Ir para o conteúdo

Construindo Sua Fortaleza na Nuvem: Um Guia Prático sobre a Amazon VPC

Nos módulos anteriores, aprendemos como funciona uma rede em um escritório físico, com seus cabos, salas, roteadores e firewalls. Mas como recriamos essa estrutura segura e organizada na nuvem, onde tudo é virtual?

A resposta é o serviço mais fundamental de redes da AWS: a Amazon Virtual Private Cloud (VPC).

Pense na diferença entre construir seu próprio prédio comercial do zero e alugar um andar inteiro, privado e de última geração em um arranha-céu. * O Jeito Antigo (Data Center Tradicional): Construir o prédio. É caro, demorado, e você é responsável por tudo, da fundação à segurança física. * O Jeito da Nuvem (Amazon VPC): Alugar o andar. Você recebe um espaço totalmente isolado e seguro, e sua única preocupação é desenhar a "planta baixa" interna, decidindo onde ficarão as salas e quem pode entrar em cada uma.

Este guia é o seu manual de arquitetura para desenhar a planta baixa perfeita para sua rede na nuvem.

A Tradução: Do Escritório Físico para a Nuvem Virtual

A genialidade da VPC é que ela virtualiza todos os componentes de uma rede que você já conhece. A tabela que você viu é o nosso "dicionário tradutor". Vamos explorar cada item.

Conceito Tradicional Equivalente na AWS Analogia (Nosso Escritório na Nuvem)
Seu Data Center Privado Amazon VPC O seu andar privado e isolado no prédio da AWS.
Roteador Tabela de Rotas (Route Table) O "mapa de sinalização" que diz para onde o tráfego deve ir.
Switch / Segmento de Rede Sub-rede (Subnet) Cada "sala" ou "departamento" que você cria dentro do seu andar.
Firewall Security Groups e Network ACLs O "segurança na porta de cada sala" e a "catraca na entrada do andar".
Servidor Físico Instância EC2 A "mesa de trabalho" com o computador de um funcionário.
Modem / Conexão à Internet Internet Gateway A "porta principal" do seu andar que dá acesso à rua (Internet).

Desvendando os Componentes da VPC

Amazon VPC: O Seu Andar Privado

É a primeira coisa que você cria. É um espaço de rede logicamente isolado na nuvem AWS, onde você define sua própria faixa de endereços IP privados (ex: 10.0.0.0/16). Tudo que você colocar dentro desta VPC está, por padrão, invisível para o resto do mundo. * A Dor que Resolve: A necessidade de segurança e isolamento. Sem uma VPC, seus recursos estariam expostos em uma rede compartilhada.

Sub-redes: As Salas do seu Andar

Você não joga todas as mesas em um salão aberto. Você cria salas. Uma Sub-rede é um "quarteirão" ou uma "sala" dentro da sua VPC. Você divide sua faixa de IPs da VPC em sub-redes menores. A prática mais importante é criar: * Sub-redes Públicas: Salas com "janelas para a rua" (conectadas a um Internet Gateway). Ideais para seus servidores web (instâncias EC2). * Sub-redes Privadas: Salas internas, sem acesso direto à internet. Perfeitas para seus bancos de dados e sistemas internos, mantendo-os seguros.

Tabelas de Rotas: O Mapa de Sinalização

Cada sub-rede precisa de um mapa. A Tabela de Rotas contém regras que dizem: "Se o tráfego quer ir para a internet, mande-o para o Internet Gateway. Se quer ir para outra sala, mande-o para o endereço local." * A Dor que Resolve: O caos. Sem a tabela de rotas, o tráfego de dados não saberia para onde ir.

Internet Gateway: A Porta para a Internet

É simplesmente um componente que você "anexa" à sua VPC para permitir a comunicação entre seus recursos em sub-redes públicas e a internet. É a sua "porta de mão dupla" com o mundo exterior.

HACK PARA CERTIFICAÇÃO: A questão fundamental do exame é entender a estrutura e a finalidade de cada componente. * VPC: O contêiner principal. * Sub-rede: Onde os recursos (EC2) vivem. * Internet Gateway: Permite o acesso à internet. * Tabela de Rotas: Direciona o tráfego. * Security Groups / NACLs: Protegem o tráfego.

