Fundamentos de rede
GUIA DE CONCEITOS BÁSICOS
Introdução
Começar sua jornada de rede na nuvem pode ser um desafio. Principalmente se você estiver acostumado com a forma tradicional on-premises de provisionar hardware e gerenciar e configurar redes. Ter uma boa compreensão dos principais conceitos de rede, como endereçamento IP, comunicação TCP, roteamento IP, segurança e virtualização, ajudará você a se familiarizar com a rede em nuvem na AWS. Nas seções a seguir, respondemos a perguntas comuns sobre redes em nuvem e exploramos as melhores práticas para criar infraestrutura na AWS.
-
O que é rede em nuvem?
Semelhante à rede on-premises tradicional, a rede em nuvem oferece a capacidade de criar, gerenciar, operar e conectar com segurança suas redes em todos os ambientes de nuvem e locais de borda e de nuvem distribuídos. A rede em nuvem permite que você arquitete uma infraestrutura resiliente e altamente disponível, ajudando você a implantar as aplicações mais rapidamente, em escala e mais perto de seus usuários finais quando necessário.
-
Por que o local onde eu implanto é importante?
Quando você abre um site ou usa uma aplicação, os dados e as solicitações precisam ser transmitidos do seu computador ou telefone para um servidor que hospeda o site ou aplicação e retornar para você. Isso geralmente é feito em uma combinação de mídias diferentes, como do Wi-Fi para o roteador em casa, de lá para o ISP por meio de fibra, cabo, ADSL, 5G etc. Quando chegam ao ISP, eles por sua vez se conectam a uma rede maior. Em algum momento, é provável que seus dados viajem por um dos muitos cabos de fibra submarinos. A velocidade da luz determina qual pode ser a velocidade mais rápida nesses cabos, limitando a resposta mais rápida possível. A luz dentro do cabo também é refletida na lateral à medida que viaja, então a distância total percorrida é maior do que o próprio cabo. Como exemplo, um dos cabos entre o Japão e a costa oeste dos EUA tem 21.000 km de comprimento total, o que significa que a luz viajando a 299.792.458 m/s levaria aproximadamente 70 ms para cruzar o comprimento total do cabo, tornando o site ou aplicativo mais lento à medida que várias chamadas vão e voltam. Em exemplos extremos, o tempo pode ser muito maior devido não apenas à distância percorrida, mas também ao congestionamento da rede entre pontos no caminho, com respostas levando vários segundos para serem concluídas.
Com a nuvem, você pode ampliar as atividades para novas regiões geográficas e implantar globalmente em minutos. Por exemplo, a AWS tem infraestrutura em todo o mundo, o que permite que você implante aplicações em vários locais físicos com apenas alguns cliques. Ao colocar suas aplicações mais próximas dos usuários finais, você pode reduzir a latência e melhorar a experiência do usuário.
A infraestrutura da Nuvem AWS é criada em torno das regiões da AWS e das zonas de disponibilidade. Uma região é um local físico no mundo onde temos várias zonas de disponibilidade. As zonas de disponibilidade consistem em um ou mais datacenters discretos, cada um com alimentação redundante, redes e conectividade, hospedadas em instalações separadas. As zonas de disponibilidade oferecem a capacidade de operar aplicações e bancos de dados de produção com disponibilidade, tolerância a falhas e escalabilidade maiores do que as oferecidas por um único datacenter.
-
O que é a Amazon VPC?
A Amazon Virtual Private Cloud (Amazon VPC) permite provisionar uma seção da Nuvem AWS isolada logicamente na qual é possível executar recursos da AWS em uma rede virtual que você mesmo define. Você tem controle total sobre o ambiente de rede virtual, incluindo a seleção dos seus próprios intervalos de endereço IP, a criação de sub-redes e a configuração de tabelas de roteamento e gateways de rede. Você também pode criar uma conexão de rede privada virtual (VPN) de hardware entre o data center corporativo e a VPC, permitindo que você conecte servidores entre os dois como se estivessem na mesma rede.
