Perguntas gerais

P: O que é a Amazon Virtual Private Cloud?

A Amazon VPC permite provisionar uma seção da nuvem da Amazon Web Services (AWS) isolada logicamente onde você pode executar recursos da AWS na rede virtual que você mesmo define. Você tem controle total sobre o ambiente de rede virtual, inclusive com relação à seleção dos seus próprios intervalos de endereço IP, à criação de sub-redes e à configuração de tabelas de roteamento e gateways de rede. Além disso, você pode criar uma conexão de Virtual Private Network (VPN) por hardware entre o datacenter corporativo e a VPC e usar a Nuvem AWS como uma extensão desse datacenter.

É possível personalizar facilmente a configuração da rede para o Amazon VPC. Por exemplo, você pode criar uma sub-rede pública para os servidores web que têm acesso à Internet e dispor os sistemas back-end como bancos de dados ou servidores de aplicativos em uma sub-rede privada sem acesso à Internet. Você pode aproveitar várias camadas de segurança, incluindo grupos de segurança e listas de controle de acesso à rede, para ajudar a controlar o acesso às instâncias do Amazon EC2 em cada subnet.

P: Quais são os componentes do Amazon VPC?

A Amazon VPC consiste em diversos objetos familiares para os clientes que já têm redes:

  • Uma Virtual Private Cloud: uma rede virtual isolada logicamente na Nuvem AWS. Você define um espaço de endereço IP da VPC com base nos intervalos selecionados.
  • Sub-rede: um segmento de um intervalo de endereços IP da VPC onde é possível dispor grupos de recursos isolados.
  • Internet Gateway: o lado da Amazon VPC de uma conexão à Internet pública.
  • NAT Gateway: um serviço NAT (Network Address Translation) gerenciado e altamente disponível para seus recursos em uma sub-rede privada para acesso à Internet.
  • Conexão VPN de hardware: uma conexão VPN baseada em hardware entre a Amazon VPC e seu datacenter, rede doméstica ou instalação de co-location.
  • Virtual Private Gateway: o lado da Amazon VPC de uma conexão VPN.
  • Gateway do cliente: seu lado de uma conexão VPN.
  • Conexão emparelhada: uma conexão emparelhada permite rotear tráfego através de endereços IP privados entre duas VPCs emparelhadas.
  • VPC Endpoints: permitem conectividade privada de uma VPC a serviços hospedados na AWS sem usar Internet Gateway, VPN, dispositivos de Network Address Translation (NAT) ou proxies de firewall.
  • Internet Gateway somente para saída: um gateway stateful para oferecer acesso somente de saída a tráfego IPv6 da VPC para a Internet.
 
P: Por que devo usar a Amazon VPC?
 
A Amazon VPC permite que você crie uma rede virtual na Nuvem AWS – sem necessidade de VPNs, hardware ou datacenters físicos. Você pode definir seu próprio espaço de rede e controlar como sua rede e os recursos do Amazon EC2 dentro dela são expostos à Internet. Também é possível aproveitar as opções avançadas de segurança na Amazon VPC para fornecer um acesso mais granular de/para as instâncias do Amazon EC2 na rede virtual.
 
P: Como começo a usar o Amazon VPC?
 
Seus recursos da AWS são provisionados automaticamente em uma VPC padrão pronta para uso. Você pode optar por criar VPCs adicionais acessando a página da Amazon VPC no Console de Gerenciamento da AWS e clicando no botão “Start VPC Wizard”.
 
Serão apresentadas quatro opções básicas para arquiteturas de rede. Após selecionar uma opção, é possível modificar o tamanho e o intervalo de endereços IP da VPC e suas sub-redes. Se você selecionar uma opção com Acesso a VPN de hardware, terá de especificar o endereço IP do VPN de hardware na rede. É possível modificar a VPC para adicionar ou remover gateways e intervalos IP secundários ou adicionar mais sub-redes a intervalos IP.
 
As quatro opções são:
 
  1. VPC com uma única sub-rede pública
  2. VPC com sub-redes públicas e privadas
  3. VPC com sub-redes públicas e privadas, e acesso a VPN de hardware
  4. VPC somente com sub-rede privada e acesso a hardware VPN
 
P: Quais são os diferentes tipos de VPC endpoints disponíveis na Amazon VPC?
 
Os VPC endpoints permitem que você conecte de forma privada uma VPC a serviços hospedados na AWS, sem exigir um Internet Gateway, um dispositivo de NAT, uma VPN ou proxies de firewall. Os endpoints são dispositivos virtuais com escalabilidade horizontal e alta disponibilidade que permitem a comunicação entre instâncias na VPC e os serviços da AWS. A Amazon VPC oferece dois tipos diferentes de endpoints: gateway e interface.
 
Os endpoints do tipo Gateway estão disponíveis apenas para serviços da AWS, incluindo S3 e DynamoDB. Esses endpoints adicionam uma entrada na tabela de rotas selecionada e roteiam o tráfego aos serviços permitidos por meio da rede privada da Amazon.
 
Os endpoints do tipo Interface oferecem conectividade privada a serviços baseados no PrivateLink, como serviços da AWS ou seus próprios serviços e soluções SaaS, e oferece suporte à conectividade com o Direct Connect. No futuro, mais soluções da AWS e de SaaS terão suporte nesses endpoints. Consulte a definição de preço da VPC para obter o valor dos endpoints do tipo interface.
 

Faturamento

P: Como será a cobrança e o faturamento relacionados ao uso que eu fizer do Amazon VPC?

Não há encargos adicionais para a criação e o uso da própria VPC. Os encargos de uso de outros Amazon Web Services, incluindo Amazon EC2, ainda se aplicam a taxas publicadas para tais recursos, incluindo cobrança por transferência de dados. Se você conectar sua VPC ao datacenter corporativo usando a conexão via VPN de hardware opcional, a definição de preço será por hora de conexão da VPN (o período no qual uma conexão VPN ficou no estado “available”). Horas parciais são cobradas como horas completas. Os dados transferidos em conexões VPN serão cobrados como taxas padrão de transferência de dados da AWS. Para obter informações sobre a definição de preço da VPC-VPN, visite a seção de definição de preço da página do produto Amazon VPC.

P: O que define as horas de conexão faturáveis do VPN?

As horas de conexão VPN são faturadas em qualquer momento que suas conexões VPN estiverem no estado "disponível". É possível determinar o estado de uma conexão VPN por meio do Console de Gerenciamento da AWS, da ILC ou da API. Se você não quiser mais usar a conexão VPN, basta encerrá-la para evitar a cobrança de horas adicionais de conexão de VPN.

P: Quais encargos de uso serão cobrados se eu usar outros serviços da AWS, como o Amazon S3, com base nas instâncias do Amazon EC2 em meu VPC?

A cobrança de uso de outros serviços da Amazon Web Services, como o Amazon EC2, ainda serão aplicados de acordo com as taxas publicadas para tais recursos. As cobranças por transferência de dados não são feitas durante o acesso a serviços da Amazon Web Services, como o Amazon S3, por meio do Internet Gateway da VPC.

Se você acessar recursos da AWS por meio da sua conexão VPN, serão cobradas taxas de transferência de dados pela Internet.

P: Os preços incluem impostos?

Salvo indicação em contrário, nossos preços excluem impostos e taxas aplicáveis, incluindo o IVA e o imposto de vendas aplicável. Para clientes com endereço de pagamento no Japão, o uso da AWS está sujeito ao imposto sobre consumo japonês. Saiba mais.

Conectividade

P: Quais são as opções de conectividade para a VPC?

Você poderá conectar a VPC:

  • À Internet (por meio de um Internet Gateway)
  • Ao seu datacenter corporativo usando uma conexão VPN de hardware (por meio do gateway privado virtual)
  • Tanto a Internet quanto o seu datacenter corporativo (utilizando um Internet Gateway e um gateway privado virtual)
  • Outros serviços da AWS (por meio de Internet Gateway, NAT, gateway privado virtual ou VPC endpoints)
  • Outras VPCs (por meio de conexões emparelhadas de VPCs)
 
P: Como conecto a VPC à Internet?
 
A Amazon VPC é compatível com a criação de um gateway da Internet. Esse gateway permite que instâncias do Amazon EC2 no VPC acessem diretamente a Internet.
 
