Implementación de Aplicación Web en AWS con Alta Disponibilidad

Clase 26 de 80 • Curso AWS Cloud Practitioner Certification

Contenido del curso

Fundamentos de la Infraestructura Global de AWS

Redes en AWS

Servicios de cómputo en AWS

Balanceo de Carga y Auto escalamiento

Almacenamiento en AWS

Bases de datos en AWS

Seguridad en AWS

Costos en AWS

Servicios Complementarios

Migracion a la nube de AWS

Cómo aprobar la certificación AWS Cloud Practitioner

Tomar examen

Resumen

Desplegar una aplicación web con alta disponibilidad en AWS requiere combinar varios servicios: redes privadas, instancias de cómputo, balanceo de carga y un acceso seguro a los servidores. A continuación se recorre paso a paso la creación de esta arquitectura, partiendo de una VPC existente y construyendo sobre ella dos servidores en subredes privadas, un jump host en la subred pública y la asignación de una IP elástica para la administración remota.

¿Cómo se prepara la VPC para una arquitectura de alta disponibilidad?

El punto de partida es una VPC ya configurada —llamada "mi primer VPC"— que incluye un Internet Gateway y un NAT Gateway [0:23]. Ambos componentes ya están operativos, pero para este laboratorio el foco se centra en los recursos de cómputo y el balanceo, así que se simplifican del diagrama para evitar distracciones.

La estrategia consiste en distribuir servidores en dos zonas de disponibilidad distintas. Si una zona falla, la otra sigue respondiendo. Para eso se utilizan dos subredes privadas —privada uno y privada dos— cada una en una zona diferente, y se coloca un balanceador de carga delante de ambas para distribuir el tráfico entrante [1:03].

¿Cómo se crean las instancias EC2 en subredes privadas?

Desde la consola de AWS se busca EC2 y se selecciona Launch Instance [1:25].

Servidor A en la zona uno

Nombre: servidor A.
Imagen: Amazon Linux (por defecto).
Instance type: t2.micro, que corresponde al propósito general y a la capa gratuita [1:43].
Se crea un key pair llamado "servidor A"; el archivo .pem se descarga automáticamente.
En la sección de networking se selecciona la VPC, la subred privada uno y se desactiva la autoasignación de IP pública.
Se crea un security group llamado SG privadas sin reglas abiertas para reforzar la seguridad [2:11].
El volumen de almacenamiento (disco duro virtual en la nube) se deja con los valores predeterminados.

Servidor B en la zona dos

Nombre: servidor B.
Misma imagen y instance type.
Se genera un key pair diferente —"servidor B"— como buena práctica de responsabilidad [2:50].
En networking se elige la subred privada dos y se reutiliza el security group SG privadas ya existente.
Se lanza la instancia.

Hasta aquí se tienen dos servidores en zonas de disponibilidad separadas, ambos aislados de Internet por estar en subredes privadas.

¿Qué es un jump host y por qué es necesario?

Un jump host (también llamado bastion host) es un servidor intermedio ubicado en una subred pública que permite al administrador de la nube conectarse a las instancias en subredes privadas [3:45]. Como los servidores A y B no tienen dirección IP pública, no se puede acceder a ellos directamente desde Internet.

El flujo es el siguiente:

El cloud engineer se conecta primero al jump host.
Desde el jump host se realiza un salto hacia el servidor A o el servidor B.
Esto añade una capa de seguridad porque los servidores web quedan aislados de posibles atacantes en Internet [4:28].

Para crear el jump host se sigue el mismo procedimiento en EC2:

Nombre: jump host.
Imagen y instance type idénticos.
Key pair propio: "jump host".
En networking se selecciona la subred pública uno y se crea un nuevo security group llamado SG Jump host, también sin reglas abiertas inicialmente [4:53].

¿Cómo se asigna una IP elástica al jump host?

Para que el administrador pueda alcanzar el jump host desde Internet, este necesita una IP pública fija. En la consola de EC2 se accede a Elastic IPs [5:27], se solicita una nueva dirección con Allocate Elastic IP Address y se asocia al jump host mediante Actions > Associate Elastic IP Address [5:42]. Se selecciona la instancia del jump host y se confirma la asociación.

Esta Elastic IP garantiza que la dirección no cambie aunque el servidor se reinicie, facilitando la configuración de accesos y reglas de firewall.