Você pode personalizar facilmente a configuração de rede da VPC com base nos seus requisitos. Uma VPC abrange uma região inteira, e as sub-redes são usadas para especificar intervalos de endereços IP nas zonas de disponibilidade dentro da região para alocação em máquinas virtuais e outros serviços. Por exemplo, você pode criar uma sub-rede pública para os servidores web que têm acesso à Internet e dispor os sistemas de back-end, como bancos de dados ou servidores de aplicações, em uma sub-rede privada sem acesso à Internet. Você pode usar várias camadas de segurança, incluindo grupos de segurança e listas de controle de acesso à rede, para ajudar a controlar o acesso às instâncias do Amazon EC2 em cada sub-rede.
Os recursos a seguir ajudam você a configurar uma VPC para fornecer a conectividade de que suas aplicações precisam:
Recurso Descrição VPCs Uma Amazon Virtual Private Cloud (VPC) é uma rede virtual que lembra muito uma rede tradicional executada no seu próprio datacenter. Depois de criar uma VPC, você pode adicionar sub-redes. Sub-redes Uma sub-rede é um intervalo de endereços IP em sua VPC. Uma sub-rede deve residir em uma única zona de disponibilidade. Depois de adicionar as sub-redes, você pode implantar recursos da AWS em sua VPC. Endereçamento IP É possível atribuir endereços IPv4 e endereços IPv6 às suas VPCs e sub-redes. Você também pode trazer os GUAs (endereços globais Unicast) públicos IPv4 e IPv6 para a AWS e alocá-los para os recursos na VPC, como instâncias do EC2, gateways NAT e Network Load Balancers. Roteamento Use as tabelas de rotas para determinar para onde o tráfego de rede da sub-rede ou gateway é direcionado. Gateways e endpoints Um gateway conecta sua VPC à outra rede. Por exemplo, use um gateway da Internet para conectar a VPC à Internet. Use um endpoint da VPC para se conectar aos serviços da AWS de forma privada, sem o uso de um gateway da Internet ou dispositivo NAT. Conexões emparelhadas Use uma conexão de emparelhamento da VPC para rotear o tráfego entre os recursos em duas VPCs. Monitoramento do tráfego Copie o tráfego de rede das interfaces de rede e envie-o para dispositivos de segurança e monitoramento para inspeção profunda de pacotes. Gateways de trânsito Use um gateway de trânsito, que atua como um hub central, para rotear o tráfego entre as VPCs, as conexões VPN e as conexões do AWS Direct Connect. Logs de fluxo da VPC Um log de fluxo captura informações sobre o tráfego IP que percorre as interfaces de rede na VPC. Conexões VPN Conecte as VPCs às suas redes on-premises usando a Rede Privada Virtual da AWS (AWS VPN). Conceitos básicos da Amazon VPC
Sua conta da AWS inclui uma VPC padrão em cada região da AWS. As VPCs padrão são configuradas para que você possa começar imediatamente a iniciar e se conectar às instâncias do EC2. Para obter mais informações, consulte Conceitos básicos da Amazon VPC.
-
Como os recursos da Amazon VPC se comunicam?
As VPCs oferecem controle total sobre seu ambiente de rede virtual, incluindo posicionamento de recursos, conectividade e segurança. Comece a usar configurando a VPC no Console de Gerenciamento da AWS. Em seguida, adicione recursos a ela, como instâncias do Amazon EC2 e do Amazon Relational Database Service (Amazon RDS). Por fim, defina como as VPCs se comunicam entre si, entre contas, zonas de disponibilidade ou regiões.
Em uma VPC, você pode usar o endereçamento IPv4 e IPv6. Com o IPv4, você seleciona e atribui um bloco VPC CIDR (Classless Inter-Domain Routing) de um tamanho máximo de /16 a um tamanho mínimo de /28. Você pode usar qualquer endereço público de sua propriedade (em regiões selecionadas). Recomendamos que você use endereços RFC 1918 privados. Depois de ter um CIDR, você define as sub-redes. As sub-redes podem ter o tamanho entre /16 e /28 e são limitadas por zonas de disponibilidade. Cada sub-rede da VPC deve estar associada a uma tabela de rotas da sub-rede.
