¿Cómo habilitar acceso a Internet en subredes privadas dentro de una VPC de AWS sin exponerlas a tráfico entrante? La respuesta corta es usar un NAT gateway, pero entender el porqué te servirá tanto para el examen de certificación como para diseñar arquitecturas reales en producción.

Esta guía te interesa si estás preparando la certificación de AWS Solutions Architect o si necesitas configurar redes seguras y altamente disponibles para cargas productivas.

¿Qué es una VPC en AWS y por qué importa?

Una Virtual Private Cloud es una red lógicamente aislada dentro de AWS que te permite separar entornos según el caso de uso. Tendrás al menos una VPC por cada región habilitada en tu cuenta, y dentro de ella puedes activar varias zonas de disponibilidad para asegurar que tu infraestructura siga funcionando aunque falle una ubicación física [01:02].

¿Qué es una VPC? Es una red privada virtual dentro de AWS donde defines tus propios rangos de IP, subredes y reglas de enrutamiento. Funciona como tu propio centro de datos lógico en la nube.

¿Cuál es la diferencia entre subredes públicas y privadas?

Dentro de cada zona de disponibilidad creas al menos una subred, y aquí viene la decisión clave: pública o privada.

• Las subredes públicas tienen acceso a Internet de entrada y salida por defecto. Las usas para servidores que dan la cara a tus clientes.
• Las subredes privadas no tienen acceso a Internet ni de entrada ni de salida. Son ideales para bases de datos o servicios internos donde la seguridad manda.
• Ambas pueden comunicarse entre sí dentro de la misma VPC mediante enrutamiento local [01:55].

¿Qué tipos de gateways existen y cuándo uso cada uno?

Los gateways son las puertas que conectan tu VPC con el exterior, y elegir el correcto define la postura de seguridad de tu arquitectura.

El Internet Gateway permite conexiones bidireccionales y se asocia normalmente con subredes públicas. El NAT gateway permite tráfico saliente desde subredes privadas, pero bloquea cualquier intento de entrada. Para tráfico IPv6 existe el egress only Internet Gateway, que cumple la misma función protectora pero para esa versión del protocolo [05:50].

¿Cómo funcionan las tablas de enrutamiento dentro de una VPC?

Las tablas de enrutamiento son las reglas que deciden hacia dónde va el tráfico. En el ejemplo típico verás dos reglas en una subred pública:

• La regla 10.0.0.0/16 con target local permite que las instancias se comuniquen dentro de la VPC.
• La regla 0.0.0.0/0 apunta al Internet Gateway y abre la salida hacia Internet.
• Las subredes privadas, en cambio, solo tienen la regla local hasta que les agregas un NAT gateway [03:18].

¿Cómo se conectan las subredes privadas a Internet con un NAT gateway?

Aquí está el corazón de la pregunta del examen. Cuando una instancia EC2 en una subred privada necesita descargar actualizaciones de software, no puedes asignarle una IP pública porque la expondrías. La solución es un NAT gateway ubicado en una subred pública.

El flujo es así: la instancia privada manda tráfico a 0.0.0.0/0, su tabla de enrutamiento lo envía al NAT gateway, este lo reenvía al Internet Gateway, y la respuesta vuelve por el mismo camino. El tráfico de entrada sin solicitar queda bloqueado, manteniendo la seguridad [04:54].

¿Qué es una IP elástica? Es una dirección IP pública estática que puedes asociar a instancias EC2 u otros servicios. Si la instancia se apaga, conservas la IP y puedes reasignarla a otra sin perderla [04:13].

¿Qué pasa si uso IPv6 en lugar de IPv4?

AWS soporta dual stack desde hace años, lo que significa que tus instancias pueden manejar IPv4 e IPv6 simultáneamente. El cambio relevante: para subredes privadas con IPv6 usas un egress only Internet Gateway en lugar de un NAT gateway. La función es idéntica, solo cambia el artefacto.

¿Cuáles son las buenas prácticas al diseñar una VPC en AWS?

AWS crea una VPC por defecto en cada región que habilites, pero esa VPC viene con subredes públicas abiertas a Internet. Sirve para pruebas rápidas, no para producción.

• Crea una custom VPC donde tú decidas cuántas subredes públicas y privadas necesitas.
• Distribuye tus subredes en al menos dos o tres zonas de disponibilidad para alta disponibilidad.
• Define tablas de enrutamiento específicas según el rol de cada subred.
• Refuerza tus conocimientos de redes antes de diseñar arquitecturas críticas; el curso de redes de Platzi es un buen punto de partida [06:25].

Volviendo a la pregunta inicial sobre cómo habilitar Internet en subredes privadas con tres zonas de disponibilidad: necesitas crear NAT gateways en las subredes públicas y actualizar las tablas de enrutamiento de las subredes privadas para que la ruta 0.0.0.0/0 apunte a esos NAT gateways. ¿Cuál fue tu respuesta? Déjala en los comentarios.