Componentes y configuración de una VPC en AWS

Clase 9 de 80 • Curso AWS Cloud Practitioner Certification

Resumen

¿Qué es una VPC y por qué es importante?

Una VPC, o Virtual Private Cloud, es un elemento esencial al usar AWS, funcionando como tu centro de datos personal en la nube. Aquí puedes configurar la arquitectura de red a tu gusto, pero con gran libertad viene gran responsabilidad, sobre todo porque cualquier error recae en ti, no en AWS. Es importante entender la diferencia en la responsabilidad compartida: AWS se encarga de la infraestructura, pero la configuración de la red es responsabilidad del usuario.

¿Cómo se estructura internamente una VPC?

Dentro de una VPC, la estructura se divide en subredes, que pueden ser públicas o privadas.

Subredes públicas: Permiten el acceso directo a Internet y desde Internet, adecuadas para servicios que necesitan ser accesibles externamente.
Subredes privadas: No tienen acceso directo a Internet. Se usan para alojar servicios críticos que necesitan protección, y su acceso se maneja mediante servidores intermedios como NAT Gateway.

¿Cómo elige la mejor estrategia para distribuir sus componentes?

El diseño de la VPC debe considerar las aplicaciones que se van a desplegar. Segmentar la red en subredes públicas y privadas optimiza la seguridad y rendimiento de las aplicaciones.

¿Qué componentes clave forman una VPC?

Estos son los principales componentes que necesitas dominar al trabajar con VPCs:

¿Qué es un Internet Gateway?

Un Internet Gateway es vital en una VPC. Facilita la conectividad con Internet de todos los elementos dentro de la VPC. Se asocia de manera exclusiva a una VPC y es completamente administrado por Amazon, lo que asegura su escalabilidad y rendimiento.

// Ejemplo de asociación de un Internet Gateway a una VPC
aws ec2 create-internet-gateway 
aws ec2 attach-internet-gateway --vpc-id vpc-XXXXX --internet-gateway-id igw-XXXXX

¿Cómo funciona una tabla de enrutamiento?

Las tablas de enrutamiento en AWS actúan como un GPS para el tráfico de red. Siguiendo reglas preestablecidas, guían el tráfico desde un origen hasta su destino deseado dentro o fuera de la VPC, asegurando la conectividad prevista.

¿Para qué sirve un NAT Gateway?

El NAT Gateway es crucial para permitir que las subredes privadas accedan a Internet para descargar actualizaciones sin necesitar una conexión directa. Aunque es útil, es necesario manejar su uso con precaución para evitar sorpresas en los costos.

// Creación de un NAT Gateway y su asociación
aws ec2 create-nat-gateway --subnet-id subnet-XXXXX --allocation-id eipalloc-XXXXX
aws ec2 create-route-table --vpc-id vpc-XXXXX
aws ec2 create-route --route-table-id rtb-XXXXX --destination-cidr-block 0.0.0.0/0 --gateway-id nat-XXXXX

Estrategias y consejos de implementación segura

Para garantizar seguridad y eficiencia, considera los siguientes consejos:

Servidores críticos en subredes privadas: Nunca exponer directamente aplicaciones críticas en subredes públicas. Protegerlas en subredes privadas es esencial para reducir riesgos de ataques.
Uso controlado de NAT Gateway: Evita dejar NAT Gateways innecesariamente encendidos para evitar costos indebidos.
Gestión de tablas de enrutamiento: Asegúrate de configurar rutas adecuadas para permitir el tráfico necesario sin exponer innecesariamente los activos.

La configuración y gestión correcta de estos componentes te permitirá construir una estructura de red segura y efectiva dentro de AWS. Con la práctica y el estudio continuo, podrás enfrentar y superar los desafíos que presenta el entorno de la nube. Sigue aprendiendo y perfeccionando tus habilidades en AWS para maximizar el potencial de tus soluciones.

Sebastián Arcila Sánchez

student•

Qué es una VPC

VPC = Virtual Private Cloud. Hace referencia a nuestro data center en la nube de AWS. Es donde podemos configurar como queramos la arquitectura de red dentro de AWS.