Ao criar sub-redes, você deve associá-las a uma tabela de rotas principais da VPC. Por padrão, essa tabela de rotas conterá somente os CIDRs IPv4 e IPv6 locais da VPC. Uma sub-rede só pode ser associada a uma tabela de rotas da sub-rede. Uma tabela de rotas pode ter várias associações de sub-rede. As tabelas de rotas são usadas para controlar o tráfego que sai da sub-rede. Cada sub-rede tem um roteador VPC. Não há nenhum dispositivo único para uma VPC. O software VPC cuida do roteamento para você. Você pode adicionar rotas mais específicas para fornecer filtragem de tráfego para o tráfego leste/oeste.
-
Como posso me conectar à minha Amazon VPC?
Você pode conectar sua VPC a outras redes, como outras VPCs, à Internet ou à sua rede on-premises. Você pode conectar a Amazon VPC:
Como se conectar Descrição À Internet (por meio de um gateway da Internet) Um gateway da Internet é um componente de VPC com escala horizontal, redundante e altamente disponível que permite a comunicação entre a VPC e a Internet. Ele suporta tráfego IPv4 e IPv6 e não causa riscos de disponibilidade ou restrições de largura de banda em seu tráfego de rede. Um gateway da Internet permite que recursos em suas sub-redes públicas (como instâncias do EC2) se conectem à Internet se o recurso tiver um endereço IPv4 público ou um endereço IPv6. Da mesma forma, os recursos na Internet podem iniciar uma conexão com os recursos na sub-rede usando o endereço IPv4 público ou o endereço IPv6. Por exemplo, um gateway da Internet permite que você se conecte a uma instância do EC2 na AWS usando seu computador local. Um gateway da Internet fornece uma meta nas tabelas de rotas da VPC para o tráfego roteável pela Internet. Para comunicações que usam IPv4, o gateway da Internet também faz a conversão de endereços de rede (NAT). Para comunicações que usam o IPv6, o NAT não é necessário porque os endereços IPv6 são públicos. Seu datacenter corporativo usando uma conexão do AWS Site-to-Site VPN (por meio do gateway privado virtual) Por padrão, as instâncias iniciadas em uma Amazon VPC não podem se comunicar com sua própria rede (remota). Você pode habilitar o acesso à sua rede remota na VPC criando uma conexão do AWS Site-to-Site VPN (VPN de local a local) e configurando o roteamento para passar o tráfego pela conexão.
OBSERVAÇÃO: ao conectar suas VPCs a uma rede on-premises comum, recomendamos que você use blocos CIDR não sobrepostos para suas redes.Tanto a Internet quanto o datacenter corporativo (utilizando um gateway da Internet e um gateway privado virtual) A VPC tem um gateway virtual privado conectado, e a rede on-premises (remota) inclui um dispositivo de gateway do cliente, que você deve configurar para ativar a conexão Site-to-Site VPN. Você configura o roteamento para que qualquer tráfego da VPC vinculado à rede seja roteado para o gateway privado virtual. Instância NAT Você pode usar uma instância NAT para permitir que recursos em sub-redes privadas se conectem à Internet, a outras VPCs ou a redes on-premises. Essas instâncias podem se comunicar com serviços fora da VPC, mas não podem receber solicitações de conexão não solicitadas. Gateways NAT Um gateway NAT é um serviço de conversão de endereços de rede (NAT). Você pode usar um gateway NAT para que as instâncias em uma sub-rede privada possam se conectar a serviços fora da VPC, mas os serviços externos não podem iniciar uma conexão com essas instâncias. Ao criar um gateway NAT, você especifica um dos seguintes tipos de conectividade:
Pública: (padrão) as instâncias em sub-redes privadas podem se conectar à Internet por meio de um gateway NAT público, mas não podem receber conexões de entrada não solicitadas da Internet. Você cria um gateway NAT público em uma sub-rede pública e deve associar um endereço IP elástico ao gateway NAT na criação. Você encaminha o tráfego do gateway NAT para o gateway da Internet da VPC. Como alternativa, você pode usar um gateway NAT público para se conectar a outras VPCs ou à sua rede on-premises. Nesse caso, roteie o tráfego do gateway NAT por meio de um gateway de trânsito ou de um gateway privado virtual.
