Preguntas generales

P: ¿Qué es Amazon Virtual Private Cloud?

Amazon VPC le permite aprovisionar una sección de la nube de Amazon Web Services (AWS) aislada de forma lógica, donde podrá lanzar recursos de AWS en una red virtual que defina. Puede controlar todos los aspectos del entorno de redes virtual, incluida la selección de sus propios intervalos de direcciones IP, la creación de subredes y la configuración de tablas de ruteo y gateways de red. También puede crear una conexión de red privada virtual (VPN) de hardware entre el centro de datos de la empresa y la VPC, y utilizar la nube de AWS como una prolongación del centro de datos corporativo.

Es fácil personalizar la configuración de red de Amazon VPC. Por ejemplo, puede crear una subred de cara al público para los servidores web con acceso a Internet y colocar los sistemas de fondo, como bases de datos o servidores de aplicaciones, en una subred de uso privado sin acceso a Internet. Puede aprovechar varias capas de seguridad, incluidos grupos de seguridad y listas de control de acceso a red, para ayudar a controlar el acceso a las instancias de Amazon EC2 desde cada subred.

P: ¿Cuáles son los componentes de Amazon VPC?

Amazon VPC consta de diferentes objetos que les resultarán familiares a los clientes que ya utilicen redes:

  • Virtual Private Cloud: una red virtual aislada de forma lógica en la nube de AWS. Usted define un espacio de direcciones IP de una VPC desde los rangos seleccionados.
  • Subred: segmento del rango de direcciones IP de una VPC donde es posible colocar grupos de recursos aislados.
  • Gateway de Internet: el extremo de Amazon VPC de una conexión a la Internet pública.
  • Gateway de NAT: un servicio administrado y de alta disponibilidad de traducción de direcciones de red (NAT) para que los recursos que tiene en una subred privada obtengan acceso a Internet.
  • Conexión de VPN de hardware: una conexión de VPN basada en hardware entre su Amazon VPC y el centro de datos, red doméstica o centro de co-location.
  • Gateway privada virtual: el extremo de Amazon VPC de una conexión de VPN.
  • Gateway de cliente: el extremo que ocupa el usuario en una conexión de VPN.
  • Router: los routers interconectan entre sí las subredes y dirigen el tráfico entre gateways de Internet, gateways privadas virtuales, gateways NAT y subredes.
  • Interconexiones: este tipo de conexión le permite direccionar el tráfico a través de direcciones IP privadas entre dos VPC interconectadas.
  • Puntos de conexión de VPC: permiten establecer una conectividad privada a servicios alojados en AWS, desde el interior de su VPC sin usar una gateway de Internet, dispositivos de traducción de direcciones de red (NAT) ni proxis de firewall.
  • Gateway de Internet de salida únicamente: un gateway con estado para brindar acceso de salida únicamente para tráfico IPv6 de la VPC a Internet.
 
P: ¿Por qué debería utilizar Amazon VPC?
 
Amazon VPC permite crear una red virtual en la nube de AWS sin VPN, hardware ni centros de datos físicos. Puede definir un espacio de red propio y controlar la forma en que la red y los recursos de Amazon EC2 incluidos en la red quedan expuestos a Internet. También puede aprovechar las opciones de seguridad mejoradas de Amazon VPC para ofrecer un acceso más minucioso hacia y desde las instancias de Amazon EC2 de su red virtual.
 
P: ¿Cómo comienzo a utilizar Amazon VPC?
 
Los recursos de AWS se aprovisionan automáticamente en una VPC predeterminada lista para utilizarse. Tiene la opción de crear VPC adicionales en la página de Amazon VPC de la consola de administración de AWS, para lo que debe seleccionar "Start VPC Wizard".
 
El sistema le presentará cuatro opciones básicas de arquitecturas de red. Después de seleccionar una opción, podrá modificar el tamaño y el rango de direcciones IP de la VPC y sus subredes. Si selecciona una opción con acceso a VPN de hardware, necesitará especificar la dirección IP del hardware de VPN presente en su red. Puede modificar la VPC para añadir o quitar los intervalos IP secundarios y las gateways, o añadir más subredes a los intervalos IP.
 
Las cuatro opciones son:
 
  1. VPC con una única subred pública
  2. VPC con subredes públicas y privadas
  3. VPC con subredes públicas y privadas, y acceso a VPN de hardware
  4. VPC con una única subred privada y acceso a VPN de hardware
 
P: ¿Cuáles son los diferentes tipos de puntos de conexión de VPC disponibles en Amazon VPC?
 
Los puntos de conexión de VPC permiten conectar de manera privada una VPC a servicios alojados en AWS sin contar con una gateway de Internet, un dispositivo NAT ni proxis de firewall. Los puntos de conexión son dispositivos virtuales de alta disponibilidad que pueden ajustar su escala horizontalmente y hacen posible la comunicación entre instancias de una VPC y los servicios de AWS. Amazon VPC ofrece dos tipos de puntos de conexión diferentes: puntos de conexión tipo interfaz y puntos de conexión tipo gateway.
 
Los puntos de conexión tipo gateway están disponibles únicamente para los servicios de AWS, incluidos S3 y DynamoDB. Estos puntos de conexión añadirán una entrada a la tabla de ruteo que seleccionó y direccionarán el tráfico a los dispositivos compatibles a través de la red privada de Amazon.
 
Los puntos de conexión tipo interfaz suministran conectividad privada a servicios con tecnología de PrivateLink, ya sean servicios de AWS, sus propios servicios o soluciones SaaS, y admiten conectividad a través de Direct Connect. Próximamente, estos puntos de conexión admitirán más soluciones SaaS y de AWS. Consulte los precios de VPC para obtener el precio de los tipos de puntos de enlace del interfaz.
 

Facturación

P: ¿Qué cargos y facturación se me aplicarán por utilizar Amazon VPC?

No se cobran cargos adicionales por crear y utilizar lo que es la VPC en sí. Los cargos por uso de otros Amazon Web Services, incluidos Amazon EC2, se aplican según las tarifas publicadas para dichos recursos, incluidos los cargos por transferencia de datos. Si conecta la VPC al centro de datos corporativo por medio de la conexión opcional de VPN de hardware, los precios corresponden a las horas de conexión de VPN (la cantidad de tiempo que se tiene una conexión de VPN en estado "disponible"). Las horas parciales se facturan como horas completas. Los datos transferidos mediante conexiones de VPN se cobrarán según las tarifas estándar de transferencia de datos de AWS. Para consultar la información de precios de VPC-VPN, visite la sección de precios de la página del producto Amazon VPC.

P: ¿Qué define las horas de conexión de VPN facturables?

Las horas de conexión de VPN se facturan siempre que las conexiones de VPN se encuentren en estado "disponible". Puede determinar el estado de una conexión de VPN por medio de la consola de administración de AWS, la interfaz de línea de comandos (CLI) o el API. Si no desea seguir utilizando la conexión de VPN, solo tiene que terminar dicha conexión para evitar que se le facturen las horas adicionales de conexión de VPN.

P: ¿En qué cargos por uso incurriré si utilizo otros servicios de AWS, como Amazon S3, desde las instancias de Amazon EC2 en mi VPC?

Los cargos por uso de otros Amazon Web Services, incluidos Amazon EC2, se aplican según las tarifas publicadas para dichos recursos. No se cobran gastos por transferencia de datos al obtener acceso a Amazon Web Services, como Amazon S3, a través del puerto de enlace a internet de su VPC.

Si obtiene acceso a los recursos de AWS a través de la conexión de VPN, se le aplicarán cargos por transferencia de datos de Internet.

P: ¿Los precios incluyen impuestos?

Si no se especifica lo contrario, nuestros precios no incluyen los impuestos ni gravámenes correspondientes, como el IVA y cualquier otro impuesto sobre las ventas. En el caso de los clientes con una dirección de facturación de Japón, el uso de los servicios de AWS está sujeto al impuesto de consumo nipón. Más información.