Subred: divide la VPC en segmentos más pequeños para poner allí nuestras aplicaciones.
- Subredes públicas: salen a internet directamente y se puede acceder también a través de internet.
- Subred privada: salen a internet con un componente específico y no se puede acceder desde internet a menos que se configure un servicio.

Componentes de una VPC

Internet Gateway: una VPC solo puede tener 1 Internet Gateway asociado. Permite que todo lo que tengamos dentro de la VPC pueda salir directamente hacia internet. Es un componente completamente administrado por AWS. Nuestra tarea es desplegarlo y asociarlo a la VPC.

Tabla de Enrutamiento: Define las reglas de enrutamiento dentro la VPC (quiero ir a internet → respuesta de la tabla: si quieres ir a internet debes seguir el camino que te daré). Determina cómo se envían los paquetes entre subredes y otros destinos.

NAT Gateway (Precaución: si se deja prendido en AWS, al final de mes va a cobrar bastante en AWS): componente que permite que las instancias o servidores en la subred privada puedan salir a internet.

Por ejemplo: un servidor en la subred privada quiere descargar una actualización; el servidor se conecta a un NAT Gateway, va a internet, descarga los paquetes de actualización y actualiza el servidor. El NAT Gateway se ubica en la subred pública. (Es decir, la subred privada debe mandar petición a NAT Gateway que se ubica en la subred pública y ya desde allí sí puede salir a internet)

Isaí Sánchez Jiménez

student•

gracias :)

Johan Alberto Infante Joseph

student•

Excelente resumen

Cornelio Reyes

student•

NAT Gatway Prendido: NG>$$$$$$, siempre se debe apagar en la consola de AWS sino aumenta el Costo al final de mes

Gabriel Andrés Montiel Hermosa

student•

🕸️ ¿Qué es una VPC y por qué es importante?

Una VPC (Virtual Private Cloud) es como tu propio vecindario privado dentro de la gran ciudad que es AWS. Te permite tener control absoluto sobre tu entorno de red: puedes decidir quién entra, quién sale, cómo se comunican las casas (servidores), y si alguien puede mirar por las ventanas (spoiler: no deberían).

🔐 Dato clave: AWS es responsable de que la calle esté pavimentada y segura (infraestructura física), pero tú eres el alcalde del vecindario (configuración de red). Esto es parte del famoso modelo de responsabilidad compartida.

🧱 Estructura básica de una VPC

Una VPC está compuesta por varias piezas que encajan como Lego... si los Lego vinieran con firewalls y subredes:

🏘️ Subredes

Públicas: Como la plaza central. Todos pueden acceder, ideal para servidores web o load balancers.
Privadas: Como tu búnker de café y Wi-Fi. Restringido, seguro y lejos del ruido de Internet.

⚠️ Un error clásico: poner tu base de datos en la subred pública. Eso es como dejar la caja fuerte en la puerta de tu casa... con la puerta abierta.

📦 Componentes fundamentales de una VPC

🌐 Internet Gateway

Permite que las instancias en la VPC se conecten a Internet (y viceversa). Solo se necesita uno por VPC.

bashCopiarEditaraws ec2 create-internet-gateway aws ec2 attach-internet-gateway --vpc-id vpc-XXXXX --internet-gateway-id igw-XXXXX

🧭 Tablas de enrutamiento

Son como el GPS de tu red. Deciden a dónde va el tráfico dependiendo de su destino.

🧠 Consejo de oro: cada subred debe estar asociada a una tabla de rutas. Y esa tabla debe tener una ruta que diga “para ir a Internet, ve por el Internet Gateway”.

🚪 NAT Gateway

Permite que las instancias privadas salgan a Internet (por ejemplo, para actualizar software), sin ser accesibles desde afuera.

bashCopiarEditaraws ec2 create-nat-gateway --subnet-id subnet-XXXXX --allocation-id eipalloc-XXXXX

Pero cuidado:

No es barato (se cobra por hora y por GB).
Dejarlo encendido sin uso es como dejar el horno prendido con la puerta abierta... en julio... en el Caribe.