Privada: as instâncias em sub-redes privadas podem se conectar a outras VPCs ou à sua rede on-premises por meio de um gateway NAT privado. Você pode rotear o tráfego do gateway NAT por meio de um gateway de trânsito ou de um gateway privado virtual. Você não pode associar um endereço IP elástico a um gateway NAT privado. Você pode conectar um gateway da Internet a uma VPC com um gateway NAT privado, mas se você rotear o tráfego do gateway NAT privado para o gateway da Internet, o gateway da Internet reduzirá o tráfego.
O gateway NAT substitui o endereço IP de origem das instâncias pelo endereço IP do gateway NAT. Para um gateway NAT público, esse é o endereço IP elástico do gateway NAT. Para um gateway NAT privado, esse é o endereço IP privado do gateway NAT. Ao enviar tráfego de resposta para as instâncias, o dispositivo NAT converte os endereços de volta para o endereço IP de origem.AWS Direct Connect Embora a VPN pela Internet seja uma ótima opção para começar, a conectividade com a Internet pode não ser confiável para o tráfego de produção. Devido a essa falta de confiabilidade, muitos clientes escolhem o AWS Direct Connect. O AWS Direct Connect é um serviço de redes que oferece uma alternativa ao uso da Internet para conexão à AWS. Usando o AWS Direct Connect, os dados que anteriormente seriam transportados pela Internet são entregues por meio de uma conexão de rede privada entre suas instalações e a AWS. Em muitas circunstâncias, as conexões de rede privadas podem reduzir custos, aumentar a largura de banda e fornecer uma experiência de rede mais consistente do que as conexões baseadas na Internet. Consulte o whitepaper Criar uma infraestrutura de rede da AWS escalável, segura e com várias VPCs para saber mais. Outras Amazon VPCs (por meio de conexões de emparelhamento de VPCs) Uma conexão de emparelhamento de VPC é uma conexão de rede entre duas VPCs que permite direcionar o tráfego entre elas de forma privada. As instâncias em qualquer VPC podem se comunicar umas com as outras como se estivessem na mesma rede. Você pode criar uma conexão de emparelhamento de VPC entre suas próprias VPCs, com uma VPC em outra conta da AWS ou em uma região da AWS diferente. A AWS utiliza a infraestrutura existente da VPC para criar uma conexão de emparelhamento de VPC; ela não é um gateway e nem uma conexão AWS Site-to-Site VPN e não depende de hardware físico externo. Não há um ponto único de falha de comunicação nem um gargalo na largura de banda. -
Posso me conectar a outras VPCs em contas diferentes?
Sim, desde que o proprietário da outra VPC aceite sua solicitação de conexão de emparelhamento, você pode emparelhar outras VPCs em contas diferentes.
Compartilhamento de VPCs
O compartilhamento de VPCs é útil quando o isolamento da rede entre equipes não precisa ser rigorosamente gerenciado pelo proprietário da VPC, porém é necessário gerenciar com rigor as permissões e os usuários no nível da conta. Com uma VPC compartilhada, várias contas da AWS criam seus recursos para aplicações (como instâncias do EC2) em Amazon VPCs compartilhadas e gerenciadas centralmente. Nesse modelo, a conta que tiver a VPC (proprietária) compartilha uma ou mais sub-redes com outras contas (participantes). Depois que uma sub-rede é compartilhada, os participantes podem visualizar, criar, modificar e excluir seus recursos para aplicações nas sub-redes compartilhadas com eles. Os participantes não podem visualizar, modificar ou excluir recursos que pertençam a outros participantes ou ao proprietário da VPC. A segurança entre recursos em VPCs compartilhadas é gerenciada usando grupos de segurança, listas de controle de acesso à rede (NACLs) ou por meio de um firewall entre as sub-redes
AWS PrivateLink
O AWS PrivateLink fornece conectividade privada entre as VPCs, os serviços da AWS e as redes on-premises, sem expor seu tráfego à Internet pública. O AWS PrivateLink facilita a conexão de serviços entre contas e VPCs diferentes para simplificar consideravelmente a arquitetura da rede. Isso permite aos clientes expor de forma privada um serviço ou aplicação residente em uma VPC (provedora de serviços) a outras VPCs (consumidores) em uma região da AWS, de forma que somente as VPCs consumidores iniciem as conexões com a VPC provedora de serviços. Um exemplo disso é a capacidade das aplicações privadas acessarem as APIs do provedor de serviços.
