Amazon Virtual Private Cloud

Amazon Virtual Private Cloud
Guia de conceitos básicos
Amazon Virtual Private Cloud Guia de conceitos básicos
Amazon Virtual Private Cloud Guia de conceitos básicos
Amazon Virtual Private Cloud: Guia de conceitos básicos
Copyright © 2016 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any
manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other
trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to,
or sponsored by Amazon.
Amazon Virtual Private Cloud Guia de conceitos básicos
Table of Contents
Visão geral ..................................................................................................................................
Conceitos básicos .........................................................................................................................
Etapa 1: Criar a VPC ............................................................................................................
Exibindo Informações Sobre Your VPC ............................................................................
Etapa 2: Crie um grupo de segurança .....................................................................................
Regras para o grupo de segurança WebserverSG .............................................................
Como criar o seu grupo de segurança WebserverSG .........................................................
Etapa 3: executar uma instância em uma VPC ..........................................................................
Etapa 4: atribua um endereço Elastic IP à instância ...................................................................
Etapa 5: Limpeza ..................................................................................................................
iv
1
2
3
4
5
5
6
6
8
8
Amazon Virtual Private Cloud Guia de conceitos básicos
Visão geral
Uma Virtual Private Cloud (VPC) é uma rede virtual que lembra muito uma rede tradicional que
você pode operar em seu próprio Datacenter, com a vantagem de usar a infraestrutura escalável do
Amazon Web Services (AWS). Após concluir as tarefas deste exercício, você terá uma instância do
Amazon EC2 em execução em uma VPC que pode ser acessada pela Internet utilizando SSH (para
instâncias do Linux) ou a área de trabalho remota (para instâncias do Windows).
Para obter uma visão geral da Amazon VPC, consulte What is Amazon VPC? no Guia do usuário da
Amazon VPC.
O diagrama a seguir mostra a arquitetura que será criada após a conclusão do exercício neste guia.
O grupo de segurança que você configurou e associou à instância permite apenas o tráfego por
meio de portas específicas, a comunicação com a instância é bloqueada de acordo com as regras
especificadas. O uso de um endereço Elastic IP (EIP) permite que uma instância em uma VPC, que
normalmente seria privada, seja acessada pela Internet por meio de um gateway de Internet (por
exemplo, pode atuar como um servidor da Web).
1
Amazon Virtual Private Cloud Guia de conceitos básicos
Conceitos básicos do Amazon VPC
Neste exercício, você vai criar uma VPC e sub-rede, voltado para o público e execute uma instância
em sua sub-rede. A instância poderá se comunicar com a Internet, e você poderá acessar a instância
do seu computador local usando SSH (se uma instância do Linux) ou a área de trabalho remota (se
uma instância do Windows). Em seu ambiente do mundo real, você pode usar este cenário para criar
um servidor da web voltados para o público; por exemplo, para hospedar um blog.
Note
Este exercício é destinado para ajudar você a configurar sua própria VPC não padrão
rapidamente. Se você já tem uma VPC padrão e você deseja começar a iniciar instâncias
para ela (e não a criação ou a configuração de um novo VPC), consulte Inicialização de uma
instância do EC2 em uma VPC padrão.
Para concluir este exercício, você vai fazer o seguinte:
• Crie uma VPC não padrão com uma única sub-rede pública. As sub-redes permitem que você
agrupe instâncias com base em suas necessidades operacionais e de segurança. Uma sub-rede
pública é uma sub-rede que tenha acesso à Internet por meio de um gateway de Internet.
• Criar um grupo de segurança para sua instância que permite apenas o tráfego por meio de portas
específicas.
• Execute uma instância do Amazon EC2 para a sub-rede.
• Associe um endereço Elastic IP à instância. Isso permite que sua instância para acessar a Internet.