Conectividad

P: ¿Qué opciones de conectividad existen para mi VPC?

Puede conectar su VPC a:

  • Internet (a través de un puerto de enlace a internet)
  • El centro de datos de su empresa mediante una conexión de VPN de hardware (a través de la gateway privada virtual)
  • Internet y el centro de datos de su empresa (con un puerto de enlace a internet y una gateway privada virtual)
  • Otros servicios de AWS (mediante la gateway a Internet, NAT, gateway privada virtual o puntos de enlace de VPC)
  • Otras VPC (interconexiones de VPC)
 
P: ¿Cómo puedo conectar mi VPC a Internet?
 
Amazon VPC permite crear un puerto de enlace a internet. Esta gateway permite que las instancias de Amazon EC2 en la VPC obtengan acceso directamente a Internet.
 
P: ¿Hay limitaciones de ancho de banda para los puertos de enlace a internet? ¿Tengo que preocuparme por la disponibilidad? ¿Puede tratarse de un punto único de error?
 
No. Un puerto de enlace a internet se escala horizontalmente, es redundante y tiene alta disponibilidad. No existen limitaciones de ancho de banda.
 
P: ¿Cómo obtienen acceso a Internet las instancias de una VPC?
 
Puede usar direcciones IP públicas, incluidas direcciones IP elásticas (EIP), para que las instancias de la VPC se comuniquen directamente con Internet y reciban tráfico entrante no solicitado procedente de Internet (p. ej., de servidores web). También puede usar las soluciones de la siguiente pregunta.
 
P: ¿Cómo acceden a Internet las instancias sin direcciones IP públicas?
 
Las instancias sin direcciones IP públicas pueden obtener acceso a Internet de dos maneras distintas:
 
  1. Las instancias sin direcciones IP públicas pueden enrutar el tráfico mediante un portal NAT o una instancia NAT para acceder a Internet. Estas instancias utilizan la dirección IP pública del portal NAT o la instancia NAT para desplazarse por Internet. El portal NAT o la instancia NAT deja pasar las comunicaciones de salida, pero no permite que las máquinas de Internet inicien una conexión con las instancias con dirección privada.
  2. Para las VPC que tienen una conexión de VPN de hardware o Direct Connect, las instancias pueden direccionar su tráfico de Internet por la gateway privada virtual hasta su centro de datos. Desde ahí, pueden obtener acceso a Internet por medio de los puntos de salida existentes y a través de los dispositivos de seguridad y monitorización que tenga instalados en la red.
 
P: ¿Puedo conectarme a mi VPC por medio de una VPN por software?
 
Sí. Puede utilizar una VPN por software de terceros para crear una conexión de VPN de acceso remoto o de sitio a sitio con su VPC por medio del puerto de enlace a internet.
 
P: ¿Cómo funciona una conexión de VPN de hardware con Amazon VPC?
 
Una conexión de VPN de hardware conecta la VPC con el centro de datos. Amazon admite conexiones de IPSec (Internet Protocol security) VPN. Los datos que se transfieren entre su VPC y su centro de datos se enrutan a través de una conexión de VPN cifrada para ayudar a mantener la confidencialidad y la integridad de los datos en tránsito. No es necesario un puerto de enlace a internet para establecer una conexión de VPN de hardware.
 
P: ¿Qué es IPsec?
IPsec es un conjunto de protocolos para proteger las comunicaciones de Internet Protocol (IP) autenticando y cifrando todos los paquetes IP de una serie de datos.
 
P: ¿Qué dispositivos de gateway de cliente puedo utilizar para conectarme a Amazon VPC?
 
Se pueden crear dos tipos de conexiones de VPN: dirigidas estáticamente o dinámicamente. Los dispositivos de gateway de cliente que admitan las conexiones de VPN dirigidas estáticamente deben ser capaces de:
 
  • Establecer una asociación de seguridad IKE utilizando claves previamente compartidas
  • Establecer asociaciones de seguridad IPsec en modo de túnel
  • Utilizar la función de cifrado AES de 128 bits o 256 bits
  • Utilizar la función de hash SHA-1 o SHA-2 (256)
  • Utilizar la función Diffie-Hellman Perfect Forward Secrecy en modo de "Grupo 2"
  • Realizar la fragmentación de paquetes antes de cifrar
 
Además de las capacidades anteriores, los dispositivos que admitan las conexiones de VPN dirigidas dinámicamente deben ser capaces de:
 
  • Establecer asociaciones entre pares con protocolo de gateway fronterizo (BGP)
  • Conectar túneles a interfaces lógicas (VPN basada en rutas)
  • Utilizar la detección IPsec de pares muertos
 
P: ¿Qué grupos Diffie-Hellman se admiten?
 
Se admiten los siguientes grupos Diffie-Hellman (DH) en Phase1 y Phase2.
 
  • Grupos DH Phase1 2, 14-18, 22, 23, 24
  • Grupos DH Phase2 2, 5, 14-18, 22, 23, 24
 
P: ¿Qué dispositivos de gateway de cliente funcionan con Amazon VPC?
 
Los siguientes dispositivos cumplen los requisitos anteriores y su funcionamiento con conexiones de VPN de hardware está comprobado. Además, permiten la generación automática de archivos de configuración adecuados para su dispositivo por medio de herramientas de línea de comandos:
 
Tenga en cuenta que las configuraciones de ejemplo son para los requisitos mínimos de AES128, SHA1 y DH grupo 2. Deberá modificar estos archivos de configuración para aprovechar los beneficios de AES256, SHA256 u otros grupos DH.
 
P: Si mi dispositivo no aparece en la lista, ¿dónde puedo buscar más información sobre cómo usarlo con Amazon VPC?
 
Le recomendamos consultar el foro de Amazon VPC, ya que es posible que haya otros clientes que ya estén utilizando su dispositivo.
 
P: ¿Existe alguna limitación de desempeño con las conexiones de VPN?
 
El desempeño de una conexión VPN puede depender de varios factores, como la capacidad del gateway del cliente (CGW), la capacidad de su conexión, el tamaño de paquete medio, el protocolo utilizado (TCP o UDP) y la latencia de red entre su CGW y su gateway privada virtual (VGW).
 
P: ¿Qué herramientas hay disponibles para ayudarme a solucionar los problemas de configuración de mi VPN de hardware?
 
La API DescribeVPNConnection indica el estado de la conexión de VPN, incluido el estado ("up"/"down") de cada túnel de VPN y los correspondientes mensajes de error si uno de los túneles no funciona ("down"). Esta información también se muestra en la consola de administración de AWS.
 
P: ¿Cómo puedo conectar una VPC con el centro de datos de mi empresa?
 
El establecimiento de una conexión de VPN de hardware entre su red existente y Amazon VPC permite interactuar con las instancias de Amazon EC2 que hay en una VPC como si estuviesen en la red existente. AWS no realiza conversión de direcciones de red (NAT) en las instancias Amazon EC2 de una VPC a la que se obtiene acceso mediante una conexión de VPN de hardware.
 
P: ¿Puedo convertir con NAT mi CGW tras un router o firewall?
 
Sí, tendrá que habilitar NAT-T y abrir el puerto UDP 4500 en su dispositivo de NAT.
 
P: ¿Qué dirección IP utilizo para mi dirección CGW?

Utilizará la dirección IP pública de su dispositivo de NAT.

P: ¿Cómo deshabilito NAT-T en mi conexión?

Debe deshabilitar NAT-T en el dispositivo. Si no piensa utilizar NAT-T y este no está deshabilitado en el dispositivo, se intentará establecer un túnel a través del puerto UDP 4500. Si dicho puerto no está abierto, el túnel no se establecerá.

P: Quiero tener varios CGW tras una NAT, ¿cómo puedo configurarlo?

Utilizará la dirección IP pública de su dispositivo NAT para el CGW de todas las conexiones. También tiene que asegurarse de que el puerto UDP 4500 esté abierto.

P: ¿Cuántas asociaciones de seguridad IPsec pueden establecerse simultáneamente en cada túnel?