O Insight da VPC Padrão

A Dor: "Isso parece complicado! Eu só queria criar um servidor simples!"

A Solução: A AWS sabe disso. Por isso, toda conta da AWS já vem com uma VPC Padrão (Default VPC) em cada Região. * O que ela é? Uma "planta baixa pré-aprovada". Ela já vem com uma sub-rede pública em cada Zona de Disponibilidade e um Internet Gateway conectado. * Para que serve? Permite que iniciantes possam lançar uma instância EC2 e acessá-la imediatamente, sem precisar configurar nada de rede. É feita para ser fácil.

Dica de Mestre: A VPC Padrão é ótima para aprender e para testes rápidos. Para qualquer ambiente de produção sério, a prática recomendada é criar sua própria VPC customizada, onde você tem controle total sobre os tamanhos das sub-redes, as regras de roteamento e a segurança.

VPC: Guia Prático para Construir Sua Fortaleza na Nuvem

Já estabelecemos que a AWS é como um gigantesco e moderno "prédio comercial". A Amazon Virtual Private Cloud (VPC) é o serviço que te permite alugar o seu próprio "andar privado e totalmente isolado" neste prédio.

Dentro do seu andar (sua VPC), você tem controle total. Ninguém pode entrar ou sair sem a sua permissão, e você pode construir as salas, paredes e portas que quiser. É a sua fortaleza digital, onde seus recursos da AWS, como instâncias EC2 e bancos de dados, irão morar com segurança.

Este guia é o seu manual de engenharia e arquitetura para projetar e construir essa fortaleza.

Passo 1: O Terreno (Definindo o Espaço da sua VPC)

A primeira decisão de qualquer arquiteto é definir os limites do terreno. Na VPC, isso significa escolher sua faixa de endereços IP privados.

  • O que é? Você define um bloco CIDR, como 10.0.0.0/16, para sua VPC. Isso significa que todos os recursos dentro da sua fortaleza terão um "ramal" ou endereço IP privado começando com 10.0.x.x.
  • A Dor que Resolve: Garante que sua rede na nuvem tenha um espaço de endereçamento único, evitando conflitos se, no futuro, você precisar conectá-la à rede do seu escritório físico (VPN ou Direct Connect).

INSIGHT PODEROSO: Por convenção (RFC 1918), existem faixas de IP reservadas para redes privadas. As mais comuns para VPCs são da classe A, como 10.0.0.0/16, pois oferecem uma enorme flexibilidade com mais de 65.000 endereços IP para você organizar seus recursos.

Passo 2: A Planta Baixa (Dividindo o Terreno com Sub-redes)

Você não deixaria seu cofre na recepção do prédio, certo? Dentro da sua VPC, você cria Sub-redes para isolar recursos com diferentes necessidades de segurança.

  • Analogia: As sub-redes são as "salas" e "departamentos" do seu andar.
  • O Conceito Mais Importante: Sub-redes Públicas vs. Privadas
    • Sub-rede Pública: É a sua "sala de recepção". É uma sub-rede que tem uma rota para um Internet Gateway. Recursos aqui, como seu servidor web, podem ser acessados pela internet.
    • Sub-rede Privada: É a sua "sala do cofre". Ela não tem uma rota direta para a internet. Recursos aqui, como seu banco de dados, ficam protegidos e isolados do mundo exterior.

Cenário Prático na AWS: A arquitetura mais clássica e segura para uma aplicação web é a de duas camadas: um servidor web (instância EC2) na Sub-rede Pública para receber os visitantes, e um banco de dados (instância RDS) na Sub-rede Privada, que só pode ser acessado pelo servidor web.