Antes que você possa usar a Amazon VPC pela primeira vez, você deve cadastrar-se para uma conta
Amazon Web Services (AWS). Ao se cadastrar, sua conta da AWS é automaticamente habilitada para
todos os serviços da AWS, incluindo a Amazon VPC. Se você ainda não criou uma conta da AWS, vá
para http://aws.amazon.come, em seguida, escolha Crie uma conta gratuita.
Note
Este exercício pressupõe que a sua conta é compatível com a plataforma EC2-VPC somente.
Se sua conta também é compatível com a mais antiga plataforma EC2-Classic, você ainda
pode seguir as etapas neste exercício; no entanto, você não tem uma VPC padrão na sua
conta para comparar em sua VPC não padrão. Para obter mais informações, consulte
Plataformas suportadas.
2
Amazon Virtual Private Cloud Guia de conceitos básicos
Etapa 1: Criar a VPC
Índice
• Etapa 1: Criar a VPC (p. 3)
• Etapa 2: Crie um grupo de segurança (p. 5)
• Etapa 3: executar uma instância em uma VPC (p. 6)
• Etapa 4: atribua um endereço Elastic IP à instância (p. 8)
• Etapa 5: Limpeza (p. 8)
Etapa 1: Criar a VPC
Nesta etapa, você vai usar a Amazon VPC no Amazon VPC assistente de console para criar um VPC.
O assistente realizará as seguintes etapas para você:
• Cria uma VPC com um bloco CIDR/16 (uma rede com 65.536 endereços IP privados). Para obter
mais informações sobre notação CIDR e o dimensionamento de uma VPC, consulte Your VPC.
• Anexar um gateway de Internet à VPC. Para obter mais informações sobre gateways de Internet,
consulte Gateways da Internet.
• Cria uma sub-rede de tamanho/24 (um intervalo de 256 endereços IP privados) na VPC.
• Cria uma tabela de rota personalizada, e associa-lo com a sua sub-rede, de modo que o tráfego
possa fluir entre a sub-rede e o gateway de Internet. Para obter mais informações sobre tabelas de
rota, consulte Route Tables.
O diagrama a seguir representa a arquitetura de sua VPC depois de concluir esta etapa.
Note
Este exercício cobre o primeiro cenário no assistente da VPC. Para obter mais informações
sobre os outros cenários, acesse Scenarios for Amazon VPC (Cenários para Amazon VPC).
Para criar uma VPC usando o Amazon VPC Wizard
1.
Abra o console Amazon VPC em https://console.aws.amazon.com/ vpc/.
2.
Na barra de navegação, na parte superior direita, anote a região em que você estará criando
o VPC. Certifique-se de que você continuar trabalhando na mesma região para o restante
deste exercício, já que não é possível executar uma instância em sua VPC a partir de uma
região diferente. Para obter mais informações sobre regiões, consulte regiões e zonas de
disponibilidade.
3.
No painel de navegação, selecione VPC painel e, em seguida, escolha Start VPC Wizard.
Note
Não escolha Your VPCs no painel de navegação; você não pode acessar o assistente da
VPC a partir desta página.
4.
Escolha a primeira opção, VPC with a Single Public Subnet e, em seguida, escolha Selecionar.
5.
Na página de configuração, insira um nome para sua VPC no campo Nome da VPC; por exemplo,
my-vpc, e insira um nome para sua sub-rede no campo Nome da sub-rede. Isso ajuda você a
identificar o VPC e sub-rede no console Amazon VPC depois que você tiver criado. Para este
3
Amazon Virtual Private Cloud Guia de conceitos básicos
Exibindo Informações Sobre Your VPC
exercício, você pode deixar o resto das definições de configuração na página, e escolha Criar
VPC.
(Opcional) Se você preferir, você pode modificar as definições de configuração conforme a seguir
e, em seguida, escolha Criar VPC.
