Aprende a configurar una VPC en AWS desde cero, conectando subredes públicas y privadas con Internet Gateway, NAT Gateway y tablas de enrutamiento. Esta guía práctica te muestra el flujo real dentro de la consola para que armes una arquitectura funcional, lista para desplegar servidores y balanceadores en laboratorios posteriores.

Si vienes de crear la VPC y las subredes en zonas de disponibilidad, el siguiente componente es el más importante de toda la arquitectura: el Internet Gateway. Y de ahí en adelante, todo se conecta como un rompecabezas lógico.

¿Cómo se crea y asocia un Internet Gateway en AWS?

El Internet Gateway es la puerta que conecta tu VPC con Internet. Sin él, tu red queda aislada del mundo exterior.

En la consola de AWS, ve al menú izquierdo y entra a Internet Gateways. Vas a ver uno creado por defecto, pero ese pertenece a la VPC predeterminada. Da clic en Create Internet Gateway y asígnale un nombre, por ejemplo mi primer IGW.

Al crearlo, el estado aparece como detached, lo que significa que existe pero no está asociado a ninguna VPC. Para vincularlo:

1. Ve a Actions en la parte superior derecha.
2. Selecciona Attach to VPC.
3. Elige tu VPC en el campo desplegable y da clic en Attach Internet Gateway.

Cuando aparece el mensaje Successfully attached, tu VPC ya tiene salida a Internet habilitada [02:15].

¿Qué hace un Internet Gateway en AWS? Es el componente que permite que los recursos dentro de una VPC se comuniquen con Internet. Sin él, las subredes públicas no podrían enviar ni recibir tráfico externo.

¿Cómo configurar tablas de enrutamiento para subredes públicas y privadas?

Las route tables funcionan como un Waze: le dicen al tráfico por dónde salir según el destino. Necesitas dos, una para subredes públicas y otra para privadas.

Crear las dos tablas de enrutamiento

Desde el menú Route Tables, da clic en Create Route Table. Crea la primera con el nombre RT privadas, selecciona tu VPC y guárdala. Repite el proceso para RT públicas. Ahora tienes dos tablas listas para configurar.

Asociar subredes públicas y agregar la ruta a Internet

Selecciona RT públicas y entra a la pestaña Subnet Associations. Da clic en Edit subnet associations, marca pública uno y pública dos, y guarda los cambios.

Después, ve a la pestaña Routes y da clic en Edit routes. Agrega una nueva ruta así:

• Destination: 0.0.0.0/0, que representa cualquier dirección de Internet.
• Target: selecciona Internet Gateway y elige el que creaste.

Guarda. Con esto, cualquier subred pública asociada a esta tabla sabe que para ir a Internet debe salir por el Internet Gateway [05:40].

¿Cómo se configura un NAT Gateway para subredes privadas?

El NAT Gateway permite que las subredes privadas accedan a Internet sin exponerse directamente. Es un componente potente, pero también costoso, así que úsalo con precaución en laboratorios.

¿Cuánto cuesta un NAT Gateway en AWS? Tiene un costo mensual fijo más cargos por procesamiento de datos. Una factura de 100 dólares por dejarlo encendido es un escenario real, así que recuerda eliminarlo después de tus prácticas.

Para crearlo, ve a NAT Gateways en el menú izquierdo y da clic en Create NAT Gateway:

1. Asigna un nombre, por ejemplo Mi primer NAT.
2. Selecciona una subred pública (clave: el NAT Gateway vive en la pública, no en la privada).
3. En Elastic IP Allocation, da clic en Allocate Elastic IP para asignarle una IP pública.
4. Confirma con Create NAT Gateway.

La creación tarda un par de minutos. Mientras tanto, ten claro que este componente queda dentro de la subred pública y será el que permita la salida a Internet de los recursos que despliegues en las subredes privadas [08:30].

Asociar la tabla privada al NAT Gateway

Vuelve a Route Tables y selecciona RT privadas. En Subnet Associations, edita y marca privada uno y privada dos. Guarda. Ahora cada tabla tiene dos subredes asociadas.

Luego, en la pestaña Routes, edita las rutas y agrega:

• Destination: 0.0.0.0/0.
• Target: NAT Gateway, seleccionando el que acabas de crear.

Guarda los cambios. Con esto, las subredes privadas saben que su camino a Internet pasa por el NAT Gateway, y este a su vez sale por el Internet Gateway de la subred pública.

¿Por qué las subredes privadas usan NAT Gateway en lugar de Internet Gateway? Porque el NAT Gateway permite tráfico de salida hacia Internet sin exponer las instancias privadas con IP pública, manteniendo la seguridad de la red interna.

¿Qué quedó armado en tu arquitectura de VPC?

Con estos pasos, ya tienes una infraestructura completa funcionando dentro de AWS. Esto incluye:

• Una VPC como contenedor lógico de toda la red.
• Subredes públicas y privadas distribuidas en zonas de disponibilidad.
• Un Internet Gateway conectado a la VPC para acceso entrante y saliente.
• Un NAT Gateway ubicado en la subred pública con su Elastic IP.
• Dos tablas de enrutamiento, una pública apuntando al Internet Gateway y una privada apuntando al NAT Gateway.

Esta base es la que vas a reutilizar para desplegar servidores, balanceadores de carga y simular entornos reales en laboratorios siguientes. Y recuerda: cuando termines de practicar, borra los recursos pagos como el NAT Gateway y la Elastic IP para evitar cargos en tu consola de AWS.

¿Ya intentaste levantar tu primera VPC con esta estructura? Cuéntame en los comentarios qué parte te generó más dudas.