P: Existe alguma limitação de largura de banda para os gateways da Internet? Preciso estar preocupado sobre sua disponibilidade? Eles podem ser um ponto único de falha?
 
Não. Um Internet Gateway é horizontalmente escalado, redundante e altamente disponível. Não há limites de largura de banda.
 
P: Como as instâncias em uma VPC acessam a Internet?
 
Você pode usar endereços IP públicos, como endereços Elastic IP (EIPs), para disponibilizar às instâncias da VPC a capacidade de se comunicar diretamente fora da Internet e de receber tráfego interno não solicitado da Internet (por exemplo, servidores da web). Você também pode usar as soluções da próxima pergunta.
 
P: Como as instâncias sem endereços IP públicos acessam a Internet?
 
As instâncias sem endereços IP públicos podem acessar a Internet de duas formas:
  1. As instâncias sem endereços IP públicos podem rotear seus tráfegos por meio de um gateway NAT ou uma instância NAT para acessar a Internet. Essas instâncias usam o endereço IP público do gateway NAT ou da instância NAT para percorrer a Internet. O gateway NAT ou a instância NAT permite a comunicação do lado de fora, mas não permite que as máquinas na Internet iniciem uma conexão com instâncias com endereços privados.
  2. Para VPCs com uma conexão VPN de hardware ou Direct Connect, as instâncias podem rotear o tráfego de Internet por meio do gateway privado virtual para o seu datacenter atual. Lá, ele pode acessar a Internet por meio dos pontos de saída existentes e dos dispositivos de segurança/monitoramento de rede.
 
P: Posso me conectar à VPC usando uma VPN de software?
 
Sim. É possível usar uma VPN de software terceirizado para criar uma conexão VPN entre sites ou para acesso remoto com a VPC por meio do gateway da Internet.
 
P: Como a conexão VPN de hardware funciona com o Amazon VPC?
 
Uma conexão Hardware VPN conecta a VPC ao seu datacenter. A Amazon é compatível com conexões VPN de segurança Internet Protocol (IPsec). Os dados transferidos entre a VPC e o datacenter passam por uma conexão VPN criptografada para ajudar a manter a confidencialidade e a integridade dos dados em trânsito. Não é exigido um gateway da Internet para estabelecer uma conexão Hardware VPN.
 
P: O que é IPsec?
 
O IPsec é um conjunto de protocolos para proteger as comunicações de Internet Protocol (IP) por meio da autenticação e da criptografia de cada pacote IP de um fluxo de dados.
 
P: Quais dispositivos de gateway do cliente posso usar para conectar ao Amazon VPC?
 
Há dois tipos de conexões VPN que você pode criar: Conexões VPN roteadas estatisticamente e conexões VPN roteadas dinamicamente. Os dispositivos de gateway do cliente compatíveis com conexões VPN roteadas estatisticamente devem ser capazes de:
  • Estabelecer IKE Security Association usando Chaves pré-compartilhadas
  • Estabelecer IPsec Security Associations no modo Tunnel
  • Utilize a função de criptografia AES de 128 bits ou 256 bits
  • Utilize a função de hash SHA-1 ou SHA-2 (256)
  • Utilize Diffie-Hellman (DH) Perfect Forward Secrecy no modo “Group 2” ou um dos outros grupos DH compatíveis
  • Executar a fragmentação de pacotes antes da criptografia
Além das capacidades acima, os dispositivos compatíveis com conexões VPN roteadas dinamicamente devem ser capazes de:
  • Estabelecer pares de Border Gateway Protocol (BGP)
  • Vincular túneis a interfaces lógicas (VPN baseado em rota)
  • Utilizar IPsec Dead Peer Detection
 
P: Quais grupos Diffie-Hellman têm suporte?
 
Oferecemos suporte aos grupos Diffie-Hellman (DH) abaixo nas fases 1 e 2.
  • Grupos DH Phase1 2, 14 a 18, 22, 23, 24
  • Grupos DH Fase 2: 2, 5, 14-18, 22, 23, 24
 
P: Quais dispositivos de gateway do cliente são conhecidos por trabalhar com o Amazon VPC?
 
Os dispositivos a seguir que cumprem os requisitos mencionados anteriormente sabidamente funcionam com conexões de VPN por hardware e oferecem suporte à geração automática de arquivos de configuração adequados ao seu dispositivo por meio de ferramentas da linha de comando:
Observe que esses exemplos de configuração são indicados para a exigência mínima de AES128, SHA1, e grupo 2 DH. Será necessário modificar esses exemplos de arquivos de configuração para aproveitar o AES256, SHA256, ou outros grupos DH.
 
P: Se meu dispositivo não estiver listado, onde poderei obter mais informações sobre seu uso com o Amazon VPC?
 
Recomendamos verificar o fórum da Amazon VPC, pois outros clientes já podem estar usando o dispositivo.
 
P: Qual é o throughput máximo aproximado de uma conexão VPN?
 
O VGW oferece suporte a throughput de VPN IPSEC de até 1,25 Gbps. Várias conexões VPN à mesma VPC são restritas de forma agregada pelo throughput de 1,25 Gbps do VGW.
 
P: Quais fatores afetam o throughput de uma conexão VPN?
 
O throughput da conexão VPN pode depender de vários fatores, como a capacidade do gateway do cliente (CGW), a capacidade da conexão, o tamanho médio do pacote, o protocolo usado (TCP vs. UDP) e a latência de rede entre o CGW e o gateway privado virtual (VGW).
 
P: Quais ferramentas tenho à disposição para ajudar a solucionar problemas com minha configuração do VPN de hardware?
 
A API DescribeVPNConnection exibe o status da conexão VPN, inclusive o estado ("up"/"down") de cada túnel VPN e mensagens de erro correspondentes se um dos túneis estiver "down". Essas informações também são exibidas no Console de Gerenciamento da AWS.
 
P: Como conecto uma VPC ao meu Datacenter corporativo?
 
Estabelecer uma conexão Hardware VPN entre sua rede atual e a Amazon VPC permite que você interaja com instâncias do Amazon EC2 em uma VPC como se estivessem na sua rede atual. A AWS não executa a conversão de endereços de rede (NAT) nas instâncias do Amazon EC2 em uma VPC acessada por meio de uma conexão VPN de hardware.
 
P: Eu posso fazer o NAT do meu CGW por trás de um router ou firewall?
 
Sim, você precisará ativar a NAT-T e abrir uma porta UDP 4500 no seu dispositivo NAT.
 
P: Que endereço IP posso usar como meu endereço de CGW?
 
Você usará o endereço IP público do seu dispositivo NAT.
 
P: Como eu desabilito a NAT-T na minha conexão?
 
Você precisará desativar a NAT-T no seu dispositivo. Se você não pretende usar uma NAT-T e ela não estiver desabilitada no seu dispositivo, nós tentaremos estabelecer um túnel sobre a porta UDP 4500. Se esta porta não estiver aberta, o túnel não será estabelecido.
 
P: Eu gostaria de ter vários CGWs atrás de uma NAT, o que é preciso fazer para configurar isso?
 
Você usará o endereço IP público do seu dispositivo NAT para o CGW para cada uma de suas conexões. Você também precisará verificar se a porta UDP 4500 está aberta.
 
P: Quantas associações de segurança IPsec podem ser estabelecidas simultaneamente por túnel?
 
O serviço AWS VPN é uma solução baseada em rotas. Portanto, você não terá limitações de associações de segurança se usar a configuração baseada em rotas. No entanto, se você usar uma solução baseada em políticas, estará limitado a uma única associação de segurança, já que o serviço é uma solução baseada em rotas.

Endereço IP

P: Quais intervalos de endereço IP posso usar na VPC?

É possível usar qualquer intervalo de endereço IPv4, inclusive RFC 1918 ou intervalos IP publicamente roteáveis para o bloco CIDR principal. Para os blocos CIDR secundários, há restrições específicas. Os blocos IP publicamente direcionáveis são acessados apenas por meio do gateway privado virtual e não podem ser acessados pela Internet por meio do Internet Gateway. A AWS não publica blocos de endereço IP de propriedade do cliente na Internet. Você pode alocar um bloco CIDR IPv6 fornecido pela Amazon a uma VPC chamando a API relevante ou por meio do Console de Gerenciamento da AWS.

P: Como atribuo intervalos de endereço IP para VPCs?