El servicio VPN de AWS se basa en rutas, por lo que al utilizar una configuración basada en rutas no encontrará ninguna limitación de asociaciones de seguridad. Sin embargo, si utiliza una solución basada en políticas deberá limitarse a una única asociación.

 

Direccionamiento IP

P: ¿Qué rangos de direcciones IP puedo utilizar en mi VPC?

Puede usar cualquier rango de direcciones IPv4, incluido RFC 1918 o los rangos de IP de direccionamiento público para el bloque de CIDR principal. Para los bloques de CIDR secundarios, se aplican determinadas restricciones. El acceso a los bloques IP de direccionamiento público es posible únicamente a través de la gateway privada virtual y no es posible por Internet a través del puerto de enlace a internet. AWS no anuncia en Internet los bloques de direcciones IP propiedad del cliente. Puede asignar un bloque de CIDR de IPv6 suministrado por Amazon a una VPC a través del llamado de la API correspondiente o de la consola de administración de AWS.

P: ¿Cómo puedo asignar intervalos de direcciones IP a las VPC?

Puede asignar un único intervalo de direcciones IP con direccionamiento entre dominios sin clases (CIDR) como el bloque de CIDR primario cuando cree una VPC y puede añadir hasta cuatro (4) bloques de CIDR secundarios después de crear la VPC. Usted direcciona las subredes de una VPC desde estos intervalos de CIDR. Tenga en cuenta que, aunque puede crear varias VPC con rangos de direcciones IP superpuestas, esto impedirá la conexión de dichas VPC a una red doméstica común por medio de la conexión de VPN de hardware. Por este motivo, recomendamos utilizar rangos de direcciones IP que no se superpongan. Puede asignar un bloque de CIDR de IPv6 suministrado por Amazon a la VPC.

P: ¿Qué rangos de direcciones IP se asignan a una VPC predeterminada?

Las VPC predeterminadas se asignan a un rango CIDR de 172.31.0.0/16. Las subredes predeterminadas dentro de una VPC predeterminada se asignan a bloques de red /20 dentro de un rango CIDR de VPC. 

P: ¿Puedo anunciar mi rango de direcciones IP públicas de VPC en Internet y direccionar el tráfico a través de mi centro de datos hacia mi VPC por medio de la VPN de hardware?

Sí, puede direccionar el tráfico mediante una conexión de VPN de hardware y anunciar el rango de direcciones desde su red doméstica.

P: ¿Qué tamaño máximo puede tener la VPC creada?

Actualmente, Amazon VPC admite cinco (5) intervalos de direcciones IP, una (1) primaria y cuatro (4) secundarias para IPv4. Cada uno de estos intervalos puede tener un tamaño de /28 (en notación CIDR) y /16. Los intervalos de direcciones IP de su VPC no deben superponerse con los intervalos de direcciones IP de la red existente.

Para IPv6, la VPC tiene un tamaño fijo de /56 (en notación CIDR). Una VPC puede tener bloques CIDR de IPv4 e IPv6 asociados a ella.

P: ¿Puedo cambiar el tamaño de una VPC?

Sí. Puede ampliar su VPC existente mediante la incorporación de cuatro (4) intervalos de IP IPv4 (CIDR) a la VPC. Puede reducir la VPC mediante la eliminación de bloques de CIDR secundarios que añadió a esta. Sin embargo, no puede modificar el tamaño del intervalo de direcciones IPv6 de su VPC.

P: ¿Cuántas subredes puedo crear por VPC?

En estos momentos, puede crear 200 subredes por VPC. Si desea crear más, envíe un caso al centro de soporte.

P: ¿Existe un tamaño mínimo o máximo para las subredes?

El tamaño mínimo de una subred es /28 (o 14 direcciones IP). para IPv4. Las subredes no pueden ser mayores que la VPC en la que se crean.

Para IPv6, el tamaño de subred está definido para que sea /64. Solo un bloque de CIDR de IPv6 se puede asignar a una subred.

P: ¿Puedo utilizar todas las direcciones IP que asigne a una subred?

No. Amazon se reserva las cuatro (4) primeras direcciones IP y la última (1) dirección IP de cada subred para las redes de IP. 

P: ¿Cómo puedo asignar direcciones IP privadas a instancias de Amazon EC2 en una VPC?

Al lanzar una instancia de Amazon EC2 en una VPC, puede especificar, si lo desea, la dirección IP privada principal de la instancia. Si no especifica una dirección IP privada principal, AWS la direccionará automáticamente desde el rango de direcciones IP asignado a la subred. También puede asignar direcciones IP privadas secundarias al lanzar una instancia, al crear una interfaz de red elástica o siempre que lo desee después de haber lanzado la instancia o de haber creado la interfaz.

P: ¿Puedo cambiar las direcciones IP privadas de una instancia de Amazon EC2 mientras se está ejecutando o cuando se detiene en una VPC?

Las direcciones IP privadas principales se conservan durante toda la vida útil de la instancia o de la interfaz. Siempre que lo desee, puede asignar direcciones IP secundarias privadas, así como anular su asignación o moverlas entre interfaces o instancias.

P: Si se detiene una instancia de Amazon EC2 en una VPC, ¿puedo lanzar otra instancia con la misma dirección IP en la misma VPC?

No. Una dirección IP asignada a una instancia en ejecución solo la puede utilizar de nuevo otra instancia si la instancia en ejecución original se encuentra en estado "finalizado".

P: ¿Puedo asignar direcciones IP para varias instancias de forma simultánea?

No. Puede especificar la dirección IP de una instancia cada vez cuando lance la instancia.

P: ¿Puedo asignar cualquier dirección IP a una instancia?

Puede asignar cualquier dirección IP a su instancia siempre que esta:

  • Forme parte del rango de direcciones IP de la subred asociada
  • No esté reservada por Amazon para fines de redes de IP
  • No está asignada actualmente a otra interfaz.

P: ¿Puedo asignar varias direcciones IP a una instancia?

Sí. Puede asignar una o varias direcciones IP privadas secundarias a una interfaz de red elástica o a una instancia EC2 en Amazon VPC. El número de estas direcciones que puede asignar depende del tipo de instancia. Consulte la Guía del usuario de EC2 para obtener información adicional acerca del número de direcciones IP privadas secundarias que se pueden asignar por cada tipo de instancia.

P: ¿Puedo asignar una o varias direcciones IP elásticas (EIP) a instancias de Amazon EC2 basadas en una VPC?

Sí, pero solo se podrá acceder a las direcciones IP elásticas desde Internet (no a través de la conexión de VPN). Cada dirección EIP debe asociarse a una única dirección IP privada en la instancia. Las direcciones EIP deberán utilizarse exclusivamente en instancias de subredes configuradas para direccionar el tráfico directamente al puerto de enlace a internet. Las EIP no se pueden utilizar con instancias de subredes configuradas para utilizar una instancia NAT con el fin de obtener acceso a Internet. Se aplica únicamente a IPv4. Actualmente, las VPC de Amazon no son compatibles con las EIP para IPv6.

Direccionamiento y topología

P: ¿Qué hace un router de Amazon VPC?

Los routers de Amazon VPC permiten que las instancias de Amazon EC2 hospedadas en unas subredes se comuniquen con las instancias de Amazon EC2 en otras subredes de la misma VPC. El router de VPC también permite que se comuniquen entre sí las subredes, los puertos de enlace a internet y las gateways privadas virtuales. No hay datos sobre el uso de la red disponibles en el router, pero puede obtener las estadísticas de uso de red de las instancias a través de Amazon CloudWatch.

P: ¿Puedo modificar las tablas de ruteo de VPC?

Sí. Puede crear reglas de direccionamiento para especificar qué subredes se direccionan al puerto de enlace a internet, a la gateway privada virtual o a otras instancias.

P: ¿Puedo especificar qué gateway utilizará cada subred de forma predeterminada?

Sí. Puede crear una ruta predeterminada para cada subred. La ruta predeterminada puede dirigir el tráfico para que salga de la VPC a través del puerto de enlace a internet, la gateway privada virtual o la instancia de NAT.

