O que é o Amazon VPC ?
A Amazon VPC é um serviço da AWS que nos permite configurar uma rede totalmente virtual definida e personalizada por você.
Essa rede virtual se assemelha a uma rede no modelo tradicional onde configuramos roteadores, definimos a topologia da rede, liberamos internet ou não, mas tudo na nuvem da AWS.
Principais Componentes de uma Rede VPC
Quando você for implementar um VPC personalizado vai notar que precisa entender de alguns conceitos e funcionalidades que envolvem um VPC na AWS. Realmente não é tão fácil, mas também não é tão difícil projetar uma rede privada.
Entender os principais componentes que envolvem um VPC e entender o que você precisa, vai ser tudo o que você precisa para começar a criar suas redes para projetos na AWS.
Gateways de Internet
O gateway de internet nada mais é do que um componente que pode fazer parte da VPC para que possa existir comunicação entre a rede e a internet. O gateway também é um elemento totalmente redundante e altamente disponível.
Dispositivos NAT para VPC
Podemos usar um dispositivo NAT para permitir que instâncias EC2 em alguma sub-rede que seja privada possa ter acesso a internet.
O dispositivo NAT trabalha substituindo o endereço IPV4 da instância EC2 pelo endereço IPV4 do dispositivo NAT. Ao enviar tráfego de resposta para as instâncias EC2, o dispositivo NAT converte os endereços de volta para os endereços IPv4 de origem original.
DHCP para VPC
O DHCP nos fornece um padrão para transmitir informações para configurações aos hosts em uma rede. O campo options de uma mensagem DHCP tem parâmetros de configuração como: nome de domínio, servidor de nomes de domínio e o netbios-node-type.
Quando criamos um VPC na AWS, é criado automaticamente um conjunto de opções DHCP e todas as configurações são associadas a VPC. Claro, também podemos criar tudo isso de forma personalizada na mão, caso precisemos de algo específico.
Listas de prefixos
As listas de prefixos são conjuntos de um ou mais de um blocos CIDR. Podemos usar listas de prefixos para nos ajudar na confguração e manutenção de grupos de segurança e tabelas de rotas.
Existem dois tipos de listas para prefixos:
- Listas gerenciadas pelo cliente: Conjuntos de intervalos de IP que nós mesmos gerenciamos.
- Listas gerenciadas pela AWS: Conjuntos de intervalos de IP para os serviços da AWS. Só não podemos personalizar, criar, modificar ou excluir essas listas.
Configurando VPC com uma única sub-rede pública
Nesse modelo de configuração inclui uma nuvem privada virtual VPC e uma sub-rede pública com um gateway de internet para que nossos serviços consigam se comunicar a internet.
Essa configuração é bem básica, mas se você for executar instâncias EC2 para aplicativos web com o objetivo de publicar para a web, como um blog ou um site simples, será bastante útil.
Diagrama do modelo da VPC.
Implementação.
- No menu de pesquisas digite VPC e clique em VPC
- Na página do VPC, clique em Launch VPC Wizard , para que utilizemos o assistente de configuração fácil.
- Deixe selecionado a primeira opção, onde iremos criar uma rede simples pública com uma única sub-net , e clique em Select
- Agora você pode personalizar a criação da sua VPC, com um CIDR personalizado, se quer habilitar o suporte IPv6, nome do VPC, CIDR para a sub-net, Zona de disponibilidade e nome da Subnet. Por conveniência eu vou apenas criar um nome para a VPC e clicar em Create VPC.
Após clicar em Create VPC, você verá uma mensagem informando que a VPC foi criada com sucesso.
Your VPC has been successfully created.
Sua VPC já vai ser listada na lista das VPC’s disponíveis na região que você configurou.
Quando for criar seu servidor EC2, poderá selecionar a rede da sua VPC.
Parabéns, você criou sua primeira rede VPC na AWS. Mas agora precisa aprender um básico de como criar e gerenciar grupos de segurança para nossos serviços na Amazon AWS.
O que é o Amazon Security Groups ?
Um Security Group trabalha exatamente como um firewall na nuvem e controla todo o tráfego de entrada e saída dos serviços que você implantar.
Quando configuramos um servidor EC2 associamos a uma VPC, e é possível atribuir até cinco grupos de segurança no servidor, uma vez que o grupo de segurança atua a nível de instância e não de sub-rede. Em outras palavras, podemos ter vários grupos de segurança personalizados para cada serviço ou servidor que tivermos.
Criando e Configurando um Security Group
Acesse novamente a pagina do VPC assim como ensinamos no início da configuração do VPC no tópico anterior, mas dessa vez clique em Security Groups.
Na próxima página clique em Create Security Group para criar seu primeiro grupo de segurança.
Na pagina de criação do grupo de segurança, defina um nome, uma descrição e selecione o VPC que você deseja trabalhar com esse grupo de segurança.
Em inboud rules e Outbound rules , você configura todas as regras de entrada e saída de tráfego, é nessas diretivas que você controla e cria políticas de acessos a determinadas portas por exemplo: HTTP, HTTPS.
Regras e políticas de tráfego de entrada liberados
- SSH, HTTP e ICMP liberados para tráfego de entrada vindo da internet
- MySQL/Aurora tráfego liberado para um endereço de IP em específico (o servidor da sua empresa por exemplo).
Regras e políticas de tráfego de saída liberados
- All traffic , todo tráfego de saída dos servidores EC2 foram liberados
- Você pode liberar acesso público ou permitir apenas para um determinado IP em específico mudando o campo Source
- Você pode inserir uma porta de algum serviço personalizado clicando em Add rule e inserindo a porta no campo Port range
- Você pode alterar o tipo de protocolo no campo Type
- Também pode inserir uma descrição no campo Description
Para criar o Security Group, basta clicar no final da página em Create Security Group.
Quando estiver configurando seu servidor EC2, poderá selecionar o grupo de segurança na etapa 06 da criação, que é onde definimos isso. Mas lembre de selecionar a VPC que você criou no passo anterior, na etapa 03 da criação do EC2.
Bom, já temos nosso VPC e nosso primeiro grupo de segurança criados. Recomendo testar novas opções e continuar seus estudos para que domine o assunto.
Conclusão
Trabalhar com redes VPC e grupos de segurança é muito bacana, quando migramos aplicações da empresa e/ou preparamos todo o parque de infraestrutura na nuvem, é necessário que saibamos trabalhar com isso para ter todo o controle possível.