Passo 3: As Estradas e os Portões (Conectividade e Segurança)

Para que o tráfego flua de forma controlada, você precisa de alguns componentes essenciais:

  • Internet Gateway (O Portão Principal): É o componente que você "anexa" à sua VPC para permitir a comunicação com a internet. Sem ele, seu andar fica totalmente isolado do resto do prédio.
  • Tabelas de Rotas (As Placas de Sinalização): Cada sub-rede tem uma tabela de rotas associada. É um conjunto de regras que diz: "Se o destino é a internet (0.0.0.0/0), envie o tráfego para o Internet Gateway". É o que define se uma sub-rede é pública ou privada.
  • Security Groups e Network ACLs (Os Guardas e as Muralhas): São as duas camadas de firewall da sua VPC para controlar o tráfego.

Checklist para Construir sua Primeira VPC

Resumindo, o fluxo de criação de uma VPC do zero segue estes passos:

  1. Definir o Terreno: Escolher sua faixa de IP privada (bloco CIDR).
  2. Criar a VPC: Criar o contêiner principal com o CIDR escolhido.
  3. Desenhar as Salas: Criar as Sub-redes (públicas e privadas) dentro da VPC.
  4. Instalar o Portão Principal: Criar e anexar um Internet Gateway à VPC.
  5. Criar o Mapa: Configurar as Tabelas de Rotas para direcionar o tráfego das sub-redes públicas para o Internet Gateway.
  6. Posicionar os Guardas: Configurar as Network ACLs (firewall de sub-rede) e os Security Groups (firewall de instância) com as regras de acesso necessárias.
  7. Povoar as Salas: Lançar suas instâncias EC2 e outros recursos nas sub-redes apropriadas.

HACK PARA CERTIFICAÇÃO: Para a prova, você não precisa criar uma VPC do zero, mas precisa entender a função de cada componente. Eles adoram perguntas de cenário como: "Um recurso em uma sub-rede privada precisa de acesso à internet. Qual serviço permite isso?". Resposta: NAT Gateway. "Qual componente controla o tráfego no nível da instância?". Resposta: Security Group.

Com este guia, você tem a base para começar a desenhar redes seguras, escaláveis e customizadas na AWS, o que é uma das habilidades mais valorizadas no mercado de nuvem.

As Leis da Física da VPC: As 4 Regras Fundamentais da Sua Rede

Antes de começarmos a desenhar a "planta baixa" (sub-redes, tabelas de rotas), precisamos entender as regras fundamentais do nosso "andar privado" no prédio da AWS. A Amazon VPC opera sob quatro leis imutáveis. Entendê-las não é apenas teoria, é a base para construir uma infraestrutura segura e resiliente.

Regra 1: Uma VPC pertence a uma única Conta AWS

  • O que significa? Cada VPC que você cria está estritamente vinculada à sua conta da AWS.
  • Analogia: Seu "contrato de aluguel" (Conta AWS) te dá o direito exclusivo sobre o "seu andar" (VPC). Ele é sua propriedade virtual.
  • A Dor que Resolve: Garante o mais alto nível de isolamento de propriedade e faturamento. As redes, os recursos e os custos da sua empresa nunca se misturarão com os de outra empresa. Isso cria uma fronteira administrativa e de cobrança clara e segura.

Regra 2: Uma VPC pertence a uma única Região da AWS

  • O que significa? Ao criar uma VPC, você deve escolher em qual Região da AWS ela existirá (ex: São Paulo, Norte da Virgínia). A VPC viverá para sempre dentro das fronteiras geográficas daquela Região.
  • Analogia: Seu "andar de escritório" está localizado em um único prédio, em uma única cidade (Região). Você não pode ter um único andar que esteja metade em São Paulo e metade no Rio de Janeiro.
  • A Dor que Resolve: Garante a soberania dos dados e o controle da latência. Esta regra te dá a certeza absoluta de que seus dados e recursos não sairão dos limites geográficos que você escolheu (essencial para leis como a LGPD) e permite que você posicione sua rede perto dos seus usuários para a melhor performance.