Con estos pasos completados, la arquitectura cuenta con tres instancias listas —servidor A, servidor B y jump host— y una IP elástica asignada. El siguiente paso será conectarse a los servidores, instalar el servidor web Apache y configurar el balanceador de carga para lograr la alta disponibilidad. ¿Has montado arquitecturas similares? Comparte tu experiencia en los comentarios.

Comentarios

Christopher Andrés Guano Valencia

student•

🟠 Bastion Host

El profesor menciona a la instancia en la subred pública como JumpHost, pero en los exámenes el término es Bastion Host. Tenlo presente.

Permite la comunicación mediante SSH (o RDP para Windows) y desde allí se pueden acceder a las instancias en la red privada.

También está relacionado con el término de NAT instance. La NAT Instance se centra en el acceso a Internet para instancias privadas, mientras que el Bastion Host se centra en el acceso administrativo a estas instancias. Son componentes diferentes en la arquitectura de red de AWS, cada uno con su propósito específico.

¡Nunca pares de aprender! 🚀🚀

Irving Juárez

student•

NAT Gateway a la inversa

Lo que se hizo en esta clase es una NAT gw a la inversa, donde ahora el usuario se conecta a un servidor privado pasando por un servidor publico. La gran ventaja que esto tiene es que es muy seguro y que no es tan caro como un NAT gw, aunque es un poco más tardado de conectarse

Vanessa Rivas

student•

Un Jump Host (Bastión) y un NAT Gateway (o NAT Instance) en AWS tienen propósitos diferentes, aunque ambos actúan como intermediarios en una red. Aquí las diferencias clave:

🔹 1. Propósito principal

Jump Host (Bastión):
- Permite acceso seguro SSH/RDP a instancias en subredes privadas (por ejemplo, servidores EC2, bases de datos).
- Es un servidor (generalmente Linux/Windows) usado por administradores para gestionar recursos internos.
NAT Gateway/Instance:
- Permite que instancias en subredes privadas se conecten a Internet (por ejemplo, para actualizaciones, descargas o APIs externas), pero no permite conexiones entrantes desde Internet.
- No es accesible por usuarios humanos, solo funciona como puerta de enlace para tráfico saliente.

🔹 2. Dirección del tráfico

Jump Host:
- Entrante (Inbound): Un usuario se conecta al Jump Host desde Internet y luego "salta" a recursos internos.
- Saliente (Outbound): Puede usarse para proxy de tráfico saliente, pero no es su función principal.
NAT:
- Solo Saliente (Outbound): Las instancias en subredes privadas envían tráfico a Internet a través del NAT, pero Internet no puede iniciar conexiones hacia ellas.

🔹 3. Ubicación en la VPC

Jump Host:
- Se despliega en una subred pública (para ser accesible desde Internet).
- Tiene una IP pública o Elastic IP.
NAT Gateway:
- También se despliega en una subred pública, pero las instancias que lo usan están en subredes privadas.
- Tiene una IP pública, pero las instancias detrás de él permanecen privadas.

Gabriel Andrés Montiel Hermosa

student•

Si al intentar asociar una IP Elástica te sale el error:

"No se pudo asociar la dirección IP elástica. Dirección IP elástica 13.219.195.92: Network vpc-07e765afad7838ef4 is not attached to any internet gateway"

Traducción a humano:

"No puedo asociar esa IP pública (EIP) porque tu VPC no está conectada a Internet."

🔍 ¿Qué está pasando?

La dirección IP elástica (EIP) es pública. Para que pueda funcionar y alcanzar instancias dentro de tu VPC, necesitas tener:

Una Internet Gateway (IGW) asociada a tu VPC, y
Una tabla de rutas (route table) que le diga al tráfico que se puede ir al IGW.

✅ ¿Cómo lo solucionás?

**Verificá si tu VPC tiene una Internet Gateway asociada:**👉 Si no la tenés:
- Ve a la consola de VPC.
- En el panel lateral, buscá “Internet Gateways”.
- Asegurate de tener una IGW y que esté asociada a tu VPC.