Você pode atribuir um único intervalo de endereço IP Classless Internet Domain Routing (CIDR) como o bloco CIDR principal ao criar uma VPC, e adicionar até quatro blocos CIDR secundários após a criação da VPC. As sub-redes em uma VPC são endereçadas por você com base nesses intervalos CIDR. É possível criar várias VPCs com intervalos de endereços IP sobrepostos. No entanto, nesse caso, você não conseguirá conectar essas VPCs a uma rede base comum por meio da conexão VPN de hardware. Por isso, recomendamos o uso de intervalos de endereço IP que não se sobrescrevam. Você pode alocar um bloco CIDR IPv6 fornecido pela Amazon à sua VPC.

P: Quais intervalos de endereços IP são atribuídos a uma VPC padrão?

As VPCs padrão recebem uma designação de intervalo CIDR de 172.31.0.0/16. Os subnets padrão dentro de uma VPC padrão recebem uma designação de netblocks /20 dentro do intervalo CIDR da VPC. 

P: Posso publicar o intervalo de endereço IP público da VPC na Internet e direcionar o tráfego por meio do datacenter, via VPN de hardware e para a VPC?

Sim, você pode direcionar o tráfego por meio da conexão Hardware VPN e publicar o intervalo de endereços com base na sua rede doméstica.

P: Posso usar meus endereços IPv4 públicos na VPC e acessá-los pela Internet?

Sim. Você pode trazer seus endereços IPv4 públicos para a AWS VPC e alocá-los estaticamente a sub-redes e instâncias do EC2. Para acessar esses endereços pela Internet, será necessário publicá-los na Internet a partir da rede local. Também será necessário rotear o tráfego por esses endereços entre a VPC e a rede local usando uma conexão AWS DX ou AWS VPN. Você pode rotear o tráfego da VPC usando o Virtual Private Gateway. De forma semelhante, você pode rotear o tráfego de sua rede local de volta para a VPC usando seus routers.

P: Qual tamanho de VPC posso criar?

No momento, a Amazon VPC aceita cinco intervalos de endereço IP, um principal e quatro secundários para IPv4. Cada um desses intervalos pode ter um tamanho entre /28 (em notação CIDR) e /16. Os intervalos de endereço IP da VPC não devem sobrepor os intervalos de endereço IP da rede atual.

No IPv6, a VPC tem um tamanho fixo de /56 (em notação CIDR). Uma VPC pode ter blocos CIDR IPv4 e IPv6 associados a ela.

P: Posso alterar o tamanho de uma VPC?

Sim. É possível expandir a VPC atual ao adicionar quatro intervalos (CIDRs) IP IPv4 secundários à VPC. É possível reduzir a VPC ao excluir blocos CIDR secundários adicionados por você à VPC. Não é possível alterar o tamanho do intervalo de endereço IPv6 da VPC.

P: Quantas sub-redes posso criar por VPC?

No momento, é possível criar 200 sub-redes por VPC. Se desejar criar mais, envie um caso no centro de suporte.

P: Há um limite sobre o tamanho máximo ou mínimo que uma sub-rede pode ter?

O tamanho mínimo de uma sub-rede é /28 (ou 14 endereços IP) para IPv4. As sub-redes não podem ser maiores que a VPC na qual foram criadas.

Para IPv6, o tamanho da sub-rede é fixo em /64. Apenas um bloco CIDR IPv6 pode ser alocado a uma sub-rede.

P: Posso usar todos os endereços IP que atribuo a uma sub-rede?

Não. A Amazon reserva os primeiros quatro (4) endereços IP e o último (1) endereço IP de toda sub-rede para finalidades de rede IP. 

P: Como atribuo endereços IP privados a instâncias do Amazon EC2 em uma VPC?

Ao excecutar uma instância do Amazon EC2 em um VPC, você também poderá especificar opcionalmente o endereço IP privado primário para a instância. Se você não especificar o endereço IP privado primário, a AWS o endereçará automaticamente com base no intervalo de endereços IP atribuídos para aquela sub-rede. Você pode atribuir endereços IP privados secundários ao lançar uma instância, ao criar uma Elastic Network Interface ou a qualquer momento após o lançamento da instância ou a criação da interface.

P: Posso alterar os endereços IP privados de uma instância do Amazon EC2 enquanto ela estiver sendo executada e/ou tiverem sido interrompidas em uma VPC?

Endereços IP privados primários são retidos durante a vigência da instância ou interface. Endereços IP privados secundários podem ser atribuídos, ter sua atribuição cancelada ou movidos entre interfaces ou instâncias a qualquer momento.

P: Se uma instância do Amazon EC2 for interrompida dentro de uma VPC, poderei iniciar outra instância com o mesmo endereço IP na mesma VPC?

Não. Um endereço IP atribuído a uma instância em execução pode ser usado novamente apenas por outra instância, desde que a instância original em execução esteja em um estado “encerrado”.

P: Posso atribuir endereços IP para várias instâncias simultaneamente?

Não. Você pode especificar o endereço IP de uma instância em um momento ao iniciar a instância.

P: Posso atribuir qualquer endereço IP para uma instância?

Você pode atribuir qualquer endereço IP à sua instância, contanto que ele:

  • faça parte do intervalo de endereços IP da sub-rede associada
  • não esteja reservado pela Amazon para finalidades de rede IP
  • Não atribuído a outra interface atualmente

P: Posso atribuir vários endereços IP a uma instância?

Sim. Você pode atribuir um ou mais endereços IP privados secundários a uma interface de rede elástica ou instância do EC2 na Amazon VPC. O número de endereços IP privados secundários que você pode atribuir depende do tipo de instância. Consulte o guia do usuário do EC2 para obter mais informações sobre o número de endereços IP privados secundários que podem ser atribuídos por tipo de instância.

P: Posso atribuir um ou mais endereços Elastic IP (EIP) a instâncias do Amazon EC2 baseadas em VPC?

Sim, porém os endereços EIP estarão acessíveis apenas com base na Internet (não por meio de uma conexão VPN). Cada endereço EIP deve ser associado a um endereço IP privado exclusivo na instância. Os endereços EIP devem ser usados apenas em instâncias em sub-redes configuradas para direcionar seu tráfego diretamente para o Internet Gateway. Os EIPs não podem ser usados em instâncias em sub-redes configuradas para usar um gateway NAT ou uma instância NAT para acessar a Internet. Isso se aplica apenas ao IPv4. No momento, as Amazon VPCs não oferecem suporte a EIPs para IPv6.

Topologia

P: Posso especificar qual sub-rede será usada com qual Gateway como o padrão?

Sim. Você poderá criar uma rota padrão para cada sub-rede. A rota padrão pode direcionar o tráfego para encaminhar a VPC para fora via gateway da Internet, virtual private gateway ou gateway NAT.

P: O Amazon VPC oferece suporte a multicast ou broadcast?

Não.

Segurança e filtragem

P: Como protejo as instâncias do Amazon EC2 que estão sendo executadas na VPC?

Os grupos de segurança do Amazon EC2 podem ser usados para ajudar a proteger instâncias dentro de um Amazon VPC. Os grupos de segurança em uma VPC permitem que você especifique o tráfego de rede de entrada e de saída permitido de/para cada instância do Amazon EC2. O tráfego que não é explicitamente permitido para ou com base em uma instância é recusado automaticamente.

Além dos grupos de segurança, o tráfego de rede entrando e saindo de cada sub-rede pode ser permitido ou recusado por meio de Listas de controle de acesso (ACLs) da rede.

P: Quais são as diferenças entre grupos de segurança em uma VPC e ACLs de rede em uma VPC?

Os grupos de segurança em um VPC especificam qual tráfego é permitido para ou com base em uma instância do Amazon EC2. Os ACLs da rede operam no nível da sub-rede e avaliam o tráfego que entra e sai de uma sub-rede. Os ACLs da rede podem ser usados para definir as regras Permitir e Recusar. Os ACLs da rede não filtram o tráfego entre instâncias na mesma sub-rede. Além disso, os ACLs de rede desempenham a filtragem sem estado, enquanto os grupos de segurança desempenham a filtragem com estado.

P: Qual é a diferença entre filtragem stateful e stateless?

