Curso compacto de Amazon Virtual Private Cloud (AWS VPC)

1. Introducción I: Desea conocer mejor la VPC de AWS, pero realmente no puede encontrar el camino a través de la abrumadora documentación. Tenías que mirar otros recursos de aprendizaje por atención. Realmente no sé si tiene sentido para ti como principiante pasar 40 horas trabajando a través de un curso teórico. Te preguntas si hay alguien por ahí fuera que pueda desglosar todo el tema en punto para que al final le saquen algo, tal vez incluso quieras prepararte para las Soluciones de AWS Arquitecto asociado XM. Y el tema del networking sigue siendo abrumador. Enhorabuena, este es el lugar adecuado para ti. Soy Philip de notas decentes, Ingeniero en la nube con varios años de experiencia profesional y asociado de AWS Solutions Architect. Mi ambición es explicarle todos los componentes importantes de la VPC de AWS en el menor tiempo posible para que los comprenda bien y pueda usarlos prácticamente de inmediato. El objetivo del curso es construir junto a ustedes un VPC nativo de nube listo para la producción desde cero, y para darle las herramientas teóricas y prácticas necesarias , todo está diseñado específicamente para principiantes a nivel intermedio. En este curso, tratamos de lucir lo más limpio posible al servicio puro de VPC solo donde sea realmente necesario. Revisamos brevemente otros servicios de AWS. Lo que no está incluido en este curso. Si desea profundizar en el enrutamiento dinámico con BGP, si desea construirconexiones On-Prem Cloud redundantesde tres vías conexiones On-Prem Cloud redundantes en la regeneración de 50 petabytes de datos desde su centro de datos on-prem a la nube. Este no es el curso correcto para ti. Nos enfocamos en el lado puro de la Nube aquí. Nos mantenemos llamados nativos por ahora, nube pura o donde quieras llamarlo. Si quieres aprender todo lo que necesitas saber a lo largo la sólida VPC de producción en la nube de AWS en poco tiempo. Si no solo necesitas esencia teórica para aprender, sino alguien que te mostrará todos los componentes esenciales en detalle, entonces este es el lugar para ti. Apúntate rápidamente y te veo en un segundo. Hagamos un poco de networking juntos. 2. Definición con vPC de AWS: En esta primera conferencia, quiero darles una breve visión general sobre todo este tema de VPC y cómo encaja junto con la nube de AWS. La nube de AWS es una red compartida. Te puedes imaginar como si hay nodos físicos, alimentación rica en estrellas, y también hay una columna vertebral privada porque tienes que conectar todos los diferentes centros de datos alrededor del mundo, que se proporciona o que se proporcionan desde AWS. Y tienen que estar conectados en privado. Y este es el propósito de esta columna vertebral. Entonces tienes la VPC, y VPC es entonces una red privada. Por ejemplo, solo para ti, solo tu red privada dentro de esta nube de AWS. Y en esta diapositiva aquí, se puede ver que hay múltiples VPC adentro, dentro de esta nube de AWS. Por ejemplo, el Cliente a y el Cliente B pueden hacer girar sus, sus propias VPC. Pero tú, como cliente, también puedes hacer girar múltiples VPC. Por lo que este no es un tema. Y lo que realmente es importante saber es que hay algunos servicios globales de AWS, como se puede ver aquí en el lado izquierdo. Por ejemplo, esto es S3. Entonces este es el servicio de almacenamiento de AWS o también SQS o el DynamoDB. Y estos servicios se ejecutan en sus propias VPC, o se trata de una VPC que es mantenida por AWS. Y lo que es realmente importante saber, no puedes hacer girar tu paquete S3 privado, por ejemplo, dentro de tu VPC. En tu VPC privado. Esto siempre es proporcionado y mantenido por AWS. Y tienes que conectarte por nuestros puntos finales a estos servicios. Pero si quieres lanzar solo una máquina básica EC2, por ejemplo, tu propio servidor. Esto es algo que puedes hacer en tu VPC privada. En esta diapositiva, puede ver una estructura más detallada sobre la nube de AWS. Y básicamente está estructurado en múltiples regiones. Una región es un área geográfica más grande. Por ejemplo, USE tienda US West, Frankfurt o ILM. Dentro de una región, existen múltiples zonas de disponibilidad. Y una zona de disponibilidad es un centro de datos. Es igual a un centro de datos. Sí. Cuantas zonas de disponibilidad hay en una región depende de la región. Por lo que a veces son tres, a veces seis. Si quieres hacer girar una VPC, primero tienes que seleccionar la región. ¿ Quieres dar vuelta? En EE.UU. Oriente o en Irlanda, en Europa? Tienes que seleccionarlo. Una vez que lo seleccionaste, puedes crearlo. Y se crea por defecto sobre todas estas zonas de disponibilidad dentro de esta región. Y luego puedes crear subred. Subredes. Y puedes decidir, por ejemplo, en qué zona de disponibilidad quiero crear mi subred. Pero básicamente las mejores prácticas solo para crear una subred en cada zona de disponibilidad. Pero por ejemplo, si tienes el requisito solo de hacer girar una máquina EC2 y solo para alojar su sitio web estético y la seguridad no importa. Entonces solo puedes crear una subred en una zona de disponibilidad porque tiene más sentido tener múltiples subredes para este requisito. 3. Gde recursos: En esta conferencia, solo quiero resumir para usted los principales enfoques, cómo puede administrar sus recursos en AWS. El primero es la consola de administración. Esto es algo así como interfaz gráfica de usuario para administrar tus recursos. Entonces tienes la CLI de AWS, y por supuesto también múltiples SDK. Sólo quiero mostrarte esta vida. Puedes encontrar también los enlaces aquí abajo. Y vamos a la consola de gestión. Este es, como ya he dicho, el enfoque gráfico para administrar sus recursos. Y quería seleccionar aquí la VPC porque encaja con nuestro tema de hoy. Sí, aquí por ejemplo, puedo seleccionar tus VPC y puedo crear una VPC. Y sí, básicamente, esta es la consola principal para administrar tus recursos porque puedes hacer casi todo en esta consola. El, otro enfoque es utilizar la interfaz de línea de comandos de AWS. Así que básicamente solo tienes que descargar esta herramienta y luego puedes administrar tus recursos mientras que la terminal, tu terminal favorita. Tampoco hay mucha diferencia entre la CLI y la consola de administración. Pero a veces la consola de administración crea algunos recursos bajo el capó. Y luego cuando creas tus recursos a través de la interfaz de línea de comandos, te preguntas por qué no funciona. Y luego tienes que sumergirte un poco más en el recurso que quieres configurar. Porque a veces solo algunos, algunos otros recursos dependientes faltan, cuales son creados bajo el capó por la consola de administración. Y el tercer enfoque es usar SDK. Y como puedes ver aquí, para casi todos los lenguajes de programación hay un SDK porque mi lengua materna es Python. Quiero mostrarte este enfoque SDK con la ayuda de Python. Así que seleccioné aquí y luego puedo seleccionar, por ejemplo aquí, AWS SDK para Python. Y luego, ya sabes aquí de este lado que se llama foto tres. Tienes una instrucción de cómo puedes instalar, en este caso el portal tres SDK y tienes la documentación aquí. Y luego solo puedes pasar por la documentación y cómo se instala y cómo puedes usarla. Pero al final, hay que entender qué recursos desea configurar. Y esto son sólo herramientas para hacer eso. Sí, puedes decidir a través de Quiero usar la consola, quiero usar la CLI o SDK al final, no importa. Y también hay otro enfoque. Aws también proporciona una API y básicamente la CLI se basa en esta API. Pero también hay herramientas como la infraestructura de Terraform como código. Y normalmente uso Terraform, así que no hago tantas cosas en la consola de administración de AWS. Pero para esta hora estableceremos otro curso para todo este tema de Terraform. En este curso, queremos concentrarnos en la consola de administración de AWS. Hágalo gráficamente porque solo queremos entender cómo funciona. Pero también instalaremos el CLI solo para saber cómo funciona esto. Y también queremos crear algunos recursos tanto con la consola de administración como con la CLI. 4. Fijación de precios: El tema de fijación de precios también es muy importante, sobre todo en el mundo de los negocios. Por lo que solo quería darte una breve visión general o algunas reglas básicas que puedes seguir para obtener la visión general sobre los costos. Y en principio, no hay costos adicionales para la VPC. Entonces si tú, por ejemplo, creas una máquina EC2 y solo quieres, solo quieres usar este servicio, este servicio, servicio, entonces la red ya está incluida. Pero hay algunos servicios o algunas funcionalidades donde la posibilidad es muy alta de que haya tarifas adicionales. Esto son básicamente el control y el monitoreo de la VPC. Entonces cada vez que hay algo con monitoreo, la posibilidad es muy alta de tener pieza adicional. Además, cada vez si están en juego misión de enunciación, por ejemplo, entre diferentes regiones o de una región a Internet y de Internet de vuelta a una región o zona de disponibilidad cada donde cuando ocurre la conexión y transmisión de datos y también seguridad por supuesto, por ejemplo, si quieres configurar un firewall sofisticado, entonces sí, tienes que pagar tarifas adicionales por eso. Entonces esto todas las reglas básicas. Y en este curso, también quiero hablar a veces los precios cuando creamos los diferentes componentes. Pero la mayoría de los componentes de los que estamos hablando en este curso están sin costos adicionales. Pero estas son las reglas básicas. 5. Crea un usuario IAM: En este capítulo, queremos preparar nuestra cuenta de AWS. No sé si ya tienes una cuenta de AWS. Por lo que asumo que ya hay una cuenta principal. Si actualmente no tiene una cuenta de AWS, solo puede ir a la consola de AWS y luego registrar su cuenta principal. Lo que queremos hacer ahora es que queremos crear un llamado usuario de IAM. No sé si ya conoces el servicio IAM de AWS. Se llama Gestión de Acceso de Identidad. Y básicamente esto es sólo la gestión de usuarios. Así que pasemos a la consola. Ya lo puedes ver aquí y allá recientemente con los servicios recientemente visitados, el servicio IAM, porque ya visité. Y solo puedes buscar aquí el servicio de IAM y seleccionarlo. Entonces estás aquí. Y luego vamos aquí a los usuarios, y queremos sumar al usuario. Entonces puedes darle un nombre. Quiero nombrar unas notas decentes. Y luego nos encontramos con el acceso a la consola de administración de AWS. Por lo que esto se requiere porque queremos utilizar la Consola de Administración. También quiero mostrarles a veces un poco el CLI. Entonces por eso yo también, también te selecciono la clave de acceso, el acceso programático. Pero puedes decidir si quieres hacer esto o si solo quieres ver. Si te muestro el método CLI, entonces quiero dar aquí contraseña personalizada. Y tampoco quiero restablecer mi contraseña. Pero sí, al final, si quieres, si quieres ser realmente seguro, entonces por supuesto puedes elegir la opción de contraseña autogenerada o también puedes crear una contraseña WIOA y gestor de contraseñas. Y puedes seleccionar aquí sin embargo, casilla de verificación para restablecer la contraseña. Entonces el siguiente paso son los permisos. No quiero salvarla. Esto es algo que posponemos para la próxima conferencia. Y luego puedes crear algunos textos, solo asignas algunos textos. Por ejemplo, el medio ambiente es traído para mí o algo así. Sí. Y luego solo para revisar el nombre de usuario es notas decentes. Queremos ayudar al acceso programático y al acceso a la consola de administración. Creamos una contraseña personalizada, creamos el usuario. Entonces puedes ver aquí que AWS creó al usuario y también para el acceso programático, acceso y la clave de acceso secreta. Y este par de valores puedo descargar aquí con este archivo CSV. Ya descargué el archivo CSV. Entonces solo tienes un archivo CSV donde están los dos valores y podemos usarlos posteriormente para configurar el CLI. Entonces solo tienes que hacer click aquí en el botón Cerrar. Y luego creamos con éxito al usuario, en mi caso, notas decentes. 6. Asignar permisos para IAM: Ahora tenemos que asignar los permisos correctos al usuario de AWS IAM, que creamos en la última conferencia. Porque actualmente este usuario no tiene permisos para hacer nada por completo. Y queremos crear algunos recursos de VPC, algunos componentes con la ayuda de este usuario. Por lo que volvemos a cambiar a la consola y volvemos a seleccionar el servicio IAM. A lo mejor ya estás ahí. Y vamos a los usuarios y seleccionamos al usuario creado. Y luego se puede ver aquí el botón Agregar permisos y hacemos clic en ese botón. Tienes múltiples posibilidades de cómo puedes seleccionar las políticas o los permisos. Queremos adjuntar las políticas existentes directamente. Y después tenemos que buscar EC2. Simplemente puedes escribir aquí EC2 y luego seleccionar EC2 xs completos. Entonces también necesitamos VPC, exceso completo. Por lo que sólo busca aquí para VPC. Y luego selecciono Amazon VPC, acceso completo. Entonces también necesitamos un permisos de administrador del sistema. Por lo que busco sistema y luego puedo seleccionar aquí administrador del sistema. Y luego al final, podemos asignar acceso completo a IAM. Si te preguntas por qué le damos a este usuario ahora, soy promociones tontas porque esto es básicamente donde pesamos. Y esto es sólo porque no quiero hacer un curso completo de IM aquí. Y algunos recursos requieren algunos permisos de IAM. No quiero seleccionar o restringir, muy específico. Entonces por eso solo usamos aquí acceso completo. Pero sí, claro que siempre apoyo el enfoque de menor privilegio y siempre te apoyo si te sientas y buscas las políticas muy específicas de IAM son declaraciones que los permisos están restringidos en la medida de lo posible. Sí. Y entonces podemos ir aquí para revisar y solo revisar qué permisos asignamos, qué políticas asignamos este EC2, seríamos C acceso completo que derechos de administrador del sistema y yo soy full x's. Y podemos hacer click aquí en Agregar permisos. Aquí vamos. Asignamos los permisos correctos. Creo que esto es suficiente para hacer lo que queremos hacer. A lo mejor tenemos dos bordes un poco luego al final, pero principalmente esto es suficiente para configurar todos los recursos de VPC que queremos configurar. 7. Interfaz con líneas de comandos AWS (CLI): El realmente último paso de preparación es instalar el CLI. Puedes decidir si quieres instalar el CLI porque no queremos usarlo con tanta frecuencia. Sólo quiero mencionar que existe. Pero sí, nuestra consola principal es la consola de administración, la interfaz gráfica de usuario, porque queremos entender cómo funciona. Queríamos entender cómo podemos construir una VPC. Y no queremos crearlo con dos o tres enfoques diferentes. Pero sí, solo quiero mostrarte cómo funciona y solo quería mencionar que existe el CLI. Así que sí, vuelvo a cambiar a mi navegador. Y puedes ver aquí la documentación de la interfaz de línea de comandos. Solo puede Google para la interfaz de línea de comandos AWS, o utilizar el enlace que también está incluido en nuestras diapositivas. Y todo lo que tienes que hacer es hacer click aquí para que comiencen e instalar una actualización. Y luego tienes que seleccionar tu sistema operativo. En mi caso, es macOS. Y luego puedes instalar aquí, este archivo instalador. Ya lo descargué. Y luego puedes simplemente instalarlo, solo tienes que hacer doble clic e instalarlo. Y luego podemos cambiar a la terminal. Y lo primero que tenemos que conseguir son las credenciales. Si lo recuerdas, creamos el usuario y luego descargamos el archivo CSV con la clave de acceso y clave de acceso secreta. Entonces creo que está en mi carpeta de descargas. Sí, aquí está. Acabo de cortar este archivo CSV. Por supuesto que es una mala práctica cortar las credenciales de archivo Swift porque es delgado en la historia. Y además no quieres compartir tu clave de acceso secreta con otros usuarios. Pero en este caso sólo, es sólo el modo de presentación. Voy a eliminar este decente se derrite usuario después. Así que por favor perdóname por el cuarto corte de este archivo de credenciales. Entonces puedo comprobar si la instalación de la AWS CLI fue exitosa. Y hago esto con el comando AWS dash, versión dash. Y como puedes ver aquí, funciona perfectamente. Por lo que instalé con éxito la versión 252. Y todo lo que tengo que hacer ahora es que tengo que configurar mi cuenta de AWS. Lo hago con AWS configure. Y luego copio aquí este ID de clave de acceso. Y luego copio la clave de acceso secreto de AWS. Este es este de aquí. Pegar. Y luego tengo que seleccionar una región predeterminada. Y cuando volvemos al navegador, a la consola de administración, puedes seleccionar, por ejemplo, el servicio VPC. Y luego se puede ver aquí esta selección. Aquí, todos, todas las diferentes regiones, las que están disponibles actualmente en Ada en la nube de AWS. Sí. Me gusta Irlanda. Por eso decidí usar la región por defecto, tú Poniente. Básicamente, esta es tu decisión donde quieres hacer girar tu VPC con el CLI. Por supuesto, con la CLI, es sólo que hay que definir una región predeterminada. Si no especifica directamente la región, entonces gira tus recursos. A la vista esta región predeterminada. Esto es justo de lo que se trata. Seleccionaré esta región de Irlanda aquí. Cuando vuelvo a la terminal, solo puedo escribir aquí. Tú al oeste uno. El formato de salida predeterminado se puede dejar vacío. Sí. Esto es todo lo que tenemos que hacer para configurar la CLI de AWS 8. VPC de visión por helicópteros predeterminado: Ahora se está emocionando. Queremos hablar del tema VPC predeterminado. ¿ Cuál es la VPC predeterminada? Aws crea por defecto en cada región de la nube, una VPC predeterminada para ti. Creo que este es el caso de todas las cuentas de AWS que se crearon después de 2014. Yo creo. Es muy probable que también se cree en tu cuenta. Y también AWS crea en cada región, para cada VPC, algunas subredes públicas en cada zona de disponibilidad que se encuentra dentro de la región. ¿ Cuál es el propósito de una VPC predeterminada? El propósito es que seas capaz, por ejemplo, lanzar muy rápido una máquina EC2 donde , por ejemplo, puedes alojar un sitio web estático y no quieres preocuparte por todas las cosas de networking. Solo quieres crear muy rápido tus recursos y solo solo quieres enfocarte en configurar la máquina EC2, entonces la VPC predeterminada es el camino a seguir para ti. Sí. Solo quería darte un breve resumen de helicóptero lo que AWS crea de forma predeterminada para ti en todas las regiones. Aquí puedes ver de nuevo la nube de AWS y tu VPC. Estamos dentro de una región. Y ahí se pueden encontrar, por supuesto, las zonas de disponibilidad. Y en cada zona de disponibilidad hay una subred pública. Lo puedes ver aquí. Y AWS crea un conjunto de opciones DHCP, que hace la resolución DNS. Entonces crea un llamado NaCl, que es lista de control de acceso a la red. Crea un router, una tabla de rutas. También crea un grupo de seguridad, pero esto es en su mayoría lo mismo como los cabezales de nudillos en la región de seguridad aquí. Crea una puerta de enlace de Internet y sí, eso es todo. Y edito aquí la máquina EC2. Por supuesto, la máquina EC2 no se crea por defecto, pero solo quiero mostrarte cómo puede ser el flujo de tráfico a Internet público, que puedes ver aquí. Esta es la vista del helicóptero. Lo que AWS crea de forma predeterminada en cada región, en cada zona de disponibilidad. 