P: ¿Admite Amazon VPC la multidifusión o la difusión?

No.

Seguridad y filtros

P: ¿Cómo puedo proteger las instancias de Amazon EC2 que se ejecutan en mi VPC?

Es posible utilizar grupos de seguridad de Amazon EC2 para ayudar a proteger las instancias incluidas en Amazon VPC. Los grupos de seguridad de una VPC permite especificar qué tráfico de red de entrada y de salida está autorizado en cada instancia de Amazon EC2. El tráfico que no esté específicamente autorizado a entrar o salir de una instancia queda automáticamente denegado.

Además de los grupos de seguridad, el tráfico de red que entra en cada subred y sale de ella puede autorizarse o denegarse por medio de listas de control de acceso (ACL) de la red.

P: ¿Qué diferencias existen entre los grupos de seguridad que están en una VPC y las ACL de red de una VPC?

Los grupos de seguridad de una VPC especifican qué tráfico está autorizado a entrar o salir de una instancia de Amazon EC2. Las ACL de red operan en el nivel de subred y evalúan el tráfico que entra y sale de una subred. Las ACL de red pueden utilizarse tanto para reglas Allow (permitir) como para reglas Deny (denegar). Las ACL de red no filtran el tráfico entre instancias situadas en una misma subred. Además, las ACL de red realizan filtrado sin información de estado, mientras que los grupos de seguridad sí incluyen información de estado.

P: ¿Qué diferencia existe entre los filtros con estado (stateful) y sin estado (stateless)?

Los filtros con información de estado realizan el seguimiento del origen de una solicitud y pueden permitir automáticamente que la respuesta a la solicitud vuelva al equipo que la generó. Por ejemplo, un filtro con información de estado que permita el tráfico entrante en el puerto TCP 80 en un servidor web permitirá que el tráfico de vuelta, normalmente en un puerto de número elevado (por ejemplo, el puerto TCP de destino 63 192), atraviese el filtro con información de estado situado entre el cliente y el servidor web. El dispositivo de filtrado mantiene una tabla de estado que realiza el seguimiento de los números de los puertos de origen y de destino, así como de las direcciones IP. Hace falta una única regla en el dispositivo de filtrado: permitir el tráfico entrante al servidor web a través del puerto TCP 80.

Por otra parte, el filtrado sin estado solamente examina la dirección IP de origen o de destino y el puerto de destino, sin tener en cuenta si el tráfico es una solicitud nueva o la respuesta a una solicitud. En el ejemplo anterior, sería necesario implementar dos reglas en el dispositivo de filtrado: una para permitir la entrada de tráfico al servidor web en el puerto TCP 80 y otra para permitir la salida de tráfico desde el servidor web (rango de puertos TCP del 49, 152 al 65, 535).

P: En Amazon VPC, ¿puedo utilizar los pares de claves SSH creados para instancias de Amazon EC2 y viceversa?

Sí.

P: ¿Pueden las instancias de Amazon EC2 de una VPC comunicarse con las instancias de Amazon EC2 que no están en una VPC?

Sí. Si se ha configurado un puerto de enlace a internet, el tráfico de Amazon VPC que se dirija a instancias de Amazon EC2 que no estén dentro de una VPC atravesará el puerto de enlace a internet y entrará a la red pública de AWS para llegar hasta la instancia EC2. Si no se ha configurado un puerto de enlace a internet, o si la instancia está en una subred configurada para dirigirse a través de la gateway privada virtual, el tráfico atraviesa la conexión de VPN, sale del centro de datos y luego vuelve a entrar en la red pública de AWS.

P: ¿Las instancias de Amazon EC2 que están en la VPC de una región pueden comunicarse con las instancias de Amazon EC2 que están en una VPC de otra región?

Sí. Las instancias de una región se pueden comunicar entre sí con interconexiones VPC entre regiones, direcciones IP públicas, gateway de NAT, instancias NAT, conexiones de VPN o conexiones de Direct Connect.

P: ¿Pueden comunicarse con Amazon S3 las instancias de Amazon EC2 dentro de una VPC?

Sí. Si la VPC está conectada a Internet, sus instancias pueden comunicarse con Amazon S3. Puede utilizar el punto de conexión de la VPC para S3, que se asegura de que todo el tráfico permanece dentro de la red de Amazon y le permite aplicar políticas de acceso adicionales a su tráfico de Amazon S3. Puede utilizar el puerto de enlace a internet para habilitar el acceso a Internet desde su VPC, y las instancias de la VPC pueden comunicarse con Amazon S3. También puede indicar que todo el tráfico a Amazon S3 atraviese Direct Connect o la conexión de VPN, salga del centro de datos y luego vuelva a entrar en la red pública de AWS.

P: ¿Por qué no puedo comprobar si están activos el router o la gateway predeterminada, que conectan mis subredes?

No se soportan las solicitudes de ping (ICMP Echo Request y Echo Reply) dirigidas al router en su VPC. Se admiten las solicitudes de ping entre instancias de Amazon EC2 situadas dentro de una VPC siempre que los firewalls del sistema operativo, los grupos de seguridad de la VPC y las listas de control de acceso a la red permitan dicho tráfico.

P: ¿Puedo monitorear el tráfico de red de mi VPC?

Sí. Puede usar la característica VPC Flow Logs para monitorizar el tráfico de red de su VPC.

Amazon VPC y EC2

P: ¿En qué regiones de Amazon EC2 está disponible Amazon VPC?

Amazon VPC está disponible actualmente en distintas zonas de disponibilidad de todas las regiones de Amazon EC2.

P: ¿Una VPC puede abarcar varias zonas de disponibilidad?

Sí. 

P: ¿Puede una subred abarcar varias zonas de disponibilidad?

No. Una subred tiene que residir en una única zona de disponibilidad.

P: ¿Cómo especifico en qué zona de disponibilidad se lanzan las instancias de Amazon EC2?

Cuando lance una instancia de Amazon EC2, deberá especificar en qué subred se debe lanzar dicha instancia. La instancia se lanzará en la zona de disponibilidad asociada a la subred especificada.

P: ¿Cómo determino en qué zonas de disponibilidad están ubicadas las subredes?

Cuando se crea una subred, es necesario especificar en qué zona de disponibilidad desea colocarla. Al utilizar el asistente de VPC, puede seleccionar la zona de disponibilidad de la subred en la pantalla de confirmación del asistente. Cuando se utiliza el API o la CLI, es posible especificar la zona de disponibilidad de la subred en el momento de crear la subred. Si no especifica una zona de disponibilidad, se seleccionará la opción predeterminada “No Preference” y se creará la subred en una zona de disponibilidad que esté disponible en la región.

P: ¿Se me factura el ancho de banda de red entre instancias situadas en subredes diferentes?

Si las instancias residen en subredes situadas en zonas de disponibilidad diferentes, se le facturará 0,01 USD por cada GB de transferencia de datos.

P: Al llamar a DescribeInstances(), ¿puedo ver todas las instancias de Amazon EC2, incluidas las instancias EC2 clásicas y de VPC?

Sí. DescribeInstances() devolverá todas las instancias de Amazon EC2 activas. Puede diferenciar las instancias clásicas de EC2 de las instancias de VPC de EC2 por una entrada en el campo de la subred. Si hay un ID de subred en la lista, la instancia está en una VPC.  

P: Al llamar a DescribeVolumes(), ¿puedo ver todos los volúmenes de Amazon EBS, incluidos los que se encuentran en EC2-Classic y EC2-VPC?

Sí. DescribeVolumes() devolverá todos sus volúmenes EBS.

P: ¿Cuántas instancias de Amazon EC2 puedo utilizar en una VPC?

Puede ejecutar un número cualquiera de instancias de Amazon EC2 en una VPC, siempre que su VPC tenga el tamaño adecuado para asociar una dirección IP a cada instancia. Inicialmente, solo puede lanzar 20 instancias de Amazon EC2 a la vez, con un tamaño máximo de VPC de /16 (65 536 IP). Si desea aumentar estos límites, complete el siguiente formulario.

