Día de inmersión

Laboratorio práctico de VPC

Primeros pasos con la nube privada

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
virtual Descripción general
Amazon Virtual Private Cloud (Amazon VPC) le permite aprovisionar una sección lógicamente aislada de la nube
de AWS donde puede lanzar recursos de AWS en una red virtual que tu defines Tiene control completo sobre su
entorno de red virtual, incluida la selección de su propio rango de direcciones IP, la creación de subredes y la
configuración de tablas de rutas y puertas de enlace de red. Puede usar tanto IPv4 como IPv6 en su VPC para un
acceso seguro y sencillo a los recursos y las aplicaciones.

En este laboratorio, aprenderá a configurar una VPC con subredes públicas y privadas. También aprenderá sobre
los conceptos de redes de AWS, como direcciones IP elásticas, puertas de enlace NAT y registros de flujo.

Navegue al Panel de VPC

Para comenzar, echemos un vistazo al Panel de VPC.

En cada región, la VPC predeterminada ya se ha creado Por lo tanto, incluso si aún no ha creado nada en su
cuenta, verá algunos recursos de VPC que ya están allí.

En esta práctica de laboratorio, usaremos el asistente de VPC para crear una VPC con subredes privadas y públicas
preconfiguradas. Una vez que esté más familiarizado con las redes de AWS, puede crear VPC y subredes sin el
asistente para crear configuraciones de redes personalizadas.

Continuing past this point will incur a very small charge

in your account. The NAT Gateway (NGW) is a
resource which are not eligible for the Free Tier.

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Durante la configuración del asistente de VPC, deberá especificar una dirección IP elástica (EIP). Una IP elástica
es una dirección IPv4 pública estática que puede adjuntar a los recursos de AWS, como instancias EC2 y puertas de
enlace NAT. Se requieren direcciones IP elásticas para NAT Gateways.

Para crear una, vaya a IP elásticas en la barra lateral.

Presiona Asignar nueva dirección, elige Allocate Elastic IP address y haz clic en Allocate. Su IP elástica ahora
aparecerá en la consola.

Ahora haga clic en VPC Dashboard en la esquina superior izquierda para volver a la página principal de VPC y
haga clic en Launch VPC Wizard para iniciar el Asistente de VPC

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
. Seleccione 'VPC con subredes públicas y privadas'.

Esta opción creará una VPC con un bloque CIDR /16 y dos subredes con bloques CIDR /24 que tienen un total de
256 direcciones IP cada una. En cada subred, AWS reserva 5 direcciones IP. En este caso, eso le deja 251
direcciones IP por subred. Complete el nombre de VPC (mostrado como "Test") y seleccione su ID de
asignación de IP elástica en el menú desplegable. Para esta práctica de laboratorio, dejaremos el resto de la
configuración predeterminada como está.

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Esta IP elástica se usará para crear un Nat gateway para la subred privada. La puerta de enlace NAT es un servicio
NAT administrado y altamente escalable que brinda a sus recursos acceso a Internet, pero no permite que nadie en
Internet acceda a sus recursos. NAT es útil cuando un recurso necesita obtener actualizaciones de Internet, pero no
debe ser de acceso público.

Haga clic en Crear VPC. Este paso tomará un par de minutos. Una vez que haya creado su VPC, haga Aceptar.

¡Guau! Solo le tomó unos minutos configurar una red privada virtual completa, incluidas subredes para recursos
públicos y privados, tablas de rutas y un servicio NAT escalable.

Desde el último paso, ahora debería estar en su VPC mirando todas sus VPC en esta región. Seleccione la VPC que
acaba de crear y observe la pestaña Resumen. Si no puede ver todo en el panel, puede levantar el panel arrastrando
la línea superior del panel.

En la columna Resumen de la izquierda, puede ver la tabla de rutas principal para su VPC. Cualquier subred en
la VPC que no tenga una tabla de rutas directamente asociada usará esta tabla de rutas de forma predeterminada.
Para explorar esto más a fondo, haga clic en el vínculo Tabla de rutas.