A filtragem stateful monitora a origem de uma solicitação e pode permitir automaticamente que a resposta à solicitação seja devolvida para o computador de origem. Por exemplo, um filtro stateful que permite o tráfego de entrada na porta 80 TCP em um servidor web permitirá que o tráfego de retorno passe pelo filtro stateful entre o cliente e o servidor web, normalmente em uma porta de numeração elevada (por exemplo, porta 63.912). O dispositivo de filtragem mantém uma tabela de estado que monitora os números das portas de origem e de destino e os endereços IP. Somente uma regra é exigida no dispositivo de filtragem: permitir tráfego de entrada no servidor web na porta 80 TCP.

Por outro lado, a filtragem stateless analisa somente o endereço IP de origem e de destino, e a porta de destino, ignorando se o tráfego é uma nova solicitação ou uma resposta a uma solicitação. No exemplo acima, seria necessário implementar duas regras no dispositivo de filtragem: uma regra para permitir a entrada do tráfego no servidor da web na porta 80 TCP e outra regra para permitir o tráfego de saída do servidor da web (intervalo de portas TCP de 49, 152 até 65, 535).

P: No Amazon VPC, posso usar pares de chave SSH criadas para instâncias no Amazon EC2 e vice-versa?

Sim.

P: As instâncias do Amazon EC2 em uma VPC comunicam-se com instâncias do Amazon EC2 fora de uma VPC?

Sim. Se um Internet Gateway tiver sido configurado, o tráfego da Amazon VPC vinculado a instâncias do Amazon EC2 que não estiver em uma VPC passará pelo Internet Gateway e, em seguida, entrará na rede pública da AWS para acessar a instância do EC2. Se um gateway da Internet não tiver sido configurado ou se a instância estiver em uma sub-rede configurada para direcionar por meio do virtual private gateway, o tráfego passará pela conexão VPN, sairá do datacenter e, em seguida, será reinserido na rede pública da AWS.

P: As instâncias do Amazon EC2 em uma VPC em uma região comunicam-se com instâncias do Amazon EC2 em uma VPC em outra região?

Sim. As instâncias em uma região podem se comunicar com outras usando o Inter-Region VPC Peering, endereços IP públicos, gateway NAT, instâncias NAT ou conexões VPN ou Direct Connect.

P: As instâncias do Amazon EC2 em uma VPC comunicam-se com o Amazon S3?

Sim. Existem várias opções para que os seus recursos dentro da VPC se comuniquem com o Amazon S3. Você pode usar o VPC endpoint para o S3, que garante a permanência de todo o tráfego dentro da rede da Amazon e permite que você aplique políticas de acesso adicionais ao tráfego do Amazon S3. Você pode usar o Internet Gateway para permitir acesso da sua VPC à Internet, e as instâncias na VPC podem se comunicar com o Amazon S3. Você também pode fazer com que todo o tráfego para o Amazon S3 passe pelo Direct Connect ou pela conexão VPN, saia do seu datacenter e entre novamente na rede pública da AWS.

P: Posso monitorar o tráfego de rede em minha VPC?

Sim. Você pode usar o recurso de logs de fluxo da Amazon VPC para monitorar o tráfego de rede na VPC.

Amazon VPC e Amazon EC2

P: Em quais regiões do Amazon EC2 a Amazon VPC está disponível?

No momento, a Amazon VPC está disponível em várias zonas de disponibilidade em todas as regiões do Amazon EC2.

P: Uma VPC pode abranger várias zonas de disponibilidade?

Sim. 

P: Um sub-rede pode abranger várias zonas de disponibilidade?

Não. Um sub-rede deve residir em uma única zona de disponibilidade.

P: Como especifico em qual zona de disponibilidade minhas instâncias do Amazon EC2 são executadas?

Quando você executa uma instância do Amazon EC2, deve especificar a sub-rede na qual a instância será executada. A instância será executada na zona de disponibilidade associada à sub-rede especificada.

P: Como determino em qual zona de disponibilidade meus sub-redes estão localizados?

Ao criar um subnet, você deve especificar a zona de disponibilidade na qual o subnet será disposto. Ao usar o Assistente da VPC, você pode selecionar a zona de disponibilidade do sub-rede na tela de confirmação do assistente. Usando a API ou a ILC, é possível especificar a zona de disponibilidade para o sub-rede durante sua criação. Caso uma zona de disponibilidade não seja especificada, a opção padrão "No Preference" será selecionada e a sub-rede será criada em uma zona de disponibilidade disponível na região.

P: Há cobrança pela largura de banda da rede entre instâncias em diferentes sub-redes?

Se as instâncias residirem em sub-redes em zonas de disponibilidade diferentes, haverá uma cobrança 0,01 USD por GB para a transferência de dados.

P: Quando chamo DescribeInstances(), vejo todas as minhas instâncias do Amazon EC2, incluindo as que estão no Amazon EC2 e na Amazon VPC?

Sim. DescribeInstances() retornará todas as instâncias em execução do Amazon EC2. Você pode diferenciar instâncias do Amazon EC2 das instâncias da Amazon VPC por uma entrada no campo de sub-rede. Se houver um ID de subnet listado, a instância estará dentro de uma VPC. 

P: Quando chamo DescribeVolumes(), vejo todos os meus volumes do Amazon EBS, incluindo os que estão no Amazon EC2 e na Amazon VPC?

Sim. DescribeVolumes() retornará todos os volumes do EBS.

P: Quantas instâncias do Amazon EC2 posso usar em uma VPC?

Você pode executar qualquer número de instâncias do Amazon EC2 em uma VPC, desde que a VPC esteja apropriadamente dimensionada para ter um endereço IP para cada instância. Inicialmente, há um limite de execução de 20 instâncias do Amazon EC2 a qualquer momento e um tamanho máximo de VPC de /16 (65.536 IPs). Se quiser aumentar esses limites, preencha o formulário a seguir.

P: Posso usar minhas AMIs no Amazon VPC?

É possível usar AMIs no Amazon VPC que estão registrados na mesma região que seu VPC. Por exemplo, você pode usar AMIs registradas em us-east-1 com uma VPC em us-east-1. Mais informações estão disponíveis nas perguntas frequentes sobre regiões e zonas de disponibilidade do Amazon EC2.

P: Posso usar meus snapshots atuais do Amazon EBS?

Sim, você poderá usar snapshots do Amazon EBS se estiverem localizados na mesma região que a VPC. Mais detalhes estão disponíveis nas perguntas frequentes sobre regiões e zonas de disponibilidade do Amazon EC2.

P: Posso inicializar uma instância do Amazon EC2 com base em um volume do Amazon EBS dentro da Amazon VPC?

Sim, no entanto, uma instância iniciada em uma VPC usando uma Amazon EBS-backed AMI mantém o mesmo endereço IP quando interrompida e reiniciada. Isso ocorre em contrapartida a instâncias semelhantes iniciadas fora de uma VPC, que obtêm um novo endereço IP. Os endereços IP para quaisquer instâncias interrompidas em uma sub-rede são considerados indisponíveis.

P: Posso usar instâncias reservadas do Amazon EC2 com o Amazon VPC?

Sim. Você pode reservar uma instância no Amazon VPC ao comprar instâncias reservadas. Ao computar sua fatura, a AWS não fará uma diferenciação quanto ao fato de sua instância ser executada no Amazon VPC ou no Amazon EC2 padrão. O AWS otimiza automaticamente quais instâncias são carregadas na taxa mais inferior da instância reservada para assegurar que você sempre pague a menor quantia. No entanto, sua reserva de instância será específica para a Amazon VPC. Consulte a página instâncias reservadas para obter mais detalhes.

P: Posso empregar o Amazon CloudWatch no Amazon VPC?

Sim.

P: Posso empregar o Auto Scaling no Amazon VPC?

Sim. 

P: Posso executar as instâncias de cluster do Amazon EC2 em uma VPC?

Sim. As instâncias de cluster são compatíveis com a Amazon VPC. No entanto, nem todos os tipos de instâncias estão disponíveis em todas as regiões e zonas de disponibilidade.

 

VPCs padrão

P: O que é uma VPC padrão?

Uma VPC padrão é uma rede virtual logicamente isolada na nuvem da AWS criada automaticamente para a sua conta da AWS na primeira vez que você provisiona recursos da Amazon EC2. Quando você executa uma instância sem especificar um ID de sub-rede, a sua instância será executada na sua VPC padrão.

P: Quais são os benefícios de uma VPC padrão?