P: ¿Puedo utilizar mis AMI existentes en Amazon VPC?

Puede utilizar las AMI en Amazon VPC si están registradas en la misma región que su VPC. Por ejemplo, puede utilizar las AMI registradas en us-east-1 con una VPC en us-east-1. Hay más información disponible en las preguntas frecuentes sobre regiones y zonas de disponibilidad de Amazon EC2.

P: ¿Puedo utilizar mis snapshots existentes de Amazon EBS?

Sí, puede utilizar las snapshots de Amazon EBS si se encuentran en la misma región que su VPC. Hay más información disponible en las preguntas frecuentes sobre regiones y zonas de disponibilidad de Amazon EC2.

P: ¿Puedo iniciar una instancia de Amazon EC2 desde un volumen de Amazon EBS en Amazon VPC?

Sí, pero una instancia lanzada en VPC que utiliza una AMI de Amazon con respaldo EBS mantiene la misma dirección IP cuando se detiene y se reinicia. Esto contrasta con instancias similares lanzadas fuera de una VPC, que obtienen una nueva dirección IP. Las direcciones IP para las instancias detenidas en una subred se consideran no disponibles.

P: ¿Puedo utilizar las instancias reservadas de Amazon EC2 con Amazon VPC?

Sí. Puede reservar una instancia en Amazon VPC cuando adquiera Reserved Instances. Al calcular su factura, AWS no distingue si su instancia de ejecuta en Amazon VPC o en Amazon EC2 estándar. AWS optimiza automáticamente las instancias que se cobran con la tarifa más baja de Reserved Instances, con el fin de garantizar que el usuario pague siempre la cantidad mínima. Sin embargo, su reserva de instancia será específica de Amazon VPC. Consulte la página de Reserved Instances para obtener más información.

P: ¿Puedo utilizar Amazon CloudWatch en Amazon VPC?

Sí.

P: ¿Puedo utilizar Auto Scaling en Amazon VPC?

Sí. 

P: ¿Puedo lanzar instancias en clúster de Amazon EC2 en una VPC?

Sí. Amazon VPC admite instancias en clúster. No obstante, no todos los tipos de instancia están disponibles en todas las regiones y zonas de disponibilidad.

 

VPC predeterminadas

P: ¿Qué es una VPC predeterminada?

Una VPC predeterminada es una red virtual aislada de forma lógica en la nube de AWS que se crea automáticamente para su cuenta de AWS la primera vez que aprovisiona los recursos de Amazon EC2. Al lanzar una instancia sin especificar un ID de subred, la instancia se lanzará en su VPC predeterminada.

P: ¿Cuáles son los beneficios de una VPC predeterminada?

Cuando lanza recursos en una VPC predeterminada, puede beneficiarse de las funcionalidades de redes avanzadas de Amazon VPC (versión de VPC de EC2) con la facilidad de uso de Amazon EC2 (versión clásica de EC2). Obtiene características como el cambio del grupo de seguridad sobre la marcha, el filtrado de salida del grupo de seguridad, varias direcciones IP y varias interfaces de red sin tener que crear explícitamente una VPC y lanzar instancias en la VPC.

P: ¿Qué cuentas están habilitadas en una VPC predeterminada?

Si su cuenta de AWS se creó después del 18 de marzo de 2013, es posible que pueda lanzar recursos en una VPC predeterminada. Consulte este anuncio en el foro para determinar las regiones habilitadas para el conjunto de características de la VPC predeterminada. Además, las cuentas creadas antes de las fechas mostradas pueden utilizar VPC predeterminadas en cualquier región habilitada para VPC predeterminada en la que no haya lanzado previamente instancias EC2 o aprovisionado recursos de Amazon Elastic Load Balancing, Amazon RDS, Amazon ElastiCache o Amazon Redshift.

P: ¿Cómo puedo saber si mi cuenta está configurada para utilizar una VPC predeterminada?

La consola de Amazon EC2 indica las plataformas en las que puede lanzar instancias para la región seleccionada y si dispone de una VPC predeterminada en esa región. Compruebe que la región que va a usar se ha seleccionado en la barra de navegación. En el panel de la consola de Amazon EC2, busque "Supported Platforms" en "Account Attributes". Si aparecen dos valores, versión clásica de EC2 y versión de VPC de EC2, puede lanzar instancias en cualquier plataforma. Si aparece un valor, versión de VPC de EC2, puede lanzar instancias en la versión de VPC de EC2. El ID de la VPC predeterminada se muestra en "Account Attributes" si la cuenta se ha configurado para utilizar una VPC predeterminada. También puede utilizar la CLI o la API DescribeAccountAttributes de EC2 para describir las plataformas compatibles con su cuenta.

P: ¿Necesito saber algo sobre Amazon VPC para utilizar una VPC predeterminada?

No. Puede utilizar la consola de administración de AWS, la interfaz de línea de comandos (CLI) de AWS EC2 o la API de Amazon EC2 para lanzar y administrar las instancias EC2 y otros recursos de AWS en la VPC predeterminada. AWS creará automáticamente una VPC y una subred predeterminadas en cada zona de disponibilidad de la región de AWS. La VPC predeterminada se conecta a un puerto de enlace a internet y las instancias reciben automáticamente direcciones IP públicas, como la versión clásica de EC2.

P: ¿Cuáles son las diferencias entre las instancias lanzadas en la versión clásica de EC2 y la versión de VPC de EC2?

Consulta las diferencias entre la versión clásica de EC2 y la versión de VPC de EC2 en la guía del usuario de EC2.

P: ¿Necesito una conexión de VPN para utilizar una VPC predeterminada?

No. Las VPC predeterminadas se agregan a Internet y todas las instancias lanzadas en las subredes predeterminadas de la VPC predeterminada reciben automáticamente las direcciones IP públicas. Puede añadir una conexión de VPN a su VPC predeterminada si lo desea.

P: Además de la VPC predeterminada, ¿puedo crear otras VPC y utilizarlas?

Sí. Para lanzar una instancia en VPC no predeterminadas, debe especificar un ID de subred durante el lanzamiento de la instancia.

P: ¿Puedo crear subredes adicionales en mi VPC predeterminada, como subredes privadas?

Sí. Para lanzar en subredes no predeterminadas, puede dirigir los lanzamientos usando la consola o mediante la opción --subnet desde la CLI, la API o el SDK.

P: ¿Cuántas VPC predeterminadas puedo tener?

Puede disponer de una VPC predeterminada en cada región de AWS donde el atributo Supported Platforms esté establecido en "EC2-VPC".

P: ¿Cuál es el rango de IP de una VPC predeterminada?

El CIDR de la VPC predeterminado es 172.31.0.0/16. Las subredes predeterminadas utilizan /20 CIDR en el CIDR de la VPC predeterminada.

P: ¿Cuántas subredes predeterminadas hay en la VPC predeterminada?

Se crea una subred predeterminada para cada zona de disponibilidad en su VPC predeterminada.

P: ¿Puedo especificar qué VPC es mi VPC predeterminada?

Por ahora no.

P: ¿Puedo especificar qué subredes son mis subredes predeterminadas?

Por ahora no.

P: ¿Puedo eliminar una VPC predeterminada?

Sí, puede eliminar una VPC predeterminada. Una vez eliminada, puede crear una nueva VPC predeterminada directamente desde la consola de VPC o mediante la CLI. De esta manera, se creará una nueva VPC predeterminada en la región. Este proceso no recupera la VPC anterior que se eliminó.

P: ¿Puedo eliminar una subred predeterminada?

Sí, puede eliminar una subred predeterminada. Una vez eliminada, puede crear una nueva subred predeterminada en la zona de disponibilidad con la CLI o el SDK. De esta manera, se creará una nueva subred predeterminada en la zona de disponibilidad especificada. Este proceso no recupera la subred anterior que se eliminó.