• O bloco CIDR IP exibe o intervalo de endereços IP que você vai usar para seu VPC (subrede10.0.0.0/16pública ) e o campo exibe o intervalo de endereços IP que você vai usar
para a sub-rede (10.0.0.0/24). Se você não deseja usar o padrão de intervalos CIDR, você
pode especificar o seu próprio. Para obter mais informações, consulte VPC e sub-rede de
dimensionamento de dimensionamento.
• A zona de disponibilidade lista permite que você selecione a zona de disponibilidade na qual
criar a sub-rede. Você pode deixar No Preference para permitir que o AWS escolher uma
zona de disponibilidade para você. Para obter mais informações, consulte Regiões e zonas de
disponibilidade.
• Em Adicionar endpoints para S3 para suas sub-redes seção, você pode selecionar uma subrede na qual criar uma VPC endpoint para o Amazon S3 na mesma região. Para obter mais
informações, consulte VPC Endpoints.
• A opção Ativar os nomes de hosts DNS, quando definido como Sim, assegura que as instâncias
que são executadas em sua VPC, você recebe um host DNS. Para obter mais informações,
consulte Using DNS with Your VPC.
• A opção de locação de hardware permite que você selecione se as instâncias executadas em
sua VPC são executadas em hardware compartilhado ou dedicado. A seleção de uma locação
dedicada incorre em custos adicionais. Para obter mais informações sobre propriedade de
hardware, consulte Instâncias dedicadas.
6.
Uma janela de status mostra o trabalho em andamento. Quando o trabalho for concluído, escolha
OK para fechar a janela de status.
7.
A página Your VPCs exibe sua VPC padrão e a VPC recém-criada. A VPC que você criou é uma
VPC não padrão, portanto, a coluna VPC Padrão exibe Não.
de VPCs
Exibindo Informações Sobre Your VPC
Depois que você tiver criado a VPC, você pode exibir informações sobre a sub-rede e o gateway de
Internet e as tabelas de rota. A VPC tem duas tabelas de rota criados — uma tabela de rota principal
que todas as VPCs têm por padrão, e uma tabela de rota personalizada que foi criado pelo assistente.
A tabela de rota personalizada é associado a sua sub-rede, o que significa que as rotas nessa tabela
para determinar como o tráfego da sub-rede flui. Se você adicionar uma nova sub-rede à VPC, a
tabela de rota principal será usada como padrão.
Para visualizar informações sobre o VPC
1.
Abra o console Amazon VPC em https://console.aws.amazon.com/ vpc/.
2.
No painel de navegação, selecione suas VPCs. Anote o nome e o ID da VPC que você criou
(observe o ID da VPC Name e colunas). Você usará essas informações para identificar os
componentes que estão associados à sua VPC.
3.
No painel de navegação, escolha Sub-redes. O console exibe a sub-rede que foi criada quando
você criou sua VPC. Você pode identificar a sub-rede por seu nome na coluna Nome, ou você
pode usar a VPC informações que você obteve na etapa anterior e procure na coluna VPC.
4.
No painel de navegação, selecione Gateways da Internet. Você pode encontrar o gateway de
Internet que está anexado a sua VPC ao analisar a coluna VPC, que exibe o ID e o nome (se
aplicável) do VPC.
4
Amazon Virtual Private Cloud Guia de conceitos básicos
Etapa 2: Crie um grupo de segurança
5.
No painel de navegação, clique em Route Tables (Tabelas de rotas). Há duas tabelas de rota
associado ao VPC. Selecione a tabela de rota personalizada (a coluna Main (Principal) tem No
(Não)) e clique na guia Routes (Rotas)para exibir as informações de rota no painel de detalhes:
• A primeira linha na tabela é a rota local, que permite instâncias na VPC para comunicar. Essa
rota está presente em cada tabela de rota por padrão, e você não pode removê-la.
6.
• A segunda linha mostra a rota que o assistente da Amazon VPC adicionou para permitir que o
tráfego destinado para qualquer endereço IP fora da VPC (0.0.0.0/0) flua da sub-rede para o
gateway de Internet.
Selecione a tabela de rota principal. A tabela de rota principal tem uma rota local, mas não há
outras rotas.