9. Descripción de los componentes de creados en la VPC predeterminado: Sí, ahora queremos pasar por todos los componentes que ya conocemos desde la vista del helicóptero en la consola de administración de AWS. Y por lo tanto, cambio a mi navegador. Y puede hacer clic aquí en el servicio VPC si recientemente visitó el servicio. Pero puedes por supuesto, también buscar el servicio VPC y seleccionado aquí. En primer lugar, puede seleccionar la región aquí. En mi caso, acabo de seleccionar Irlanda, pero sí, es sobre ti. También puedes decidir crear tus recursos en us-east1-d. over. No lo sé. Por lo que aquí se puede seleccionar la región. Entonces tenemos el tablero de VPC. Y como puedes ver aquí, AWS creó por defecto, una VPC predeterminada, luego tres subredes. Y esto se debe a que un ILM, hay tres zonas de disponibilidad disponibles. Y luego tienes una tabla principal de rutas. Tienes una puerta de enlace de Internet, tienes conjunto de opciones DHCP. Tienes una lista principal de control de acceso a la red, y tienes un grupo de seguridad principal. Por supuesto, cada componente, que puedes ver aquí es completamente gratuito, lo que no hay costos adicionales. Tener aquí estos recursos por defecto en cada región. Solo quería pasar por los componentes solo para darte una breve visión general para que no tengas que entender todo porque vamos a tener una profunda inmersión en todos los diferentes componentes más adelante. Sí. Para que como se puede ver aquí, tenemos uno predeterminado, VPC. Tiene un ID de VPC. El estado está disponible. Aws configurados por defecto, CIDR bloquean aquí. Por lo que el rango IP ya está fijo. Y como puedes ver aquí, hay un conjunto de opciones DHCP ya asignada y la tabla principal de rutas, una ACL de red principal. La tendencia es por defecto. Y por supuesto, la bandera aquí dice que esta VPC es una VPC predeterminada. Entonces podemos ir a las subredes. Y se puede ver aquí, hay tres subredes. Tienen diferentes subredes, yo, ID de subred, pero están asignadas a la misma VPC, a la misma VPC predeterminada, pero tienen conjunto diferente de bloques, por lo que configuran bloqueos no se superponen. Y sí, cuando se define aquí el bloque de configuración, entonces se define también la, las direcciones IP máximas disponibles. En este caso aquí, es alrededor de 4 mil. Entonces puedes ver aquí las zonas de disponibilidad, C, ABC. Ya podemos escuchar ABC. Y por supuesto, se asigna la misma tabla principal de rutas y también la misma red ACL. Por supuesto, las tres subredes son subredes predeterminadas. Entonces tienes una tabla principal de rutas. Sólo podemos tener aquí. Rápido vistazo a las rutas. Básicamente, este es el núcleo de todo el enrutamiento desde el tráfico de red. Esto se define aquí. Ahora tenemos una puerta de enlace de Internet. Nada mucho que decir aquí es solo, solo se crea una puerta de enlace de Internet y luego se asigna a una VPC que está disponible en la región. Entonces está listo para irse. Entonces por supuesto tenemos periodo la seguridad. Entonces hay una red principal, ACL. Esto se asigna a todas las subredes. Y aquí tienes reglas entrantes, reglas salientes, y algunas reglas puedes definir aquí qué tráfico se permite entrar en nuestra VPC en la que el tráfico no. Y esto es lo mismo. También para los grupos de seguridad. Hay un grupo principal de seguridad y también tienes aquí reglas entrantes y salientes. Y hablaremos de las diferencias más adelante. 10. Límites de la VPC predeterminado de AWS: En esta última sección, en el capítulo, VPC predeterminada, queremos hablar de los límites de la VPC predeterminada. Y si recuerdas, dije que la VPC predeterminada es la VPC correcta para ti. Si solo quieres hacer girar una máquina EC2 y no quieres cuidarte de todo el material de networking. Solo quieres hacer girar una máquina, una máquina pública, y alojar el sitio web de Study por ejemplo, entonces el VPC predeterminado es el camino a seguir. Pero hay múltiples límites. Y desde mi punto de vista, el límite más grande es que no se puede controlar la configuración de red. Si te acuerdas, cuando hicimos nuestro pequeño recorrido. Los bloques CIDR están predefinidos por AWS en la VPC predeterminada. Aws selecciona para ti, por ejemplo, el rango IP comenzando por 172. Y también, también configuran tu tamaño de la VPC y de las subredes. Entonces si recuerdas, cada subred tiene rango de direcciones IP o rango máximo de direcciones, que estaba disponible allí de 4,091 direcciones IP, creo. Y se puede decidir es, ¿es demasiado o es suficiente? Pero al final no se puede controlar. Este es el límite principal desde mi punto de vista. Y por supuesto, no hay algo así como una subred privada. Por lo que cada recurso que quieras girar ahí dentro de esta VPC predeterminada, dentro de la subred pública predeterminada es por supuesto público. El último punto aquí es que la replicación de vitaminas no es tan fácil. Entonces, por ejemplo, si tienes sordos y Wyoming y el entorno de puesta en escena, entorno de protones, cuando lo usas con una VPC no predeterminada, que es el siguiente tema, el siguiente capítulo. Entonces puedes, por ejemplo, simplemente asignar bloque CIDR comenzando con diez para sordos y comenzando con 110 para poner en escena algo así y copiarlo. relativamente fácil. En este caso con un defecto sería verlo, no es tan fácil. Sólo quería mencionar. Y lo que también es muy importante es por favor no elimines esta VPC predeterminada. Porque obviamente, si quieres simplemente crear una máquina EC2 en el predeterminado, procedemos, que es pública entonces. Sí, está bien. Pero creo que quieres sumergirte un poco más en todo el material de networking porque estás observando este curso aquí. Entonces es por eso que es muy probable o crea tu propia VPC no predeterminada. Y pero sí, solo quería decir que por favor deje el valor predeterminado sería C como es, porque a veces hay algunos problemas o algunos problemas que aparecen cuando se borra la VPC. Hice esto en el pasado y luego tuve algunos problemas extraños porque AWS a veces hace referencia a la empinada o VPC y cuando no está disponible, entonces tienes un problema. Mi sugerencia es dejarlo como está y luego crear tu propia VPC no predeterminada. Y este es nuestro próximo capítulo. 11. Ventajas de la VPC no predeterminados con AWS: En esta conferencia, queremos hablar del tema principal, la VPC no predeterminada. Esto es muy importante. El primer tema son las ventajas de la VPC no Depot. Y tal vez puedas parar el video ahora y pensar en las ventajas. Cuáles son en su opinión, las ventajas del no-default nosotros PC. Sólo una pequeña pista. Altamente probable. Estos serán exactamente lo contrario a los límites de la VPC no predeterminada. Sí, ¿cuáles son las ventajas? La mayor ventaja es que ayudas a control total sobre todos los ajustes de red. Y esto significa que puedes, por ejemplo, establecer tu propio tamaño de bloque CIDR que puedas decidir qué rango IP debería ser y cuántas direcciones IP hay disponibles en tu VPC, en tu subred. Y por supuesto, también puedes crear tus subredes privadas. Y esto es muy importante, sobre todo si construyes algunas arquitecturas de negocio, algunas arquitecturas de producción. Porque solo es cuestión de seguridad y es bueno crear tantos recursos como sea posible en tu privado, en tus subredes privadas y tener solo unas cuantas conexiones a la web mundial. Y por supuesto, en la VPC no predeterminada, también es más fácil replicar tus entornos, por ejemplo, de la puesta en escena y prod de Dev. 12. Bloques CIDR: Ahora queremos hablar concepto clave muy principal en todo el espacio de networking. Y a esto se le llama el enrutamiento interdominio sin clases. Esa relación es niñera. Si lees la documentación sobre todo el material del bloque CIDR, se vuelve, creo que un poco abrumador, pero al final es realmente fácil de entender. Como puedes ver aquí, tienes algunos números detrás de este latigazo. Y este número define una máscara de subred que se aplicará a la dirección IP, que viene antes de la slash aquí. Como 0 aquí significa que aplicas tu máscara de subred, que tiene 32 bits y todos los bits son ceros. En decimal, esto es o.Y esto significa entonces al final, que se tiene máximo de direcciones de dos a la potencia de 32. Al final, se trata de alrededor de 4 mil millones de direcciones IP que puedes usar en una subred o internet, que se define con una slash de niñera 0. Entonces puedes aumentar este número aquí hasta que 3232 significa que tienes una máscara de subred con 32 unos. Y al final, esto significa que solo te queda una dirección IP. Y esto puedes usar, por ejemplo, si quieres definir en tu firewall o en tu grupo de seguridad que solo se permite tu dirección IP u otra dirección IP. Pero sí, solo si quieres definir una sola dirección IP que está a punto de ingresar a tu VPC. Y mi truco es que recuerdo esta slash 16 definición de niñera aquí. Y esto significa que tienes dos a la potencia de 16 posibilidades como direcciones IP. Entonces algo alrededor de 65 mil. Y cada vez que disminuimos este número aquí detrás de la slash. Entonces cuando va a 0, entonces esto aquí aumenta. Por lo que aumentan las direcciones máximas. Cada vez que aumentamos aquí de la slash 16 a slash 32. El IP. El número de direcciones máximas disminuye a una. Aquí al final. Este es el concepto completo que tienes que entender cuando hablamos de conjunto de bloques. Porque queremos definir el tamaño de nuestra VPC y por eso necesitamos este concepto de configuración mira aquí. 13. Especificar el tamaño de la red: Ahora la pregunta es, ¿cómo podemos especificar el tamaño de red en AWS? Y hay un estándar llamado RFC 1980's Y luego este estándar, es la pinta, que se prefieren los rangos IP para el uso en redes privadas. Básicamente, se trata de tres rangos aquí. Uno comenzando con 101, comenzando por 172161, comenzando con 192168. Y AWS a encuentra que el tamaño mínimo de una VPC o subred se define con slash 28, lo que significa que las direcciones mínimas que están disponibles son 16. Y esto también es muy importante si quieres aprender algo para la certificación asociada de AWS Solutions Architect. Porque aquí es donde venimos en cuestión. Preguntan, ¿cuál es el tamaño mínimo? Y esto viene porque AWS tiene cinco direcciones IP que están reservadas por defecto. El tamaño máximo slash 16, por lo que alrededor de 65 mil direcciones. Este es el máximo que puedes configurar aquí en AWS. Cuando echemos un vistazo aquí al ejemplo conjunto de bloques, entonces puedes ver, por ejemplo, si quieres definir un conjunto de bloques en el rango IP comenzando con diez, y quieres tener un tamaño máximo de 65 mil direcciones. Entonces puedes, entonces puedes definirlo así aquí. Entonces 100 y luego rebanar 16. Esto significa que la primera dirección IP es 100, y tendremos 65 mil direcciones. Este es también el caso de la, para todos los demás rangos IP que están disponibles aquí. Este es el concepto principal, cómo funciona con los bloques CIDR. Y por supuesto, tienes que decidir qué tan grande será tu red. Esto depende de cuántos recursos quieras lanzar y de lo que también es importante aquí. Tenemos otra diapositiva para eso. Este es el tercero aquí. No puedes cambiar el tamaño de tus bloques CIDR cuando se crean una vez. Y esto significa que tienes que decidir antes de crear tu VPC y tus subredes, qué tamaño tienen que tener. Y por supuesto se puede cambiar entonces eliminando toda la VPC y toda la construcción de la subred y creando una nueva. Pero por supuesto, esta es una tarea muy difícil, sobre todo si ya lanzaste algunos recursos en tu antigua VPC, porque entonces tienes que migrar todos tus recursos. Por lo que hay que crear una nueva VPC con un nuevo conjunto de rango de bloques. Y luego tienes que migrar todos tus recursos. Y luego puedes eliminar tu antigua BBC en tu antigua subred. Y esta es una tarea muy difícil, sobre todo si ya tienes múltiples recursos en tu VPC. Tiene sentido considerar eso antes crear su arquitectura de red básica. Y por supuesto, también los bloques CIDR no pueden superponerse entre sí. Por usted puede asignar múltiples bloques CIDR por VPC, pero no se pueden solapar. Esto es muy importante aquí para decir. 14. Crea una VPC no predeterminado con AWS: Ahora queremos crear una VPC no predeterminada. Sólo quería mencionar. Ahora, queremos recorrer todos los componentes y los recursos que se requieren para construir su VPC nativa de nube preparada para la producción no predeterminada. Y cada vez que creamos un nuevo recurso o necesitamos un nuevo recurso, te explicaré la parte teórica de eso y luego lo crearemos prácticamente en la Nube. Entonces este es el plan. Y ahora podemos cambiar a la consola de administración de AWS. Y se puede ver aquí, estoy encerrado ahora ¿por qué son estos usuarios de IAM? Por lo que no uso ahora la cuenta principal. Y como ya dije, es una buena idea cada vez que se crean nuevos recursos, hazlo con un usuario de IAM con un enfoque de menor privilegio. Sí, ya seleccioné aquí la región Europa ILM, la UE Oeste. Y en esta región, vamos a crear nuestro primer paseo VPC no predeterminado. Tienes que hacer, tienes que acudir al Servicio BBC, creo que ahora también está disponible en tu lista recientemente visitada aquí. Y vas a la VPC y puedes ver que este es el tablero. Ve a tus VPC. Se puede ver aquí es el defecto. Seríamos C, que mencionamos pocas lecciones antes cuando hablamos la vista predeterminada del helicóptero VPC. Ahora podemos hacer click aquí en el botón Crear VPC. Y hay dos opciones. Puede crear solo la VPC o la estructura de subred VPC. Pero queremos, queremos entender toda la arquitectura. Y por eso es una buena idea desde mi opinión o desde mi punto de vista que la construyamos desde cero. Aquí en este primer cuadro, se puede definir una etiqueta de nombre. Entonces lo llamaré prod one. Se le puede dar un nombre mejor. Y luego queremos definir aquí el menú, menú bloque CIDR. Sí, creo que es una buena idea definirlo con 100 en slash 16. Esto significa que nuestro, nuestro rango p.band comienza con 100, y tiene alrededor de 65 mil posibles direcciones IP. No queremos usar la versión IP seis conjunto de bloques. Y luego también podemos asignar aquí múltiples textos. Me gusta, por ejemplo, el cable grueso significaba de nuevo, se trae. Sí, creo que eso es todo. Y luego solo puedes crear, crear la VPC aquí, haz clic en el botón Crear VPC. Y luego se puede ver aquí el balón VPC creado con éxito, definimos el bloque de configuración aquí. Y también tenemos algunos textos aquí, las vitaminas y el nombre garrapata. Y cuando volvamos a la lista, entonces puedes ver aquí tenemos el default, seríamos C, y tenemos el Praat en VPC. Ahora quiero mostrarles cómo se puede construir esta VPC. También en la CIA, creo que este es un buen tema para hablar del CLI porque aquí es relativamente fácil crear, esta VPC, no hay mucho, no hay muchos ajustes que puedas asignar aquí. Entonces por eso quiero mostrarte cómo funciona con la CLI. Puedes decidir si quieres. Si también quieres crear una VPC con la CLI o si solo quieres ver. Sí, por eso es lo que necesitamos primero. Primero queremos conseguir el comando para el CLI. Y es por eso que acabo de buscar, por ejemplo, AWS CLI y crear VPC. Y creo que esta es la primera entrada aquí, crear, creamos VBC, y ahora estamos aquí en la referencia de comandos de AWS CLI. Esto aquí en registros, la declaración entre paréntesis aquí es muy importante porque este es su prefijo. Entonces cada vez que se crea un comando en la CLI, comienza con AWS, Por supuesto, porque este es el binario. Y luego el segundo es el espacio de nombres. Y esto en este caso aquí es ec2. Y por eso, esto se debe a que todo el material de redes proviene de EC2 porque AWS comenzó a crear sus servicios basados en EC2. Y el EC2 fue el primer servicio que requirió algunas