Quando você executa recursos em uma VPC padrão, pode veneficiar-se com as funcionalidades avançadas de rede da Amazon VPC (EC2-VPC) com a facilidade do uso do Amazon EC2 (EC2-Classic). Você pode aproveitar recursos como alterar associações a grupos de segurança em tempo real, filtragem de saída de grupos de segurança, vários endereços IP e várias interfaces de rede sem necessidade de criar explicitamente uma VPC e lançar instâncias nessa VPC.

P: Quais contas são ativadas na VPC padrão?

Se a sua conta da AWS foi criada após 18 de março de 2013, pode ser capaz de executar recursos em uma VPC padrão. Consulte este anúncio de fórum para determinar em que regiões o conjunto de recursos da VPC padrão foi disponibilizado. Além disso, as contas criadas antes das datas listadas podem utilizar VPCs padrão em qualquer região padrão habilitada para VPCs na qual você ainda não executou instâncias do EC2 ou provisionou recursos de Amazon Elastic Load Balancing, Amazon RDS, Amazon ElastiCache ou Amazon Redshift.

P: Como posso saber se a minha conta está configurada para usar uma VPC padrão?

O console do Amazon EC2 indica em que plataformas você pode executar instâncias para a região selecionada e se você tem uma VPC padrão naquela região. Verifique se a região que será usada está selecionada na barra de navegação. No painel do Console do Amazon EC2, procure “Supported Platforms” em “Account Attributes”. Se houver dois valores, EC2-Classic e EC2-VPC, você pode executar instâncias em qualquer uma das plataformas. Se houver um valor, EC2-VPC, você pode executar instâncias apenas no EC2-VPC. O ID da sua VPC padrão será listado em “Account Attributes” se a sua conta estiver configurada para usar uma VPC padrão. Também é possível usar a API DescribeAccountAttributes ou a ILC do EC2 para descrever as plataformas compatíveis.

P: Preciso conhecer a Amazon VPC para poder usar uma VPC padrão?

Não. Você pode usar o Console de Gerenciamento da AWS, a ILC do AWS EC2 ou a API do Amazon EC2 para executar e gerenciar instâncias do EC2 e de outros recursos da AWS em uma VPC padrão. A AWS criará automaticamente uma VPC padrão e uma sub-rede padrão em cada zona de disponibilidade na região da AWS. Sua VPC padrão será conectada a um gateway da Internet e suas instâncias receberão automaticamente endereços IP públicos, da mesma forma que no EC2-Classic.

P: Quais são as diferenças entre as instâncias executadas no EC2-Classic e no EC2-VPC?

Consulte Differences between EC2-Classic and EC2-VPC no Guia de usuários do EC2.

P: Preciso ter uma conexão VPN para usar uma VPC padrão?

Não. As VPCs padrão são associadas à Internet e todas as instâncias executadas em sub-redes padrão na VPC padrão recebem automaticamente endereços IP públicos. Você pode adicionar uma conexão VPN à sua VPC padrão, se desejar.

P: Posso criar e usar outras VPCs além da minha VPC padrão?

Sim. Para lançar uma instância em uma VPC não padrão, você deve especificar um ID de sub-rede durante a execução da instância.

P: Posso criar sub-redes adicionais na minha VPC padrão, como sub-redes privadas?

Sim. Para executar em sub-redes fora do padrão, você pode direcionar suas execuções usando o console ou a opção --subnet de CLI/API/SDK.

P: Quantas VPCs padrão posso ter?

Você pode ter uma VPC padrão em cada região da AWS onde o atributo "Supported Platforms" estiver definido como "EC2-VPC".

P: Qual é o intervalo de IP de uma VPC padrão?

O CIDR da VPC padrão é 172.31.0.0/16. As sub-redes padrão usam ICDRs /20 dentro do CIDR da VPC padrão.

P: Quantas sub-redes padrão existem em uma VPC padrão?

Uma sub-rede padrão é criada para cada zona de disponibilidade na VPC padrão.

P: Posso especificar qual VPC é a minha VPC padrão?

Não neste momento.

P: Posso especificar quais sub-redes são as minhas sub-redes padrão?

Não neste momento.

P: Posso excluir uma VPC padrão?

Sim, é possível excluir uma VPC padrão. Depois de excluída, será possível criar uma nova VPC padrão diretamente no Console da VPC ou usando a ILC. Isso criará uma nova VPC padrão na região. Isso não restaura a VPC anterior que foi excluída.

P: Posso excluir uma sub-rede padrão?

Sim. É possível excluir uma sub-rede padrão. Depois de excluída, você poderá criar uma nova sub-rede padrão na zona de disponibilidade usando a ILC ou o SDK. Isso criará uma nova sub-rede padrão na zona de disponibilidade especificada. Isso não restaura a sub-rede anterior que foi excluída.

P: Tenho uma conta EC2-Classic. Posso ter uma VPC padrão?

A maneira mais simples de obter uma VPC padrão é criar uma nova conta em uma região habilitada para VPCs padrão ou usar uma conta atual em uma região na qual você nunca esteve antes, contanto que o atributo Supported Platforms dessa conta, nessa região, esteja definido como "EC2-VPC".

P: Eu realmente quero ter uma VPC padrão para a minha conta do EC2. Isso é possível?

Sim. No entanto, a habilitação de uma conta existente para uma VPC padrão somente será possível se você não tiver nenhum recurso do EC2-Classic para essa conta nessa região. Além disso, você deve encerrar todos os recursos de Elastic Load Balancer, Amazon RDS, Amazon ElastiCache e Amazon Redshift não provisionados pela VPC naquela região. Após a configuração da sua conta para uma VPC padrão, todas as execuções futuras de recursos, inclusive as instâncias executadas via Auto Scaling, serão efetuadas na VPC padrão. Para solicitar que sua conta atual seja configurada com uma VPC padrão, acesse Account and Billing -> Service: Account -> Category: Convert EC2 Classic to VPC e crie uma solicitação. Analisaremos a solicitação, os seus serviços da AWS atuais e a sua presença de EC2-Classic e orientaremos você nas etapas seguintes.

P: Como as contas IAM são afetadas pela VPC padrão?

Se a sua conta da AWS tem uma VPC padrão, todas as contas IAM associadas à sua conta da AWS usam a mesma VPC padrão que a sua conta da AWS.

 

Interfaces de rede elástica

P: Posso associar ou separar uma ou mais interfaces de rede a uma instância do EC2 durante sua execução?

Sim.

P: Posso ter mais de duas interfaces de rede associadas à minha instância de EC2?

O número total de interfaces de rede que podem ser anexadas a uma instância do EC2 depende do tipo de instância. Consulte o guia do usuário do EC2 para obter mais informações sobre o número de interfaces de rede permitido por tipo de instância.

P: Posso associar uma interface de rede em uma zona de disponibilidade a uma instância em outra zona de disponibilidade?

As interfaces de rede só podem ser associadas a instâncias residentes na mesma zona de disponibilidade.

P: Posso associar uma interface de rede em uma VPC a uma instância em outra VPC?

As interfaces de rede só podem ser associadas a instâncias na mesma VPC da interface.

P: Posso usar interfaces de rede elástica como meio de hospedar vários websites que exigem endereços de IP separados em uma única instância?

Sim, no entanto, este não é o caso de uso mais adequado para múltiplas interfaces. Em vez disso, designe endereços IP privados adicionais à instância e então associe EIPs aos IPs privados, conforme necessário.

P: Terei que pagar por um endereço IP elástico que esteja associado a uma interface de rede, se a interface de rede não estiver associada a uma instância em execução?

Sim.

P: Posso desacoplar a interface primária (eth0) na minha instância EC2?

Não. Você pode associar e separar a interface secundária (eth1-ethn) em uma instância do EC2, mas não pode separar a interface eth0.

 

Conexões emparelhadas

P: É possível criar uma conexão emparelhada com uma VPC situada em uma região diferente?

Sim. As conexões de emparelhamento podem ser criadas com VPCs em diferentes regiões. O emparelhamento de VPC entre regiões está disponível globalmente em todas as regiões comerciais (exceto China).

P: Posso emparelhar a minha VPC com uma VPC pertencente a outra conta da AWS?

Sim, assumindo que o dono da outra VPC aceite a sua solicitação de conexão de emparelhamento.

P: Posso emparelhar duas VPCs com intervalos de endereços IP iguais?