Etapa 2: Crie um grupo de segurança
Um grupo de segurança atua como um firewall virtual para controlar o tráfego permitido para as
instâncias associadas. Para usar um grupo de segurança, você adiciona regras de entrada para
controlar o tráfego de entrada para a instância e regras de saída para controlar o tráfego de saída
da sua instância. Para associar um grupo de segurança com uma instância, você especifica o
grupo de segurança quando você executar a instância. Se você adicionar ou remover regras do
grupo de segurança, aplicaremos estas alterações à instância associada ao grupo de segurança
automaticamente.
Sua VPC é fornecida com um grupo de segurança padrão. As instâncias não associadas a outro grupo
de segurança serão associadas ao grupo de segurança padrão. Neste exercício, você vai criar um
novo grupo de segurança, WebServerSGe especificar este grupo de segurança quando você executar
uma instância na VPC.
Tópicos
• Regras para o grupo de segurança WebserverSG (p. 5)
• Como criar o seu grupo de segurança WebserverSG (p. 6)
Regras para o grupo de segurança WebserverSG
A tabela a seguir descreve as regras de entrada e saída para o grupo de WebServerSG segurança.
Você vai adicionar regras de entrada. A regra de saída é uma regra padrão que permite que todas as
comunicações de saída para qualquer lugar — você não precisa adicionar essa regra.
Entrada
IP de origem
protocolo
Intervalo de
Portas
comentários
0.0.0.0/0
TCP
80
Permite acesso HTTP de entrada de
qualquer lugar.
0.0.0.0/0
TCP
443
Permite acesso HTTPS de entrada de
qualquer lugar.
Intervalo de
endereços IP
públicos da sua
rede doméstica
TCP
22
Permite acesso SSH de entrada
de sua rede doméstica para uma
instância do Linux/UNIX.
Intervalo de
endereços IP
TCP
3389
Permite acesso RDP de entrada
de sua rede doméstica para uma
instância do Windows.
5
Amazon Virtual Private Cloud Guia de conceitos básicos
Como criar o seu grupo de segurança WebserverSG
públicos da sua
rede doméstica
Saída
IP de destino
protocolo
Intervalo de
Portas
comentários
0.0.0.0/0
Tudo
Tudo
A regra de saída padrão que permite
que todas as comunicações de saída.
Como criar o seu grupo de segurança WebserverSG
Você pode criar o seu grupo de segurança usando o console Amazon VPC.
Para criar o grupo de segurança WebServerSG e adicionar regras
1.
Abra o console Amazon VPC em https://console.aws.amazon.com/ vpc/.
2.
No painel Navigation, clique em Security Groups.
3.
Escolha Criar Grupo de Segurança.
4.
No campo, insira o nome do grupo WebServerSG como o nome do grupo de segurança e forneça
uma descrição. Opcionalmente, você pode usar o campo Nome da tag para criar uma tag para o
grupo de segurança com uma chave Name e um valor que você especificar.
Selecione o ID de sua VPC no menu VPC e clique em Yes, Create.
5.
6.
Selecione o grupo de WebServerSG segurança que você acabou de criar (você pode visualizar
seu nome na coluna Nome do grupo).
7.
Na guia Inbound Rules (Regras de entrada), clique em Edit (Editar) e adicione regras para tráfego
de entrada da seguinte forma e, em seguida, escolha Salvar quando você está feito:
a.
b.
c.
Selecione HTTP da lista Type (Tipo) e insira 0.0.0.0/0 no campo Source (Origem).
Clique em Add another rule (Adicionar outra regra), selecione HTTPS da lista Type (Tipo) e
insira 0.0.0.0/0 no campo Source (Origem).
Escolha Adicionar outra regra. Se você estiver iniciando uma instância Linux, selecione SSH
da lista Type (Tipo), ou se você estiver iniciando uma instância do Windows, selecione RDP
da lista Type (Tipo). Insira o intervalo de endereços IP públicos da sua rede no campo Source
(Origem). Se não souber este intervalo de endereços, você poderá usar 0.0.0.0/0 para
este exercício.