🛡️ Estrategias de seguridad inteligentes

Servicios públicos en subredes públicas, como:
- Load Balancers
- Bastion Hosts
Servicios sensibles en subredes privadas, como:
- Bases de datos
- Servidores backend
- Aplicaciones internas
Usar grupos de seguridad como firewall de capa 4: Piensa en ellos como porteros del edificio. Si no estás en la lista, no entras.
NACLs (Access Control Lists): Seguridad a nivel de subred. Son como murallas que rodean la zona. Buena idea si quieres más control granular.

🧠 Curiosidad techie

¿Sabías que puedes tener hasta 5 VPCs por región por defecto? Pero si necesitas más, puedes pedirle a AWS que te levante la restricción. Eso sí, explícale por qué. AWS no es tu tía la que dice que sí a todo.

📌

Dominar VPC es como ser arquitecto de tu propia ciudad digital. No basta con saber construir edificios: tienes que diseñar avenidas, reglas de tráfico, seguridad perimetral y hasta poner semáforos (routing rules).

🧩 Consejo final: La VPC es el primer paso para construir arquitecturas bien pensadas, seguras y escalables en AWS. Si entiendes la red, entenderás todo lo que viene después (EC2, RDS, Lambda, etc.).

Ronald Martin Saavedra Garay

student•

El servidor debe estar en una subred privada.

Miguel Angel Reyes Moreno

student•

Componente de una VPC

Virtual Private Cloud

Red virtual aislada lógicamente dentro de la nube de AWS, donde puedes lanzar y gestionar recursos de AWS.
Permite tener un control total sobre tu entorno de red.

Subred

Dividen tu VPC en segmentos más pequeños, donde puedes organizar tus recursos.
Puedes tener subredes públicas y subredes privadas.

Internet Gateway

Permite que las instancias dentro de una subred pública en la VPC envíen y reciban tráfico hacia y desde Internet.
Componente completamente gestionado por AWS, que se escala automáticamente.

Tabla de enrutamiento

Definen las reglas de enrutamiento dentro de la VPC.
Determina cómo se envían los paquetes entre subredes y otros destinos.

NAT Gateway → ¡Cuidado porque el billing sale caro!

Permiten que las instancias en subredes privadas se conecten a Internet.
Para actualizaciones o descargas, sin exponerlas directamente a Internet.

Pregunta de examen: Vas a desplegar un servidor y en este tienes una aplicación crítica de la empresa que necesita ser consultada por otros usuarios dentro de la empresa. ¿Dónde desplegarías un servidor crítico?

Pública
Privada … SIEMPRE QUE SEA CRÍTICO VA EN PRIVADA

Cornelio Reyes

student•

Componentes en una VPC para Despliegue de Servidores / DB :

VPC ---->

VPC públicas

VPC privadas

RT : Route Table

IGW : Internet Gateway

NAT Gateway

Ruth Lucy Campos Huamantica

student•

En un privado (ya que es un servidor crítico)

Isaí Sánchez Jiménez

student•

Dentro de una VPC en AWS, los componentes clave son:

Subredes: Se dividen en públicas (acceso directo a Internet) y privadas (acceso a Internet a través de NAT Gateway).
Internet Gateway: Permite la conectividad entre la VPC y el Internet.
Tabla de enrutamiento: Define cómo se envía el tráfico dentro y fuera de la VPC.
NAT Gateway: Permite a las instancias en subredes privadas salir a Internet.

Recuerda que los servidores críticos deben estar en subredes privadas por cuestiones de seguridad.

eduardo fletes

student•

La clase aborda los componentes de una VPC (Virtual Private Cloud) en AWS, destacando su importancia en la configuración de redes. Se explican subredes públicas y privadas, el papel del Internet Gateway para la conectividad a Internet, y las tablas de enrutamiento que dirigen el tráfico. Se introduce el NAT Gateway, que permite a las instancias en subredes privadas acceder a Internet. Se enfatiza que los servidores críticos deben estar en subredes privadas para mayor seguridad.