Não. As VPC emparelhadas devem ter intervalos de IP não sobrepostos (diferentes).

P: Quanto custam as conexões de emparelhamento de VPCs?

Não é feita cobrança pela criação de conexões emparelhadas de VPCs, porém a transferência de dados entre conexões emparelhadas é cobrada. Consulte as taxas de transferência de dados na seção transferência de dados da página de definição de preço do EC2.

P: Posso utilizar o AWS Direct Connect ou conexões VPN de hardware para acessar as VPCs com as quais estou emparelhado?

Não. O Amazon VPC não oferece suporte ao “encaminhamento entre pontos de presença”. Consulte o VPC Peering Guide para obter mais informações.

P: É necessário um Internet Gateway para utilizar conexões de emparelhamento?

Não. As conexões de emparelhamento de VPCs não requerem um Internet Gateway.

P: O tráfego de VPC emparelhadas dentro da região é criptografado?

Não. O tráfego entre instâncias em VPCs emparelhadas permanece privado e isolado, similar à forma como o tráfego entre duas instâncias na mesma VPC é privado e isolado.

P: Caso eu exclua o meu lado de uma conexão emparelhada, o outro lado ainda terá acesso à minha VPC?

Não. Ambos os lados de uma conexão emparelhada podem encerrá-la a qualquer momento. O encerramento de uma conexão emparelhada significa que o tráfego não será transmitido entre as duas VPCs.

P: Se a VPC A for emparelhada a uma VPC B e a VPC B for emparelhada a uma VPC C, as VPCs A e C estarão emparelhadas?

Não. Relacionamentos transitivos de emparelhamento não são suportados.

P: O que acontece caso minha conexão emparelhada caia?

A AWS utiliza a infraestrutura existente da VPC para criar uma conexão emparelhada entre VPCs; ela não é um gateway e nem uma conexão VPN e não depende de hardware físico externo. Não há um ponto único de falha de comunicação ou um gargalo de largura de banda.

O emparelhamento de VPCs entre regiões opera na mesma tecnologia altamente disponível, redundante e escalada horizontalmente que faz funcionar a VPC de hoje em dia. O tráfego do emparelhamento de VPCs entre regiões vai além do backbone da AWS, que tem redundância embutida e alocação de largura de banda dinâmica. Não há um único ponto de falha nas comunicações.

Se uma conexão de Inter-Region peering for interrompida, o tráfego não será direcionado pela internet.

P: Existe alguma limitação de largura de banda para as conexões emparelhadas?

A largura de banda entre instâncias em VPCs emparelhadas é igual à largura de banda entre instâncias na mesma VPC. Observação: um placement group pode abranger VPCs emparelhadas. No entanto, não será disponibilizada a largura de banda bissecionada total entre as instâncias nas VPCs emparelhadas. Saiba mais sobre os placement groups.

P: O tráfego do emparelhamento de VPCs entre regiões é criptografado?

O tráfego é criptografado usando algoritmos AEAD (Authenticated Encryption with Associated Data) modernos. A AWS cuida do contrato e do gerenciamento.

P: Como as conversões de DNS funcionam no emparelhamento de VPCs entre regiões?

Por padrão, uma consulta de um nome de host público de uma instância em uma VPC com peering em uma região diferente será resolvida em um endereço IP público. O DNS privado de Route 53 pode ser usado para resolução em um endereço IP privado com o Inter-Region VPC Peering.

P: Posso consultar grupos de segurança na conexão do emparelhamento de VPCs entre regiões connection?

Não. Os grupos de segurança não podem ser consultados nas conexões do emparelhamento de VPCs entre regiões.

P: O emparelhamento de VPCs entre regiões é compatível com IPv6?

Não. O emparelhamento de VPCs entre regiões não é compatível com IPv6.

P: Posso usar o emparelhamento de VPCs entre regiões com o EC2-Classic Link?

Não. O emparelhamento de VPCs entre regiões não pode ser usado com o EC2-ClassicLink.

P: Há serviços da AWS que não podem ser usados no emparelhamento de VPCs entre regiões?

Network Load Balancers, AWS PrivateLink e Elastic File System são serviços que não podem ser usados no Inter-Region VPC Peering.

P: O que é o ClassicLink?

O Amazon Virtual Private Cloud (VPC) ClassicLink permite que instâncias do EC2 na plataforma do EC2-Classic se comuniquem com instâncias em uma VPC usando endereços IP privados. Para usar o ClassicLink, habilite-o para uma VPC em sua conta e associe um Grupo de Segurança daquela VPC com uma instância no EC2-Classic. Todas as regras do seu Grupo de Segurança da VPC se aplicarão às comunicações entre instâncias do EC2-Classic e as instâncias na VPC. 

P: Quanto custa o ClassicLink?

Não há custo adicional para usar o ClassicLink. No entanto, haverá cobranças de transferência de dados entre Zonas de Disponibilidade existentes. Para obter mais informações, consulte a página de definição de preço do EC2.

P: Como faço para usar o ClassicLink?

Para usar o ClassicLink, você primeiro precisa habilitar pelo menos uma VPC em sua conta para o ClassicLink. Depois você associa um Grupo de Segurança da VPC à instância desejada do EC2-Classic. A instância do EC2-Classic agora é vinculada à VPC e é membro do Grupo de Segurança selecionado na VPC. Sua instância EC2-Classic não pode ser vinculada a mais de uma VPC ao mesmo tempo.

P: A instância do EC2-Classic torna-se membro da VPC?

A instância do EC2-Classic não se torna membro da VPC. Ela se torna membro do Grupo de Segurança da VPC associada com a instância. Todas as regras e referências ao Grupo de Segurança da VPC se aplicam à comunicação entre as instâncias na instância do EC2-Classic e recursos na VPC.

P: Posso usar nomes de host DNS públicos do EC2 em minhas instâncias EC2-Classic e EC2-VPC para endereçamento entre si a fim de permitir a comunicação usando um IP privado?

Não. O nome de host DNS público do EC2 não resolverá para o endereço IP privado da instância EC2-VPC quando consultado a partir de uma instância do EC2-Classic e vice-versa.

P: Há alguma VPC para a qual eu não posso habilitar o ClassicLink?

Sim. O ClassicLink não pode ser habilitado para uma VPC com CIDR (Classless Inter-Domain Routing) dentro do intervalo 10.0.0.0/8, com exceção de 10.0.0.0/16 e 10.1.0.0/16. Além disso, o ClassicLink não pode ser habilitado para nenhuma VPC com entrada na tabela de rotas apontando para o espaço 10.0.0.0/8 CIDR para um destino que não seja “local”.

P: O tráfego de uma instância do EC2-Classic viaja pela Amazon VPC e sai pelo Internet Gateway, gateway privado virtual ou VPCs emparelhadas?

O tráfego de uma instância do EC2-Classic só pode ser direcionado para endereços IP privados dentro da VPC. Ele não será direcionado para nenhum destino fora da VPC, inclusive destinos de gateway da Internet, virtual private gateway ou VPC emparelhadas.

P: O ClassicLink afeta o controle de acesso entre a instância do EC2-Classic e outras instâncias que estão na plataforma do EC2-Classic?

O ClassicLink não muda o controle de acesso definido para uma instância do EC2-Classic através dos seus Grupos de Segurança existentes na plataforma do EC2-Classic.

P: As configurações do ClassicLink em minha instâncias do EC2-Classic persistirão através dos ciclos de parar/iniciar?

A conexão do ClassicLink não persistirá através dos ciclos de parar/iniciar da instância do EC2-Classic. A instância do EC2-Classic precisará ser vinculada novamente a uma VPC depois de ser parada e iniciada. No entanto, a conexão do ClassicLink persistirá através dos ciclos de reinicialização da instância.

P: Minha instância do EC2-Classic receberá um novo endereço IP privado depois que eu habilitar o ClassicLink?

Não há novo endereço IP privado atribuído à instância do EC2-Classic. Quando você habilita o ClassicLink em uma instância do EC2-Classic, a instância retém e usa seu endereço IP privado existente para se comunicar com recursos em uma VPC.

P: O ClassicLink permite que as regras do Grupo de Segurança do EC2-Classic façam referência aos Grupos de Segurança da VPC ou vice-versa?

O ClassicLink não permite que as regras do Grupo de Segurança do EC2-Classic façam referência aos Grupos de Segurança da VPC ou vice-versa.