cosas de la red. Por eso este es el espacio de nombres EC2. Y después después. Viene el comando Crear VPC. Entonces al final habrá AWS EC2 crear VPC, y luego se puede escuchar, encontrar la sinopsis. Aquí. Aquí están todas las opciones definidas que puedes elegir. Y usaremos el bloque CIDR, y vamos a utilizar aquí las especificaciones tecnológicas. Por lo que estas fueron las únicas opciones que también establecimos en la consola de administración. Empecemos. Cambiamos a la terminal, y luego podemos empezar con un comando, AWS EC2, crear VPC. Y ahora de vuelta al navegador. Necesitamos aquí la bandera de bloque de configuración, así que lo copiaré, y puedo pegarlo aquí. Y luego usamos este rango IP aquí, y esto es solo un ejemplo. Entonces eliminaremos la VPC entonces después, es solo para mostrarte cómo funciona con la CLI y luego de vuelta a la fila. Así que de nuevo, necesitamos la definición para las especificaciones tecnológicas, y esto no es tan fácil. Entonces si vas aquí a especificaciones tecnológicas, entonces puedes ver aquí está. Hay estructura sofisticada y abrumadora. Tienes que definir el primer tipo de recurso. Y luego puedes agregar una lista de textos que es un par de valores clave al final. Pero para mí es un poco difícil entender cómo funciona aquí. Y por eso siempre uso algunos ejemplos. Y creo que en el ejemplo de aquí, sí, puedes copiar un ejemplo. Un ejemplo de cómo funciona para las especificaciones tecnológicas. Y éste lo usaré, lo copio y luego vuelvo a la terminal y luego puedo pegarlo aquí. Y entonces, por ejemplo, queremos nombrar el entorno aquí, esclavizando uno porque tenemos un entorno de protones ahora, estamos tal vez sea una buena idea también ayudarnos a poner en escena VPC y propietario no necesitamos, usaremos entonces aquí nombre. El nombre también está escenificando EUS puesta en escena uno como nombre y Wyoming solo indicando, sí, y luego podemos entrar aquí. Podemos hacer click bajo Fin. Entonces la VPC se crea con éxito. Como puedes ver aquí, tienes el rango de bloques CIDR y tienes los textos y y cantidad y nombre. Y donde volvemos a la consola de administración en la VPC aquí. Cuando hacemos clic aquí en Refresh, entonces se puede ver que ahora hemos traído una VPC y la puesta en escena una VPC y los diferentes bloques CIDR aquí. Y cuando vamos aquí, entonces puedes ver en la lista de flexiones de VPC predeterminada aquí solo hay una VPC predeterminada. Esta fue la que fue creada por AWS y tenemos que conocer o VPC no predeterminadas. Y ahora eliminaré la puesta en escena VPC porque queremos proceder con una trama una VPC. A lo mejor es demasiado confuso tener dos PC nosotros por ahora. Por eso lo elimino aquí. Entonces podemos proceder a construir nuestro producto VPC, con una estructura más detallada. 15. Descripción de subnets públicos: Tenemos el no-default sería C. Y ahora queremos crear insight, esta VPC no predeterminada, las llamadas subredes. Quería darte una breve visión general sobre qué diferentes tipos de subredes existen. Y como se puede ver aquí en este resumen, un tipo es la subred pública. Y como se puede ver aquí en el nombre, se llama subred pública. Todos los recursos de este tipo de subred son públicos, disponibles o disponibles en público. Esto significa que si su máquina EC2, por ejemplo, en la subred pública tiene dirección IP pública, entonces es accesible desde la web mundial. Y luego otro tipo es la subred privada. Y cada recurso en una subred privada es realmente privado. Por lo que básicamente no tiene dirección IP pública, y no es accesible desde el exterior, no es accesible desde internet. Entonces hay un tipo especial y esto se llama VPN solo subred. Y básicamente esta es una especie también de subred privada. Pero aquí tienes otro punto. Y esta es la conexión VPN. En la tabla de rutas desde una subred solo VPN, hay una definición y está conectada al servidor VPN, pero es una especie de subred privada. Y las subredes más importantes son la subred pública en la subred privada. Luego hay otro concepto clave que los usuarios de AWS y ellos diferencian entre la versión IP cuatro solamente, versión IP seis solamente, y una subredes dualistas. Por lo que al final puedes combinar estos tipos aquí con este tipo aquí. Se puede decir, queríamos construir una subred pública con IP versión cuatro solamente, o queremos crear una subred privada con doble pila y así sucesivamente. Se puede combinar esto al final. Sí, estos son los tipos de subredes más importantes. 16. Direcciones públicas de IP: Sí, para establecer realmente bueno nativo de la nube que vemos con subredes, también es importante entender el diferente tipo de direcciones IP es, un tipo es la dirección IP pública. Y lo que eso significa, significa que AWS proporciona un conjunto de direcciones IP públicas, y esto lo mantiene AWS. Por lo que es muy importante entender que estas direcciones IP públicas no están asociadas a su cuenta de AWS, con su cuenta específica de AWS. Entonces eso significa que si quieres hacer girar una máquina EC2, entonces puedes decidir, y esto es aquí en 0.3. Puedes diseñar, puedes decidir con una bandera en cada subred, si quieres asignar la dirección IP versión cuatro o no. Y si establece esta bandera en true, entonces asigna automáticamente dirección IP pública a su máquina EC2. Después se levanta, siempre y cuando su máquina EC2 levante en su cuenta. Y si finaliza tu máquina EC2, entonces se dará a conocer esta dirección IP. Y luego se devuelve nuevamente al pool global, que es mantenido por AWS. Por lo que esta no es su dirección IP personal, no su dirección IP personal o pública. Se acaba de tomar prestado de una alberca. 17. Direcciones IP elásticas: En otro tipo de direcciones IP está la dirección IP elástica. Y te puedes imaginar así. También es un grupo público mantenido de direcciones IP elásticas, que ha mantenido por AWS. Y puedes pedir prestado desde este pool tu dirección IP pública estática, dirección IP elástica. Y en este caso, se asignará a su cuenta de AWS. Puedes decidir cuánto tiempo quieres mantener esta dirección IP en tu cuenta y luego puedes devolverla si quieres. Pero no está relacionado con la máquina EC2, por ejemplo. Por lo que no tiene nada que ver con crear tu máquina EC2. Y luego se devuelve la dirección API cuando se termina la máquina EC2. Este no es el caso. Realmente está asignada a su cuenta de AWS y HEW health la decisión cuando se quiere devolverla. Puedes ver aquí y 0.3, también es posible mapear múltiples direcciones IP privadas a una dirección IP elástica. Y básicamente, la idea es, por ejemplo, si haces girar una máquina EC2 y esta máquina EC2 tiene por defecto una dirección IP pública y la dirección IP privada. Pero esta dirección IP pública no es suya. Entonces si el, si la máquina EC2 está terminada, entonces por supuesto se ha ido. Por ejemplo, qué va a hacer si la máquina EC2 fallará o tiene que terminar la máquina EC2, pero hay que asegurarse de que el servicio se levante aún más al final. Entonces, un concepto simple es que solo tomas prestada una dirección IP elástica de este grupo. Entonces tienes tu dirección IP pública estática fija, y luego la asignas la primera máquina EC2. Y cuando esta máquina EC2 falla, puede girar fácilmente una nueva máquina EC2 y luego simplemente cambiar el objetivo de la dirección IP elástica a la nueva máquina EC2. Entonces este es un simple caso de uso. Te puedes imaginar cómo funciona este material de dirección IP elástica. 18. Crea subredes públicas: Ahora queremos crear las subredes públicas. En primer lugar, aquí hay un pequeño resumen de lo que queremos construir en nuestra fresca VPC. Y como se puede ver aquí, tenemos la VPC y la configuración rock 10016. Y luego queremos crear dos subredes públicas. Y uno se llama prod sub uno, y el otro se llama prot sub dos. Y ambos están en una zona de disponibilidad. Entonces esto es sólo un ejemplo aquí. Y sí, por eso decidí sólo crear en una zona de disponibilidad, las subredes públicas. Pero por supuesto también puedes crear en todas las zonas de disponibilidad de tu región. Subredes. También es importante aquí el rango de bloqueo de configuración para el, para las subredes, uno es 10024, y para el sub dos traído es 1001024. Pasemos a la consola de administración. Y vamos aquí al servicio VPC, y luego seleccionamos las subredes. Como puedes ver aquí, ya tenemos las subredes predeterminadas. Queremos crear una nueva subred. Por lo que hacemos clic en Crear subred, después seleccionamos el ID de VPC. En nuestro caso, es amplio. Se puede ver aquí el setter asociado para la VPC, esto es 100016. Y luego se le puede dar un nombre, por ejemplo, orgulloso sub uno como lo definimos en la visión general. Y entonces podemos decir que la zona de disponibilidad es Test1. Entonces puedes definir aquí el bloque CIDR para la subred específica. Y en nuestro caso, decidimos ir por 10024. Usaremos éste. Y puedes pensar en cuántas direcciones IP están entonces disponibles. Si definimos aquí el 24. Sí, y entonces podemos decir aquí el nombre es sub-uno como etiqueta. Y también vamos a la etiqueta alfa y Wyoming. Y esto no es en este caso. Sí, podemos crear aquí la subred. Esta es la primera y luego podemos volver a cambiar al panorama general y el segundo será el sub dos Praat, y tiene el conjunto de rock 1001024. Construyamos de nuevo también esta subred. Hacemos click en la creación de subredes. Entonces seleccionaremos aquí este orgulloso, y luego lo nombraremos amplio buscado también asignar a la UE Oeste una zona de disponibilidad. Y luego decimos 1001024. Y por supuesto también trajo el blanco. Creamos esta subred. Y si elimino aquí, este filtro, entonces puedes ver aquí, puedo pedirlo un poco que tengamos aproximadamente una y la subred dos. Y se asignan a nuestro producto VPC, que puedes ver aquí. Y tenemos estos dos conjuntos de bloques. Y la disponibilidad máxima o no, los mics disponibles aparecen como 251. Entonces también es importante, como se puede ver aquí, el Fleck para asignar auto una dirección IP pública versión cuatro se establece en no, y esta queremos cambiar. Entonces por eso seleccionamos primero el sub Praat y vamos a Acciones y editamos ajustes de subred. Y luego puedes seleccionar aquí habilitada auto asignar dirección IP pública versión cuatro. Esto lo queremos hacer por la subred una, y también queremos hacerlo por el Praat sub2. Por lo que de nuevo, acciones y editar ajustes de subred y luego habilitar la dirección externa asignar IP pública versión cuatro. Esto se debe a que queremos lanzar en las próximas lecciones, máquinas EC2 en ambas subredes. Y por supuesto, también queremos llegar a las máquinas EC2 que podemos mirar dentro de esto, estas dos máquinas y hacer algunos pings y hacer algunas cosas de red allí. Y por lo tanto necesitamos una dirección IP pública porque lo contrario las instancias no son accesibles. 19. Instancias EC2 en la subred pública: En esta lección, vamos a crear instancias ec2 en nuestras subredes públicas. Y aquí se puede ver un pequeño resumen de lo que queremos hacer. Por lo que tenemos los productos subiendo una subred y tenemos el proceso hasta subred. Y luego cada una de las subredes, queremos crear una máquina EC2. uno se le llama traído EC2 uno y L1 se llama traído EC2. A esto, queremos hacer, cambiamos a nuestra consola y seleccionamos el servicio EC2. Si no se puede ver aquí. Bajo los servicios recientemente visitados, entonces por supuesto siempre se puede buscar el servicio y seleccionado. Sí. Y como se puede ver aquí, actualmente no hay instancias en ejecución. Y queremos lanzar nuestra primera máquina EC2. Y podemos lograrlo haciendo clic aquí en el botón Iniciar Instancia. Y luego buscamos un 12 porque sólo queremos girar hacia arriba no va a hacer máquina basada. Sí, 2004 está bien para nosotros. Lo seleccionamos. Y luego podemos usar aquí este tipo de micro instancia T2 porque esto es de capa libre vinculable. Entonces el siguiente. Y aquí seleccionamos nuestro producto VPC, y seleccionamos el top en us-east1-d. por supuesto, queremos alterar asignar la dirección IP pública porque queremos llegar a esta instancia desde la web mundial. Sí, creo que todos los demás ajustes están bien por ahora. Podemos agregar almacenamiento, pero no necesitamos, no necesitamos el almacenamiento, por lo que está bien solo tener el almacenamiento raíz aquí y luego podemos agregar algunos textos. Y por lo general le asigno la tecnología y Wyoming, que se enorgullece en este caso. También quiero darle un nombre. Y esto ha traído a EC2 uno. Entonces configuro grupo de seguridad. En este caso. Por ahora solo quiero usar el grupo de seguridad existente, que es porque solo queremos hablar del tema de los grupos de seguridad más adelante, más adelante. Entonces por eso por ahora Está bien solo usar el grupo de seguridad de VPC predeterminado. Entonces hago clic en Revisar y Lanzar, y puedo ponerlo en marcha. Y luego puedo crear un nuevo par de claves porque quiero conectarme a la máquina EC2 luego al final vía SSH. Y por lo tanto necesito un par de claves, y esto es lo que creo aquí. Sí, creo que como quiero nombrarlo, creo que C2 o qué se trajo? Ec2. Uno por ejemplo. Entonces puedo descargar este par de claves, y luego puedo lanzar la instancia. Entonces puedo ir aquí por instancias. Y se puede ver aquí el gasto estatal instancia. Mientras tanto, podemos crear las otras máquinas EC2. Por lo que volvemos a hacer clic en Instancia de lanzamiento. Buscamos la herida para volver a seleccionar este 200 para su uso, la micro instancia aquí, Configurar Instancia en, en este caso, también seleccionamos la trama VPC uno, pero ahora podemos trazar sub dos. La dirección IP pública Alto San también está habilitada y el resto está bien. Y el almacenamiento también está bien. Queremos agregar algo gravado de nuevo, por lo que se traen hombres marrones. Y por supuesto también queremos darle un nombre. Y esto es en este caso, orgulloso EC2 de configurar el grupo de seguridad, también queremos crear o seleccionar el grupo de seguridad existente. Este es éste, revisión y lanzamiento. Lanzamiento. Y en este caso, diría que sólo podemos usar el creado todo el par de claves existente para el C21. Porque sí, por ahora solo podemos usar el mismo par de claves para conectarnos a todas las máquinas EC2 aquí. A continuación, lanzar instancia, volver a la vista general de la instancia. Y luego se puede ver aquí el primero se está ejecutando ahora y el segundo sigue pendiente. Podemos intentar conectarnos ahora a este primer EC2 traído, una máquina. Y por lo tanto sólo puedo copiar aquí mi dirección IP pública, copiarla, y luego podemos ir a la terminal. Y si buscamos aquí en nuestra carpeta Descargas, aquí, podemos encontrar nuestro archivo de clave privada. Esto ha traído a EC2 1. En primer lugar, tenemos que cambiar los permisos porque son bastante culpa de abrir. Y lo cambiamos a 060 y la multitud EC2, 1PM. Eso está bien. Y entonces podemos tratar de conectar el cable es este H con plato SSH I. Y luego podemos seleccionar nuestra clave privada. Porque no es el predeterminado el que se encuentra en nuestra carpeta punto SSH. Entonces decimos, queremos que vuelva a entrar ya el Ubuntu no hará usuario. Y entonces sólo honro, lo siento. Ahora lo copio de nuevo. Esto todo lo que tengo para volver a la consola y volver a copiar la dirección IP. Ahora podríamos trabajar. Como se puede ver ahora, no es posible conectarse a la máquina EC2 actualmente desde la web mundial. Y por qué este es el caso. Nosotros, queremos hablar de este tema en las próximas lecciones. 