Este artículo demuestra cómo crear y configurar una VPC (Virtual Private Cloud) en Amazon Web Services (AWS). El concepto de VPC en AWS representa lo que sería una VLAN en una red local, extendido a ruteo, subredes y más (una especie de VLAN con esteroides). Se trata de una red privada virtual donde podremos conectar nuestras instancias EC2, RDS y más.

Una VPC es privada ya que sólo veremos tráfico asociado a nuestras instancias, y virtual en el sentido que estamos alojados en una nube pública compartida con miles de otros usuarios de AWS. Siempre hay que tener en cuenta este punto, más allá de que sea una red privada, es virtual. Con lo cual la seguridad y confidencialidad del tráfico en nuestra VPC depende de la seguridad del proveedor de servicios en la nube (en este caso AWS). Por esta razón recomiendo siempre utilizar conexiones seguras (TLS) entre instancias, por más de que sea dentro de una red privada virtual.

VPC

Acceder a la consola de VPC y abrir "Create VPC".

Ingresar un nombre ("vpc_desarrollo"), rango de red (10.50.0.0/16) y deshabilitar IPv6. Presionar "Create VPC".

Para comenzar se deja la tabla de ruteo y ACL de red con los valores por defecto.

Subredes

Luego es necesario definir las subredes necesarias. Por ejemplo es conveniente definir subredes para correo, servidores de bases de datos (RDS) y DMZ para servidores web.

Acceder a "Subnets" desde el menú de la consola de VPC y presionar "Create subnet". Seleccionar la nueva VPC "vpc_desarrollo":

Ingresar el nombre, zona de disponibilidad y rango de subred:

De la misma forma se agregan las siguientes subredes:

  • "Mail": 10.50.5.0/24
  • "RDS-Subnet01-useast1a": 10.50.1.0/24
  • "RDS-Subnet02-useast1b": 10.50.2.0/24
  • "DMZ": 10.50.0.0/24

Acceso a Internet

El siguiente paso consiste en definir un nuevo Internet Gateway para que las instancias en la subred "DMZ" tengan acceso a Internet y NAT (cuando se les asigne una IP pública o elástica).

Abrir "Internet Gateways" desde el menú de la consola de VPC y presionar "Create internet gateway". Especificar un nombre ("igw-desarrollo") y crear.

Desde el Internet Gateway recién creado abrir "Actions > Attach to VPC". Seleccionar la VPC "vpc_desarrollo":

Tablas de ruteo

El siguiente paso consiste en crear una nueva tabla de ruteo para dirigir el tráfico desde la "DMZ" hacia Internet a través del Internet Gateway creado en el paso anterior.

Acceder a "Route Tables" desde el menú de la consola de VPC y presionar "Create route table". Seleccionar la VPC "vpc_desarrollo":

Crear la tabla de ruteo e inmediatamente acceder a la pestaña "Subnet Associations":

Asociar a la subred "DMZ" de la VPC "vpc_desarrollo":

Luego volver a la pestaña "Routes" y hacer clic en "Edit routes". Agregar la ruta hacia "0.0.0.0/0" (default gateway) a través del Internet Gateway creado anteriormente:

Security Groups

Por último es necesario crear al menos un grupo de seguridad para permitir el tráfico desde internet a la DMZ en la VPC "vpc_desarrollo". Acceder al menú "Security Groups" de la consola de VPC y presionar "Create security group".

Los "Security Groups" son esencialmente firewalls que se pueden asociar a diferentes instancias.

La configuración de seguridad de un grupo de seguridad depende de cada caso. Para un servidor Web típico es necesario abrir el acceso a los puertos 80 (HTTP) y 443 (HTTP/S) junto con el acceso por SSH. El grupo de seguridad luego se debe asociar a la instancia EC2 o RDS a la que se desea tener acceso.

La VPC "vpc_desarrollo" junto con sus subredes, security groups, tablas de ruteo y gateway está lista para funcionar.

Referencias

Compartí este artículo