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Ahora se encuentra en tablas de rutas , filtrado en la tabla de rutas principal de la VPC que acaba de crear. Eso
significa que solo debe mostrarse una tabla de rutas. Seleccione esta tabla de rutas y haga clic en la pestaña
Asociaciones de subred

Puede ver que no hay asociaciones de subredes explícitas en esta tabla de rutas. Sin embargo, dado que esta es la
tabla de rutas principal para la VPC, hay una subred implícitamente asociada. Es la subred privada de la VPC.
¿Qué hace que una subred sea pública o privada? Podemos averiguarlo mirando las rutas en esta tabla. Haga clic en
la Routes pestaña

En la Routes , mire la columna Destino Verá una ruta local que tiene cada tabla de rutas. Esto garantiza que los
recursos dentro de la VPC puedan comunicarse entre sí. Esta ruta no se puede modificar.

También verá una ruta a la enlace NAT que creó el asistente. Recuerde que un NAT Gateway brinda acceso a
Internet a recursos que no son de acceso público. Debido a que los recursos de esta subred no son de acceso
público, se considera una subred privada.

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Ahora averigüemos qué hace que una subred sea pública. Primero, elimine el filtro en esta vista. Para hacer esto,
haga clic en la "x" en la barra de búsqueda en la parte superior de la página.

Ahora está viendo todas las tablas de rutas de esta región. Su panel de control debe parecerse a la captura de
pantalla a continuación.

Seleccione la otra tabla de enrutamiento en su VPC (verifique la ID para el nombre con "test") que no sea la tabla
de enrutamiento principal (verifique columna Principal No). En la Rutas , verá una ruta a un Internet Gateway
(IGW). Los IGW son otro servicio administrado y escalable como NAT Gateway, excepto que permite el acceso
desde Internet a sus recursos en la VPC, lo que hace que sus recursos sean de acceso público.

Hay una razón por la que esta tabla de rutas no es la tabla de rutas principal. Es una buena práctica que la tabla
de ruteo principal de su VPC no tenga una ruta a un IGW para que las subredes sean privadas de forma
predeterminada y solo públicas si se especifica.

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Vaya a la Asociaciones y confirme que es la subred pública que está asociada con esta tabla de rutas. Haga clic en
el enlace Subred pública.

Mira la pestaña Descripción, Verá una Lista de control de acceso a la red (ACL de red) enlace. Las NACL son
firewalls virtuales sin estado en la capa de subred. Este asistente usó la NACL predeterminada (creada
automáticamente con la VPC) para ambas subredes. De forma similar a la tabla de rutas principal, la NACL
predeterminada está implícitamente asociada con todas las subredes en una VPC, a menos que otra NACL esté
directamente asociada con esa subred.

Vaya a la Network ACL para ver las reglas NACL predeterminadas. Las reglas se evalúan en orden de menor a
mayor. Si el tráfico no coincide con ninguna regla, se aplica la regla * y se deniega el tráfico. Las NACL
predeterminadas permiten todo el tráfico entrante y saliente, como se muestra a continuación, a menos que se
personalicen.

Permitir que todo el tráfico entre y salga de sus subredes no es una buena práctica. Sin embargo, es posible lograr
una mejor seguridad con esta NACL predeterminada aprovechando también los grupos de seguridad.

Los grupos de seguridad son cortafuegos virtuales con estado en el nivel de recurso (instancia EC2). Es una buena
práctica implementar las reglas de firewall necesarias con los grupos de seguridad primero y solo agregar reglas a

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
las NACL según sea necesario. Por ejemplo, puede denegar explícitamente el tráfico de direcciones IP específicas
con NACL pero no con grupos de seguridad. Exploraremos más los grupos de seguridad en la siguiente sección.

Ahora hemos repasado los conceptos básicos de las redes de VPC de AWS. Ahora debe comprender cómo funciona
el enrutamiento dentro de una VPC, qué hace que una subred sea pública o privada y cómo proteger sus recursos en
los niveles de subred y de recursos.

Crear una instancia EC2 pública

En esta sección, activará una instancia EC2 en la subred pública de su VPC.
Para comenzar, vaya al Servicios menú desplegable panel de EC2.

1. Seleccione Instancia de lanzamiento y, a continuación, en la Inicio rápido , seleccione la primera AMI de

Amazon Linux 2 para la arquitectura de 64 bits (x86) y haga clic en Seleccionar. Tenga en cuenta que la
etiqueta ami-xxxxxxxxx y las versiones específicas del paquete instalado pueden ser diferentes a las de la
imagen a continuación

2. En la pestaña Elegir tipo de instancia, seleccione el t2.micro instancia Siguiente: Configurar detalles de
instancia

If it isn't labeled "Free Tier Eligible", you may incur a charge!

