Configuración para el acceso a Internet

Para permitir que las instancias reciban o envíen tráfico desde Internet, realice lo siguiente:

Para proporcionar acceso a Internet a sus instancias sin asignarles direcciones IP públicas, utilice un dispositivo NAT en su lugar. Un dispositivo NAT permite que las instancias de una subred privada se conecten a Internet, pero evita que los anfitriones de Internet inicien conexiones con las instancias. Para obtener más información, consulte Dispositivos NAT.

Subredes públicas y privadas

Si la subred está asociada a una tabla de enrutamiento que tiene una ruta a una puerta de enlace de Internet, esta se denomina subred pública. Si una subred está asociada a una tabla de enrutamiento que no tiene ninguna ruta a una puerta de enlace de Internet, se denomina subred privada.

En la tabla de enrutamiento de la subred pública, puede especificar la ruta de la puerta de enlace de Internet en todos los destinos que no se conocen explícitamente en la tabla (0.0.0.0/0 para IPv4 o ::/0 para IPv6). Si lo desea, también puede establecer el alcance de la ruta en un intervalo más pequeño de direcciones IP; por ejemplo, las direcciones IPv4 públicas de los puntos de enlace públicos de la empresa que estén fuera de AWS o las direcciones IP elásticas de otras instancias de Amazon EC2 externas a la VPC.

Direcciones IP y NAT

Para permitir la comunicación a través de Internet para IPv4, su instancia debe tener una dirección IPv4 pública. Puede definir su VPC para que asigne automáticamente direcciones IPv4 públicas a las instancias, o puede asignar direcciones IP elásticas a las instancias. Su instancia solo tendrá en cuenta el espacio de dirección IP (interno) privado definido en la VPC y la subred. El puerta de enlace de Internet proporciona lógicamente la NAT individual en nombre de su instancia. Por lo tanto, cuando el tráfico sale de su subred de VPC a Internet, el campo de dirección de respuesta se configura con la dirección IPv4 pública o la dirección IP elástica de su instancia y no con su dirección IP privada. Por el contrario, la dirección de destino del tráfico con destino a la dirección IP elástica o la dirección IPv4 pública de su instancia se convertirá a la dirección IPv4 privada de la instancia antes de que el tráfico se entregue a la VPC.

Para permitir la comunicación a través de Internet para IPv6, su VPC y su subred deben tener un bloque de CIDR IPv6 asociado y su instancia debe asignarse a una dirección IPv6 desde el rango de la subred. Las direcciones IPv6 son únicas de forma global y, por lo tanto, públicas de manera predeterminada.

En el siguiente diagrama, la subred de la zona de disponibilidad A es una subred pública. La tabla de enrutamiento de esta subred tiene una ruta que envía todo el tráfico IPv4 vinculado a Internet a la puerta de enlace de Internet. Las instancias de la subred pública deben tener direcciones IP públicas o direcciones IP elásticas para permitir la comunicación con Internet a través de la puerta de enlace de Internet. A modo de comparación, la subred de la zona de disponibilidad B es una subred privada porque su tabla de enrutamiento no tiene ninguna ruta hacia la puerta de enlace de Internet. Las instancias de la subred privada no pueden comunicarse con Internet, incluso si cuentan con direcciones IP públicas, debido a que no existe una ruta a la puerta de enlace de Internet.

Acceso a internet para VPC predeterminadas y no predeterminadas

La tabla siguiente ofrece información general acerca de si una VPC incluye automáticamente los componentes necesarios para el acceso a Internet a través de IPv4 o IPv6.

Para obtener más información acerca de las VPC predeterminadas, consulte VPC predeterminadas. Para obtener más información acerca de la creación de una VPC, consulte Creación de una VPC.