AWS Transit Gateway
O AWS Transit Gateway permite que os clientes conectem milhares de VPCs. Você pode conectar toda a sua conectividade híbrida (conexões VPN e Direct Connect) a uma única instância do Transit Gateway, consolidando e controlando toda a configuração de roteamento da AWS na sua organização em um só lugar. O Transit Gateway controla como o tráfego é roteado entre todas as redes spoke conectadas usando tabelas de rotas. Esse modelo hub-and-spoke simplifica o gerenciamento e reduz os custos operacionais porque as VPCs só se conectam à instância do Transit Gateway para obter acesso às redes conectadas.
Solução VPC de trânsito
As VPCs de trânsito podem resolver algumas das deficiências do emparelhamento de VPCs introduzindo um design hub-and-spoke para a conectividade entre VPCs. Em uma rede da VPC de trânsito, uma VPC central (a VPC do hub) se conecta a todas as outras VPCs (spoke VPC) por meio de uma conexão VPN, normalmente usando o BGP sobre IPsec. A VPC central contém instâncias do EC2 executando dispositivos de software que direcionam o tráfego de entrada para seus destinos usando a sobreposição de VPN. O emparelhamento da VPC de trânsito apresenta as seguintes vantagens:
- O roteamento transitivo é ativado usando a rede VPN de sobreposição, permitindo um design hub-and-spoke mais simples.
- Ao usar software de outros fornecedores na instância do EC2 na VPC de trânsito do hub, a funcionalidade do fornecedor relacionada à segurança avançada, como firewall de camada 7, sistema de prevenção de intrusões (IPS) ou sistema de detecção de intrusões (IDS), pode ser usada. Se os clientes estiverem usando o mesmo software on-premises, eles se beneficiarão de uma experiência operacional/de monitoramento unificada.
- A arquitetura da VPC de trânsito permite a conectividade que pode ser desejada em alguns casos de uso. Por exemplo, você pode conectar uma instância do AWS GovCloud a uma VPC de uma região comercial ou uma instância do Transit Gateway a uma VPC de trânsito e ativar a conectividade entre as VPCs nessas duas regiões. Avalie seus requisitos de segurança e conformidade ao considerar essa opção. Para maior segurança, você pode implantar um modelo de inspeção centralizado usando os padrões de design descritos posteriormente neste whitepaper.
OBSERVAÇÃO: o Transit VPC apresenta seus próprios desafios, como custos mais altos para a execução de dispositivos virtuais de outros fornecedores no Amazon EC2, com base no tamanho/família de instâncias; throughput limitada por conexão VPN (até 1,25 Gbps por túnel VPN) e sobrecarga adicional de configuração, gerenciamento e resiliência (os clientes são responsáveis por gerenciar a alta disponibilidade e redundância das instâncias do EC2 que executam dispositivos virtuais de outros fornecedores).
-
Quais são algumas das práticas recomendadas de segurança para sua VPC?
As práticas recomendadas a seguir são orientações gerais e não representam uma solução de segurança completa. Como essas práticas recomendadas podem não ser apropriadas ou suficientes para o seu ambiente, trate-as como considerações úteis, e não como prescrições.
- Ao adicionar sub-redes à VPC para hospedar sua aplicação, crie-as em várias zonas de disponibilidade. Uma zona de disponibilidade é um ou mais datacenters distintos com energia, rede e conectividade redundantes em uma região da AWS. O uso de várias zonas de disponibilidade torna as aplicações de produção altamente disponíveis, tolerantes a falhas e escaláveis.
- Use as ACLs de rede para controlar o acesso às sub-redes e use os grupos de segurança para controlar o tráfego nas instâncias do EC2 nas sub-redes.
- Gerencie o acesso aos recursos e APIs da Amazon VPC usando a federação de identidades, os usuários e os perfis do AWS Identity and Access Management (IAM).
- Use o Amazon CloudWatch com logs de fluxo da VPC para monitorar o tráfego IP que entra e sai das interfaces de rede na VPC.