3. En esta página, usted decide qué red y subred en la que se colocará este recurso. Cambie el Red a la VPC que
acaba de crear y cambie el Subred campo subred Pública. Deje las otras configuraciones predeterminadas
como están. Haga clic en Siguiente.

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
4. Para este laboratorio, puede aceptar los valores predeterminados en los pasos restantes, así que termine de crear
esta instancia haciendo clic en Revisar y lanzar. Verá una advertencia de que su grupo de seguridad está
abierto al mundo. Puede ignorar esta advertencia y seleccionar Iniciar.

5. En la ventana emergente, seleccione Continuar sin un par de claves en el menú desplegable y marque la
reconocimiento . Para este laboratorio, no necesitará SSH en esta instancia. Haga clic en Iniciar instancias y
luego en Ver instancias.

¡Felicidades! Acaba de lanzar un servidor en su VPC.

Probar el acceso a la instancia pública

En esta sección, hará ping a la instancia EC2 que acaba de crear y aprenderá más sobre los grupos de seguridad en
el camino.

Debería estar en el panel de Instancias de la última sección, observando todas las instancias EC2 en esta región. Si
acaba de terminar la última sección, es posible que su instancia EC2 aún esté funcionando. Puede saberlo mirando
las Estado de la instancia y Comprobaciones de estado columnasSi ve un pendiente o un estado Inicializando,
la instancia aún no está lista.

Mientras espera que su instancia esté lista, seleccione la instancia para ver la pestaña Descripción En la parte
superior de la columna de la derecha, se encuentra la información que necesitamos para acceder a la instancia: las
direcciones IP y los registros DNS asociados con la instancia. Sin embargo, puede ver que esta instancia aún no
tiene una IP pública o DNS. Necesitaremos al menos uno de estos para hacer ping a esta instancia a través de
Internet.

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Para solucionar esto, adjuntaremos una IP elástica a la instancia EC2. En primer lugar, copie el Id. de instancia de
esta instancia EC2 pasando el mouse a la derecha de la línea Id. de instancia en la Descripción y haciendo clic en el
Copiar al portapapeles icono

A continuación, haga clic en IP elásticas en la barra lateral (en la Red y seguridad ). Cree una nueva IP elástica
como antes, excepto que esta vez, no haga clic en el Cerrar . En su lugar, hará lo siguiente: Asignar nueva
dirección, Asignary luego hacer clic en el IP elástica enlace de Solicitud de nueva dirección exitosa .

Ahora está de vuelta en el IP elásticas . Vaya al Acciones menú desplegable Dirección asociada.

Pegue el ID de instancia que copió anteriormente en el Instancia y haga clic en Asociary luego Cerrar.

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Ahora que se adjunta una IP elástica a la instancia EC2, deberíamos poder hacer ping a la instancia a través de
Internet. Ahora tiene una dirección IP pública de la IP elástica y está en la subred pública que tiene una ruta a una
IGW.

En la Descripción , copie la dirección IP elástica.

Para hacer ping a la instancia, debe abrir su interfaz de línea de comandos (CLI). En Windows, abra el símbolo del
sistema. En Mac, abre la Terminal. Escriba ping, luego un espacio, luego pegue la IP elástica desde arriba y haga
clic en entrar.

Si se puede acceder a la instancia, esperamos que aparezcan líneas como

64 bytes de 13.237.153.185: icmp_seq=0 ttl=238 time=169.294 ms

. Sin embargo, verá tiempos de espera de solicitud en su lugar. Verá líneas que dicen algo similar a
Solicitud agotada.

¿Por qué no podemos llegar a esta instancia?

Puede confirmar que la instancia está en la subred pública y verificar la tabla de rutas asociada con esa subred para
asegurarse de que haya una ruta a la IGW.

A continuación, verifiquemos nuestra configuración de red. Como recordará, dejamos la NACL de la subred
pública tal como está, lo que permite todo el tráfico de forma predeterminada. Entonces, verifiquemos el grupo de
seguridad asociado con esta instancia.

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
En el tablero de EC2, vaya a la Instancias en la barra lateral. Seleccione la instancia que creó y mire la pestaña
Descripción En la columna de la izquierda, haga clic en el primer enlace Grupos de seguridad Debería llamarse
algo similar a launch-wizard-1.