20. Gateway de Internet (IGW): Y ahora la primera razón por la que tenemos que considerar por qué no podemos conectarnos a nuestras máquinas EC2 es la llamada puerta de enlace de Internet. ¿ Y qué es la puerta de enlace de Internet? El gateway de Internet es componente VPC, una instancia que es muy altamente escalable horizontalmente, redundante y altamente disponible. Entonces, al final, AWS mantiene este servicio, esta puerta de enlace de Internet, y no causa ningún riesgo en términos de disponibilidad o limitaciones de ancho de banda. Y lo que también es importante saber, no hay costos adicionales. A lo mejor puedes recordar, lo teníamos ya en la visión general predeterminada de VPC. Esta es una instancia que se crea automáticamente para la VPC predeterminada. Y el propósito de esta puerta de enlace de Internet, como el nombre ya dice, es que esta instancia asegure que la conexión a Internet esté disponible. Entonces si no hay puerta de enlace de Internet para tu VPC, definitivamente no tienes acceso a Internet. Y para crear este acceso a Internet, hay que hacerlo, primero creo la puerta de enlace de Internet y luego sumar las tablas de enrutamiento y tablas de enrutamiento que vamos a conseguir, hablaremos de las tablas de enrutamiento en la siguiente lección. Aquí puedes ver la pequeña visión general. Entonces nuestro estado actual de que tenemos que trazar subredes públicas y las dos son dos máquinas. Y ahora agregamos aquí esta puerta de enlace de Internet. Por lo tanto, podemos volver a cambiar a la consola de administración, y ahora tenemos que cambiar al servicio VPC aquí. Entonces puedes ver aquí en el lado izquierdo, pasarelas de internet. Y actualmente sólo tenemos la puerta de enlace predeterminada que se asigna a la VPC predeterminada. Queremos crear una nueva puerta de enlace de Internet. Yo lo llamaré sólo imprimir uno. Entonces puedo decir también se trae el medio ambiente. Entonces solo puedo crear esta puerta de enlace de Internet. Entonces no hay nada mucho que decir para eso. Y luego se puede ver aquí que nuestro estado actual se desprende y no hay ID de VPC aquí. Al final, esto significa que esta puerta de enlace de Internet no está asignada a ninguna VPC actualmente. Por eso tengo que hacer click aquí en Acciones y luego adjuntar a una VPC. Y luego puedo seleccionar aquí la trama una VPC y adjuntar la puerta de enlace de Internet a la VPC. Y esto es todo lo que tenemos que hacer aquí en esta lección. Creamos la puerta de enlace de Internet, y esta es nuestra puerta a la web mundial desde nuestra VPC. 21. Tablas de rutas: Otro concepto importante es el concepto de tabla de rutas. Como se puede ver aquí, creamos nuestras subredes públicas. Creamos estas dos máquinas y creamos aquí la puerta de enlace de Internet. Ahora agregamos una llamada tabla de rutas. Y esta tabla de rutas es básicamente solo un mapa de configuración para configurar el router. Y el router viene por defecto con cada VPC. Entonces, si creas una VPC, entonces automáticamente también se crea aquí un router. Y como se puede ver aquí, en el lado izquierdo, una mesa de ruta consta principalmente de estas dos columnas aquí. Y una columna es el destino y otra el objetivo. En este caso aquí, esto significa solo que cada tráfico será enrutado a la puerta de enlace de Internet x, y, z. si lo desea. Sí. Si desea lograr el nivel de asociado AWS Solutions Architect, entonces estas reglas aquí son muy importantes. Entonces esto, aquí es donde venimos en preguntas en este exoma. Cada subred se asigna exactamente a una tabla de ruta. Significa que solo puedes asignar una tabla de ruta por subred, pero puedes asignar una tabla de ruta a múltiples subredes. Si recuerdas, tenemos esta tabla principal de rutas la cual viene por defecto con VPC. Y éste puedes asignar a todas tus subredes. Pero por supuesto, también puedes crear algunas tablas de ruta personalizadas. Con la ayuda de estas tablas de roles personalizadas, puede hacer ajustes más detallados. Entonces, por ejemplo, se quiere distinguir entre subredes privadas y subredes públicas. Y este es el camino a seguir por ti. Si quieres hacer esto, entonces puedes crear tablas de ruta personalizadas. Ahora queremos volver a cambiar a nuestra consola de administración. Y tal vez estés aquí en la sección de pasarela de Internet y solo puedes seleccionar aquí las tablas de ruta. Entonces se puede ver tenemos dos tablas de ruta principales, una para la VPC predeterminada y otra para nuestra trama no predeterminada, una VPC. Y solo quería seleccionar aquí este ID de tabla de ruta de nuestra VPC no predeterminada. Y luego se puede ver aquí, tenemos las rutas, la tabla de rutas aquí, el destino, el objetivo, y el estado. Y básicamente sólo tenemos una regla aquí. Y esta es la regla por defecto. Y cada tabla de rutas tiene que tener una ruta local. Esto significa aquí solo que cada instancia que se crea en nuestra VPC puede llegar a cualquier otra máquina EC2 o cualquier otra instancia dentro de nuestra VPC. Por lo que cada recurso puede llegar a cualquier otro recurso en la VPC. Y este es el, el principal bloque CIDR fuera de la VPC. No se puede cambiar esta regla. Entonces si intentas eliminar una regla local, esto no es posible. 22. Establecer acceso a internet: Y ahora queremos establecer por fin, el acceso a Internet. Lo que falta para acceder a nuestra máquina EC2 desde la Web Mundial. Como se puede ver aquí, tenemos nuestra puerta de enlace de Internet. Tenemos para router con mesa de ruta. Y dentro de esta tabla de rutas, solo tenemos una regla. Y esta regla dice que cada tráfico que está dentro de nuestra VPC es redirigido aquí en nuestra subred local. permite todo el tráfico local. Lo que tenemos que hacer ahora es que tenemos que añadir otra ruta y otra regla que dice que cada tráfico así 0000 slash o se redirige a nuestra puerta de enlace de Internet con, porque esto es nuestra instancia que asegura la conexión a Internet. Esto es lo que queremos hacer. Y por lo tanto vuelvo a la consola de administración y luego selecciono aquí la tabla de ruta dada. Como pueden ver aquí tenemos el Praat one VPC, por lo que selecciono la tabla relacionada ID. Entonces tenemos aquí las rutas. Y como ya saben de la lección anterior, tenemos aquí esta regla de ruta, la regla local, y queremos agregar una nueva aquí. Vamos a Editar rutas y sumamos una ruta. Entonces decimos cada tráfico y esto es 00000 slash o Entonces hago clic aquí y luego la propuesta es cálida para tener una puerta de enlace de Internet. Y como se puede ver aquí, esta es nuestra puerta de enlace de Internet que creamos antes. Éste lo usaremos. Sí, eso es todo. Sólo tenemos que hacer click aquí en guardar los cambios. Entonces se puede ver que creamos otra ruta que conecta todas nuestras instancias con la puerta de enlace de Internet. Sí. Y ahora tenemos que asegurar que esta tabla de rutas se asigne a todas nuestras subredes. Por lo que tenemos nuestras dos máquinas EC2 en las dos subredes, prot sub uno y arriba dos. Y si nos desplazamos aquí a la derecha, entonces se puede ver que esta es la misma tabla de filas para ambas subredes. Y cuando selecciono esto, este ID, luego y vaya aquí dos rutas, entonces se puede ver esta es la que nosotros, lo modificamos. Y así creo que esto funcionará. Ahora. Podemos comprobar si podemos acceder a la máquina EC2 por fin, así que por eso volveré a ir a la consola EC2 y luego copiaré la dirección IP. Entonces nuestro ir de nuevo a la terminal. Ssh. Entonces creo que fue llamado traído EC2, 01:00 PM, el archivo de clave privada. Y luego nacemos para agregar la dirección IP. Y obviamente no está funcionando. Entonces, ¿qué podría ser? Sí, La razón por la que no funciona actualmente es otro concepto, y esto se llama grupos de seguridad. Y sólo quiero mencionarlo aquí muy pronto porque tendremos un capítulo separado para todo el tema de seguridad. Sí. Tenemos que volver al minuto a la consola de administración y volver a ir a las máquinas EC2 aquí. Y si seleccionamos esta máquina EC2, entonces hay una pestaña llamada seguridad. Y aquí se puede ver aquí hay un grupo de seguridad predeterminado. El grupo de seguridad, se puede imaginar que es como un firewall. Puede definir qué tráfico se permite aquí como una regla de entrada. Y por defecto, tenemos aquí esta regla que permite todo el tráfico desde todos los protocolos y todo el rango de puertos. Pero la restricción aquí es que solo permite todo el tráfico desde instancias que están en el mismo grupo de seguridad. Entonces en referencias al mismo grupo de seguridad, y obviamente mi PC local no forma parte de este grupo de seguridad y por eso no funciona. Lo que tenemos que hacer aquí es que sólo podemos hacer click aquí en Editar reglas entrantes y agregar una regla que permita el tráfico SSH. Entonces en TCP puerto 22, y decimos que queremos permitir desde x de todas partes. Y por supuesto también puedes definir aquí tu dirección IP estática si tienes una localmente. Y luego, y luego solo haz esta slash 32, y luego esta es tu, solo tu dirección IP, entonces está más restringida. Pero por ahora está bien solo asignar cada tráfico aquí desde SSH. Guardamos esta regla. Y entonces podemos ver aquí, agregamos otra regla como reglas entrantes. Y este es el tráfico de SSH aquí. Entonces vamos a darle otra oportunidad. Volveremos a la terminal. Y luego empecé aquí de nuevo. Como puedes ver aquí, puedo conectarme ahora a mi máquina EC2. Así funciona y a la perfección creamos nuestra primera conexión a Internet a nuestras máquinas EC2. Entonces, lo que hicimos hasta ahora, creamos un no-default. Vemos que creamos dos subredes públicas. Y en cada una de las subredes públicas, lanzamos una instancia EC2. Creamos una puerta de enlace de Internet que está adjunta a nuestra VPC no predeterminada y se puede utilizar para todas las subredes, perspicacia una VPC. Y luego creamos una tabla de rutas que podemos asegurar que cada tráfico de todas partes pueda conectarse a nuestra puerta de enlace de Internet. Que la puerta de enlace de Internet pueda asegurar el tráfico a la web mundial. Y luego solo retocamos la puja, nuestro grupo de seguridad de que consigamos permiso para acceder a nuestras máquinas EC2. Y así es como funciona. Ahora creamos con éxito la conexión a internet. 23. Descripción de subnets privados: En este capítulo, queremos hablar de la subred a sección, y estas son las subredes privadas. Y sólo una breve visión general donde estamos actualmente, creamos exitosamente a subredes públicas. Y cada subred tiene una máquina EC2 que se está ejecutando dentro de esta subred. Y el acceso a Internet está disponible por las tablas de ruta aquí, porque cada tabla de rutas aquí tiene ruta a la puerta de enlace de Internet. En este caso, solo tenemos una tabla de fila, solo esta tabla principal de rutas de la VPC. Ahora, queremos cambiar la subred pública sub2 a una subred privada. Y como puedes ver aquí, por defecto, no hay diferencia entre subredes públicas y subredes privadas. Entonces lo único que es diferente a lo que será la definición en la tabla de rutas. Entonces, si se crea una subred, puede decidir si es, ¿es una subred pública o es una subred privada? Se crea sólo una subred. Y luego se puede decidir en base a las reglas en esta tabla de rutas. Si se trata de una subred pública o una subred privada o una subred VPN. 24. Direcciones IP privadas: Cuando hablamos de subredes privadas, entonces también un concepto clave muy importante es el concepto de direcciones IP privadas. Aquí un pequeño resumen de las cosas más importantes que tienes que saber sobre las direcciones IP privadas. Las direcciones IP privadas no son accesibles a través de Internet. El propósito o el objetivo de las direcciones IP privadas es que aseguren la comunicación entre todas sus instancias dentro de su VPC o su subred. Al iniciar una máquina EC2, por ejemplo, no especifica ninguna IP fija, entonces AWS asigna automáticamente una dirección IP disponible en su peso de subred, en su rango de subred. Recuerda, esto se basa en tu configuración de bloque CIDR. Aws eligen solo una dirección IP dentro de este rango. Pero también puedes, o lo que también puedes hacer es especificar tu dirección IP fija para esta máquina EC2, pero tiene que encajar también a tu rango de bloques CIDR. Lo que también es posible es que se puedan asignar múltiples IPs privadas a una instancia EC2. 25. Conceptos básicos para un puerto nAT: El último tema del que tenemos que hablar antes de pasar a la parte práctica es la puerta de enlace NAT. Por lo que quiero darles una breve visión general respecto a los fundamentos de una llamada puerta de enlace NAT. ¿ Qué es la puerta de enlace NAT? No significa traducción de direcciones de red, y significa que hay una traducción entre direcciones P. En este caso, reemplazamos la dirección IP de origen de una instancia, por ejemplo, su máquina EC2 en su subred privada. Esta dirección IP es reemplazada por la dirección IP de la puerta de enlace NAT. Esto funciona también al revés. Entonces si obtienes tráfico entonces de, si los tienes, la respuesta de la World Wide Web, entonces la dirección IP de la puerta de enlace NAT se vuelve a traducir a tu dirección IP de origen. Y lo que también es muy importante aquí es si quieres crear alta disponibilidad, entonces debería haber una puerta de enlace independiente no en cada zona de disponibilidad. Pero si no quieres tener HA o esto no es un requisito, entonces es por supuesto suficiente. Si acaba de crear una puerta de enlace NAT y simplemente utilizarla para, para todos los fines. De esa manera. dos tipos diferentes de pasarelas NAT. Una es la pública y otra es la puerta de entrada privada NAT. El portal público NAT funciona esa manera ya lo expliqué. Por lo que permite el tráfico saliente desde una instancia colocada dentro de una subred privada. Entonces traduce la dirección IP en la dirección IP de la puerta de enlace NAT. Entonces el tráfico puede ir a la World Wide Web. Y la respuesta también se puede redirigir de nuevo a la propia instancia EC2, y las direcciones IP se vuelven a traducir. Para lograr esto, estamos, para lograr esta dirección IP elástica se requiere para la puerta de enlace NAT pública. Tienes que asignar una dirección IP elástica a tu puerta de enlace NAT pública. De lo contrario no funciona. Sí. Y luego tienes la puerta de entrada privada NAT. Y la puerta de enlace NAT privada trabaja para ser diferente. Por lo que no necesitas esta dirección IP elástica porque la puerta privada NO, solo conectamos diferentes VPC u otras redes locales. Y todavía estás en tu privado y Wyoming. Y entonces lo que sucede aquí es solo que las direcciones IP privadas de sus instancias son reemplazadas por las direcciones IP privadas de la puerta de enlace NAT. Por lo que no hay necesidad de una dirección IP pública. Y solo quiero volver a mencionar aquí también los precios porque en este caso la puerta de enlace NAT requiere tarifas adicionales. Solo puedes google precios, no puerta de enlace. Y entonces creo que tiene un precio por hora y también cuánto tráfico pasa por este gateway NAT. Pero sí, lecciones aprendidas. Puedes lo que tienes que saber es si quieres obtener x de una máquina privada EC2, desde una instancia privada en una subred privada. Si quieres tener acceso a Internet ahí. Porque por ejemplo, tal vez quieras actualizar tu sistema operativo o algo así. Entonces necesitas algo así como una puerta de enlace NAT. Debido a que la propia puerta de enlace de Internet, la puerta de enlace de Internet solo puede traducir direcciones IP públicas, pero no direcciones IP privadas. 26. Crea una portada NAT: Ahora consigue prácticamente lo que queremos hacer. Queremos crear una puerta de enlace NAT. Por lo tanto, vuelvo a mi consola de administración y me dirijo al servicio de VPC. Y sí, Ahora puedes encontrar aquí las pasarelas NAT. Y como se puede ver aquí, tenemos una isla no, no puerta de enlace está actualmente disponible. Y esto queremos cambiar. Creamos aquí y no puerta de entrada. Y digamos por ejemplo, el nombre es próximo uno. Y después tenemos que seleccionar una subred adecuada para eso. Esto es aquí, muy importante de entender. Necesitamos una subred pública para la puerta de enlace NAT porque solo puede traducir las direcciones IP del espacio privado al público, si lo es, si se coloca en una subredes públicas. Entonces por eso tenemos que asegurarnos de que sea público. Y por el hecho de que queremos modificar la trama sub dos en una subred privada. Sólo queda esta opción aquí para ponerla en la savia una subred. Y como se puede ver aquí, tenemos los dos tipos de conectividad que ya aprendimos. Por lo que hay un tipo de conectividad público y lo privado. Queremos utilizar al público porque queremos tener acceso público desde nuestras instancias privadas. Y luego necesitamos una dirección IP elástica. que pueda decir aquí, asignarme una dirección IP elástica y AWS la asigna bajo el capó a su cuenta o en este caso a mi cuenta. Tenemos esto funciona muy suave. Y entonces ya está aquí, ya una etiqueta de nombre con una protonada. Y solo queremos sumar también N Y, una etiqueta principal, que se llama prod. Y sólo podemos crear esta puerta de enlace NAT. Y esto es, eso es todo. Esto es todo lo que tenemos que hacer. Si queremos crear una puerta de enlace NAT, tenemos que esperar un poco porque el estado aquí está actualmente pendiente. Y si está terminado, entonces también conseguiremos una dirección IP privada. Y luego en la dirección IP elástica aquí. Lo que también quería mencionar es que también hay algo llamado instancia NAT. Esto es una especie de legado. Y esta es otra opción cómo se puede lograr esta traducción de direcciones de red. En este caso, hará girar hasta una máquina como una EC2 con funcionalidades de puerta de enlace NAT. Y probablemente en la mayoría de los casos, solo usarás la puerta de enlace NAT. Pero sí, a veces si quieres hacer configuraciones integrales, algunas si querías hacer configuraciones más detalladas, entonces tal vez puedas considerar hacer girar una instancia NAT. Pero creo que en el 95% de todos los casos, la puerta de entrada NAT aquí es el camino a seguir. 