Caution
Ao usar o 0.0.0.0/0, você permite que todos os endereços IP acessem sua
instância usando o SSH ou o RDP. Isso é aceitável para um exercício rápido, mas
não é seguro para ambientes de produção. Na produção, você autorizará apenas um
endereço IP específico ou intervalo de endereços para acessar a instância.
de segurança
Etapa 3: executar uma instância em uma VPC
Quando você executa uma instância do EC2 em uma VPC, você deve especificar o subnet no qual
a instância será executada. Neste caso, você vai iniciar uma instância na sub-rede pública da VPC
6
Amazon Virtual Private Cloud Guia de conceitos básicos
Etapa 3: executar uma instância em uma VPC
que você criou. Você vai usar o Amazon EC2 assistente de inicialização no console Amazon EC2 para
executar sua instância.
O diagrama a seguir representa a arquitetura de sua VPC depois de concluir esta etapa.
Para executar uma instância do EC2 em uma VPC
1.
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
2.
Na barra de navegação, na parte superior direita, selecione a mesma região em que você criou
sua VPC e grupo de segurança.
3.
No painel, escolha Iniciar instância.
4.
Na primeira página do assistente, escolha a AMI que deseja usar. Para este exercício,
recomendamos que você escolha uma Amazon Linux AMI ou AMI Windows.
5.
Na página Choose an Instance Type (Escolher um tipo de instância), selecione a configuração do
hardware e o tamanho da instância a ser executada. Por padrão, o assistente seleciona o primeiro
tipo de instância disponível com base na AMI que você selecionou. Você pode deixar a seleção
padrão e, em seguida, escolha Next: Configure Instance Details (Próximo: Configurar detalhes da
instância).
6.
Na página Configure Instance Details (Configurar detalhes da instância), selecione VPC que
você criou na lista Network (Rede) e sub-rede na lista Subnet (Sub-rede). Deixe o resto das
configurações padrão e passar pelo próximas páginas do assistente até que você obtenha a
página Tag Instance (Identificar instâncias).
7.
Na página Tag Instance (Identificar instâncias), você pode colocar sua instância com uma Name
tag; por exemplo Name=MyWebServer. Isso ajuda você a identificar sua instância no console
Amazon EC2 depois que você iniciou. Clique em Next: Configure Security Group (Próximo:
Configurar grupo de segurança) quando estiver pronto.
8.
Na página Configure Security Group (Configurar grupo de segurança), o assistente
automaticamente define o grupo de segurança x do assistente de lançamento para permitir que
você se conecte à sua instância. Em vez disso, escolha a opção Select an existing security group
(Selecionar um grupo, selecione o grupo de WebServerSG que você criou anteriormente e, em
seguida, escolha Revisar e Executar.
9.
Na página Review Instance Launch (Avaliar execução da instância), verifique os detalhes da sua
instância e, em seguida, escolha Iniciar.
10. Na caixa de diálogo Select an existing key pair or create a new key pair (Selecionar um par de
chaves existente ou criar um novo par de chaves), você poderá escolher um par de chaves
existente ou poderá criar um novo. Se criar um novo par de chaves, assegure-se de ter baixado
e armazenado o arquivo em um local seguro. Você precisará do conteúdo da chave privada para
conectar-se à sua instância depois que ela for executada.
Para executar uma instância, selecione a caixa de seleção de confirmação e clique em Launch
Instances (Executar instâncias).
11. Na página de confirmação, escolha Visualizar Instâncias para visualizar sua instância na página
Instances. Selecione sua instância e exibir seus detalhes na guia Descrição. O campo IPs
privados exibe o endereço IP privado atribuído a sua instância a partir do intervalo de endereços
IP na sub-rede.
