Começando com VPC
Obs : Clientes que utilizam do recurso VPC podem utilizar até 12 VPNs site-to-site e até 25 VPNs client-to-site sem custo adicional.
Nesse manual iremos lhe introduzir a VPC do portal.
Índice
VPC - Virtual Private Cloud
Sobre nuvens privadas virtuais
Virtual Private Cloud é uma parte privada e isolada do Portal. Uma VPC pode ter sua própria topologia de rede virtual que se assemelha a uma rede física tradicional. Você pode iniciar instâncias na rede virtual que podem ter endereços privados no intervalo de sua escolha, por exemplo: 10.0.0.0/16.
Você pode definir tiers de rede dentro de seu intervalo de rede VPC, o que, permite agrupar tipos semelhantes de instâncias com base no intervalo de endereços IP, por exemplo, se um VPC tiver o intervalo privado 172.16.0.0/16, suas redes convidadas podem ter os intervalos de rede 172.16.1.0/24, 172.16.2.0/24 e assim por diante, conforme exemplo ilustrado.
Principais componentes de uma VPC
Obs : Clientes que utilizam do recurso VPC podem utilizar até 12 VPNs site-to-site e até 25 VPNs client-to-site sem custo adicional.
Uma VPC é composto pelos seguintes componentes de rede:
- VPC : uma VPC atua como um contêiner para várias redes isoladas que podem se comunicar entre si por meio de seu roteador virtual.
- Tiers de rede : cada tier atua como uma rede isolada com sua própria lista CIDR, onde você pode colocar grupos de recursos, como instâncias. O NIC de cada camada atua como seu gateway.
- Roteador virtual : um roteador virtual é criado e iniciado automaticamente quando você cria uma VPC. O roteador virtual conecta os tiers e direciona o tráfego entre o gateway público, os gateways VPN e as instâncias NAT. Para cada tier, um NIC e um IP correspondentes existem no roteador virtual. O roteador virtual fornece serviços DNS e DHCP por meio de seu IP.
- Gateway privado : todo o tráfego de e para uma rede privada roteado para o VPC por meio do gateway privado. Para obter mais informações.
- Gateway VPN : o lado VPC de uma conexão VPN.
- Conexão VPN Site to Site : Uma conexão VPN baseada em hardware entre seu VPC e seu datacenter, rede doméstica ou instalação de colocação.
- Gateway do cliente : o lado do cliente de uma conexão VPN.
- Instância NAT : uma instância que fornece tradução de endereço de porta para instâncias de acesso à Internet por meio do gateway público.
- ACL de rede : um grupo de itens de rede ACL. Os itens da ACL são do que regras numeradas que são avaliadas em ordem, começando com a regra de menor número. Essas regras determinam se o tráfego é permitido dentro ou fora de qualquer camada associada à rede ACL.
Opções de conectividade para um VPC
Você pode conectar seu VPC a:
- A Internet através do portal.
- O datacenter corporativo usando uma conexão VPN site to site por meio do gateway VPN.
- Tanto a Internet quanto seu datacenter corporativo usando o gateway público e um gateway VPN.
Considerações sobre a rede VPC
Considere o seguinte antes de criar um VPC:
- Um tier/ camada pertence a apenas uma VPC.
- Quando uma VPC é criada, um IP SourceNAT é alocado para ele. O IP NAT de origem é liberado apenas quando o VPC é removido.
- Um IP público pode ser usado apenas para uma finalidade de cada vez. Se o IP for um sourceNAT, ele não poderá ser usado para StaticNAT ou encaminhamento de porta.
- As instâncias só podem ter um endereço IP privado que você provisiona. Para se comunicar com a Internet, habilite o NAT para uma instância que você inicia em seu VPC.
- Apenas novas redes podem ser adicionadas a um VPC.
- O serviço de balanceamento de carga pode ser compatível com apenas uma camada dentro do VPC.
- Se um endereço IP for atribuído a uma camada:
- Esse IP não pode ser usado por mais de uma camada por vez no VPC. Por exemplo, se você tiver níveis A e B e um IP público, poderá criar uma regra de encaminhamento de porta usando o IP para A ou B, mas não para ambos.
- Esse IP não pode ser usado para StaticNAT, balanceamento de carga ou regras de encaminhamento de porta para outra rede de convidado dentro do VPC.
- A VPN de acesso remoto não é compatível com redes VPC.
Criando uma VPC:
- Nome : um nome curto para a VPC que você está criando.
- Descrição : uma breve descrição da VPC.
Super CIDR para redes convidadas : define o intervalo CIDR para todas os tiers (redes convidadas) em uma VPC. Ao criar um tier, certifique-se de que seu CIDR esteja dentro do valor Super CIDR inserido. O CIDR deve ser compatível com RFC1918.
Dica
Os blocos de IP livres para uso em redes privadas liberados pela IANA são:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
- Domínio DNS para redes convidadas : Se você deseja atribuir um nome de domínio especial, especifique o sufixo DNS. Este parâmetro é aplicado a todas as camadas do VPC. Isso significa que todas as camadas que você cria no VPC pertencem ao mesmo domínio DNS. Se o parâmetro não for especificado, um nome de domínio DNS será gerado automaticamente.