Gateway privado virtual – Traga o seu próprio número de sistema autônomo

P: O que é esse recurso?

Para qualquer VGW novo, o Autonomous System Number (ASN – Número de sistema autônomo) privado configurável permite que os clientes definam o ASN no lado da Amazon da sessão do BGP para VPNs e VIFs privadas do AWS Direct Connect.

P: Qual é o custo do uso desse recurso?

Não há cobrança adicional para esse recurso.

P: Como posso configurar/atribuir meu ASN para ser anunciado como ASN do lado da Amazon?

Você pode configurar/atribuir um ASN para ser anunciado como ASN do lado da Amazon durante a criação de um novo Virtual Private Gateway (VGW – Gateway privado virtual). O VGW pode ser criado usando o console da VPC ou uma chamada à API EC2/CreateVpnGateway.

P: Antes deste recurso, qual era o ASN atribuído pela Amazon?

A Amazon atribuiu os seguintes ASNs: UE Oeste (Dublin) 9059; Ásia-Pacífico (Cingapura) 17493 e Ásia-Pacífico (Tóquio) 10124. Todas as outras regiões receberam um ASN 7224. Esses ASNs são conhecidos como “ASN público legado” da região.

P: Posso usar qualquer ASN, público ou privado?

Você pode atribuir qualquer ASN privado para o lado da Amazon. Você pode atribuir o “ASN público legado” da região até 30 de junho de 2018. Você não pode atribuir nenhum outro ASN público. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: Por que não posso atribuir um ASN público para a parte da Amazon da sessão do BGP?

A Amazon não valida a propriedade de ASNs. Portanto, estamos limitando o ASN do lado da Amazon a ASNs privados. Queremos proteger os clientes contra spoofing de BGP.

P: Qual ASN posso escolher?

Você pode escolher qualquer ASN privado. Os intervalos para ASNs privados de 16 bits incluem 64512 a 65534. Você também pode fornecer ASNs de 32 bits entre 4200000000 e 4294967294.

Se você não escolher um ASN, a Amazon fornecerá um ASN padrão para o VGW. Até 30 de junho de 2018, a Amazon continuará a fornecer o “ASN público legado” da região. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: O que acontecerá se eu tentar atribuir um ASN público para a parte da Amazon da sessão do BGP?

Solicitaremos que você insira novamente um ASN privado quando tentar criar o VGW, a menos que seja o “ASN público legado” da região.

P: Se eu não fornecer um ASN para a parte da Amazon da sessão do BGP, qual ASN será atribuído pela Amazon?

Se você não escolher um ASN, a Amazon fornecerá um ASN para o VGW. Até 30 de junho de 2018, a Amazon continuará a fornecer o “ASN público legado” da região. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: Onde posso ver o ASN do lado da Amazon?

Você pode ver o ASN do lado da Amazon na página do VGW do console da VPC e na resposta da API EC2/DescribeVpnGateways.

P: Se eu tiver um ASN público, ele funcionará com um ASN privado do lado da AWS?

Sim. Você pode configurara o lado da Amazon da sessão do BGP com um ASN privado e o seu lado com um ASN público.

P: Eu tenho VIFs privadas já configuradas e quero definir um ASN do lado da Amazon diferente para a sessão do BGP em uma VIF já existente. Como posso fazer essa alteração?

Será necessário criar um novo VGW com o ASN desejado e criar uma nova VIF com esse VGW. A configuração do seu dispositivo também precisa ser alterada para refletir essas modificações.

P: Eu tenho conexões VPN já configuradas e quero modificar o ASN do lado da Amazon para a sessão do BGP dessas VPNs. Como posso fazer essa alteração?

Será necessário criar um novo VGW com o ASN desejado e recriar as conexões VPN entre os gateways do cliente e esse VGW.

P: Eu já tenho um VGW e uma VIF privada/conexão VPN configurada usando o ASN público 7224, atribuído pela Amazon. Se a Amazon gerar automaticamente o ASN para o novo VGW privado, qual ASN do lado da Amazon será atribuído?

A Amazon atribuirá o ASN do lado da Amazon 64512 para o novo VGW.

P: Eu tenho um VGW e uma VIF privada/conexão VPN configurada usando um ASN público atribuído pela Amazon. Quero usar o mesmo ASN público atribuído pela Amazon para uma nova VIF privada/conexão VPN que estou criando. Como posso fazer isso?

Você pode configurar/atribuir um ASN para ser anunciado como ASN do lado da Amazon durante a criação de um novo Virtual Private Gateway (VGW – Gateway privado virtual). Você pode criar o VGW usando o console ou a chamada de API EC2/CreateVpnGateway. Como observado anteriormente, até 30 de junho de 2018, a Amazon continuará a fornecer o “ASN público legado” da região. Após 30 de junho de 2018, a Amazon fornecerá o ASN 64512.

P: Eu tenho um VGW e uma VIF privada/conexão VPN configurada usando o ASN público 7224, atribuído pela Amazon. Se a Amazon gerar automaticamente o ASN para a nova VIF privada/conexão VPN usando o mesmo VGW, qual ASN do lado da Amazon será atribuído?

A Amazon atribuirá o ASN do lado da Amazon 7224 para a nova VIF/conexão VPN. O ASN do lado da Amazon para a nova VIF/conexão VPN privada é herdado do VGW existente e passa a ser o ASN padrão.

P: Estou associando várias VIFs privadas a um único VGW. É possível que cada VIF tenha um ASN do lado da Amazon separado?

Não. Você pode atribuir/configurar ASNs do lado da Amazon separados para cada VGW, mas não para cada VIF. O ASN do lado da Amazon para uma VIF é herdado do ASN do lado da Amazon do VGW anexado.

P: Estou criando várias conexões VPN para um único VGW. É possível que cada conexão VPN tenha um ASN separado do lado da Amazon?

Não. Você pode atribuir/configurar ASNs do lado da Amazon separados para cada VGW, mas não para cada conexão VPN. O ASN do lado da Amazon para conexões VPN é herdado do ASN do lado da Amazon do VGW.

P: Onde posso escolher o meu próprio ASN?

Ao criar um VGW na console da VPC, desmarque a caixa que pergunta se você quer um BGP ASN da Amazon gerado automaticamente e forneça o seu próprio ASN privado para a parte da Amazon da sessão do BGP. Depois que o VGW é configurado com o ASN do lado da Amazon, as VIFs privadas ou conexões VPN criadas usando o VGW usarão o seu ASN do lado da Amazon.

P: Atualmente, uso o CloudHub. Será necessário ajustar as configurações no futuro?

Não será necessário fazer nenhuma alteração.

P: Eu quero selecionar um ASN de 32 bits. Qual é o intervalo dos ASNs privados de 32 bits?

Ofereceremos suporte a ASNs de 32 bits de 4200000000 a 4294967294.

P: Após a criação do VGW, poderei alterar o ASN do lado da Amazon?

Não. Não é possível modificar o ASN do lado da Amazon após a criação. Você pode excluir o VGW e criar um novo VGW com o ASN desejado.

P: Há uma nova API para configurar/atribuir o ASN do lado da Amazon?

Não. Isso pode ser feito com a mesma API de antes (EC2/CreateVpnGateway). Apenas adicionamos um novo parâmetro (amazonSideAsn) a essa API.

P: Há uma nova API para exibir o ASN do lado da Amazon?

Não. O ASN do lado da Amazon pode ser exibido com a mesma API EC2/DescribeVpnGateways. Apenas adicionamos um novo parâmetro (amazonSideAsn) a essa API.

 

P: O que é o AWS PrivateLink?

O AWS PrivateLink permite que clientes acessem os serviços hospedados na AWS de forma altamente disponível e escalável enquanto mantém todo o tráfego de rede dentro da rede da AWS. Os usuários de serviços podem usar essa tecnologia para acessar com privacidade serviços baseados no PrivateLink de sua Amazon Virtual Private Cloud (VPC) ou de seu próprio datacenter, sem IPs públicos e sem precisar que o tráfego atravesse a Internet. Os proprietários de serviços podem registrar seus Network Load Balancers em serviços do PrivateLink e oferecer os serviços a outros clientes da AWS.

P: Como posso usar o AWS PrivateLink?

