La importancia de las subredes en Amazon AWS
En el post anterior hablamos sobre las redes virtuales en Amazon AWS. Hoy nos centraremos en las subredes de Amazon AWS y otros componentes de red en Amazon AWS.
Nota: En ciertas circunstancias, como para el cumplimiento de PCI, donde los datos extremadamente confidenciales no pueden tener ninguna conexión directa o indirecta a Internet, esa subred se conoce como subred «protegida» (AWS).
Las subredes en Amazon AWS
En lugar de definir sus subredes según la aplicación o el nivel funcional (web / app / data / etc), debe organizar sus subredes según el acceso a Internet. Esto le permite definir un aislamiento claro a nivel de subred entre los recursos públicos y privados.
Como las subredes se deben usar para definir la accesibilidad de Internet, es posible que no haya una buena razón para tener más de una subred pública y una privada por Zona de disponibilidad. En este entorno, todos los recursos que requieren acceso directo a Internet (equilibradores de carga orientados al público, instancias de NAT, hosts de bastión, etc …) entrarían en la subred pública, mientras que todas las demás instancias entrarían en su subred privada (excepción: los recursos que no requieren absolutamente ningún acceso a Internet, ya sea directa o indirectamente, entrarían en una subred privada separada).
Mientras que las subredes pueden proporcionar un elemento muy básico de segregación entre recursos usando reglas de ACL de red, los grupos de seguridad pueden proporcionar un nivel de control de tráfico aún más detallado entre sus recursos, sin el riesgo de complicar demasiado su infraestructura y perder o quedarse sin IP. Con este enfoque, solo necesita anticipar cuántas IP privadas y públicas necesita su VPC, y usar otros recursos para crear segregación entre recursos dentro de una subred (AWS).
Las tablas de rutas en las subredes
Una tabla de rutas es una construcción lógica dentro de una VPC de Amazon que contiene un conjunto de reglas (llamadas rutas) que se aplican a la subred y se usan para determinar hacia dónde se dirige el tráfico de red.
Las rutas de una tabla de rutas son las que permiten que las instancias de Amazon EC2 dentro de diferentes subredes dentro de una VPC de Amazon se comuniquen entre sí. Puedes modificar tablas de rutas y agregar tus propias rutas personalizadas.
También puedes usar tablas de rutas para especificar qué subredes son públicas (dirigiendo el tráfico de Internet al IGW) y qué subredes son privadas (al no tener una ruta que dirija el tráfico al IGW). Cada tabla de rutas contiene una ruta predeterminada llamada ruta local, que habilita la comunicación dentro de Amazon VPC, y esta ruta no se puede modificar ni eliminar. Se pueden agregar rutas adicionales para dirigir el tráfico y salir de la VPC de Amazon a través de IGW o una instancia de NAT.
Debes recordar los siguientes puntos acerca de las tablas de rutas:
- Tu VPC tiene un enrutador implícito.
- Su VPC viene automáticamente con una tabla de ruta principal que puede modificar.
- Puede crear tablas de rutas personalizadas adicionales para su VPC.
- Cada subred debe estar asociada con una tabla de rutas, que controla el enrutamiento de la subred. Si no asocia explícitamente una subred con una tabla de rutas particular, la subred usa la tabla de rutas principales.
- Puede reemplazar la tabla de rutas principales con una tabla personalizada que haya creado para que cada nueva subred se asocie automáticamente con ella.
Las opciones en el servidor DHCP de las subredes
El protocolo de configuración dinámica de host (DHCP) proporciona un estándar para pasar información de configuración a hosts en una red TCP/IP. El campo de opciones de un mensaje DHCP contiene parámetros de configuración
Hay que tener especial atención en algunas de las opciones de Domain name que podemos incluir en nuestro servidor DHCP ya que por ejemplo, algunos sistemas operativos Linux aceptan múltiples nombres de dominio separados por espacios.
Sin embargo, Windows y otros sistemas operativos de Linux tratan el valor como un único dominio, lo que resulta en un comportamiento inesperado. Si su conjunto de opciones dhcp está asociado con una VPC que tiene instancias con múltiples sistemas operativos, especifique solo un nombre de dominio
Domain name servers, aquí es donde pones el IP de tu servidor de DNS. Puedes poner hasta 4 IPs de servidores de DNS diferentes separados por comas.
NTP Server, aquí es donde pones el ip de tu servidor de NTP, tambien puedes poner hasta 4 servidores de NTP separados por comas
Netbios name server, lo mismo que la opción anterior, aquí pondrás el ip de tu servidor de NetBIOS y puedes poner hasta cuatro servidores de NEtBIOS diferentes separados por comas
Los Internet Gateway en las subredes
Un gateway de Internet (IGW) es un componente de Amazon VPC de escala horizontal, redundante y altamente disponible que permite la comunicación entre las instancias en su Amazon VPC e Internet. Un IGW proporciona un objetivo en las tablas de rutas de Amazon VPC para el tráfico enrutable de Internet y realiza la traducción de direcciones de red para las instancias a las que se les han asignado direcciones IP públicas.
Las instancias de Amazon EC2 dentro de una VPC de Amazon solo conocen sus direcciones IP privadas. Cuando se envía tráfico desde la instancia a Internet, el IGW traduce la dirección de respuesta a la dirección IP pública de la instancia y mantiene el mapa uno a uno de la dirección IP privada de la instancia y la dirección IP pública.
Cuando una instancia recibe tráfico de Internet, el IGW traduce la dirección de destino (dirección IP pública) a la dirección IP privada de la instancia y reenvía el tráfico a la VPC de Amazon.
Gracias por leer nuestro blog, participar y compartir.