P: Tengo una cuenta clásica de EC2. ¿Puedo obtener una VPC predeterminada?

La manera más sencilla de obtener una VPC predeterminada es crear una nueva cuenta en una región habilitada para VPC predeterminadas o utilizar una cuenta existente en una región en la que nunca haya estado, siempre que el atributo Supported Platforms para la cuenta en dicha región se haya establecido en “EC2-VPC”.

P: Deseo disponer de una VPC predeterminada para mi cuenta de EC2. ¿Es posible?

Sí, pero solo podemos activar una VPC predeterminada en una cuenta existente si no dispone de recursos de la versión clásica de EC2 en esa región. Además, debe finalizar todos los recursos de Elastic Load Balancer, Amazon RDS, Amazon ElastiCache y Amazon Redshift no aprovisionados por la VPC en esa región. Tras la configuración de la cuenta para una VPC predeterminada, todos los lanzamientos de recursos futuros, incluidas las instancias lanzadas a través de Auto Scaling, se colocarán en la VPC predeterminada. Para solicitar que su cuenta se configure con una VPC predeterminada, contacte con AWS Support. Revisaremos su solicitud, sus servicios de AWS existentes y su presencia en la versión EC2-Classic para determinar si es apto para una VPC predeterminada.

P: ¿Cuál es el impacto de la VPC predeterminada en las cuentas de IAM?

Si su cuenta de AWS dispone de una VPC predeterminada, cualquier cuenta de IAM asociada con su cuenta de AWS utilizará la misma VPC predeterminada que su cuenta de AWS.

 

Interfaces de redes elásticas

P: ¿Puedo conectar o desconectar una o varias interfaces de red a una instancia EC2 mientras esta se encuentra en ejecución?

Sí.

P: ¿Puedo tener más de dos interfaces de red conectadas a mi instancia EC2?

El número total de interfaces de red que se pueden asociar a una instancia EC2 depende del tipo de instancia. Consulte la Guía del usuario de EC2 para obtener más información acerca del número de interfaces de red permitidas por cada tipo de instancia.

P: ¿Puedo conectar una interfaz de red de una zona de disponibilidad a una instancia ubicada en otra zona de disponibilidad?

Las interfaces de red solo se pueden conectar a instancias que residan en la misma zona de disponibilidad.

P: ¿Puedo conectar una interfaz de red de una VPC a una instancia de otra VPC?

Las interfaces de red solo se pueden conectar a instancias que tengan la misma VPC como interfaz.

P: ¿Puedo usar interfaces de redes elásticas como forma de hospedar varios sitios web que requieran direcciones IP separadas en una sola instancia?

Sí, aunque no es el caso de uso más adecuado para interfaces múltiples. Es preferible asignar direcciones IP privadas adicionales a la instancia y, a continuación, asociar direcciones IP elásticas a las IP privadas, según proceda.

P: ¿Me cobrarán por una dirección IP elástica asociada a una interfaz de red, aunque la interfaz de red no esté conectada a una instancia en ejecución?

Sí.

P: ¿Puedo desconectar la interfaz primaria (eth0) de mi instancia EC2?

No. Puede conectar y desconectar las interfaces secundarias (eth1-ethn) de una instancia EC2, pero no puede desconectar la interfaz eth0.

 

Interconexiones

P: ¿Puedo crear una interconexión con una VPC en una región diferente?

Sí. Las interconexiones se pueden crear con VPC en diferentes regiones. Las interconexiones de VPC entre regiones se admiten actualmente en las regiones EE.UU. Este (Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón) y UE (Irlanda) de AWS.

P: ¿Puedo interconectar mi VPC con una VPC que pertenezca a otra cuenta de AWS?

Sí, siempre y cuando el propietario de la otra VPC acepte la solicitud de interconexión.

P: ¿Puedo interconectar dos VPC con intervalos coincidentes de direcciones IP?

No. Las VPC interconectadas deben tener intervalos de IP que no se solapen.

P: ¿Cuánto cuestan las interconexiones de VPC?

No se aplican cargos por crear interconexiones de VPC; no obstante, sí se aplican cargos por transferir datos entre interconexiones. Consulte la sección Transferencia de datos de la página Precios de EC2 para acceder a las tarifas de la transferencia de datos.

P: ¿Puedo usar AWS Direct Connect o las conexiones de VPN de hardware para obtener acceso a las VPC con las que estoy interconectado?

No. Amazon VPC no soporta el “enrutamiento de borde a borde”. Consulte la guía VPC Peering Guide para obtener información adicional.

P: ¿Necesito un gateway de Internet para utilizar las interconexiones?

No. Las interconexiones de VPC no requieren un Internet gateway.

P: ¿Se cifra el tráfico de las interconexiones de VPC dentro de la región?

No. El tráfico entre instancias en VPC interconectadas aún es privado y está aislado, de forma similar a la forma en que el tráfico entre dos instancias en la misma VPC también es privado y está aislado.

P: Si elimino mi extremo de una interconexión, ¿el otro extremo aún tendrá acceso a mi VPC?

No. Cada lado de la conexión entre redes pares puede terminar la interconexión en cualquier momento. Si se termina la interconexión, no habrá tráfico entre las dos VPC.

P: Si interconecto la VPC A a la VPC B y, al mismo tiempo, interconecto la VPC B a la VPC C, ¿significa que las VPC A y C están interconectadas?

No. No se soportan las relaciones interconectadas transitivas.

P: ¿Qué sucede si deja de funcionar mi interconexión?

AWS usa la infraestructura existente de una VPC para crear una interconexión de VPC; no es ni una gateway ni una conexión de VPN y tampoco se basa en una pieza independiente del hardware físico. No hay un único punto de error para la comunicación ni un cuello de botella de ancho de banda.

Las interconexiones de VPC entre regiones funcionan con la misma tecnología de escala horizontal, redundante y de alta disponibilidad con la que cuenta la VPC actualmente. El tráfico de las interconexiones de VPC entre regiones se transmite mediante la red central de AWS, que cuenta con redundancia incorporada y asignación dinámica de ancho de banda. No hay ningún punto de error para la comunicación.

Si se interrumpe una interconexión entre regiones, el tráfico no se direccionará mediante Internet.

P: ¿Hay limitaciones de ancho de banda para las interconexiones?

El ancho de banda entre instancias en VPC interconectadas no difiere del ancho de banda entre instancias de la misma VPC. Nota: un grupo de ubicación puede extender las VPC interconectadas. No obstante, no podrá obtener ancho de banda totalmente biseccional entre instancias en VPC interconectadas. Obtenga más información sobre los grupos de ubicación.

P. ¿El tráfico de la interconexión de VPC entre regiones está cifrado?

El tráfico se cifra con algoritmos AEAD (cifrado autenticado con datos asociados) modernos. La administración y correspondencia de claves están a cargo de AWS.

P. ¿Cómo funcionan las traducciones de DNS con las interconexiones de VPC entre regiones?

De manera predeterminada, una consulta para un nombre de host público de una instancia en una VPC interconectada en una región diferente se resolverá en una dirección IP pública. El DNS privado de Route 53 se puede resolver en una dirección IP privada con interconexión de VPC entre regiones.

P. ¿Puedo hacer referencia a grupos de seguridad en una interconexión de VPC entre regiones?

No. No es posible hacer referencia a grupos de seguridad en una interconexión de VPC entre regiones.

P. ¿La interconexión de VPC entre regiones es compatible con IPv6?

No. La interconexión de VPC entre regiones no es compatible con IPv6.

P. ¿La interconexión de VPC entre regiones se puede usar con EC2-Classic Link?

No. La interconexión de VPC entre regiones no se puede usar con EC2-Classic Link.

P. ¿Hay servicios de AWS que no se pueden usar con la interconexión de VPC entre regiones?

Network Load Balancer, AWS PrivateLink y Elastic File System no se pueden usar con la interconexión de VPC entre regiones.

P: ¿Qué es ClassicLink?