27. Subredes públicas y privadas: Sí, y ahora por fin queremos traducir nuestras segundas subredes públicas en una subred privada. Aquí está la pequeña visión general. Queremos modificar aquí, esta tabla de rutas. De esa manera que la trama sub dos subred pública se convierte en una subred privada. Lo primero que tenemos que hacer es crear otra tabla de rutas, porque ya sabes actualmente solo usamos la única tabla principal de rutas. Y la tabla principal de rutas se utiliza para cada subred aquí. Cuando eliminamos aquí esta ruta de puerta de enlace de Internet, entonces también se elimina para la subred pública, y esto no es lo que queremos hacer. Por eso tenemos que crear otra tabla de rutas. Y queremos hacer, pero antes de que hagamos esto, solo te mostraré que la conexión actualmente funciona para la segunda máquina EC2. Por lo que esta máquina EC2 se encuentra actualmente en nuestra segunda subred pública. Por eso copio aquí. Son dirección IP relacionada. Después vuelvo a la terminal y digo plato SSH. A la clave se le llama traído EC2, un archivo PEM. Y queremos conectarnos, queremos terminar con esta dirección IP. Como se puede ver aquí, esto funciona actualmente, por lo que actualmente puedo conectarme a la segunda máquina EC2 porque todavía está en una subred pública. Eso está bien. Saldré de esto aquí y volveré a la consola de administración. Ahora, cambiamos al servicio VPC. Entonces podemos ir aquí a las tablas de ruta. Apenas están estas dos tablas de ruta principales para las dos VPC. Y quiero crear aquí una nueva tabla de rutas que se llama Proud privada. Quiero seleccionar el producto VPC porque esta tabla de rutas está relacionada con nuestro protón VPC. Asignaré aquí la etiqueta de elemento y y, que también está orgullosa. Y creo esta tabla de rutas. Como puedes ver aquí, solo tenemos una ruta aquí, solo la ruta local. Ya lo expliqué. Lo que tenemos que hacer ahora es que tenemos que asignar esta tabla de rutas a la segunda subred aquí. Y por lo tanto sólo seleccionamos aquí subredes, luego vamos a la sub dos acciones y editamos la asociación tabla de rutas. Y luego solo puedes seleccionar aquí el ID de la tabla de ruta. Y no queremos usar la tabla de fila principal, queremos usar la tabla privada Praat one route. Entonces aquí las entradas que se redujeron apenas a la, a la entrada local aquí. Y entonces puedo decir Save. Ahora, la segunda subred aquí tiene otra tabla de rutas. Como se puede ver aquí, el ID es diferente de esta tabla de ruta ID de la otra subred en nuestra VPC. Ahora, podemos comprobar esto. Podemos volver a la terminal e intentar volver a conectarnos. Y como se puede ver aquí, ya no funciona porque no tenemos el cable de conexión, la puerta de enlace de internet, esta es la, esta ruta se elimina. Esto está bien. Eso funciona como se esperaba. Y ahora podemos sumar aquí. Podemos volver a la tabla de rutas y a la tabla de rutas privada. Ahora podemos añadir aquí el internet, lo de la ruta de la puerta de enlace NAT. Antes queríamos hacer esto, podemos echar un vistazo aquí, esta pequeña visión general, cómo funciona. Entonces lo que queremos lograr, queremos lograr que esta instancia privada de EC2 tenga acceso a Internet, pero el tráfico desde la World Wide Web no tiene permiso para acceder al producto máquina C22. Y por lo tanto, ya creamos esta puerta de enlace NAT aquí en la subred pública. Pero actualmente no tenemos conexión con esta puerta de enlace NAT desde los recursos privados dentro de esta subred privada aquí. Y por eso tenemos que definir otra ruta en esta tabla de rutas privadas, que se define como o slash o a la puerta de enlace NAT, lo que significa que cada tráfico será enrutado a la puerta de enlace NAT. Y luego funciona de esta manera. Tiene aquí su instancia EC2, y esta es una instancia privada. Y con la ayuda de esta ruta aquí, puede conectarse a través del router desde la VPC a nuestra puerta de enlace NAT. Y esta puerta de enlace NAT aquí está dentro o VPC pública en nuestra subred pública. Lo siento. Esto significa que puede utilizar esta entrada de ruta aquí. Cuenta con dirección IP, una dirección IP pública. Y con la ayuda de esta dirección IP pública, puede utilizar la ruta que cada tráfico se redirige a la puerta de enlace de Internet. Puede pasar el tráfico a través del router a la puerta de enlace de Internet. Y a través de la puerta de enlace de Internet, ha sido x's a la web mundial. Y así es como funciona. Pero de nuevo, funciona solo en una dirección y en la otra dirección solo con las respuestas. Eso significa que la instancia EC2 puede solicitar algunas cosas a través de Internet, y también puede recuperarles las respuestas. Pero nadie puede llegar a esta máquina EC2 desde la web mundial si la propia máquina EC2 no la quiere. Entonces si no hay solicitud de la propia máquina EC2. Entonces esta es la teoría detrás de eso. Y ahora por fin podemos volver a la consola y añadir aquí esta ruta. Si vas a editar ruta en la ruta, y nuevamente los ceros 00. Y luego elegimos aquí en lugar de la puerta de enlace de Internet, la puerta de enlace NAT, tenemos aquí nuestra trama, no una pasarela y guardamos los cambios. Y así es como funciona. Esto es todo lo que tenemos que hacer por ahora. Cuando volvemos a la terminal. Por supuesto, tampoco podemos conectarnos a nuestra máquina EC2 porque como ya aprendimos, esta es solo una dirección y no podemos solicitar ahora nuestra máquina privada EC2 y la subred privada de la World Wide Web. Pero este es el comportamiento esperado. 28. Host de bastion: Sí. Ahora, una vez que falta paso, queremos conectarnos a nuestra máquina privada EC2 y nuestra subred privada. Y queremos comprobar cómo funciona la conexión a la web mundial. Así que básicamente solo queríamos hacer un ping a Google solo para asegurarnos de que nuestra configuración sea correcta. Y para ello, tenemos que introducir un concepto que se llama bastión anfitrión. Y lo que hace lo mejor en host, lo mejor sabe es justo, puede imaginar como un servidor público que se puede llegar desde la web mundial y al que también tiene los permisos para conectarse a el servidor privado. Al final, si recuerdas, tenemos como grupo de seguridad para la, para la máquina pública EC2 y para la máquina privada EC2 que se permite el acceso SSH. Entonces esto está bien. Y también las tablas de ruta de cada subred aseguradoras que cada instancia que se está ejecutando dentro de nuestra trama una VPC puede conectarse a cualquier otra instancia en esta VPC. Entonces eso debería estar bien. Y lo que tenemos que hacer ahora es que le proporcioné aquí poco mando. Y este es un comando que básicamente hace túneles IP. Túneles portuarios, lo siento. Sí, solo puedes copiar este de aquí. Y luego cambiamos a nuestra terminal. Ya preparé aquí solo mando. Y como se puede ver aquí, este es sólo el comando copy de la diapositiva. Tenemos que reemplazar aquí este IP de recurso privado, y tenemos que reemplazar la API de host veterano. Por lo tanto, tenemos que volver a cambiar a nuestra consola de gestión. Acude al servicio EC2, luego nuestra parcela EC2 una máquina. Este es nuestro anfitrión del bastión de apoyo. Entonces aquí necesitamos la dirección IP pública. Y esto, en este caso, empieza aquí con 54. Y voy a copiar eso. Entonces volveré a cambiar a la terminal, y luego puedo pegarlo aquí. Y esto también lo haré por la dirección IP privada. Entonces volvamos a la consola de administración. Y luego copiaré aquí. E importante aquí es que tenemos que llegar hasta aquí la dirección IP privada. Por lo que esta debe ser la dirección IP privada, no la dirección IP pública, porque la máquina pública EC2 tiene que llegar a la instancia privada vía el rango privado de direcciones IP. Sí, así que copia esto aquí y luego péguelo, y luego debería funcionar. Ahora, lo que tenemos que obviamente es nuestros casts algún archivo PEM porque no usamos el predeterminado y nuestra carpeta punto SSH. Sí, Ahora debería funcionar y como se puede ver, se requiere la huella digital, y ahora estamos conectados en nuestra máquina pública. Como se puede ver aquí, esta es la máquina pública EC2 porque no es igual a esta dirección IP aquí, que es la dirección IP privada de la máquina privada EC2. Este es solo el primer paso. En este caso, tuneamos ahora el puerto 22 desde nuestra máquina privada EC2 a nuestro anfitrión local en el puerto 20202020. Por lo que esta máquina EC2 ya está disponible aquí, estos 22 puertos ya están disponibles en mi host local. Otro puerto, 2222. Ahora puedo abrir otra terminal donde es importante que esto, esto esté abierto todo el tiempo. Por lo que no se puede cerrar aquí esta terminal porque de lo contrario se cerrará también esta sesión. Y entonces el puerto no es tunelizado a nuestro anfitrión local. Y eso significa que puedes conectarte a tu máquina privada EC2. Por lo que esto estará abierto todo el tiempo aquí. Entonces solo puedo conectarme a mi máquina privada EC2 y lo haré con SSH ahí. Y luego nuestros avisos la fogata equivocada. Utilizamos las proteínas c2, un archivo PEM. Entonces también usamos el usuario no va a gobernar. Y ahora host local en lugar de la dirección IP de la máquina privada EC2, porque Como ya dije, se mapea a nuestro host local. Y entonces sólo tenemos que especificar este puerto 2222 porque bastante falla como H utiliza la potencia de 22. Pero este es nuestro puerto local 22. Entonces es por eso que necesitamos especificarlo aquí. Y luego solo ejecuto este comando. Huella dactilar. Sí. Y ahora estamos en nuestra máquina privada EC2 y que puedes verificar comprobando aquí esta dirección IP privada EC2. Y esto es en este caso 1001228. Y también podemos verificar esto en nuestra consola de gestión. Entonces si seleccionas aquí este EC2 en máquina y echa un vistazo a esta dirección IP privada aquí, entonces es de hecho la dirección IP 1001228. Entonces estamos en nuestra máquina. Ahora, el paso final es que queremos asegurar que nuestros no ajustes funcionen. Entonces por eso solo ejecutamos un pequeño ping a Google por ejemplo. Y como se puede ver aquí, funciona a la perfección. Entonces, ¿qué, qué hicimos? Creamos subred pública. Creamos la subred privada y se cambió la tabla de rutas. Por lo que actualmente no podemos tener exceso de la web mundial a nuestra máquina privada EC2, pero la máquina privada EC2 puede tener acceso a la web mundial. Entonces por ejemplo, si queremos instalar solo una pequeña actualización en esta máquina privada EC2, entonces esto es posible mientras que el cable de guía de red, la puerta de enlace NAT, pero no es posible al revés. Entonces esto es otra vez, un gran hito. Y lo que tenemos que hacer ahora es que solo queremos eliminar y detener todos los recursos que requieren algunos costos adicionales. Por eso me detuve aquí ahora el servicio, luego vuelvo a la consola de administración y luego digo, solo quiero parar aquí estas dos máquinas EC2 porque tal vez las necesitamos. Después en las próximas conferencias y capítulos. Lo que también queremos hacer es ir, nuevo al servicio de VPC. Queremos eliminar la puerta de enlace NAT. Aquí está. Acciones Eliminar, Puerta de enlace NAT, Eliminar. Y ahora se puede ver aquí el estado está eliminando. Aquí solo podemos tener una mirada final, el tablero de VPC. Y creo que no hay más recursos que requieran algunos honorarios o que tengan algunos costos, ¿costos adicionales? No, no lo creo. Casi olvido la dirección IP Elastic. Si recuerdas, cuando creamos nuestra puerta de enlace NAT, también tuvimos que asignar una dirección IP elástica. Y esto no se eliminará una dirección IP cuando elimine la puerta de enlace NAT. Entonces por eso vuelvo de nuevo al servicio EC2 aquí. Y luego puedes encontrar bajo dirección IP elástica está aquí, bajo el capítulo uno de red y seguridad , dirección IP elástica. Y sólo tengo que ir aquí a acciones y luego puedo liberar la dirección IP Elastic. Yo lo haré liberar. Y entonces esto también se hace. 29. Grupos de seguridad de introducción: En este capítulo, queremos hablar del tema seguridad. Pensé mucho en cuál es la forma correcta de hacerlo. Ponga el tema de seguridad al frente de todo este curso o no aquí. Pero luego decidí usar para crear primero la arquitectura VPC y todas las cosas funcionales y asegurarme de que todo funcione. Y ahora podemos sumar la capa de seguridad. Aquí viene un pequeño resumen. En primer lugar, tengo una pista para usted, y la pista se asigna una alta prioridad a la garantía real desde el principio. mi experiencia, te pierdes. Si no comienzas a agregar la capa de seguridad desde el principio, tu infraestructura o tu arquitectura crece y crece y crece. Y luego llegas al punto en el que no puedes poner al día todas las cosas que te perdiste en el pasado. Así como una pista. Seguridad, prioridad muy alta. Entonces tienes que dos tipos diferentes de seguridad en la Nube. Una es la seguridad de la nube, y esta es la parte de AWS en este caso. Entonces, por ejemplo, AWS y tareas por firewalls de hardware que la nube es segura o proporciona servidores redundantes, algo así. Principalmente a nivel de hardware pero también a nivel de software. Y luego está la seguridad en la Nube y este es el usuario. Como se puede ver aquí a continuación. Puede aumentar el nivel de seguridad con una ayuda, por ejemplo, listas de control de acceso a la red. Puedes usar grupos de seguridad, puedes usar firewalls. Y estos tres puntos son básicamente sólo algunos cortafuegos de software. Al final. Puedes, también puedes aumentar tu nivel de seguridad. Solo Adiós el enrollar tu VPC en subredes adecuadas y solo con el uso de subredes privadas. Entonces, cada instancia de EC2 que no puede, llegamos por defecto de la Worldwide Web no necesita una lista de control de acceso ni algo así porque está separada. Y luego por supuesto, se necesitan grupos de seguridad y listas de control de acceso por otras razones. Pero se trata de un mayor nivel de seguridad. Si crea aquí subredes adecuadas. Y por supuesto también el monitoreo es algo donde puedes aumentar tu nivel de seguridad porque cuando no sabes qué pasa en tu VPC y tu subred, entonces no puedes asegurar tu subred. También existe la posibilidad de utilizar permisos de IAM. Por ejemplo, una cosa es esta cosa con nuestro usuario de IAM. Creamos un usuario de IAM para crear nuestros recursos de VPC, y esto es muy recomendable. Así que no use su cuenta principal de AWS para eso. Lo último aquí es el cifrado. Entonces, por ejemplo, tienes la posibilidad cifrar tus datos en tránsito. Y esta es también otra capa de seguridad que puedes aplicar aquí. Esta es la pequeña introducción para la seguridad. Y en la próxima conferencia hablaremos de las listas de control de acceso a la red. 30. Lista de control de acceso de redes (NACL): En esta conferencia, queremos hablar listas de control de acceso a redes llamadas knock-offs. ¿ Qué es el NaCl? Nacl es una capa de seguridad adicional y se puede imaginar que funciona como un firewall a nivel de subred. Y cuando recuerdas, por defecto, cada VPC que se crea, tiene una lista principal de control de acceso a la red que permite por defecto todo el tráfico. Entonces nos dirigimos hacia la VPC predeterminada y también para VPC no predeterminada, creamos solo la VPC y luego por defecto había un nudillo y el tráfico también fuera. Pero también puedes crear tu lista personalizada de control de acceso a la red y asignarla a la subred que quieras. Pero cuando crea una lista personalizada de control de acceso a la red, entonces no hay reglas especificadas. Entonces eso significa que hay que permitir explícitamente el tráfico. De lo contrario, cada tráfico es la noche. Lo que aquí es muy importante saber, sobre todo si quieres hacer la certificación para la lista de control de acceso a red asociadade AWS Solutions Architect lista de control de acceso a red asociada es sin estado. ¿ Qué significa este hecho aquí que es apátrida? Significa que hay que definir una regla entrante y luego regla saliente para lograr éxito lograr la transmisión de datos exitosa. Por ejemplo, si haces la solicitud y define una regla entrante, entonces esto funciona. Pero no se puede recuperar la respuesta porque no tiene definición para la regla saliente. Y la Lista de Control de Acceso a la Red no es capaz recordar quién hizo la solicitud. Entonces esto significa que hay que definir también la regla saliente. No hay almacenamiento, no hay estado. También es importante que el orden de regla importa en este caso aquí. Tienes la posibilidad de crear reglas de una a 32.766. Además, AWS RECOMB recomienda que cree sus reglas en incrementos de diez. Entonces, por ejemplo, se crea 10203040, cosas así. Y esto es porque si lo haces de esa manera, entonces puedes asegurarte si quieres agregar algunas reglas, luego un poco más tarde, entonces tienes la posibilidad, entonces tienes la opción de agregar algunas reglas en el medio. De lo contrario hay que reestructurar todo el archivo de reglas entero entonces. También es muy importante que una regla dentro de dicha lista de control de acceso a la red pueda permitir o negar el tráfico. Esto es paseo que queremos comprobar ahora en la consola de AWS, vamos primero, queremos arrancar la máquina EC2 en la subred porque queremos comprobar si realmente funciona. Por eso empiezo aquí de nuevo nuestra máquina EC2. Y por supuesto queremos utilizar la máquina EC2 y la prod parar eso porque solo queremos conectarnos directamente a esta máquina. No queremos usar lo mejor y anfitrión. Entonces si refresco el estado aquí está pendiente. Y mientras tanto, podemos ir a nuestro servicio de VPC. Y luego puedes ir aquí a la red de ACL. Aquí se puede ver que todavía tenemos sólo las dos ACL principales de la red. Y queremos crear aquí uno nuevo, que se llama prod subred uno porque quiero asignarlo a la subred una. Selecciono aquí el Praat one VPC, y luego también crear aquí Tech y crear red ACL. Ahora puedes ver aquí no está asociado a ninguna parte de subred. Tenemos un nuevo ACL ID y puedo hacer click aquí, y se puede ver por defecto tenemos una regla entrante, que el bonito todo el tráfico y tenemos una regla saliente predeterminada que niega también todo el tráfico. Y lo que queremos lograr es que podamos volver a conectarnos a nuestra máquina EC2 cuando usamos aquí esta red ACL. Y primero tenemos que asignar esta red ACL a nuestra trama sub una subred. Y por lo tanto sólo podemos seleccionarlo aquí. Después ve a Acciones y edita asociación ACL de red y luego simplemente la cambiamos aquí a la subred una y segura. Sí. Y ahora podemos volver a la sección EC2 y tal vez esté funcionando ahora. Sí, parece estar bien aquí. Podemos copiar nuestra dirección IP aquí y luego cambiar a la terminal. Sí, ahora podemos hacer aquí y SSH con E y utilizar nuestro EC2 un archivo PEM de nuevo, queremos, y usamos aquí esta dirección IP Entrar. Y vemos que no funciona. Y esperábamos este comportamiento. Porque cuando volvamos a nuestro Servicio VPC, regrese a la red ACL. Podemos ver todo lo que se niega aquí, así que tenemos que agregar algunas reglas entrantes y salientes para asegurar que este tráfico SSH llegue a nuestra máquina EC2. Lo primero que queremos hacer aquí es, oops, queremos editar una regla entrante. Yo le asignaré el número diez aquí y seleccionaré SSH de todas partes. Y quiero permitirlo aquí en la primera etapa, guardar los cambios. Entonces lo revisaré de nuevo. Volveré