Começando com VPC

Obs : Clientes que utilizam do recurso VPC podem utilizar até 12 VPNs site-to-site e até 25 VPNs client-to-site sem custo adicional.


Nesse manual iremos lhe introduzir a VPC do portal.

Índice

Pré-requisitos


Antes de começar, valide os seguintes processos:



VPC - Virtual Private Cloud 


Sobre nuvens privadas virtuais 


Virtual Private Cloud é uma parte privada e isolada do Portal. Uma VPC pode ter sua própria topologia de rede virtual que se assemelha a uma rede física tradicional. Você pode iniciar instâncias na rede virtual que podem ter endereços privados no intervalo de sua escolha, por exemplo: 10.0.0.0/16. 


Você pode definir tiers de rede dentro de seu intervalo de rede VPC, o que, permite agrupar tipos semelhantes de instâncias com base no intervalo de endereços IP, por exemplo, se um VPC tiver o intervalo privado 172.16.0.0/16, suas redes convidadas podem ter os intervalos de rede 172.16.1.0/24, 172.16.2.0/24 e assim por diante, conforme exemplo ilustrado.



Principais componentes de uma VPC 


Obs : Clientes que utilizam do recurso VPC podem utilizar até 12 VPNs site-to-site e até 25 VPNs client-to-site sem custo adicional.


Uma VPC é composto pelos seguintes componentes de rede:


  • VPC : uma VPC atua como um contêiner para várias redes isoladas que podem se comunicar entre si por meio de seu roteador virtual.
  • Tiers de rede : cada tier atua como uma rede isolada com sua própria lista CIDR, onde você pode colocar grupos de recursos, como instâncias. O NIC de cada camada atua como seu gateway.
  • Roteador virtual : um roteador virtual é criado e iniciado automaticamente quando você cria uma VPC. O roteador virtual conecta os tiers e direciona o tráfego entre o gateway público, os gateways VPN e as instâncias NAT. Para cada tier, um NIC e um IP correspondentes existem no roteador virtual. O roteador virtual fornece serviços DNS e DHCP por meio de seu IP.
  • Gateway privado : todo o tráfego de e para uma rede privada roteado para o VPC por meio do gateway privado. Para obter mais informações.
  • Gateway VPN : o lado VPC de uma conexão VPN.
  • Conexão VPN Site to Site : Uma conexão VPN baseada em hardware entre seu VPC e seu datacenter, rede doméstica ou instalação de colocação.
  • Gateway do cliente : o lado do cliente de uma conexão VPN. 
  • Instância NAT : uma instância que fornece tradução de endereço de porta para instâncias de acesso à Internet por meio do gateway público. 
  • ACL de rede : um grupo de itens de rede ACL. Os itens da ACL são do que regras numeradas que são avaliadas em ordem, começando com a regra de menor número. Essas regras determinam se o tráfego é permitido dentro ou fora de qualquer camada associada à rede ACL. 


Opções de conectividade para um VPC 



Você pode conectar seu VPC a:


  • A Internet através do portal.
  • O datacenter corporativo usando uma conexão VPN site to site por meio do gateway VPN.
  • Tanto a Internet quanto seu datacenter corporativo usando o gateway público e um gateway VPN.


Considerações sobre a rede VPC 

Considere o seguinte antes de criar um VPC:


  • Um tier/ camada pertence a apenas uma VPC.
  • Quando uma VPC é criada, um IP SourceNAT é alocado para ele. O IP NAT de origem é liberado apenas quando o VPC é removido.
  • Um IP público pode ser usado apenas para uma finalidade de cada vez. Se o IP for um sourceNAT, ele não poderá ser usado para StaticNAT ou encaminhamento de porta.
  • As instâncias só podem ter um endereço IP privado que você provisiona. Para se comunicar com a Internet, habilite o NAT para uma instância que você inicia em seu VPC.
  • Apenas novas redes podem ser adicionadas a um VPC.
  • O serviço de balanceamento de carga pode ser compatível com apenas uma camada dentro do VPC.
  • Se um endereço IP for atribuído a uma camada:
    • Esse IP não pode ser usado por mais de uma camada por vez no VPC. Por exemplo, se você tiver níveis A e B e um IP público, poderá criar uma regra de encaminhamento de porta usando o IP para A ou B, mas não para ambos.
    • Esse IP não pode ser usado para StaticNAT, balanceamento de carga ou regras de encaminhamento de porta para outra rede de convidado dentro do VPC.
  • A VPN de acesso remoto não é compatível com redes VPC.


Criando uma VPC:



  • Nome : um nome curto para a VPC que você está criando.
  • Descrição : uma breve descrição da VPC.
  • Super CIDR para redes convidadas : define o intervalo CIDR para todas os tiers (redes convidadas) em uma VPC. Ao criar um tier, certifique-se de que seu CIDR esteja dentro do valor Super CIDR inserido. O CIDR deve ser compatível com RFC1918.

    Dica

    Os blocos de IP livres para uso em redes privadas liberados pela IANA são:

    10.0.0.0 - 10.255.255.255 

    172.16.0.0 - 172.31.255.255

    192.168.0.0 - 192.168.255.255

  • Domínio DNS para redes convidadas : Se você deseja atribuir um nome de domínio especial, especifique o sufixo DNS. Este parâmetro é aplicado a todas as camadas do VPC. Isso significa que todas as camadas que você cria no VPC pertencem ao mesmo domínio DNS. Se o parâmetro não for especificado, um nome de domínio DNS será gerado automaticamente.