Regra 3: Uma VPC pode abranger múltiplas Zonas de Disponibilidade

  • O que significa? Embora a VPC exista em uma única Região, ela se estende por todas as Zonas de Disponibilidade (AZs) daquela Região.
  • Analogia: Este é o superpoder! Embora seu "andar" conceitual esteja na cidade de São Paulo (Região), a AWS inteligentemente constrói uma réplica da estrutura do seu andar em múltiplos prédios (AZs) espalhados pela cidade. Sua rede (VPC) existe em todos esses locais simultaneamente.
  • A Dor que Resolve: É a base da Alta Disponibilidade e Tolerância a Falhas. Se um "prédio" inteiro (uma AZ) sofrer uma queda de energia, seu negócio não para. Como sua rede já se estende para o outro prédio, você pode ter recursos (como instâncias EC2) rodando lá, prontos para assumir o tráfego.

HACK PARA CERTIFICAÇÃO: Esta é a regra mais testada! Lembre-se da hierarquia: * VPC é um recurso Regional. * Sub-redes (as "salas" que você cria dentro da VPC) são recursos de Zona de Disponibilidade. A prática correta é criar sua VPC na Região e depois criar sub-redes em diferentes AZs dentro daquela VPC para garantir a resiliência.

Regra 4: Uma VPC é logicamente isolada de outras VPCs

  • O que significa? Por padrão, sua VPC é uma "caixa preta". Ela não pode ver nem ser vista por nenhuma outra VPC, seja na sua conta ou na de outros clientes.
  • Analogia: As paredes, o teto e o piso do seu andar são de aço reforçado. Nenhum barulho, fiação ou problema do andar de cima ou de baixo (outras VPCs) pode vazar para o seu espaço.
  • A Dor que Resolve: Garante privacidade e segurança no nível da rede. Mesmo que sua rede virtual rode no mesmo hardware físico que a de outros clientes, este isolamento lógico impede qualquer tipo de interferência ou acesso não autorizado entre elas.

INSIGHT PODEROSO: E se você quiser que duas das suas VPCs conversem? Para isso, você precisa criar uma conexão explícita usando um serviço chamado VPC Peering. Isso prova que o isolamento é a regra, e a conexão é a exceção que você deve autorizar

O Endereço Mestre: Escolhendo o Bloco CIDR da sua VPC

Quando você decide construir sua fortaleza digital, a primeira e mais fundamental decisão é definir os limites e o sistema de endereçamento do seu terreno. Na AWS, isso significa escolher o bloco CIDR da sua VPC.

  • Analogia: Pense no bloco CIDR como o "esquema de CEPs" para todo o seu bairro privado. Você está definindo a faixa de endereços que todas as "casas" (recursos como instâncias EC2) dentro do seu bairro (VPC) poderão usar.

Esta escolha, feita no início, é difícil de ser alterada depois, por isso é vital entendê-la bem.

A Regra de Ouro: A "Lei de Zoneamento" da Internet (RFC 1918)

Você não pode simplesmente escolher qualquer faixa de IP para sua rede privada. A internet tem uma "lei de zoneamento" (chamada RFC 1918) que reserva três grandes faixas de endereços especificamente para uso em redes privadas.

A Dor que Isso Resolve: O caos da sobreposição de IPs. Imagine que você nomeia a rua principal do seu condomínio de "Avenida Paulista". Quando você pede ao GPS para te levar para a "Avenida Paulista", ele fica confuso: "Você quer ir para a rua interna do seu condomínio ou para a famosa avenida no centro da cidade?". A comunicação quebra. Usar os IPs privados garantidos pela RFC 1918 assegura que os "CEPs" da sua rede interna nunca entrarão em conflito com os "CEPs" públicos da internet.

As Faixas de IP Privado (RFC 1918)

Faixa de Endereços Privados Exemplo de Bloco CIDR Comum para VPC
10.0.0.010.255.255.255 (Bloco /8) 10.0.0.0/16 (O mais recomendado e flexível)
172.16.0.0172.31.255.255 (Bloco /12) 172.31.0.0/16
192.168.0.0192.168.255.255 (Bloco /16) 192.168.0.0/16

Qual o Tamanho do seu Terreno? (Escolhendo o Tamanho do Bloco CIDR)

A notação CIDR (ex: /16) define o tamanho da sua rede.