Irving Juárez

student•

Despues de crear una VPC, nosotros podemos crear tantas subredes como queramos, pero es importante saber que no es tan sencillo como se muestra en la clase.

Para crear una subred, tenemos que elegir la AZ en la que va a estar y a que Route Table (RT) va a estar asociada, ya que una RT viene por defecto en la VPC, pero se pueden crear más de una RT.

La RT por defecto solo permite acceso a la red interna. Despues de hacer una RT nueva con acceso a internet (solo hay que agregar una regla que diga 0.0.0.0 -> InternetGateway) y asociar nuestra subred a la nueva RT, en ese momento nuestra subred se vuelve publica.

Isaac Reyna Uresti

student•

Lo más crítico de entender sobre CIDR y VPCs no es solo la matemática binaria, sino la inmutabilidad.En AWS, las IPs privadas son gratis, pero el tamaño de la VPC no se puede modificar una vez creada. Si elegimos un rango pequeño por miedo a 'gastar números' (como un /24), estamos creando una deuda técnica enorme: el día que el sistema escale, no podremos agregar más servidores y la única solución será migrar toda la infraestructura desde cero.Regla de oro: Ante la duda, creen la VPC con /16. Es mejor que sobren 60,000 IPs a que falte una.

Matias Tofful

student•

Muy buena esta clase.

Cristofer Vargas Morales

student•

Este profesor explica muy bien. Cada curso de él vale cada centavo del pago a la suscripción de Platzi.

Ya he llevado un curso anterior y explica de manera sencilla y precisa.

Cristofer Vargas Morales

student•

Una VPC en AWS puede tener múltiples tablas de enrutamiento, pero cada subred puede estar asociada a una sola tabla de enrutamiento a la vez. Esto permite que diferentes subredes dentro de la misma VPC tengan rutas de enrutamiento distintas según sea necesario. La tabla de enrutamiento determina cómo se envía el tráfico dentro de la VPC y hacia Internet, permitiendo una configuración más flexible y específica de la red.

Eliyonai Andres Molero Pimentel

student•

Tengo un caso, donde una aplicación CSR que necesitar utilizar un servicio que debería estar red privada o internal, pero actualmente lo tengo con exposición a internet.

Utilizando una NAT Gateway desde el servidor donde está mi aplicación CSR, podría llegar al servicio que esté en una subred privada?

Joseph Peña Quino

student•

Que seria o que caracteristicas tendria un servidor crítico?

eduardo fletes

student•

Un servidor crítico es aquel que maneja aplicaciones o datos esenciales para una organización. Sus características incluyen:

Seguridad: Debe estar en una subred privada para minimizar la exposición a ataques externos.
Alta disponibilidad: Implementar redundancia y balanceo de carga para garantizar su funcionamiento constante.
Backup regular: Realizar copias de seguridad frecuentes para prevenir la pérdida de datos.
Monitoreo continuo: Usar herramientas que supervisen el rendimiento y alerten sobre fallos.
Escalabilidad: Capacidad para aumentar recursos según la demanda.

Un ejemplo real sería un servidor de base de datos que almacena información de clientes en un sistema de ventas. Si este servidor falla, podría interrumpir las operaciones y afectar la satisfacción del cliente, por lo que debe estar en una subred privada para garantizar su seguridad.

Leidy Johana Gomez forigua

student•

privada

Gerardo Alberto Soto Alvarez del Castillo

student•

Mi respuesta a la pregunta de la clase:

Yo colocaría el servidor crítico en una sub red privada para evitar que puedan extraer innformación desde una conexión externa al internet, además de tener un sistema de credenciales para proteger mejor la información crítica.

DEIBER DUBAN OLIVARES OLIVARES

student•

Excelente profesor. Me encanta su forma de explicar. Por favor platzi regálanos más cursos con este instructor.

Samir Jimenez Vivas

student•

Hice una investigación de más y me gustaría aportar algo:

Una VPC puede tener más de una tabla de enrutamiento, una subred sólo puede estar conectada a una tabla de enrutamiento a la vez, pero una tabla de enrutamiento puede gestionar varias subredes al mismo tiempo.