/
Começando com VPC

Começando com VPC

May 22, 2025

Pré-requisitos

Antes de começar, valide os seguintes processos:

 

 

VPC - Virtual Private Cloud 

Sobre nuvens privadas virtuais 

 

Virtual Private Cloud é uma parte privada e isolada do Portal. Uma VPC pode ter sua própria topologia de rede virtual que se assemelha a uma rede física tradicional. Você pode iniciar instâncias na rede virtual que podem ter endereços privados no intervalo de sua escolha, por exemplo: 10.0.0.0/16. 

 

Você pode definir tiers de rede dentro de seu intervalo de rede VPC, o que, permite agrupar tipos semelhantes de instâncias com base no intervalo de endereços IP, por exemplo, se um VPC tiver o intervalo privado 172.16.0.0/16, suas redes convidadas podem ter os intervalos de rede 172.16.1.0/24, 172.16.2.0/24 e assim por diante, conforme exemplo ilustrado.

 

 

Principais componentes de uma VPC 

Obs : Clientes que utilizam do recurso VPC podem utilizar até 12 VPNs site-to-site e até 25 VPNs client-to-site sem custo adicional.

 

Uma VPC é composto pelos seguintes componentes de rede:

 

  • VPC : uma VPC atua como um contêiner para várias redes isoladas que podem se comunicar entre si por meio de seu roteador virtual.

  • Tiers de rede : cada tier atua como uma rede isolada com sua própria lista CIDR, onde você pode colocar grupos de recursos, como instâncias. O NIC de cada camada atua como seu gateway.

  • Roteador virtual : um roteador virtual é criado e iniciado automaticamente quando você cria uma VPC. O roteador virtual conecta os tiers e direciona o tráfego entre o gateway público, os gateways VPN e as instâncias NAT. Para cada tier, um NIC e um IP correspondentes existem no roteador virtual. O roteador virtual fornece serviços DNS e DHCP por meio de seu IP.

  • Gateway privado : todo o tráfego de e para uma rede privada roteado para o VPC por meio do gateway privado. Para obter mais informações.

  • Gateway VPN : o lado VPC de uma conexão VPN.

  • Conexão VPN Site to Site : Uma conexão VPN baseada em hardware entre seu VPC e seu datacenter, rede doméstica ou instalação de colocação.

  • Gateway do cliente : o lado do cliente de uma conexão VPN. 

  • Instância NAT : uma instância que fornece tradução de endereço de porta para instâncias de acesso à Internet por meio do gateway público. 

  • ACL de rede : um grupo de itens de rede ACL. Os itens da ACL são do que regras numeradas que são avaliadas em ordem, começando com a regra de menor número. Essas regras determinam se o tráfego é permitido dentro ou fora de qualquer camada associada à rede ACL. 

 

Opções de conectividade para um VPC 

 

Você pode conectar seu VPC a:

 

  • A Internet através do portal.

  • O datacenter corporativo usando uma conexão VPN site to site por meio do gateway VPN.

  • Tanto a Internet quanto seu datacenter corporativo usando o gateway público e um gateway VPN.

 

Considerações sobre a rede VPC 

Considere o seguinte antes de criar um VPC:

 

  • Um tier/ camada pertence a apenas uma VPC.

  • Quando uma VPC é criada, um IP SourceNAT é alocado para ele. O IP NAT de origem é liberado apenas quando o VPC é removido.

  • Um IP público pode ser usado apenas para uma finalidade de cada vez. Se o IP for um sourceNAT, ele não poderá ser usado para StaticNAT ou encaminhamento de porta.

  • As instâncias só podem ter um endereço IP privado que você provisiona. Para se comunicar com a Internet, habilite o NAT para uma instância que você inicia em seu VPC.

  • Apenas novas redes podem ser adicionadas a um VPC.

  • O serviço de balanceamento de carga pode ser compatível com apenas uma camada dentro do VPC.

  • Se um endereço IP for atribuído a uma camada:

    • Esse IP não pode ser usado por mais de uma camada por vez no VPC. Por exemplo, se você tiver níveis A e B e um IP público, poderá criar uma regra de encaminhamento de porta usando o IP para A ou B, mas não para ambos.

    • Esse IP não pode ser usado para StaticNAT, balanceamento de carga ou regras de encaminhamento de porta para outra rede de convidado dentro do VPC.

  • A VPN de acesso remoto não é compatível com redes VPC.

 

Criando uma VPC:

 

  • Nome : um nome curto para a VPC que você está criando.

  • Descrição : uma breve descrição da VPC.

  • Super CIDR para redes convidadas : define o intervalo CIDR para todas os tiers (redes convidadas) em uma VPC. Ao criar um tier, certifique-se de que seu CIDR esteja dentro do valor Super CIDR inserido. O CIDR deve ser compatível com RFC1918.

  • Domínio DNS para redes convidadas : Se você deseja atribuir um nome de domínio especial, especifique o sufixo DNS. Este parâmetro é aplicado a todas as camadas do VPC. Isso significa que todas as camadas que você cria no VPC pertencem ao mesmo domínio DNS. Se o parâmetro não for especificado, um nome de domínio DNS será gerado automaticamente.