Ahora se encuentra en el panel de grupos de seguridad Vaya a la pestaña Entrante

Recuerde que cuando estábamos creando la instancia EC2, solo especificamos la AMI, el tipo de instancia y la
subred de VPC. Dejamos todas las demás configuraciones predeterminadas como están. Una de estas
configuraciones predeterminadas creó este grupo de seguridad, que permite todo el acceso entrante en el puerto
SSH 22.

pings usan ICMP, por lo que necesitaremos cambiar la regla del grupo de seguridad para permitir el tráfico ICMP
en lugar del tráfico SSH. Haga clic en el Editar .

Haga clic en SSH para abrir el menú desplegable y cámbielo a Todos ICMP-IPv4. Haga clic en Guardar.

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Dado que los grupos de seguridad tienen estado, no necesita editar las reglas de salida. El grupo de seguridad
permitirá que la instancia responda al ping ya que vio llegar el ping a la instancia. Este cambio también tendrá
efecto de inmediato, por lo que podemos intentar hacer ping a la instancia nuevamente de inmediato.

Regrese a su CLI y presione la flecha hacia arriba y luego ingrese para intentar hacer ping a la instancia
nuevamente.

¡Buen trabajo! Ha solucionado correctamente el problema de por qué no se podía

acceder a una instancia EC2 y luego accedió a ella a través de Internet.

Probar el acceso a una instancia privada

Opcionalmente, puede realizar el mismo proceso en las últimas dos secciones para probar el acceso a una instancia
EC2 privada. La única diferencia estará en la Configurar detalles de la instancia , seleccionará la subred
privada. Además, si no desea adjuntar una IP elástica, en la misma sección, puede seleccionar Habilitar en
automática de IP pública. Recuerde que esta no es la mejor práctica para los recursos públicos, pero en este caso
la instancia no será accesible de todos modos porque la subred privada no tiene una ruta IGW. Solo queremos una
IP pública para intentar acceder, y para ello basta con la IP pública asignada automáticamente. Además, querrá
abrir su grupo de seguridad desde el principio. De esa forma, esta instancia privada será igual en todos los sentidos
a la instancia pública que acaba de crear, excepto que no tiene una ruta a un IGW y, por lo tanto, no se puede
acceder públicamente.

Limpiar los recursos del laboratorio

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Si desea limpiar su cuenta para deshacerse de todo lo que creamos durante este laboratorio, siga las instrucciones de
esta sección. También puede dejar su entorno de laboratorio en funcionamiento si desea probar otros conceptos de
redes de AWS.

Primero, deberá terminar las instancias EC2 que se ejecutan en la VPC. En el tablero de EC2, seleccione la
instancia pública (así como la instancia privada si creó una), vaya al Acciones menú desplegable Estado de la
instanciay luego Terminar. En la ventana emergente, haga clic en Sí, Terminar. Es posible que deba esperar un
minuto para que las instancias terminen de cerrarse. Observe la Estado de la instancia y espere a que el estado
cambie de apagado a terminado.

Ahora eliminaremos la puerta de enlace NAT que creó el asistente de VPC. Vaya al Servicios en la esquina
superior izquierda y seleccione la VPC tablero deinstrumentos Vaya a la NAT Gateways en la barra lateral. Si hay
varias puertas de enlace NAT, puede consultar la columna VPC para confirmar cuál pertenece a su VPC.
Seleccione esa puerta de enlace NAT y vaya al Acciones menú desplegableSeleccione Eliminar puerta de enlace
NAT. En la ventana emergente, haga clic en Eliminar puerta de enlace NAT nuevamente. La puerta de enlace
NAT puede tardar un minuto en eliminarse. Espere a que el estado cambie de eliminación a eliminado para
asegurarse de que la eliminación de la VPC funcione.

Las direcciones IP elásticas son completamente gratuitas siempre que estén asociadas a un recurso. Sin embargo, si
la puerta de enlace NAT o la instancia EC2 a la que estaban conectados finaliza o elimina, el EIP no conectado
incurrirá en un pequeño cargo mensual. Para limpiar, vaya a IP elásticas en la barra lateral y libere cada EIP que
haya asignado.

Ahora finalmente puede eliminar su VPC. Vaya a la Sus VPC en la barra lateral. Seleccione su VPC, vaya al
Acciones y elija Eliminar VPC. En la ventana emergente, haga clic en Sí, eliminar. Esto tardará aproximadamente
un minuto en completarse.

Recursos adicionales
Introducción a VPC: https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html
Subredes de VPC: https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html
Configuración del asistente de VPC:
https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html
Puertas de enlace NAT: https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html
IP elásticas: https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-eips.html
Grupos de seguridad y NACL: https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html

© 2019, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.