Para obter mais informações sobre as opções disponíveis no Amazon EC2 assistente de inicialização,
consulte Inicialização de uma instância no Guia do usuário do Amazon EC2 para instâncias do Linux.
7
Amazon Virtual Private Cloud Guia de conceitos básicos
Etapa 4: atribua um endereço Elastic IP à instância
Etapa 4: atribua um endereço Elastic IP à
instância
Na etapa anterior, você iniciou sua instância em uma sub-rede pública — uma sub-rede que tem uma
rota para um gateway de Internet. No entanto, a instância em sua sub-rede também precisa de um
endereço IP público para poder se comunicar com a Internet. Por padrão, uma instância em uma
VPC não padrão não é atribuída um endereço IP público. Nesta etapa, você vai alocar um endereço
Elastic IP à sua conta e, em seguida, associá-lo com a sua instância. Para obter informações sobre
endereços Elastic IP, consulte Elastic IP Addresses (Endereços Elastic IP).
O diagrama a seguir representa a arquitetura de sua VPC depois de concluir esta etapa.
Para alocar e atribuir um endereço Elastic IP
1.
2.
Abra o console Amazon VPC em https://console.aws.amazon.com/ vpc/.
No painel Navigation, clique em Elastic IPs.
3.
Escolha Allocate New Address e, em seguida, Sim, alocar).
Note
Se a sua conta é compatível com EC2-Classic, primeiro selecione EC2-VPC na lista
Network platform (Plataforma de rede).
4.
5.
Selecione o novo endereço Elastic IP na lista, escolha Ações e, em seguida, escolha Associate
Address.
Na caixa de diálogo, escolha Instance (Interface de rede) na lista Associate with (Associar com) e,
em seguida, selecione sua instância na lista de instâncias. Escolha Sim, Associate quando você
estiver pronto.
A instância agora pode ser acessada pela Internet. Você pode se conectar à sua instância através de
seu endereço Elastic IP usando SSH ou área de trabalho remota de sua rede doméstica. Para obter
instruções sobre como se conectar a uma instância do Linux, consulte Connect to Your Linux Instance
no Guia do usuário do Amazon EC2 para instâncias do Linux. Para obter mais informações sobre
como se conectar a uma instância do Windows, consulte Connect to Your Linux Instance Using RDP
no Guia do usuário do Amazon EC2 para instâncias do Microsoft Windows.
Isso conclui o exercício. Você pode optar por continuar a usar sua instância em sua VPC, ou se você
não precisar da instância, você pode encerrá-la e liberar seu endereço Elastic IP para evitar ser
cobrado para eles. Você também pode excluir sua VPC — observe que você não será cobrado pela
VPC e VPC componentes criados neste exercício (como a sub-redes e tabelas de rota).
Etapa 5: Limpeza
Antes de excluir a VPC, é preciso finalizar as instâncias em execução na VPC. Se você excluir uma
VPC usando o console da VPC, os recursos associados a ela também são excluídos, como subredes, grupos de segurança, ACLs de rede, conjuntos de opções DHCP, tabelas de rota e gateways
de Internet.
Para encerrar sua instância, liberar seu endereço Elastic IP e excluir a VPC
1.
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
2.
No painel de navegação, escolha Instâncias.
8
Amazon Virtual Private Cloud Guia de conceitos básicos
Etapa 5: Limpeza
3.
Selecione a instância, escolha Açõese, em seguida, Estado da Instância e, em seguida,
Terminate.
4.
Na caixa de diálogo, expanda a seção Elastic IPs Release anexados, e selecione a caixa de
seleção próxima ao endereço Elastic IP. Escolha Sim, Terminate.
5.
6.
7.
Abra o console Amazon VPC em https://console.aws.amazon.com/ vpc/.
No painel de navegação, selecione suas VPCs.
Selecione a VPC, escolha Ações e, em seguida, escolha Excluir VPC.
8.
Quando a confirmação for solicitada, clique em Yes, Delete.
9