Tiers/ camadas:


Os tiers são locais distintos em uma VPC que atuam como redes isoladas, que não têm acesso a outros tiers por padrão. 


  • Nome : um nome exclusivo para o tier que você cria.
  • Oferta de rede : As seguintes ofertas de rede padrão são listadas:
    • Oferta de Tier VPC - Web
      • Balanceamento de carga geral, incluindo LB interno, App e DB;
    • Oferta de Tier VPC com LB interno
      • Possibilita balanceamento de carga entre as instâncias do tier;
    • Oferta de Tier VPC com LB interno - App
      • Possibilita balanceamento de carga entre as instâncias com a parte web de uma aplicação;
    • Oferta de Tier VPC com LB interno - DB

      • Possibilita balanceamento de carga entre as instâncias com a parte de banco de uma aplicação;

Info

Em um VPC, apenas um nível pode ser criado usando a oferta de rede habilitada para LB.

  • Máscara de rede : a máscara de rede para a camada que você cria.
  • Por exemplo, se o CIDR do VPC for 10.0.0.0/16 e o CIDR da camada de rede for 10.0.1.0/24 e a máscara de rede da camada será 255.255.255.0.


ACLs



Defina a lista de controle de acesso à rede (ACL) no roteador virtual VPC para controlar o tráfego de entrada e saída entre os tiers/ camadas VPC e as camadas e a Internet. 

Por padrão, todo o tráfego de entrada para as redes convidados é bloqueado e todo o tráfego de saída das redes convidados é permitido, uma vez que você adiciona uma regra ACL para o tráfego de saída, então apenas o tráfego de saída especificado nesta regra de ACL é permitido, o resto é bloqueado. 

Para abrir as portas, você deve criar uma nova ACL de rede. 


Sobre listas de rede ACL 


O Network ACL é um grupo de itens de Network ACL. Os itens da ACL de rede nada mais são do que regras numeradas que são avaliadas em ordem, começando com a regra de menor número.  Essas regras determinam se o tráfego é permitido dentro ou fora de qualquer camada associada à rede ACL. 

Você precisa adicionar os itens da ACL da rede à ACL da rede e, em seguida, associar a ACL da rede a uma camada. A ACL de rede está associada a uma VPC e pode ser atribuída a vários tiers de VPC. Um tier está sempre associado a uma rede ACL.

A rede ACL padrão é usada quando nenhuma ACL está associada. O comportamento padrão é que todo o tráfego de entrada é bloqueado e o tráfego de saída é permitido a partir das camadas. A ACL de rede padrão não pode ser removida ou modificada. Tendo ela como configuração os seguintes parâmetros:


Regra

Protocolo

Tipo de tráfego

Ação

CIDR

1

Tudo

Entrada

Negar

0.0.0.0/0

2

Tudo

Saída

Negar

0.0.0.0/0


Criando lista ACL:


  • Número da regra : a ordem em que as regras são avaliadas.
  • CIDR : O CIDR atua como o CIDR de origem para as regras de entrada e o CIDR de destino para as regras de saída. Para aceitar o tráfego apenas de ou para os endereços IP dentro de um bloco de endereço específico, insira um CIDR ou uma lista separada por vírgulas de CIDRs. O CIDR é o endereço IP base do tráfego de entrada. Por exemplo, 192.168.0.0/22. Para permitir todos os CIDRs, defina como 0.0.0.0/0.
  • Ação : qual ação a ser executada. Permitir(allow) tráfego ou bloquear(deny).
  • Protocolo : o protocolo de rede que as origens usam para enviar tráfego para a camada. Os protocolos TCP e UDP são normalmente usados para troca de dados e comunicações com o usuário final. O protocolo ICMP é normalmente usado para enviar mensagens de erro ou dados de monitoramento de rede. O All suporta todos os tráfegos. Usando a outras opções é necessário o número do protocolo.
  • Porta inicial , porta final (somente TCP, UDP): uma faixa de portas que são o destino do tráfego de entrada. Se você estiver abrindo uma única porta, use o mesmo número em ambos os campos.
  • Número do protocolo : o número do protocolo associado ao IPv4 ou IPv6.
  • Tipo ICMP , Código ICMP (apenas ICMP): O tipo de mensagem e código de erro que será enviado.
  • Tipo de tráfego : o tipo de tráfego: entrada(ingress) ou saída(egress).


Adquirindo um novo endereço IP para um VPC 



Quando você adquire um endereço IP, todos os endereços são alocados para a VPC, não para as redes de convidados dentro do VPC. Os IPs são associados à rede do convidado apenas quando o primeiro encaminhamento de porta, balanceamento de carga ou regra de NAT estático é criado para o IP ou a rede. O IP não pode ser associado a mais de uma rede ao mesmo tempo.


Habilitando ou desabilitando o NAT estático em um VPC


Uma regra de NAT estática mapeia um endereço IP público para o endereço IP privado de uma instância em um VPC para permitir o tráfego da Internet para ele.

Se as regras de encaminhamento de porta já estiverem em vigor para um endereço IP, você não poderá habilitar o NAT estático para esse IP.

Se uma instância convidada fizer parte de mais de uma rede, as regras de NAT estáticas funcionarão apenas se forem definidas na rede padrão.