Tiers/ camadas:
Os tiers são locais distintos em uma VPC que atuam como redes isoladas, que não têm acesso a outros tiers por padrão.
- Nome : um nome exclusivo para o tier que você cria.
- Oferta de rede : As seguintes ofertas de rede padrão são listadas:
- Oferta de Tier VPC - Web
- Balanceamento de carga geral, incluindo LB interno, App e DB;
- Oferta de Tier VPC com LB interno
- Possibilita balanceamento de carga entre as instâncias do tier;
- Oferta de Tier VPC com LB interno - App
- Possibilita balanceamento de carga entre as instâncias com a parte web de uma aplicação;
Oferta de Tier VPC com LB interno - DB
- Possibilita balanceamento de carga entre as instâncias com a parte de banco de uma aplicação;
- Oferta de Tier VPC - Web
Info
Em um VPC, apenas um nível pode ser criado usando a oferta de rede habilitada para LB.
- Máscara de rede : a máscara de rede para a camada que você cria.
- Por exemplo, se o CIDR do VPC for 10.0.0.0/16 e o CIDR da camada de rede for 10.0.1.0/24 e a máscara de rede da camada será 255.255.255.0.
ACLs
Defina a lista de controle de acesso à rede (ACL) no roteador virtual VPC para controlar o tráfego de entrada e saída entre os tiers/ camadas VPC e as camadas e a Internet.
Por padrão, todo o tráfego de entrada para as redes convidados é bloqueado e todo o tráfego de saída das redes convidados é permitido, uma vez que você adiciona uma regra ACL para o tráfego de saída, então apenas o tráfego de saída especificado nesta regra de ACL é permitido, o resto é bloqueado.
Para abrir as portas, você deve criar uma nova ACL de rede.
Sobre listas de rede ACL
O Network ACL é um grupo de itens de Network ACL. Os itens da ACL de rede nada mais são do que regras numeradas que são avaliadas em ordem, começando com a regra de menor número. Essas regras determinam se o tráfego é permitido dentro ou fora de qualquer camada associada à rede ACL.
Você precisa adicionar os itens da ACL da rede à ACL da rede e, em seguida, associar a ACL da rede a uma camada. A ACL de rede está associada a uma VPC e pode ser atribuída a vários tiers de VPC. Um tier está sempre associado a uma rede ACL.
A rede ACL padrão é usada quando nenhuma ACL está associada. O comportamento padrão é que todo o tráfego de entrada é bloqueado e o tráfego de saída é permitido a partir das camadas. A ACL de rede padrão não pode ser removida ou modificada. Tendo ela como configuração os seguintes parâmetros:
Regra | Protocolo | Tipo de tráfego | Ação | CIDR |
1 | Tudo | Entrada | Negar | 0.0.0.0/0 |
2 | Tudo | Saída | Negar | 0.0.0.0/0 |
Criando lista ACL:
- Número da regra : a ordem em que as regras são avaliadas.
- CIDR : O CIDR atua como o CIDR de origem para as regras de entrada e o CIDR de destino para as regras de saída. Para aceitar o tráfego apenas de ou para os endereços IP dentro de um bloco de endereço específico, insira um CIDR ou uma lista separada por vírgulas de CIDRs. O CIDR é o endereço IP base do tráfego de entrada. Por exemplo, 192.168.0.0/22. Para permitir todos os CIDRs, defina como 0.0.0.0/0.
- Ação : qual ação a ser executada. Permitir(allow) tráfego ou bloquear(deny).
- Protocolo : o protocolo de rede que as origens usam para enviar tráfego para a camada. Os protocolos TCP e UDP são normalmente usados para troca de dados e comunicações com o usuário final. O protocolo ICMP é normalmente usado para enviar mensagens de erro ou dados de monitoramento de rede. O All suporta todos os tráfegos. Usando a outras opções é necessário o número do protocolo.
- Porta inicial , porta final (somente TCP, UDP): uma faixa de portas que são o destino do tráfego de entrada. Se você estiver abrindo uma única porta, use o mesmo número em ambos os campos.
- Número do protocolo : o número do protocolo associado ao IPv4 ou IPv6.
- Tipo ICMP , Código ICMP (apenas ICMP): O tipo de mensagem e código de erro que será enviado.
- Tipo de tráfego : o tipo de tráfego: entrada(ingress) ou saída(egress).
Adquirindo um novo endereço IP para um VPC
Quando você adquire um endereço IP, todos os endereços são alocados para a VPC, não para as redes de convidados dentro do VPC. Os IPs são associados à rede do convidado apenas quando o primeiro encaminhamento de porta, balanceamento de carga ou regra de NAT estático é criado para o IP ou a rede. O IP não pode ser associado a mais de uma rede ao mesmo tempo.
Habilitando ou desabilitando o NAT estático em um VPC
Uma regra de NAT estática mapeia um endereço IP público para o endereço IP privado de uma instância em um VPC para permitir o tráfego da Internet para ele.
Se as regras de encaminhamento de porta já estiverem em vigor para um endereço IP, você não poderá habilitar o NAT estático para esse IP.
Se uma instância convidada fizer parte de mais de uma rede, as regras de NAT estáticas funcionarão apenas se forem definidas na rede padrão.