ClassicLink de Amazon Virtual Private Cloud (VPC) permite que las instancias EC2 de la plataforma clásica de EC2 se comuniquen con instancias en una VPC con direcciones IP privadas. Para utilizar ClassicLink, actívelo para una VPC en su cuenta y asocie un grupo de seguridad desde esa VPC con una instancia clásica de EC2. Todas las normas de su grupo de seguridad de VPC se aplicarán a las comunicaciones entre instancias clásicas de EC2 e instancias en la VPC. 

P: ¿Cuál es el costo de ClassicLink?

No existen cargos adicionales por el uso de ClassicLink; sin embargo, se aplicarán los cargos existentes por las transferencias de datos entre zonas de disponibilidad. Para obtener más información, consulte la página de precios de EC2.

P: ¿Cómo se utiliza ClassicLink?

Para utilizar ClassicLink, primero debe activar al menos una VPC en su cuenta para ClassicLink. Después, debe asociar un grupo de seguridad desde la VPC a la instancia clásica de EC2 deseada. La instancia clásica de EC2 ya está vinculada a la VPC y es miembro del grupo de seguridad seleccionado en la VPC. Su instancia clásica de EC2 no se puede vincular a más de una VPC a la vez.

P: ¿Se convierte la instancia clásica de EC2 en miembro de la VPC?

La instancia clásica de EC2 no se convierte en miembro de la VPC. Se convierte en miembro del grupo de seguridad de VPC que se ha asociado con la instancia. Todas las normas y las referencias al grupo de seguridad de VPC se aplican a la comunicación entre las instancias de la instancia clásica de EC2 y los recursos de la VPC.

P: ¿Puedo utilizar nombres de host DNS públicos de EC2 desde mis instancias EC2-Classic e instancias EC2-VPC para comunicarse entre sí, a fin de efectuar la comunicación mediante una IP privada?

No. El nombre de host DNS público de EC2 no se resolverá en la dirección IP privada de la instancia EC2-VPC cuando se consulte desde una instancia clásica de EC2 y viceversa.

P: ¿Existe alguna VPC para la que no se pueda activar ClassicLink?

Sí. ClassicLink no se puede activar para una VPC que tenga un direccionamiento entre dominios sin clases (CIDR) y que esté en el rango 10.0.0.0/8, con la excepción de 10.0.0.0/16 y 10.1.0.0/16. Además, ClassicLink no se puede activar para ninguna VPC que tenga una entrada de tabla de ruteo dirigida al espacio CIDR 10.0.0.0/8 para un destino que no sea "local".

P: ¿Puede el tráfico desde una instancia EC2 clásica recorrer Amazon VPC y salir por el puerto de enlace a internet, la gateway privada virtual o hacia VPC interconectadas?

El tráfico desde una instancia EC2 clásica solo se puede direccionar a las direcciones IP privadas de la VPC. No se direccionarán a ningún destino fuera de la VPC, incluidos los destinos del puerto de enlace a internet, la gateway privada virtual o las VPC interconectadas.

P: ¿ClassicLink afecta el control de acceso entre la instancia EC2-Classic y otras instancias que están en la plataforma EC2-Classic?

ClassicLink no cambia el control de acceso definido para una instancia clásica de EC2 a través de sus grupos de seguridad existentes desde la plataforma clásica de EC2.

P: ¿Se conservarán los ajustes de ClassicLink en mi instancia clásica de EC2 durante los ciclos de parada/inicio?

La conexión de ClassicLink no se conservará durante los ciclos de parada/inicio de la instancia clásica de EC2. La instancia clásica de EC2 deberá volver a vincularse a una VPC después de su parada o inicio. Sin embargo, la conexión de ClassicLink se conservará durante los ciclos de reinicio de la instancia.

P: ¿Se asignará a mi instancia clásica de EC2 una dirección IP privada nueva después de activar ClassicLink?

No se asigna ninguna dirección IP privada nueva a la instancia EC2 clásica. Al activar ClassicLink en una instancia clásica de EC2, la instancia se conserva y utiliza su dirección IP privada existente para comunicarse con los recursos de una VPC.

P: ¿Permite ClassicLink que las reglas de grupos de seguridad clásicos de EC2 hagan referencia a grupos de seguridad de VPC, o viceversa?

ClassicLink no permite que las normas de grupos de seguridad clásicos de EC2 hagan referencia a grupos de seguridad de VPC o viceversa.

Gateway privada virtual: traiga su propio número de sistema autónomo

P: ¿Qué es esta característica?

Para cualquier VGW nueva, un número de sistema autónomo privado (ASN) permite a los clientes definir el ASN en el extremo de Amazon de la sesión BGP para VPN y VIF privadas de AWS Direct Connect.

P: ¿Cuánto cuesta esta característica?

No se aplican cargos adicionales por el uso de esta característica.

P: ¿Cómo puedo configurar/asignar mi ASN para que se publique como ASN del lado de Amazon?

Puede configurar/asignar un ASN para que se publique como el ASN del lado de Amazon durante la creación de la nueva gateway privada virtual (VGW). Puede crear una VGW mediante el uso de la consola de VPC o una llamada al API EC2/CreateVpnGateway.

P: ¿Qué ASN asignó Amazon antes de esta característica?

Amazon asignó los siguientes ASN: UE Oeste (Dublín) 9059; Asia Pacífico (Singapur) 17493 y Asia Pacífico (Tokio) 10124. A las demás regiones se les asignó un ASN de 7224; a estos ASN se los denomina "ASN públicos heredados" de la región.

P: ¿Puedo usar cualquier ASN, público y privado?

Puede asignar cualquier ASN privado al lado de Amazon. Puede asignar el "ASN público heredado" de la región hasta el 30 de junio de 2018. No puede asignar ningún otro ASN público. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: ¿Por qué no puedo asignar un ASN público para la mitad de Amazon de la sesión BGP?

Amazon no valida la titularidad de los ASN, por lo tanto, estamos restringiendo el ASN del lado de Amazon a los ASN privados. Queremos proteger a los clientes de la suplantación de BGP.

P: ¿Qué ASN puedo elegir?

Puede elegir cualquier ASN privado. El intervalo de los ASN privados de 16 bits va de 64512 a 65534. También puede suministrar ASN de 32 bits entre 4200000000 y 4294967294.

Amazon proveerá un ASN predeterminado para la VGW si usted no elige uno. Hasta el 30 de junio de 2018, Amazon continuará suministrando el "ASN público heredado" de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: ¿Qué sucederá si intento asignar un ASN público a la mitad de Amazon de la sesión BGP?

Le solicitaremos que vuelva a ingresar un ASN privado cuando intente crear la VGW, a menos que sea el "ASN público heredado" de la región.

P: Si no suministro un ASN para la mitad de Amazon de la sesión BGP, ¿qué ASN debo esperar que Amazon me asigne?

Amazon proveerá un ASN para la VGW si usted no elige uno. Hasta el 30 de junio de 2018, Amazon continuará suministrando el "ASN público heredado" de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: ¿Dónde puedo ver el ASN del lado de Amazon?

Puede ver el ASN del lado de Amazon en la página de la VGW de la consola de la VPC y en la respuesta del API EC2/DescribeVpnGateways.

P: Si tengo un ASN público, ¿funcionará con un ASN privado en el lado de AWS?

Sí, puede configurar el lado de Amazon de la sesión BGP con un ASN privado y su lado con un ASN público.

P: Tengo VIF privadas ya configuradas y deseo definir un ASN del lado de Amazon diferente para la sesión BGP en una VIF existente. ¿Cómo puedo implementar este cambio?

Deberá crear una VGW nueva con el ASN elegido y crear una VIF nueva con la VGW creada. La configuración de su dispositivo también debe modificarse respectivamente.

P: Tengo conexiones de VPN ya configuradas y deseo modificar el ASN del lado de Amazon para la sesión BGP de estas VPN. ¿Cómo puedo implementar este cambio?

Deberá crear una VGW nueva con el ASN elegido y volver a crear las conexiones de VPN entre sus gateways de cliente y las nuevas VGW creadas.