a la terminal de la consola. Y como se puede ver aquí, no funciona. Y esto se debe a que no podemos recuperar la respuesta de la máquina EC2. De nuevo aquí en la consola de AWS. Y ahora queremos agregar también una regla saliente, editar regla saliente. Y también sumo aquí número diez, y también tráfico SSH de todas partes. Y quiero permitir que guarde los cambios. Y volvemos también a nuestra terminal. Y como se puede ver aquí, tampoco funciona. Y por qué no funciona. Este es un comportamiento específico del protocolo SSH porque el protocolo SSH requiere algunos rangos de puertos altos cuando se trata de las respuestas, sin embargo, tenemos que definir para las reglas salientes, cuanto mayor puertos porque elige aleatoriamente algunos puertos dos, envía la respuesta de vuelta. Esto es específico de SSH. Y por eso vuelvo aquí a las reglas salientes. Y entonces digo, quiero volver a editar la regla saliente, no permitir justo como su edad, quiero saber todo el tráfico. Entonces puedo volver a guardar mis cambios de nuevo a la consola. Y ahora debería funcionar. Y como se puede ver aquí, realmente funciona. Ahora. Saldré de esta conexión. Entonces te mostraré, o quiero mostrarte cómo funciona el ordenamiento del orden de los archivos de regla del orden de los archivos de regla aquí son las entradas de regla. En este caso, volvemos a editar la regla entrante. Y ahora puedo decir, quiero sumar otra regla con un número 20 y decir también SSH. Y quiero negar esto. Y ahora se puede pensar en lo que va a pasar ahora. ¿ Es posible llegar a la instancia EC2 o no con esta configuración aquí? Guardé este cambio. Después vuelvo a mi terminal. Y como puedes ver aquí, funciona así que soy capaz de conectarme a mi máquina EC2. Y es por eso que definimos primero la regla de permitir. Esta regla aquí no importa porque el orden importa. Si volvemos a ir a las reglas entrantes y decimos que esta regla aquí es por ejemplo, no o t Y esta voluntad es 30. Eso significa que cuando lo ordenamos aquí, negamos primero nuestros ojos como tráfico H y luego permitimos nuestro tráfico SSH. Y cuando volvemos ahora a determinarnos y comprobar la conexión, vemos que no funciona. Este es el comportamiento esperado. Cambiamos el orden aquí. Y ahora esta regla aquí, no importa porque ya definimos que queremos negar aquí todo el tráfico SSH. Sí, quiero decir, así es como funciona. Es así como funciona todo el personal con red ACS. Y el propósito para eso es, por ejemplo, si quieres asegurarte de que ajuste tu dirección IP desde tu mejor anfitrión amigo o desde tu PC local. Si tienes un servicio DNS o algo así, si tienes una dirección IP estática, entonces puedes, por ejemplo, aquí, para encontrar que solo tu dirección IP slash 32 está permitido acceder a tu cable VPC SSH para ejemplo. Entonces sí, tienes un control realmente detallado aquí porque puedes usar direcciones IP, rangos IP, y también puedes definir denegación explícita o una LLC. 31. Grupo de seguridad: En esta lección, vamos a hablar del tema grupo de seguridad. ¿ Qué es un grupo de seguridad? También es como un firewall virtual. Pero en este caso aquí operamos a nivel de recursos. Entonces eso significa que puedes asignar un grupo de seguridad, una máquina EC2 por ejemplo. Y por supuesto cada VPC y cada subred, medio grupo de seguridad predeterminado. Y lo que es realmente importante es que los grupos de seguridad sean con estado. Eso significa, por ejemplo, si realiza una solicitud SSH a una máquina EC2, entonces la respuesta también se permite automáticamente. Por lo que te imaginas como si hubiera un poco de almacenamiento en el medio y el grupo de seguridad de seguridad puede recordar quién solicitó algo y la respuesta se carga automáticamente. Entonces al final. Para grupos de seguridad, sólo podemos definir unas asignaciones bajas. Estas dos declaraciones aquí también son muy importantes para el asociado Arquitecto de Soluciones. Excelente. Los grupos de seguridad son con estado y sólo permiten asignaciones están ahí. En esta tabla, se puede ver ahora de nuevo la diferencia entre los grupos de seguridad y las listas de control de acceso a la red. Como ya dijimos, para el grupo de seguridad, opera a nivel de instancia y apoya simplemente permitir reglas. Es con estado, lo que significa que el tráfico de retorno se permite automáticamente. Por lo que no tienes que crear algunas reglas salientes adicionales si solo quieres permitir el tráfico SSH entrante. Y todas las reglas se evalúan antes de que AWS decida permitir o negar o negar el tráfico. Y hay que asignar explícitamente el grupo de seguridad a la instancia. Entonces si esto es lo que pasa, entonces tienes la lista de control de acceso a la red. Y el control de acceso a la red. Esto opera a nivel de subred. Aquí tienes, como ya dijimos, permitir reglas y negar reglas. El NaCl es apátrida y el orden importa cómo definas tus reglas. Entonces si recuerdas cuando creas algunas o dos para igualar reglas, pero una solo con permitir, otra con lo ingenuo, entonces importa, que viene primero. Y si asigna esta lista de control de acceso a la red a una subred o a una VPC, entonces se aplica automáticamente a todas las máquinas EC2 para todas las instancias dentro de esta subred o dentro de esta VPC. Esta es la diferencia. Sí, hagamos algunas cosas prácticas. Volveré a cambiar a nuestra consola. Y primero vuelvo a ir al servicio VPC. Voy a comprobar cómo funciona aquí con una red ACLS porque queremos asegurarnos de que permitimos todo el tráfico mientras sus ACL de red, que podamos comprobar la funcionalidad de los grupos de seguridad. Por eso vuelvo a ir aquí a las subredes. Y creo que asignamos a la subred aquí nuestra lista personalizada de control de acceso a la red. Por eso vuelvo a ir aquí a Editar. Y entonces lo cambiaré de vuelta aquí a la ACL predeterminada. Que podamos asegurar que sólo se permita todo el tráfico. Conecta estas ACL aquí. Entonces voy aquí, salvo, y luego puedo elegir aquí los grupos de seguridad. Como puedes ver aquí, solo tenemos orden a grupos de seguridad predeterminados para las dos o las dos VPC. Y mi caso aquí hago clic en crear el grupo de seguridad, entonces puedo darle un nombre. Lo nombro también orgulloso subred uno y un acceso SSH bajo, SSH. Entonces puedo sentarme aquí, quiero usarlo con un plot1 VPC. Entonces puedo definir, por ejemplo, también una regla SSH para el protocolo TCP y el rango de puertos 22. Y entonces puedo decir desde todas partes aquí y la descripción es SSH. Y eliminaré aquí todas las reglas salientes. Al final, solo tenemos una regla de entrada con tráfico SSH permitido. Crear el grupo de seguridad. Ahora, puedo ir aquí a la consola de administración EC2. Y tenemos funcionando aquí nuestro producto EC2 una máquina I está seleccionada. Tobillo aquí al grupo de seguridad. Y como pueden ver aquí, asignamos a este grupo de seguridad predeterminado. Este queremos cambiar. Y por eso voy aquí a acción de seguridad y cambio de grupos de seguridad. Sí, ahora puedo seleccionar aquí nuestra subred un grupo de seguridad, el grupo de seguridad. Y puedo eliminar aquí el predeterminado. Y como ya puedes ver aquí, también puedes asignar múltiples grupos de seguridad a una máquina. En este caso. En nuestro caso, solo queremos tener este grupo de seguridad de bonos de subred. Doy clic en Guardar, y luego vuelvo de nuevo al grupo de seguridad. Y como se puede ver aquí, fue cambiado por AWS, pero no se puede ver una regla entrante y creo que esto es un buck en la consola aquí. Entonces voy a hacer, voy a refrescarme de este lado y volver a la seguridad. Y luego se puede ver aquí nuestra regla entrante se muestra aquí. Y ahora podemos comprobar si esto realmente funciona. Copiaré la dirección IP pública de esta máquina EC2. Entonces volveré a mi terminal. Digo plato SSH, y luego el archivo PEM y nacido en y luego nuestra dirección IP. Como puedes ver aquí, funciona a la perfección. Y sólo para asegurar que realmente sea esta regla de SSH, también podemos volver aquí con el grupo de seguridad. Haga clic en el grupo de seguridad y Editar reglas entrantes y luego decir, queremos eliminar aquí esta regla entrante y hacemos click en Guardar. Entonces hay que esperar unos segundos para que se propague, creo. Sí, en unos segundos, pero lo más probable es que no en tiempo real. Sí. Ahora, vuelvo de nuevo, salgo de aquí, y luego lo intento de nuevo. Y como se puede ver aquí, no funciona. Entonces fue realmente esta regla de SSH entrante. Y también importante, acabamos de definir una regla entrante. Por lo que acabamos de definir la regla SSH entrante y somos capaces de conectarnos a esta máquina EC2. Y es por eso que el grupo de seguridad tiene estado. Interrumpí aquí. Y sí, creo que esto es casi todo. Y sólo quiero mencionar aquí otra cosa. Cuando volvamos a Editar reglas entrantes y regla eta, entonces también podemos asignar como fuente aquí grupo de seguridad. Si lo recuerdas, lo hicimos también para nuestro grupo principal de seguridad de VPC para los no predeterminados y también para la VPC predeterminada. Por lo que hubo una regla donde todo el tráfico se permitió a Forum todas las instancias que se asignan al mismo grupo de seguridad. Pero sí, um, actualmente no estoy muy seguro cuál es la mejor práctica aquí. Algunas personas usan esto y otras no. Creo que es muy, muy cerca de la dependencia ****, porque por ejemplo, si se crea un grupo de seguridad base y luego se crea otro grupo de seguridad. Y otro grupo de seguridad está relacionado con este grupo de seguridad base. Y luego tú decides, quiero eliminar este grupo crítico básico. No se puede eliminar esto básicamente el grupo ante el otro grupo de seguridad. No se elimina la necesaria toda la regla que se asigna al grupo de seguridad. Y si haces esto por muchas instancias con muchos grupos de seguridad, entonces sí, estás en el cerro de la dependencia. Entonces por eso yo desde mi persona con unos pocos, sugiero simplemente, por ejemplo, crear un grupo de seguridad que permita el tráfico SSH, por ejemplo, desde, desde cualquier lugar o desde la VPC, de todas las direcciones IP dentro de la subred VPC. Y luego solo puedes asignar este grupo de seguridad también a la máquina EC2. Y luego se crea otro, por ejemplo, para el puerto de Postgres 5432. Y luego se puede asignar esto también a todas las máquinas EC2 que tienen instancia de Postgres en ejecución. Por ejemplo. Creo que este es el mejor enfoque, pero avísame si tiene una opinión al respecto y lo deja caer en los comentarios. 32. Firewall de redes: Para ser consistente, quiero mencionar muy pronto en esta lección el firewall de red. Firewall de red es estado quién va, y básicamente puede filtrar el tráfico en una VPC, por ejemplo, el tráfico hacia o desde una puerta de enlace de Internet o no puerta de enlace o MPN ha terminado. Y utiliza el sistema de prevención de intrusiones de código abierto, IPS, con un nombre. Por lo que haga clic hada. Básicamente se puede imaginar como si fuera inteligente por un muro que puede evitar algún tipo de ataques. Y es una segunda o una tercera capa, una tercera capa de seguridad. Pero desde mi punto de vista, si lo haces bien con todas las cosas que aprendimos antes con una lista de control de acceso a la red con los grupos de seguridad. Y si estructuras tu VPC con subredes privadas y subredes públicas y la mitad todas las instancias importantes solo en tu subred privada y solo unas cuantas conexiones con el mundo sobre por qué su subred pública. Entonces esto también está muy asegurado, por lo que no se necesita este firewall de red. Luego viene también con costos adicionales sobre AWS proporciona aquí para usted otra capa de seguridad. Y desde mi punto de vista, se pueden considerar dos en este firewall de red. Entonces al final, si tienes el verdadero requisito para eso, solo quería mencionar que aquí existe este firewall de red. Cuando vamos a la consola y al servicio VPC aquí. Entonces puedes encontrar el firewall de red también aquí, y luego firewall de red. Pero no tenemos exceso aquí actualmente con nuestro usuario de IAM porque no queríamos Crear aquí y la vida del firewall de red. Solo quería mencionar que los firewalls de red también existen aquí en la consola VPC. 33. AWS VPC: logotipos de flujo: En este capítulo, queremos hablar de monitoreo. monitoreo desde mi punto de vista también está muy estrechamente relacionado con el tema de seguridad. Porque si no puedes monitorear o si no sabes qué pasa en tu VPC, en tu subred, entonces también es difícil hacer algún personal de seguridad, aquí son muy importantes para el monitoreo es el servicio, los llamados bloques de flujo de servicio. Y lo que nuestro Flow Registros. Se puede ver esta pequeña imagen aquí, por lo que moverá mi imagen. Cerraduras de flujo. Puede bloquear todo el tráfico entrante y saliente en su VPC. Entonces básicamente, se basa en el tráfico que es, que viene hacia o desde una interfaz de red. Y esto es aquí, la interfaz de red elástica. Y tal. Una interfaz de red elástica es básicamente, puede imaginar como tarjeta de red en su computadora de hardware, um, por lo que cada vez que AWS asigna una dirección IP a su máquina EC2, hay un interfaz de red elástica involucrada. Este es el software equivalente a su tarjeta de red. Los registros de flujo pueden ayudarte a diagnosticar y monitorear el tráfico. Y lo que también es importante saber aquí que es como un servicio separado y no afecta el ancho de banda en la latencia del tráfico. Entonces es como, como un observador. Uy, lo siento. Puede crear registros de flujo para todo su EPC, para subredes o incluso para interfaces de red individuales. Entonces para las interfaces de red elásticas individuales, también importante saber, los registros de flujo no actúan en tiempo real, por lo que hay un poco de retraso y donde puedes almacenar tus registros de flujo. Hay dos posibilidades. Uno es tres, por lo que puede definir un bucket S3 donde se pueden almacenar los registros de flujo o empujarlos a CloudWatch. Y queremos hacerlo con CloudWatch. Por lo que pasaremos a nuestra parte práctica. la consola. Nuevamente. Voy a mover mi foto aquí de nuevo. Y ahora podemos ir aquí dos subredes para desseleccionar el sub Praat. Y esto es muy importante porque queremos absorbernos y el tráfico para nuestra máquina pública EC2. Y nuestra máquina pública EC2 obviamente se coloca en nuestro producto sub una subred. Y luego puedo ir aquí a fluir troncos. Y ya creé uno, así que eliminaré éste rápidamente. Y luego puedes ir aquí para crear log de flujo. Como puedes ver aquí, hay muchas opciones. Uno es qué campo queremos aplicar. Puedes decidir, por ejemplo, que solo quieres rastrear todo el tráfico que fue aceptado. O simplemente puedes rastrear todo el tráfico que fue rechazado, o filtrar solo todo el tráfico. En este caso, queremos usar solo todo filtro y queremos usar aquí la agregación de un minuto y la pared. Y luego aquí podemos decidir qué lago de datos queremos usar CloudWatch o este paquete. En nuestro caso, queremos utilizar el CloudWatch una solución. Y por lo tanto, como pueden ver aquí, necesitamos un grupo de bloqueo de destino donde podamos escribir o donde podamos empujar nuestros registros de flujo. Y necesitamos, por supuesto también un rol de IAM porque ahora este servicio de log de flujo actúa como un, como un usuario. Por lo que el servicio en sí necesita los permisos para empujar los registros de flujo nuestro gran grupo en un flujo de bloqueo. Por eso primero, tenemos que crear este grupo de log y también tenemos que crear este rol de IAM aquí. Por eso busco aquí CloudWatch. Vaya al servicio CloudWatch, luego a bloquear grupos. Y aquí creo un nuevo grupo de troncos. Lo nombraré subred uno, cerraduras bajas. Y sí, asignaré aquí un periodo de retención de siete días. No puedes hacerlo, pero para ti, realmente no es necesario. Simplemente significa que almacena las cerraduras de los últimos siete días y luego elimina todas las cerraduras que tienen más de siete días. Sí. Entonces puedo crear aquí este grupo de registros. Y luego terminamos nuestra primera parte. Entonces. Puedo ir al servicio de IAM y luego tenemos que crear una política y el rol que podemos asignarles al final al servicio de log de flujo. Y por lo tanto, edito aquí para ti en las diapositivas, la URL, para que solo puedas copiarla, copiarla, y pegarla en tu navegador. Entonces vienes aquí a este sitio, publicamos registros de flujo a los registros de CloudWatch. Entonces necesitamos aquí esta política de IAM. Esta política de IAM significa que es una política que permite a cada recurso crear un grupo grande, crear un flujo de registro, y poner también eventos de bloqueo en los flujos. Esto es lo que queremos hacer. Por lo que copiamos este aquí. Vuelve a la consola de gestión y crearemos una política. Primero. Crea esta política. Entonces elige aquí Jason y nosotros, entonces solo podemos pegar nuestras cosas JSON aquí en los próximos dos textos. Por ahora no agregaré ninguna tecnología. Siguiente revisión y luego podemos darle un nombre. Entonces, por ejemplo, los productos fluyen cerraduras, crean la política. Entonces lleva un poco de tiempo. Y como se puede ver aquí, ha creado la política orgullosa Flow Logs. Ahora, si recuerdan, necesitamos rol de IAM para eso podemos asignar a nuestros logs de flujo. Entonces creamos aquí un rol, creamos la fila. Entonces elegimos aquí la política de confianza personalizada. Vuelva a la documentación de AWS aquí, y luego podemos copiar la segunda declaración. Ve aquí y luego puedo pegarlo. ¿ Y qué significa esto aquí? Significa solo que asignamos al rol que solo el servicio VPC Flow Logs puede usar este rol. Esto es sólo otra restricción de seguridad. Y