- Creá una Internet Gateway.
- Asociála a tu VPC (vpc-07e765afad7838ef4).
**Verificá la tabla de rutas de la subred donde está tu instancia:**👉 Si no está, agregála manualmente.
- En la consola de VPC, andá a “Route Tables”.
- Encontrá la que está asociada a tu subred.
- Asegurate de que haya una ruta como esta:makefileCopiarEditarDestination: 0.0.0.0/0 Target: igw-xxxxxxxx
Verificá si la subred es pública:
- Una subred es pública si su tabla de rutas tiene una salida hacia el Internet Gateway.
- Asegurate también de que la instancia tenga un public IP o EIP asignado (estás en eso).

Esto se hizo en la Clase 12: Laboratorio: Crear una VPC en AWS (Creación de Subredes, Internet Gateway y NAT Gateway)

Mario Alexander Vargas Celis

student•

Parece que estás intentando deshabilitar la transferencia de una Elastic IP (EIP) en AWS, pero la dirección IP no está actualmente habilitada para la transferencia. Esto puede ocurrir si:

🔹 La IP aún está asociada a una instancia EC2. 🔹 No tienes permisos suficientes en la cuenta de AWS. 🔹 La dirección IP no está en estado transferible.

🛠️ Solución Paso a Paso

✅ Verifica si la IP está asociada a una instancia

1️⃣ Ve a la Consola de AWS → EC2 → Elastic IPs. 2️⃣ Busca la dirección 3.218.165.20 y revisa si está asignada a una instancia. 3️⃣ Si está asignada, desasóciala antes de intentar deshabilitar la transferencia:

aws ec2 disassociate-address --association-id eipassoc-xxxxxxxxxxxxxx

✅ Libera la Elastic IP si ya no la necesitas

Si la IP no está en uso, intenta liberarla:

aws ec2 release-address --allocation-id eipalloc-0f2fd74a12ae02656

⚠️ Advertencia: Liberar una IP la elimina de tu cuenta y puede asignarse a otro usuario.

Si el problema persiste

1️⃣ Verifica los permisos de usuario en IAM: Si no tienes permisos suficientes, pide acceso a un administrador de AWS. 2️⃣ Espera unos minutos: A veces, AWS tarda en reflejar cambios en la consola. 3️⃣ Prueba desde la CLI de AWS si la consola no permite la acción.

Irving Juárez

student•

Configuración del network

Si quieren avanzar con el laboratorio de la proxima clase, lo que hay que hacer es configurar los route tables para que:

El security group del servidor privado pueda recibir data del servidor publico
Que el servidor publico pueda recibir info desde ssh

Implementación de Aplicación Web en AWS con Alta Disponibilidad

Fundamentos de la Infraestructura Global de AWS

Conceptos Fundamentales de AWS y la Nube

Registro y uso de la consola de AWS para servicios en la nube

Seguridad en AWS: Prácticas Esenciales y Gestión de Accesos

Modelo de Responsabilidad Compartida en AWS: Seguridad y Cumplimiento

Creación y gestión de usuarios en AWS IAM

Regiones y Zonas de Disponibilidad en AWS

Infraestructura Global de AWS: Local Zones, Outposts y Edge Locations

Gestión de DNS y dominios con AWS Route 53

Redes en AWS

Componentes y configuración de una VPC en AWS

Seguridad en VPC: Grupos de Seguridad y Network ACLs

Creación de una VPC en AWS: Paso a Paso Práctico

Creación de VPC en AWS: Internet Gateway y NAT Gateway

Opciones de Conectividad en AWS: VPN y DirectConnect

Servicios Perimetrales en AWS: CloudFront y Global Accelerator

Servicios de cómputo en AWS

Fundamentos de Amazon EC2: Servidores Virtuales en la Nube

Creación de un Servidor Web en AWS Paso a Paso

Conexión a Servidor AWS EC2 usando SSH en Mac y Linux

Conexión a Servidor con PuTTY en Windows

Instalación de un Servidor Web Apache en AWS EC2

Tipos de Instancias EC2 y Casos de Uso en AWS

Comparación de precios y tipos de instancias EC2 en AWS

Servicios de Contenedores en AWS: Docker, ECS, EKS y Fargate

Conceptos Básicos de Serverless y AWS Lambda

Balanceo de Carga y Auto escalamiento

Balanceo de Carga en AWS: Tipos y Usos Prácticos

Autoescalamiento en AWS: Gestión Dinámica de Recursos en la Nube