 

Tiers/ camadas:

Os tiers são locais distintos em uma VPC que atuam como redes isoladas, que não têm acesso a outros tiers por padrão. 

 

  • Nome : um nome exclusivo para o tier que você cria.

  • Oferta de rede : As seguintes ofertas de rede padrão são listadas:

    • Oferta de Tier VPC - Web

      • Balanceamento de carga geral, incluindo LB interno, App e DB;

    • Oferta de Tier VPC com LB interno

      • Possibilita balanceamento de carga entre as instâncias do tier;

    • Oferta de Tier VPC com LB interno - App

      • Possibilita balanceamento de carga entre as instâncias com a parte web de uma aplicação;

    • Oferta de Tier VPC com LB interno - DB

      • Possibilita balanceamento de carga entre as instâncias com a parte de banco de uma aplicação;

Info

Em um VPC, apenas um nível pode ser criado usando a oferta de rede habilitada para LB.

  • Máscara de rede : a máscara de rede para a camada que você cria.

  • Por exemplo, se o CIDR do VPC for 10.0.0.0/16 e o CIDR da camada de rede for 10.0.1.0/24 e a máscara de rede da camada será 255.255.255.0.

 

ACLs

 

Defina a lista de controle de acesso à rede (ACL) no roteador virtual VPC para controlar o tráfego de entrada e saída entre os tiers/ camadas VPC e as camadas e a Internet. 

Por padrão, todo o tráfego de entrada para as redes convidados é bloqueado e todo o tráfego de saída das redes convidados é permitido, uma vez que você adiciona uma regra ACL para o tráfego de saída, então apenas o tráfego de saída especificado nesta regra de ACL é permitido, o resto é bloqueado. 

Para abrir as portas, você deve criar uma nova ACL de rede. 

 

Sobre listas de rede ACL 

 

O Network ACL é um grupo de itens de Network ACL. Os itens da ACL de rede nada mais são do que regras numeradas que são avaliadas em ordem, começando com a regra de menor número.  Essas regras determinam se o tráfego é permitido dentro ou fora de qualquer camada associada à rede ACL. 

Você precisa adicionar os itens da ACL da rede à ACL da rede e, em seguida, associar a ACL da rede a uma camada. A ACL de rede está associada a uma VPC e pode ser atribuída a vários tiers de VPC. Um tier está sempre associado a uma rede ACL.

A rede ACL padrão é usada quando nenhuma ACL está associada. O comportamento padrão é que todo o tráfego de entrada é bloqueado e o tráfego de saída é permitido a partir das camadas. A ACL de rede padrão não pode ser removida ou modificada. Tendo ela como configuração os seguintes parâmetros:

 

Regra

Protocolo

Tipo de tráfego

Ação

CIDR

1

Tudo

Entrada

Negar

0.0.0.0/0

2

Tudo

Saída

Negar

0.0.0.0/0

 

Criando lista ACL:

 

  • Número da regra : a ordem em que as regras são avaliadas.

  • CIDR : O CIDR atua como o CIDR de origem para as regras de entrada e o CIDR de destino para as regras de saída. Para aceitar o tráfego apenas de ou para os endereços IP dentro de um bloco de endereço específico, insira um CIDR ou uma lista separada por vírgulas de CIDRs. O CIDR é o endereço IP base do tráfego de entrada. Por exemplo, 192.168.0.0/22. Para permitir todos os CIDRs, defina como 0.0.0.0/0.

  • Ação : qual ação a ser executada. Permitir(allow) tráfego ou bloquear(deny).

  • Protocolo : o protocolo de rede que as origens usam para enviar tráfego para a camada. Os protocolos TCP e UDP são normalmente usados para troca de dados e comunicações com o usuário final. O protocolo ICMP é normalmente usado para enviar mensagens de erro ou dados de monitoramento de rede. O All suporta todos os tráfegos. Usando a outras opções é necessário o número do protocolo.

  • Porta inicial , porta final (somente TCP, UDP): uma faixa de portas que são o destino do tráfego de entrada. Se você estiver abrindo uma única porta, use o mesmo número em ambos os campos.

  • Número do protocolo : o número do protocolo associado ao IPv4 ou IPv6.

  • Tipo ICMP , Código ICMP (apenas ICMP): O tipo de mensagem e código de erro que será enviado.

  • Tipo de tráfego : o tipo de tráfego: entrada(ingress) ou saída(egress).

 

Adquirindo um novo endereço IP para um VPC 

 

Quando você adquire um endereço IP, todos os endereços são alocados para a VPC, não para as redes de convidados dentro do VPC. Os IPs são associados à rede do convidado apenas quando o primeiro encaminhamento de porta, balanceamento de carga ou regra de NAT estático é criado para o IP ou a rede. O IP não pode ser associado a mais de uma rede ao mesmo tempo.

 

Habilitando ou desabilitando o NAT estático em um VPC

 

Uma regra de NAT estática mapeia um endereço IP público para o endereço IP privado de uma instância em um VPC para permitir o tráfego da Internet para ele.

Se as regras de encaminhamento de porta já estiverem em vigor para um endereço IP, você não poderá habilitar o NAT estático para esse IP.

Se uma instância convidada fizer parte de mais de uma rede, as regras de NAT estáticas funcionarão apenas se forem definidas na rede padrão.