puedo dar click aquí en Siguiente. Entonces puedo agregar las políticas y solo necesitamos nuestra política de registros de flujo prot creada. Por lo que lo seleccionaré aquí. Entonces puedo ir el siguiente botón. Y también le doy un nombre, trajo rol de bloques bajos. Entonces puedo crear este papel aquí. Ahora, el rol de registros de flujo prot se creó con éxito. Podemos usar esta fila ahora. Agradable. Entonces entonces podemos volver a nuestro Servicio VPC. Este es éste aquí, ángulo BAC dos subredes, y luego seleccionamos la subred una aquí, y luego fluimos los registros. Crea un registro de flujo. Y ahora podemos nombrarlo, por ejemplo, subred uno, un golpe o toda la agregación en CloudWatch Logs de un minuto. Y entonces puedo elegir aquí ahora se crean productos arriba en uno logs de flujo. Grupo de bloqueo. Y puedo elegir el rol de bloqueos de flujo de trama de roles de IAM. Esto significa que ahora los registros de flujo de servicio tiene el cable de x, este rol de IAM para crear flujos de fox en el grupo de registros para poner también los eventos de registro en este flujo de registro. Entonces la última selección aquí es que puedes decidir si quieres tener el formato predeterminado de AWS para los flujos de bloques o el formato personalizado. Sí, al final es solo una fórmula personalizada que puedes usar. Pero para, por ahora rápido, el formato predeterminado de AWS está bien. Entonces podemos agregar tecnología. ¿ Y por qué estoy orgulloso? Puedo crear el prólogo. Y como puedes ver aquí, tenemos nuestro log de flujo creado con éxito. Tiene un DNI. El filtro es todo. Cloudwatch Registros es el tipo de destino. Y aquí también se puede ver el destino, que es el grupo CloudWatch Log. Entonces podemos empujar algo de tráfico a nuestra subred. Y esto lo queremos hacer con la ayuda de nuestras orgullosas máquinas EC2. Entonces por eso vuelvo a la consola EC2. Entonces puedo copiar aquí nuestra dirección IP pública, ésta. Y luego puedo volver a la terminal y hacer SH mandar mi archivo PEM de cliente. Y no vamos a hacer esta dirección IP. Y como se puede ver aquí, no funciona. ¿ Por qué no funciona? Porque tenemos que volver a sumar la regla de SSH en el grupo de seguridad. Si lo recuerdas, lo eliminamos. El final de la sección de grupos de seguridad. Aquí no hay regla para mostrar. Y por eso tenemos que volver a ir aquí al grupo de seguridad orgulloso subred uno. Iré a Editar regla entrante y luego tenemos que agregar de nuevo esta regla SSH de todas partes descripción es h. Y guarde esta regla. Ahora podemos volver a la terminal. Lo voy a interrumpir aquí de nuevo. Y luego aquí vamos. Estamos en la máquina EC2 y puedo hacer dos o tres veces que inicie sesión solo para crear algún tráfico. Sí, así es como funciona. Y ahora podemos volver de nuevo a nuestro servicio de VPC. Y algo que vuelve a ser amplia subred uno es éste aquí, flujos de registros y luego podemos ir al servicio CloudWatch al grupo de registros. Y como puedes ver aquí, ya tenemos un flujo de registro que fue creado automáticamente por cualquiera de los dos servicios de logs de flujo. Yo puedo ir aquí y como pueden ver aquí, tenemos algo de tráfico. Creo que esta dirección IP comenzando con 79 es actualmente mi dirección IP. Y así es como funciona. Por supuesto. Ahora puedes ir y decir, quiero crear algunas métricas aquí en CloudWatch. Y si ocurre un evento especial, entonces quiero hacer mucha alarma. Pero sí, esto es otra vez un tema entero, todo el asunto de CloudWatch. A lo mejor también voy a crear un curso separado para eso. Pero creo que por ahora esto es suficiente porque este es el conocimiento básico. Y sí, eso es todo para la sección Flow Logs. Lo que olvidé decir es que si estás listo, puedes eliminar tus registros de flujo y tu grupo CloudWatch Log e incluso tu rol de IAM en la política que creamos. Pero solo los Flow Logs cuestan dinero adicional. Está bien si dejas ahí tu papel de IAM. 34. Endpoints de interfaz: Ahora queremos hablar del tema de conectividad, y sobre todo en este caso aquí sobre los puntos finales de VPC. Lo que nuestros puntos finales de VPC al final, resuelven el siguiente tema. Así que imagina que tienes tu máquina EC2 en tu subred privada. Y la subred privada no tiene puerta de enlace NAT ni conexión a la puerta de enlace de Internet a través de esta puerta de enlace NAT. Pero necesitas, por ejemplo, en tus máquinas EC2 algunos datos de S3. Y si te acuerdas bien, dije al inicio de este curso que hay algunos servicios globales de AWS que se mantienen en diferentes VPC y no puedes decidir que pongas este cubo de tres, por ejemplo, en su VPC privada. Por lo que es solo una referencia a otro espacio de nombres en el lado de AWS. Exactamente por esta razón, tenemos que usar puntos finales de VPC. En este caso, queremos conectarnos desde nuestra máquina EC2, que es privada, a otra VPC, que es mantenida por AWS. Y no queremos usar la web mundial para eso. Esto es importante. Si queremos hacer esto aquí con la máquina pública EC2, entonces este no es un problema porque la máquina pública EC2 puede x, por ejemplo, que tiene tres puntos finales vía la World Wide Web. Entonces no necesita túnel privado para eso. Pero por supuesto es mejor enrutar su tráfico dentro de AWS, dentro de la nube de AWS porque es mucho más seguro. Obviamente. Creo que lo es. Reduce también los costos porque el tráfico no está fuera de tu VPC ni de la nube de AWS, permanece en la propia nube. El primer tema son los puntos finales de la interfaz. Y los puntos finales de la interfaz. Este es un tipo de endpoints que puedes configurar aquí en la nube de AWS. Y hay dos puntos finales más importantes. Uno es el punto final de la interfaz, y uno es la puerta de enlace. El punto final de la puerta de enlace, que viene entonces después. Entonces, ¿cuál es el punto final de la interfaz? Cuando crea un endpoint de interfaz, básicamente crea una interfaz de red elástica. Y esto lo mantiene un servicio de AWS, que se llama enlace privado de AWS. Pero sí, no tienes que preocuparte por esto. Puedes simplemente sí. Solo quería mencionar que se llama enlace privado de AWS. Pero este servicio crea para usted bajo el capó y la interfaz de red elástica. Y esta interfaz de red elástica que puedes usar luego para proporcionar esta conexión desde tu subred privada a los servicios globales como un tres o SQS o algo así. Y por supuesto, porque aquí agregamos un hardware adicional, en este caso, esta interfaz de red elástica. Hay algunas tarifas adicionales por eso y puedes consultarlas aquí bajo este enlace. Cuánto va a costar para ti. Queremos crear ahora este endpoint de interfaz y queremos conectarnos desde nuestra máquina privada EC2 al servicio S3. En nuestro caso, solo queremos enumerar los cubos S3. Y sobre todo en mi caso, no tengo cubos S3 en Irlanda. Entonces por eso solo espero una lista vacía. Sí, me paso al tablero de VPC aquí y voy a las subredes. Lo primero que podemos revisarnos, te seleccionamos el Praat SAP para subred. Entonces voy a poner a la mesa de ruta aquí. Y como se puede ver aquí, tenemos nuestra ruta local y tenemos todavía la ruta NAT gateway aquí, porque esto no fue borrado automáticamente. Para que pueda ir aquí para editar la ruta y la tabla de rutas. No, esto es relacionable, lo siento, lo siento. Tengo que seleccionar aquí esta tabla de ruta misma. Después recorridos, y luego aquí recorre. Y como se puede ver aquí, este es un agujero negro porque esta puerta de entrada NAT ya no existe. que pueda ir aquí a Editar y luego I. Sólo puedes quitar esta línea aquí. Eso significa, en nuestro caso ahora no tenemos acceso a Internet. Apenas los recursos, sólo las otras instancias EC2 que están en la misma subred y la misma VPC pueden llegar a esta máquina EC2. Ahora, queremos volver a conectarnos a través del mejor cable de su host, la máquina EC2 separada y nuestra subred pública a nuestra máquina privada. Por eso voy al servicio de EC2. Primero tengo que arrancar aquí la segunda máquina EC2. Por lo que voy aquí a instancia estatal e inicio instancia. Entonces lleva un tiempo hasta que este estado de instancia aquí se esté ejecutando. Pero mientras tanto, podemos preparar el comando para túneles nuestros puertos. que puedas volver a la diapositiva donde te presenté el mejor concepto y anfitrión. Y puedes volver a copiar este comando. Iré a la terminal y luego copiaré exactamente este comando, pegarlo aquí. Ahora tenemos que rellenar aquí de nuevo nuestras direcciones IP. El primero es el recurso privado IP. Entonces este es el de nuestra instancia privada. Este es éste aquí, el EC2 a máquina. Y sólo puedo copiar aquí la dirección privada IP versión cuatro. Copiar, volver a la terminal, pegarlo aquí, y luego necesitamos sólo la IP del host bastión. Entonces la API, la IP pública de nuestro orgulloso EC2 una instancia, esta es esta aquí. Puedo hacer click aquí y copiar la dirección IP pública versión cuatro. Sí. Y luego por supuesto, necesitamos nuestro archivo PEM. Así es como funciona aquí. Y luego puedo conectarme a mi instancia. Sí. Por lo que ahora estamos en nuestro bastión anfitrión y tuneamos el puerto 2220 para ser tuneados la parte 22 desde nuestra instancia privada hasta el puerto 2322 en nuestra máquina local. Y ahora tenemos que conectarnos con la instancia privada. Y por eso voy por aquí. Entonces uso de nuevo o archivo PEM. Entonces me conecto para querer al anfitrión local. Y el puerto es obviamente la parte de 2 mil. Sí. Ahora puedo dar click aquí en Aceptar. Y como se puede ver, no funciona. Y ahora puedes detener el video y pensar por qué no funciona. Entonces como poca pista, hay algunas posibilidades por qué no funciona. Por ejemplo, todo el material de seguridad. Por lo que las listas de control de acceso o grupos de seguridad, o también la configuración de subred en la propia configuración de VPC. El motivo por el que no funciona es cuando volvemos aquí a la máquina EC2. Entonces a nuestra, a la, la primera máquina, lo siento. Ahí vamos aquí al EC2, una máquina aquí, seguridad. Y como puedes ver aquí, solo tenemos una regla de entrada que permita el acceso a SSH. Pero lo que queremos hacer ahora es que ya estamos en el mejor funhouse. Ya estamos en esta máquina aquí. Y queremos tener tráfico saliente porque nosotros, hacemos la solicitud SSH a la máquina EC2. Entonces este es el tráfico saliente de esta máquina EC2, desde la máquina EC2 una a la máquina EC2. Y por eso necesitamos aquí las reglas salientes. Este es un buen caso de uso aquí para explicarte por qué necesitamos en la sección de grupos de seguridad también reglas salientes. Entonces si solicitamos a la World Wide Web esta máquina EC2, entonces la regla de entrada aquí es suficiente. Pero cuando vamos más allá, queremos hacer la solicitud desde el mejor host a otra máquina EC2 o a otro objetivo, entonces tenemos que usar las reglas salientes. Por eso selecciono aquí al grupo de seguridad. Y luego voy a Editar reglas entrantes, no, regla entrante, lo siento. Reglas salientes, por supuesto, editan reglas salientes y luego puedo seleccionar aquí es esta H y de todas partes y tal vez trajo descripción SSH y seguro la habitación. Ahora esto debería funcionar. Entonces. Puedo intentarlo de nuevo. Y ahora sabemos que obtenemos poco error de huellas dactilares. Entonces ayudé a ir a mi carpeta SSH y luego puede echar un vistazo a mi archivo de hosts conocido. Y creo que hay una entrada aquí, es anfitrión local. Eliminaré éste. Y luego volveré a las descargas. Entonces volveré a disparar este comando aquí. Y ahora debería funcionar. Ahora estamos en nuestra máquina. ¿ Qué es lo siguiente que tenemos que hacer? Queremos instalar la CLI de AWS en esta máquina. Y por qué queremos hacer esto. Si lo recuerdas, queremos conectarnos a un tres y queremos conectarnos a SQL vía endpoints. Entonces, ¿por qué somos los puntos finales de EPC? Y hay múltiples posibilidades para hacer eso. Puedes, por ejemplo, buscar los puntos finales de la API y luego solo puedes ejecutar los comandos curl post, por ejemplo, o cortar u obtener comandos. Y solo, sí, haz la solicitud a los puntos finales de la API. Pero sí, forma desde mi punto de vista, es mucho más fácil de usar, solo la CLI de AWS y la AWS CLI I bajo el capó también usan los puntos finales de la API. Sí, por eso quiero instalar aquí en esta máquina también la CLI de AWS y ya lo hicimos en nuestra máquina local, por lo que podría no ser ningún problema. En primer lugar, quiero actualizar mi máquina. Y como se puede ver aquí ahora, la actualización no funciona. Nuevamente. Puedes detener el video y puedes pensarlo. Por qué esta aplicación para actualizar no funciona. Interrumpí aquí. Esto es ahora un tema de red porque en nuestra vieja mesa solo hay una regla. Y justo el tráfico dentro de mi subred, dentro de mi VPC está permitido aquí. Por lo que no hay conexión a Internet porque eliminamos también nuestra puerta de enlace NAT. Entonces la mejor forma o la forma más segura ahora aquí será crear nuevamente la puerta de enlace NAT, luego crear nuevamente la regla de la tabla de ruta. Después podemos actualizar e instalar el CLI. Y luego podemos eliminar la regla y la tabla de rutas. Y luego podemos eliminar también la puerta de enlace NAT y también la Elastic IP, que se crea con la puerta de enlace NAT. Pero esto es demasiado complicado para mí ahora porque solo quiero demostrarte cómo funciona. Y por eso elijo la forma más fácil. ¿ Y cuál es la forma más fácil? La forma más fácil es simplemente ir nuevamente al servicio de VPC. Y selecciono la subred y el proceso hasta aquí. Y luego acabo de hacer la tabla de rutas, y solo uso aquí a la tabla principal de rutas. Y con esto aquí, vuelvo a cambiar la subred privada a la subred pública. Como se puede ver aquí, tenemos de nuevo esta tabla de rutas de pasarela de Internet, aquí, esta regla. Y por eso tenemos acceso a Internet. Puedo volver atrás y luego puedo hacer con la actualización aquí. Y ahora funciona. Esto está bien. Y entonces puedo, si esto está listo aquí, puedo instalar la CLI de AWS. Bastante este comando aquí, sudo apt instalar la AWS CLI. Entonces lo instalaré, sí. Y entonces tenemos que esperar un poco. Y cuando este proceso de instalación aquí esté terminado, entonces podemos cambiar de nuevo la tabla de rutas. Entonces esto solo fue intimidar aquí, solo para instalar la AWS CLI. Ahora está terminado. Volveré aquí y luego volveré a asignar la privada, la mesa de ruta privada segura. Y cuando vuelvo a hacer ahora una actualización, no funciona. Por lo que ahora está de nuevo en el modo privado. Sí. Y ahora hay otro concepto, cómo podemos conseguir x a nuestros recursos de AWS. Y si recuerdas, establecimos nuestras credenciales cuando la instalamos en nuestra máquina local. Allí creamos la clave de acceso de AWS y la clave secreta. Entonces hicimos esta configuración de AWS cuando instalamos la AWS CLI en nuestra máquina local. Este es un enfoque que puedes hacer. Pero la mejor manera es asignar a su máquina EC2 y papel de IAM. Este rol de IAM que regalos a la máquina EC2, los permisos para conectarse como tres o dos SQS o lo que sea. Esta es la mejor manera. Y por eso vamos a crear ahora un rol de IAM para hacerlo. Si no estás familiarizado con lo estoy. Esto es lo mismo. También seguimos los registros de flujo. El Flow Logs también era un Servicio y tenemos que adjuntar una política de IAM que los registros de flujo son capaces de empujar los flujos de registro a CloudWatch. Entonces esto es sólo una cosa del permiso. Por lo tanto, voy aquí a ítem. Entonces digo aquí, quiero ir a ítem. Quiero crear aquí un papel. Entonces por eso puedo crear aquí fila. Y aquí utilizamos el servicio de AWS. No tenemos que usar, en este caso la política de confianza personalizada porque AWS ya se preparó para usted aquí. El caso de uso común y un caso de uso muy, muy común como EC2. Por eso podemos seleccionarlo justo aquí con una caja de radio. Entonces hago clic aquí en Siguiente. Y luego tengo que adjuntar los permisos a través de las políticas aquí. Y solo busco aquí por nosotros tres y adjunto Amazon S3 acceso completo. Y luego busco de nuevo, o SQS. Entonces selecciono toda la política de acceso completo de Amazon SQS. Entonces hago click en Siguiente. Y entonces quiero darle un nombre, en este caso, orgulloso EC2, T2 porque queremos asignar esta política a la segunda máquina EC2. Y como puede ver aquí, AWS edita automáticamente aquí esta entidad de confianza, EC2. Y ahora puedo hacer click en Crear rol y crea el rol. Y fue exitoso. Ahora podemos usar este rol de IAM aquí. Por eso podemos volver a la máquina EC2. Y luego podemos asignar a esta máquina EC2 aquí hago clic aquí. Y las acciones y la seguridad modifican el rol del IAM. Y entonces puedo asignar aquí esto trajo EC2 a rol de IAM y guardar. Ahora logramos que nuestra AWS CLI, que el entorno en esta máquina privada EC2 tenga los permisos para acceder a S3 y SQS. Por lo que este es otro enfoque que hacer que es con credenciales de plano, como la clave de acceso y el exceso de clave secreta. Sí. Vuelvo aquí a la terminal. Y ahora quiero intentar, por ejemplo, solicitar aquí las listas de SQS. Entonces en otras palabras, solo quiero recibir una lista en la que las colas SQS existen actualmente en mi región. Tengo que cambiar aquí a desperdiciar uno. Tengo que seleccionar una región aquí. Puedo ejecutar este comando, y como pueden ver aquí, no funciona. Y sí, esto no es una sorpresa porque solo tenemos la ruta única, la regla de ruta The Signal ahí, lo que significa que sólo los recursos en nuestra subred privada en la VPC pueden llegar unos a otros y actualmente no hay acceso a Internet. Ahora queremos crear el punto final de la interfaz. Y por lo tanto