donde se adiciona la ruta que seria:

0.0.0.0/0 Nat Gateway - id-nat-gateway.

Con eso, ya tu subnet-privada ya tiene internet, sin exponer a un acceso publico de internet.

Me apoye mucho en la guia oficial para poder entender un poco aunque tiene bastantes paginas.

https://docs.aws.amazon.com/pdfs/vpc/latest/userguide/vpc-ug.pdf

Adiconalmente para comprender mas utilize estos dos videos:

https://www.youtube.com/watch?v=ujXr0i5EoHE

Sobretodo este, muestra paso a paso en un gran ejemplo:

https://www.youtube.com/watch?v=ydxEeVAqVdo

Octavio Alzerreca

student•

Diría B, porque el NAT es para la subred privada, no para la subred publica

Luis Felipe Tejada Padilla

student•

La primera vez que leí las preguntas me confundí un poco, pero después de ver el video y consultar en los dos de AWS lo entendí. Considero que la respuesta correcta es la B, por que como lo mensiona la documentación de NAT (Network Address Translation): "You can use a NAT gateway so that instances in a private subnet can connect to services outside your VPC but external services can't initiate a connection with those instances." https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html

Joaquín Arturo Beltrán López

student•

La lógica me parece correcta pero creo que la respuesta sería la A, donde el NAT Gateway como bien comentas permite la conexión a internet y el servicio de este proveedor en la nube para este problema.

El NAT como tal es la manera en la que una llamada desde una red privada a internet traduce su IP a una pública para salir a internet.