Para obter respostas às perguntas mais frequentes relacionadas à segurança da VPC, consulte a seção Segurança e filtragem nas Perguntas frequentes da Amazon VPC.
-
Quais são os cenários comuns de VPCs?
VPC com uma única sub-rede pública
A configuração para esse cenário inclui uma VPC com uma única sub-rede pública e um gateway de Internet para permitir a comunicação pela Internet. Recomendamos essa configuração se você precisar executar uma aplicação web de camada única voltada para o público, como um blog ou um site simples. Esse cenário também pode ser configurado opcionalmente para IPv6. As instâncias lançadas na sub-rede pública podem receber endereços IPv6 e se comunicar usando IPv6.
VPC com sub-redes públicas e privadas (NAT)
A configuração para esse cenário inclui uma VPC com uma sub-rede pública e uma sub-rede privada. Recomendamos esse cenário se você quiser executar uma aplicação web voltada para o público e, ao mesmo tempo, manter servidores de back-end que não são acessíveis ao público. Um exemplo comum é um site de várias camadas, com os servidores web em uma sub-rede pública e os servidores de banco de dados em uma sub-rede privada. Você pode configurar a segurança e o roteamento para que os servidores web possam se comunicar com os servidores do banco de dados.
As instâncias na sub-rede pública podem enviar tráfego de saída diretamente para a Internet, enquanto as instâncias na sub-rede privada não podem fazer isso. As instâncias de uma sub-rede privada acessam a Internet usando um gateway de conversão de endereços de rede (NAT) que reside na sub-rede pública. Os servidores de banco de dados podem se conectar à Internet para fazer atualizações de software usando o gateway NAT, mas a Internet não pode estabelecer conexões com os servidores de banco de dados.
Esse cenário também pode ser configurado opcionalmente para IPv6. As instâncias lançadas nas sub-redes podem receber endereços IPv6 e se comunicar usando IPv6. As instâncias na sub-rede privada podem usar um gateway de Internet somente de saída para se conectar à Internet por IPv6, mas a Internet não pode estabelecer conexões com as instâncias privadas por IPv6.
VPC com sub-redes públicas e privadas, e acesso ao AWS Site-to-Site VPN
A configuração para esse cenário inclui uma VPC com uma sub-rede pública e uma sub-rede privada e um gateway privado virtual para permitir a comunicação com sua própria rede por meio de um túnel VPN IPsec. Recomendamos esse cenário se você quiser estender sua rede para a nuvem e também acessar diretamente a Internet a partir da sua VPC. Esse cenário permite que você execute uma aplicação de várias camadas com um front-end web escalável em uma sub-rede pública e hospede seus dados em uma sub-rede privada conectada à rede por uma conexão do AWS Site-to-Site VPN IPsec.
Esse cenário também pode ser configurado opcionalmente para IPv6. As instâncias lançadas nas sub-redes podem receber endereços IPv6. Não oferecemos suporte à comunicação IPv6 por meio de uma conexão Site-to-Site VPN em um gateway privado virtual; no entanto, as instâncias na VPC podem se comunicar entre si via IPv6, e as instâncias na sub-rede pública podem se comunicar pela Internet via IPv6.
VPC com uma única sub-rede privada e acesso ao AWS Site-to-Site VPN
A configuração para esse cenário inclui uma VPC com uma única sub-rede privada e um gateway privado virtual para permitir a comunicação com sua própria rede por meio de um túnel VPN IPsec. Não há gateway da Internet para permitir a comunicação pela Internet. Recomendamos esse cenário se você quiser estender sua rede para a nuvem usando a infraestrutura da AWS sem expor sua rede à Internet.
Esse cenário também pode ser configurado opcionalmente para IPv6. As instâncias lançadas na sub-rede podem receber endereços IPv6. Não oferecemos suporte à comunicação IPv6 por meio de uma conexão AWS Site-to-Site VPN em um gateway privado virtual; no entanto, as instâncias na VPC podem se comunicar entre si via IPv6.
Próximas etapas
Você pode começar a criar na AWS imediatamente usando o nível gratuito da AWS e a nossa biblioteca de tutoriais práticos e guias de introdução.