vamos de nuevo aquí a VPC, seleccionamos el servicio VPC y vamos aquí dos puntos finales. Ahora podemos crear un endpoint, nombraremos al endpoint orgulloso SQS por ahora y el servicio de AWS, lo es. Y entonces puedo buscar aquí por SQS. Y selecciono el nombre del servicio. Eras sólo un SQS. Entonces puedo hacer clic aquí en esta caja de radio. Y como puedes ver aquí, es un tipo de interfaz. Entonces tengo que seleccionar la VPC. Entonces solo uso todos los grupos de seguridad disponibles y le doy a este endpoint x full para que no haya más restricciones. Y entonces también puedo añadir otra vez la garrapata y el cable significaba. Y entonces puedo crear este punto final. Como pueden ver aquí, no funciona porque nuestra VPC no está preparada. Ippc tiene que habilitar el soporte DNS y también el nombre de host DNS. Entonces por eso tenemos que volver. Entonces me desplazo aquí y luego iré a VPC. Seleccione nuestra trama una acciones de VPC y luego edite los nombres de host DNS. Aquí se puede ver esto está deshabilitado, esta casilla de verificación, por lo que tengo que habilitarlo y guardar los cambios. Y luego puedo volver atrás dos puntos finales y volver a hacer lo mismo. Tan amplios servicios de SQS y AWS y luego casilla de radio SQS marcan el fraude uno. Entonces aquí las subredes. Oh, nos olvidamos la última vez esto arriba que así que por supuesto hay que seleccionar aquí la subred correcta. Por lo que hago clic aquí en el uno, una Zona de Disponibilidad. Y luego por supuesto ayudé a seleccionar el sub a subred porque nuestra instancia privada, que tiene que estar fuera, queremos tener el acceso a S3 o SQS. Se coloca en nuestra subred sub dos. Entonces por eso tenemos que seleccionarlo aquí. Y luego otra vez, voy a utilizar cada grupo de seguridad que esté disponible full x, de nuevo, Wyman tech. Y ahora debería funcionar. Ojalá, sí. Ahora se crea con éxito el endpoint VPC. Y como se puede ver aquí ahora, el estatus está pendiente. Por lo que toma un tiempo hasta que esto esté listo. Y lo que sucede ahora bajo el capó y otro capó, AWS Private Link crea para usted la interfaz de red elástica. Entonces cuando vamos aquí, entonces se puede ver ya creado y a menos que la interfaz de red gruesa. Para que podamos hacer click aquí. Y luego volvemos a la consola EC2. Y obviamente puedes ver aquí hay otra interfaz de red azteca separada. Cuando elimino esta foto aquí, se puede ver que tenemos ahora tres de estas interfaces. Como ya dije, cuando se crea una máquina EC2, y la interfaz de red elástica se crea automáticamente porque de lo contrario, la máquina EC2 no puede, no puede tener algunas direcciones IP, la direcciones IP privadas y públicas. Entonces esta es la interfaz de red para las máquinas EC2. Y luego tenemos aquí el tercero, nuestra interfaz de punto final de VPC. También podemos aguantar aquí en la descripción y hay interfaz de punto final de VPC. Esto es lo que sucede bajo el capó. Sí, Private Link y iglesia entonces la conexión la conexión privada de nuestra subred privada a los servicios de AWS, a los servicios globales cablear esta interfaz de red elástica. Podemos volver aquí y refrescarnos y tal vez no, todavía está pendiente, así que tenemos que esperar un poco hasta que este de aquí esté listo. Sí. Ahora, como se puede ver aquí, el estado está disponible. que podamos intentar utilizar nuestro nuevo endpoint VPC recién creado, recién creado. Y volveré a cambiar sí o no. Puedo ejecutar este comando de nuevo. Y ahora recibí una lista vacía. La respuesta está vacía. Para asegurarme de que realmente funcione, no puedo volver a la consola y luego elegir el servicio SQS. Entonces el Servicio de Cola Simple, por ejemplo, y crea una nueva cola. Y solo quería nombrarlo, probar y todo lo demás. Me voy como está. Entonces creo la cola. Ahora cuando miro aquí en mi lista, solo tengo una prueba Q. y luego eso puede cambiar de nuevo aquí. Y luego a veces toma un poco de tiempo hasta que esté disponible aquí. Podemos ser ejecutados de nuevo. Y como se puede ver aquí ahora, tenemos cola SQS. Acabamos de llamar a prueba en nuestra lista aquí. Entonces la conexión funciona. Si no funciona, es muy probable que sea el caso de que haya instalado y enlace de versión de AWS CLI. Y esto puede suceder si te estás preguntando versión tiene el paquete de aplicación incluido para la versión de AWS CLI, un punto X. Pero como puedes ver aquí en este pequeño tutorial, enviando un mensaje a un Amazon SQS cola de Amazon VPC. Hay algunos puntos finales heredados y los puntos finales de legado ligando son, por ejemplo, q dot amazon AWS.com o US East a la región dot Q dot amazon AWS.com. Y la versión, la versión de AWS CLI one dot X implementa estos endpoints heredados por lo que no puede llegar a la nueva un punto final que está aquí en este formato, SQS dot y luego región y luego dot amazon AWS.com. Necesitamos la larga historia corta, necesitamos la versión de AWS CLI dos punto x Si este comando no funciona para ti, si no puedes ver tu lista SQS, entonces solo puedes hacerlo. Por ejemplo, AWS dash, versión dash. Puede ver su versión de AWS CLI. Y si hay un número que está por debajo de dos, entonces esta es la razón por la que no funciona. ¿ Qué puedes hacer? Puede volver a este tutorial de AWS Command Line Interface aquí, donde AWS explica cómo puede instalar una actualización de su versión de AWS CLI. Y recomiendan primero desinstalar la versión antigua. Porque de lo contrario no puede distinguir entre qué versión desea ejecutar y muy probable que ejecute la primera versión que instaló. Y esta es otra vez tu versión de un punto X. Tal vez sea una buena idea instalarlo o desinstalarlo primero y luego instalar la CLI fresca de AWS, deseo entrar por aquí. Y solo puedes copiar estos tres comandos. Simplemente riza este archivo zip y hay que descomprimirlo. Y luego puedes instalarlo vía sudo. Y luego tu AWS instala un comando aquí. Entonces debería funcionar. Porque este nuevo AWS aquí, deseo, como ya dije, haya implementado aquí el nuevo formato URL. 35. Puntos finales de Gateway: Ahora queremos hablar de los puntos finales de Gateway. Los puntos finales de Gateway. Cuando hablamos de los puntos finales de Gateway, hablamos de crear solo algunas rutas en una tabla de rutas. Por lo que no habrá requisitos adicionales de hardware sin embargo. No necesitamos hacerlo. En algunas interfaces de red aztecas, solo queremos crear una entrada de tabla de ruta. Y este tipo de endpoint de puerta de enlace actualmente solo está disponible para el servicio de AWS y para el servicio AWS DynamoDB. Porque es sólo una regla y la tabla de rutas. No tiene costos adicionales. Entonces este es un servicio gratuito de AWS, pero sólo un wavetable reenviar esto a los servicios a tres y DynamoDB. Y ahora queremos establecerlo. Prácticamente. Volvemos a los puntos finales de nuestra consola VPC y ahora creamos otro tipo. Creamos el punto final de la puerta de enlace. Entonces llamaremos a éste. Aquí, hay tres. Y entonces puedo buscar S3 en este caso. Y vamos a tomar el primero, solo el servicio de S3 llano aquí. Como puede ver aquí, para S3, existen los dos tipos de endpoint disponibles. Interfaz de puerta de enlace. Y en nuestro caso, queremos usar la interfaz de puerta porque esto es sin cargos adicionales e historial. La mejor manera aquí para ir por nosotros. Y entonces seleccionaré la Praat una subred, el problema VPC, lo siento, entonces tengo que asignarlo a la tabla de ruta correcta. Entonces esto aquí significa esta selección que AWS agregará a la tabla privada de una ruta. Esta entrada. Nuevamente también Fool x y quiero crear también el prot Reimann. Entonces voy aquí para crear el punto final. Y como se puede ver aquí está. Es un nivel amplio ahora, por lo que sólo somos muy rápidos. Es por ello que las naranjas, porque solo agregamos esta entrada de regla de tabla de ruta. Ahora podemos probar cómo funciona esto. Entonces volvemos a la terminal y luego podemos usar aquí un comando como éste. Nuevamente, todavía estamos en nuestra máquina privada EC2 aquí. Yo no salí. Por lo que sólo uso aquí la misma sesión. Podemos conectarnos a S3 con este comando aquí, AWS o tres RP y enumerar bolsillos. Esto proviene solo de la documentación de AWS, la documentación. Y entonces tenemos que sumar nuevamente también la región, que es en nuestro caso peor. Y luego hago clic en Entrar aquí. Y luego podemos ver que hay una lista vacía de paquetes S3 en esta región II debido al oeste uno. Así es como funciona y ahora podemos volver para asegurarnos de que realmente sea este punto final. Entonces podemos eliminar de nuevo este punto final. Voy a borrar perfectamente. Podemos volver aquí a la terminal y ejecutarse de nuevo. Y como se puede ver aquí, no funciona. Por lo que realmente fue este punto final EPC Gateway que habilitó para nosotros esta conexión. Esto es relativamente fácil cómo funciona, sí, y olvidé mostrarte cómo funciona en la tabla de rutas. Cuando vayamos aquí a la amplia mesa privada de una ruta, selecciona esta aquí. Actualmente no tenemos ruta aquí para fin de semana. En el punto final, nuevamente, volveré a crear este punto final. S3 y S3, éste, gateway, problema de VPC. Esta tabla de rutas. Crea este punto final. Cuando vuelvo aquí para seleccionar la tabla de ruta. Entonces podemos ver aquí la otra entrada, este un tres puntos finales. Entonces podemos ir aquí para, por ejemplo, al destino PL seis y así sucesivamente. Y luego prefijo nombre de lista aquí. Y este es exactamente el servicio S3. Entonces así es como funciona al final. Por lo que ahora podemos eliminar de nuevo. Este extremo S3 aquí cambia para leerlo, y luego así es como funciona. Si aún no eliminaste tu extremo SQS amplio, entonces puedes hacerlo también. No. 36. AWS VPC Peering: Sí, ahora estamos listos con nuestra parte práctica en, solo quería mencionar algunas cosas de conectividad más sofisticadas y avanzadas que podría tener que saber si quieres hacer, especialmente el arquitecto de soluciones de AWS examen asociado. Pero sí, esto no son preguntas tan comunes. Pero solo quería mencionarlo aquí. El primero es el llamado peering WPC. Y cuando haces el peering de VPC, básicamente conectas diferentes VPC entre sí. Entonces, cuando haces esto, no se requiere ningún recurso de hardware adicional. Lo puedes hacer solo por una ruta tablas SU, como lo hacemos también para los puntos finales de Gateway, si lo recuerdas. Lo que aquí es importante saber es que no se puede hacer algo como la topología estelar. Entonces no hay nada como hub central. Si tiene varias VPC, por ejemplo, tres o cuatro o cinco, y cada VPC tiene que tener x el uno al otro. Entonces hay que conectar cada VPC con cualquier otra VPC. Por lo que no hay hub central. Tienes que conectarlo manualmente. Al final, ahí tienes múltiples conexiones. Si quieres leer más sobre VPC peering, puedes hacerlo. He creado aquí, edito aquí este enlace. Si quieres crear un peering VPC, también puedes hacerlo. Simplemente puedes cambiar a tu consola VPC. Después está la Sección VPC peering. Y luego puedes decidir cuál es la fuente más rica, VPC, que es una VPC dirigida, y luego la conectas. Y entonces solo hay que permitir esta conexión porque a veces es el caso que la otra VPC está en otra cuenta de AWS y luego la otra cuenta de AWS tiene que permitir esta conexión. Entonces por eso hay un paso de seguridad adicional. Esto es lo que pasa con el peering de VPC. 37. Puerta de tránsito de AWS VPC: Sí, y luego otro recurso muy interesante son las tendencias de VPC en Gateway. Cuando construyes en pasarela de tránsito, entonces este es un recurso adicional real. Por lo que hay que crear una puerta de entrada. No es como el peering VPC, solo una entrada en la tabla de rutas. Se trata de un recurso separado. Lo que puedes hacer con esta pasarela de tránsito, puedes conectar tus VPC, que ya están en la nube de AWS. También puede conectar gateways VPN y conectar los puntos finales de AWS Direct Connect. Y eso significa que con la ayuda de las tendencias en Gateway, puede conectar sus redes locales a la nube de AWS. Y además, esta pasarela de tránsito es el llamado router transitivo, lo que significa que puedes crear con la ayuda de la pasarela de tránsito, llamadas topologías hub y spoke. Y esto ahora es algo así como una topología estelar. Si no tiene que establecer las conexiones entre todas las VPC, solo puede crear una conexión desde cada VPC a este gateway de tránsito. Y por supuesto, también puedes conectarte a las puertas de enlace VPN y a tus redes locales. Pero solo hay una conexión de cada VPC a su pasarela de tránsito requerida. Y esto es todo lo que tienes que saber sobre las tendencias. Se pasarelas. 38. Subred de VPN: Ahora, por último pero no menos importante, el BPM. Y no hay mucho que decir respecto a este tema. Simplemente puedes crear tu gateway VPN aquí en tu VPC y luego puedes establecer una conexión VPN con tu cliente. También puede reemplazar esta puerta de enlace VPN por una puerta de enlace de tránsito. Como ya aprendimos, puedes conectarte a la puerta de enlace de tránsito, VPC y a las conexiones VPN y también a las conexiones de AWS Direct Connect. Este es también un enfoque para hacerlo. Simplemente podemos volver a nuestra consola VPC. Y aquí en esta sección los puedes encontrar. Su Gateway Privado Virtual, por ejemplo, puede lanzar uno si lo desea, y luego puede crear una conexión VPN de sitio a sitio a sus redes on-prem, por ejemplo. Sí, así es como funciona y esto es todo lo que tienes que saber respecto a todo este tema de conexión, sobre todo si solo quieres hacer esto, AWS Solutions Architect, asociado, exome. Y como ya dije, si quieres profundizar en este tema, en toda esta conexión con el tema de redes on-prem. Entonces, sí, puedes leer más en la documentación o tomas otro curso avanzado para hacer eso. 39. Outro: Desafortunadamente, este es el final de nuestro curso de VPC. Enhorabuena. Creo que aprendiste muchas cosas. Para resumirlo, creamos subred pública. Creamos una subred privada y colocamos algunas máquinas EC2 en cada una de las subredes. Después creamos acceso a Internet para la subred pública, creamos también por qué su puerta de enlace NAT. Acceso a Internet de una dirección. Y hablamos de grupos de seguridad y listas de control de acceso a redes. Hablamos de monitoreo y también algunas cosas avanzadas de conexión. Sí, al final, esta es la forma en que puedes construir tu nativo de nube listo para la producción, AWS, VPC. Y espero que hayas aprendido muchas cosas. Espero que puedas saber tus propias cosas en la Nube. Puedes jugar por ahí y tienes una comprensión de cómo funcionan los conceptos básicos. Lo que queremos hacer ahora es que queremos volver a pasar por todos nuestros recursos y queremos eliminar todas las cosas que queda aquí. En primer lugar, quiero volver a pasar por este tablero de VPC. Y por supuesto que podemos ver aquí ahora tenemos dos instancias en ejecución. Por lo que primero voy a terminar estas dos instancias aquí, terminarlas. Entonces tenemos dentro de este servicio EC2 aquí, no creo nada más. Contamos con elástico cada uno. Ya eliminamos. Creo que creo que eso es todo. que podamos volver a la consola de administración de VPC, y luego podemos ir a sus VPC y luego podemos eliminar el Praat one VPC. Por lo tanto, elimine VPC y no es capaz de hacerlo. Por eso tenemos que esperar hasta que la máquina EC2 esté aquí abajo porque hay una interfaz de red elástica asignada a esta máquina, y es por eso que copia borrada actualmente. Por lo que podemos volver al tablero de instrumentos al EC2. Ahora los estados están terminados, ambos. Para que podamos intentarlo de nuevo. Eliminar la VPC, Ok, ahora funciona. Como se puede ver aquí. Eliminamos ahora también la puerta de enlace de Internet encabezará la tabla de rutas y también las subredes y la ACL y un grupo de seguridad. Ahora esto se elimina y nos queda aquí nuestro VPC predeterminado. Y cuando vamos a subredes, solo tenemos el valor predeterminado o las subredes de la VPC predeterminada. Tenemos una mesa de ruta, tenemos una puerta de enlace de Internet aquí. Ya no aparecen direcciones elásticas conocer los puntos finales. No tenemos brecha, ni puerta de enlace NAT. Y creo que eso es todo. Grupos de seguridad, solo un grupo de seguridad y ACL es también solo una ACL. Sí. Entonces podemos cambiar a la que tenemos aquí que se ve al Servicio VPC. Ahora podemos ir y echar un vistazo al servicio CloudWatch porque también creamos un grupo de registros, pero creo que ya lo eliminamos. Sí, se elimina, por lo que no hay nada más que hacer aquí. Y entonces tal vez creaste también la cola SQS. Sí, Esto todavía está aquí así que puedo eliminar esta cola SQS. Esto fue en nuestra sección de puntos finales de interfaz. Si te acuerdas. En ese entonces también podemos limpiar un poco nuestra consola IAM. Así que creo que nuestro, no lo sé. No estoy seguro si ya no lo necesitaba. Sí, ya borré. Pero tal vez tenga aquí su rol para la máquina EC2 porque asignamos a la máquina privada EC2 el rol que tiene, los permisos para conectarse a S3, SQS en nuestra sección de puntos finales de VPC. Entonces tal vez tengas que eliminar tu rol de IAM aquí. Creo que tampoco tenemos políticas que sean creadas por nosotros sabemos. Sí, creo que eso es todo. Limpiamos todo y sí, esto Eso es todo. Bueno, agradecemos que hayas tomado este curso y espero que te haya ayudado mucho. Especialmente si quieres hacer esto AWS Solutions Architect, asociado XM, entonces estás bien preparado en el sentido de todo el material de networking. Creo que esta es una buena base para hacer eso. Sí, felicitaciones otra vez. Quizás nos veamos en otro curso y lo pasemos muy bien. Mejor graba tu película.