P: Ya tengo una VGW y una conexión de VIF/VPN privada configurada con un ASN público asignado por Amazon de 7224. Si Amazon genera automáticamente el ASN para la nueva VGW privada, ¿qué ASN del lado de Amazon se me asignará?

Amazon asignará 64512 al ASN del lado de Amazon para la nueva VGW.

P: Tengo una VGW y una conexión de VIF/VPN privada configurada con un ASN público asignado por Amazon. Quiero usar el mismo ASN público asignado por Amazon para la nueva conexión de VIF/VPN privada que estoy creando. ¿Cómo lo hago?

Puede configurar/asignar un ASN para que se publique como el ASN del lado de Amazon durante la creación de la nueva gateway privada virtual (VGW). Puede crear una VGW con la consola o la llamada al API EC2/CreateVpnGateway. Como se explicó anteriormente, permitiremos el uso de "ASN públicos heredados" para su VGW nueva.

P: Tengo una VGW y una conexión de VIF/VPN privada configurada con un ASN público asignado por Amazon de 7224. Si Amazon genera automáticamente el ASN para la nueva conexión de VIF/VPN privada con la misma VGW, ¿qué ASN del lado de Amazon se me asignará?

Amazon asignará 7224 al ASN del lado de Amazon para la nueva conexión de VIF/VPN. El ASN del lado de Amazon para su nueva conexión de VIF/VPN privada se hereda de su VGW existente y se asigna de manera predeterminada a dicho ASN.

P: Estoy adjuntando varias VIF privadas a una única VGW. ¿Es posible que cada VIF tenga un ASN del lado de Amazon diferente?

No, es posible asignar/configurar un ASN del lado de Amazon diferente para cada VGW, pero no para cada VIF. El ASN del lado de Amazon para la VIF se hereda del ASN del lado de Amazon de la VGW adjunta.

P: Estoy creando varias conexiones de VPN a una única VGW. ¿Es posible que cada conexión de VPN tenga un ASN del extremo de Amazon diferente?

No, es posible asignar/configurar un ASN del lado de Amazon diferente para cada VGW, pero no para cada conexión de VPN. El ASN del lado de Amazon para la conexión de VPN se hereda del ASN del lado de Amazon de la VGW.

P: ¿Dónde puedo seleccionar mi propio ASN?

Cuando cree una VGW en la consola de VPC, desactive la casilla que pregunta si desea generar automáticamente el BGP ASN de Amazon y especifique su propio ASN privado para la mitad de Amazon de la sesión BGP. Una vez que la VGW esté configurada con el ASN del lado de Amazon, las VIF privadas o las conexiones de VPN creadas con la VGW usarán su ASN del lado de Amazon.

P: Actualmente utilizo CloudHub. ¿Tendré que realizar ajustes en las configuraciones en el futuro?

No deberá hacer ninguna modificación.

P: Quiero seleccionar un ASN de 32 bits. ¿Cuál es el intervalo de ASN privadas de 32 bits?

Admitiremos ASN de 32 bits de 4200000000 a 4294967294.

P: Una vez que la VGW se haya creado, ¿puedo modificar el ASN del lado de Amazon?

No, no puede modificar el ASN del lado de Amazon con posterioridad a la creación. Puede eliminar la VGW y volver a crear una VGW nueva con el ASN que desee.

P: ¿Hay un API nueva para configurar/asignar el ASN del lado de Amazon?

No. Puede hacerlo con el mismo API anterior (EC2/CreateVpnGateway). Tan solo añadimos un parámetro nuevo (amazonSideAsn) al API.

P: ¿Hay un API nueva para ver el ASN del lado de Amazon?

No. Puede ver el ASN del lado de Amazon con el mismo API EC2/DescribeVpnGateways. Tan solo añadimos un parámetro nuevo (amazonSideAsn) al API.

 

P.: ¿Qué es AWS PrivateLink?

AWS PrivateLink permite a los clientes obtener acceso a servicios alojados en AWS con alta disponibilidad y escalabilidad, al mismo tiempo que todo el tráfico de red ser conserva dentro de la red de AWS. Los usuarios del servicio pueden usarlo para obtener acceso privado a los servicios con tecnología de PrivateLink desde su Amazon Virtual Private Cloud (VPC) o su entorno on-premise, sin utilizar IP públicas y sin que el tráfico deba atravesar Internet. Los propietarios de servicios pueden registrar su Network Load Balancer en los servicios de PrivateLink y suministrar los servicios a otros clientes de AWS.

P.: ¿Cómo puedo usar AWS PrivateLink?

Como usuario del servicio, necesitará crear puntos de conexión de VPC de tipo interfaz para los servicios con tecnología de PrivateLink. Estos puntos de conexión del servicio aparecerán como interfaces de redes elásticas (ENI) con IP privadas en sus VPC. Una vez creados estos puntos de conexión, todo el tráfico destinado a estas IP se direccionará de manera privada a los servicios de AWS correspondientes.

Como propietario del servicio, puede incorporar su servicio a AWS PrivateLink mediante la definición de un Network Load Balancer (NLB) para poner su servicio al frente y crear un servicio de PrivateLink para registrar con el NLB. Sus clientes podrán definir puntos de conexión dentro de su VPC para conectarse a su servicio después de que usted haya incluido sus cuentas y funciones de IAM en una lista de elementos permitidos.

P.: ¿Cuáles son los servicios disponibles actualmente en AWS PrivateLink?

Los siguientes servicios de AWS admiten esta característica: Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Kinesis Streams, Service Catalog y EC2 Systems Manager. Muchas soluciones SaaS también admiten esta característica. Visite AWS Marketplace para buscar más productos SaaS con tecnología de AWS PrivateLink.

P.: ¿Es posible acceder de manera privada a los servicios con tecnología de AWS PrivateLink a través de AWS Direct Connect?

Sí. La aplicación de su entorno on-premise se puede conectar a los puntos de conexión de servicios en Amazon VPC a través de AWS Direct Connect. Los puntos de conexión de los servicios direccionarán automáticamente el tráfico a los servicios de AWS con tecnología de AWS PrivateLink.

Preguntas adicionales

P: ¿Puedo utilizar la consola de administración de AWS para controlar y administrar Amazon VPC?

Sí. Puede utilizar la consola de administración de AWS para administrar objetos de Amazon VPC como VPC, subredes, tablas de ruteo, puertos de enlace a internet y conexiones IPSec VPN. Además, puede utilizar un sencillo asistente para crear una VPC.

P: ¿Cuántas VPC, subredes, direcciones IP elásticas, puertos de enlace a internet, gateways de clientes, gateways privadas virtuales y conexiones de VPN puedo crear?

Puede tener lo siguiente:

  • Cinco Amazon VPC por cuenta de AWS y por región
  • Doscientas subredes por Amazon VPC
  • Cinco direcciones Elastic IP de Amazon VPC por cuenta de AWS y por región
  • Un puerto de enlace a internet por VPC
  • Cinco gateways privadas virtuales por cuenta de AWS y por región
  • Cincuenta gateways de cliente por cuenta de AWS y por región
  • Diez conexiones de VPN IPsec por gateway privada virtual

Consulte la Guía del usuario de VPC para obtener más información acerca de los límites de VPC.

P: ¿Tiene la conexión de VPN de Amazon VPC un Acuerdo de nivel de servicios (SLA)?

Actualmente, no. 

P: ¿Puedo obtener AWS Support con Amazon VPC?

Sí. Haga clic aquí para obtener más información sobre AWS Support.

P: ¿Puedo utilizar ElasticFox con Amazon VPC?

Oficialmente, ya no se admite el uso de ElasticFox para administrar su Amazon VPC. La compatibilidad con Amazon VPC se consigue mediante API de AWS, herramientas de línea de comandos, consola de administración de AWS y distintas utilidades de terceros.

 

Más información sobre Amazon VPC

Visite la página de detalles del producto
¿Listo para comenzar?
Inscribirse
¿Tiene más preguntas?
Contacte con nosotros