Como usuário de serviços, você precisará criar VPC endpoints do tipo interface para serviços baseados no PrivateLink. Esses endpoints de serviço serão exibidos como interfaces de rede elástica (ENIs) com IPs privados nas VPCs. Após a criação desses endpoints, todo o tráfego destinado a esses IPs será roteado de modo privado para os serviços da AWS correspondentes.

Como proprietário de serviços, você pode integrar seu serviço ao AWS PrivateLink estabelecendo um Network Load Balancer (NLB) na frente do seu serviço e criando um serviço do PrivateLink para registro no NLB. Os clientes poderão estabelecer endpoints em suas VPCs para conectar-se ao seu serviço depois que você autorizar suas contas e funções do IAM.

P: Quais serviços estão disponíveis no momento no AWS PrivateLink?

Os seguintes serviços da AWS oferecem suporte a esse recurso: Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Kinesis Streams, Service Catalog, EC2 Systems Manager e Amazon SNS. Muitas soluções de SaaS também oferecem recurso a esse recurso. Acesse AWS Marketplace para ver mais produtos de SaaS baseados no AWS PrivateLink.

P: Posso acessar de modo privado os serviços desenvolvidos pelo AWS PrivateLink usando o AWS Direct Connect?

Sim. O aplicativo no local pode conectar-se aos endpoints de serviços na Amazon VPC usando o AWS Direct Connect. Os endpoints de serviço direcionarão automaticamente o tráfego aos Serviços da AWS baseados no AWS PrivateLink.

P: Quais métricas do CloudWatch estão disponíveis para o VPC Endpoint baseado em interface?

No momento, nenhuma métrica do CloudWatch está disponível para VPC Endpoints baseados em interface.

P: Quem paga os custos da transferência de dados do tráfego que atravessa o VPC Endpoint baseado em interface?

O conceito de custo de transferência de dados é similar ao do custo de transferência de dados para instâncias do EC2. Como um VPC Endpoint baseado em interface é uma ENI na sub-rede, a cobrança da transferência de dados depende da origem do tráfego. Se o tráfego para a interface chega de um recurso de outra AZ, é aplicada a cobrança de transferência de dados entre AZ do EC2 ao lado consumidor. Se provisionaram todas as AZs disponíveis na sua conta, os clientes na VPC consumidora poderão usar um endpoint de DNS específico da AZ para garantir que o tráfego fique na mesma AZ.

Versão prévia do recurso Traga seu próprio IP

P: O que o recurso Traga seu próprio IP?

O recurso Traga seu Próprio IP permite que os clientes transfiram to ou parte do espaço de endereço IPv4 publicamente roteável para a AWS para uso com seus recursos da AWS. Os clientes vão continuar sendo proprietários do intervalo de IP, porém, a AWS assumirá sua publicidade na Internet. Os clientes podem criar IPs elásticos do espaço IP que eles levam para a AWS e usá-los com instâncias do EC2, Gateways NAT e Balanceadores de carga de rede. Os clientes continuarão tendo acesso aos IPs fornecidos pela Amazon e poderão escolher usar Traga seu próprio IP, IPs fornecidos pela Amazon ou ambos.

P: Por que devo usar Traga seu próprio IP?

Você pode querer trazer seus próprios endereços IP para a AWS pelos seguintes motivos:

Reputação do IP: muitos clientes consideram que a reputação de seus IPs é um ativo estratégico e querem usar esses IPs na AWS com seus recursos. Por exemplo, clientes que mantêm serviços como MTA de e-mail de saída e têm IPs de alta reputação agora podem trazer o próprio espaço de IP e manter com sucesso sua taxa de sucesso de envio existente.

Lista de permissões de cliente: o recurso Traga seu Próprio IP também permite aos clientes mover cargas de trabalho legadas que dependiam de Lista de permissões de endereço IP para a AWS sem necessidade de processar e configurar manualmente as conexões de cliente.

Dependências com codificação fixa: vários clientes têm IPs com codificação fixa em dispositivos ou assumiram dependências de arquitetura em seus IPs. O recurso Traga seu próprio IP permite que esses clientes realizem uma migração simples para a AWS.

Regulamentação e conformidade: muitos clientes precisam usar determinados IPs por questões de regulamento e conformidade. Eles são desbloqueados pelo recurso Traga seu próprio IP.

P: Como posso usar o recurso Traga seu próprio IP?

O recurso Traga seu próprio IP está em versão prévia no momento. Você pode cadastrar-se aqui e preencher o questionário. Depois de ser selecionado, você receberá um e-mail informando sobre as próximas etapas.

P: Como posso usar IPs do prefixo Traga seu próprio IP com recursos da AWS?

O prefixo Traga seu próprio IP aparecerá como um Grupo de IPs na sua conta. Você pode criar IPs elásticos (EIPs) com base no grupo de IPs e usá-los como EIPs comuns com qualquer recurso da AWS que tenha suporte para EIPs. No momento, instâncias do EC2, Gateways NAT e Balanceadores de carga de rede dão suporte a EIPs.

P: O que acontecerá se eu lançar um EIP do tipo Traga seu próprio IP?

Ao lançar um EIP do tipo Traga seu próprio IP, ele volta para o Grupo de IPs o tipo Traga seu próprio IP do qual foi alocado.

P: Em que região o recurso Traga seu próprio IP está disponível?

A versão prévia está disponível na região do Oeste dos EUA (Oregon) no momento.

P: Um prefixo do tipo Traga seu próprio IP pode ser compartilhado com vários VPCs na mesma conta?

Sim. Você pode usar o prefixo do tipo Traga seu próprio IP com qualquer número de VPCs na mesma conta.

P: Quantos intervalos de IP posso trazer por meio do recurso Traga seu próprio IP?

Você pode trazer um máximo de cinco intervalos de IP para a sua conta.

P: Qual é o prefixo mais específico que eu posso trazer por meio do recurso Traga seu próprio IP?

O prefixo mais específico que você pode trazer por meio do recurso Traga seu próprio IP é um prefixo IPv4 /24.

P: Que prefixos RIR posso usar para o recurso Traga seu próprio IP?

Na versão prévia, você tem permissão apenas para usar prefixos registrados com o Registro Americano para Números da Internet (ARIN).

P: Posso trazer um prefixo reatribuído ou realocado?

Não aceitamos prefixos reatribuídos ou realocados no momento. Os intervalos de IP devem ser de um tipo líquido de alocação direta ou atribuição direta.

P: Um prefixo do tipo Traga seu próprio IP pode ser compartilhado com vários VPCs na mesma conta?

Sim. Você pode usar o prefixo do tipo Traga seu próprio IP com qualquer número de VPCs na mesma conta.

Perguntas adicionais

P: Posso usar o Console de Gerenciamento da AWS para controlar e gerenciar a Amazon VPC?

Sim. Você pode usar o Console de Gerenciamento da AWS para gerenciar objetos da Amazon VPC, como VPCs, sub-redes, tabelas de roteamento, gateways da Internet e conexões VPN IPSec. Além disso, é possível usar um assistente simples para criar uma VPC.

P: Quantas VPCs, sub-redes, endereços Elastic IP, Gateways da Internet, gateways do cliente, gateways privados virtuais e conexões VPN posso criar?

Você pode ter:

  • Cinco Amazon VPCs por conta da AWS por região
  • Duzentas sub-redes por Amazon VPC
  • Cinco endereços Elastic IP da Amazon VPC por conta da AWS por região
  • Um Internet Gateway por VPC
  • Cinco gateway privado virtuals por conta da AWS, por região
  • Cinquenta gateways de cliente por conta da AWS, por região
  • Dez conexões VPN IPsec por gateway privado virtual

Consulte o VPC User Guide para obter mais informações sobre os limites da VPC.

P: A Conexão VPN do Amazon VPC tem um Acordo de Nível de Serviço?

Não no momento. 

P: Posso obter o AWS Support com o Amazon VPC?

Sim. Clique aqui para obter mais informações sobre o AWS Support.

P: Posso usar o ElasticFox com o Amazon VPC?

O ElasticFox não é mais oficialmente compatível para a gestão da Amazon VPC. O suporte da Amazon VPC está disponível por meio de APIs da AWS, ferramentas da linha de comando, Console de Gerenciamento da AWS e diversos utilitários de terceiros.

 

Saiba mais sobre a Amazon VPC

Visite a página de detalhes de produto
Pronto para começar?
Cadastrar-se
Mais dúvidas?
Entre em contato conosco