  • /16 (O Maior Permitido): Te dá 65.536 endereços IP. É como comprar uma fazenda gigante.
  • /28 (O Menor Permitido): Te dá apenas 16 endereços IP. É como comprar um pequeno lote urbano.

HACK DE ARQUITETURA: Na dúvida, comece grande. A recomendação quase universal é iniciar sua VPC com um bloco CIDR /16 (ex: 10.0.0.0/16). Por quê? 1. Não custa mais: Você não paga pelos IPs que não usa, apenas pelos recursos (EC2, RDS) que lança na VPC. Ter uma faixa de IPs grande não gera custo. 2. Máxima Flexibilidade: Te dá um espaço enorme para criar dezenas de "quarteirões" (sub-redes) no futuro, sem se preocupar em ficar sem endereços. 3. Evita Dores de Cabeça: Expandir ou modificar uma faixa de IP de uma VPC em produção é uma tarefa complexa e arriscada. É melhor ter espaço de sobra desde o início.

O Contexto AWS e a Conclusão

Ao criar sua VPC no console da AWS, a primeira e mais importante pergunta será qual bloco CIDR IPv4 você deseja usar.

Criação de VPC na AWS

Dica de Certificação: Para a prova, você precisa saber: 1. Que toda VPC precisa de um bloco CIDR IPv4. 2. Reconhecer os 3 intervalos de IP privados da RFC 1918. 3. Saber que o maior tamanho de VPC é /16 e o menor é /28.

A escolha do bloco CIDR é o alicerce da sua fortaleza na nuvem. Um bom planejamento aqui garante que sua rede seja escalável, segura e pronta para se conectar a outras redes no futuro sem conflitos.

O Kit de Construção da VPC: Guia Prático dos Componentes Essenciais

No último guia, definimos a VPC como nosso "terreno privado e murado" na nuvem. Agora, vamos abrir o kit de construção e conhecer as 6 peças essenciais que você usará para transformar esse terreno vazio em uma fortaleza digital segura e funcional.

Vamos montar nossa VPC na ordem lógica que um arquiteto de nuvem seguiria.

1. A Ponte Levadiça (Internet Gateway - IGW)

  • O que é? Um componente que você "anexa" à sua VPC para permitir a comunicação entre sua rede e a internet.
  • Analogia: É a "Ponte Levadiça e o Portão Principal" da sua fortaleza. Sem ele, seu terreno fica completamente isolado do mundo exterior.
  • A Dor que Resolve: A necessidade de conectar seus recursos (como um servidor web) à internet. Um IGW é necessário para o tráfego de entrada e de saída.

INSIGHT PODEROSO: Você só precisa de um Internet Gateway por VPC, não importa quantas sub-redes ou instâncias você tenha. Ele é um recurso altamente disponível e escalável que não representa um gargalo.

2. As Placas de Sinalização (Tabelas de Rotas)

  • O que é? Um conjunto de regras, chamado de rotas, que determina para onde o tráfego de rede é direcionado.
  • Analogia: São as "placas de sinalização" dentro da sua fortaleza. Cada "setor" (sub-rede) tem um conjunto de placas que diz aos "mensageiros" (pacotes de dados) qual caminho seguir.
  • A Dor que Resolve: O caos. Sem a tabela de rotas, o tráfego não saberia como sair de uma sala para outra, ou como encontrar o portão principal para a internet.
  • Como Funciona: Cada rota especifica um Destino (uma faixa de IPs) e um Alvo (para onde enviar o tráfego).
    • 10.0.0.0/16 -> local: "Se o destino for qualquer endereço dentro da nossa própria fortaleza, a rota é local."
    • 0.0.0.0/0 -> igw-xxxxx: "Se o destino for qualquer outro lugar (a internet), envie pela Ponte Levadiça (Internet Gateway)."

3. Os Setores (Sub-redes Públicas e Privadas)

  • O que é? Uma subdivisão da sua VPC. Cada sub-rede vive em uma única Zona de Disponibilidade e tem sua própria faixa de IPs.
  • Analogia: Os "setores" ou "zonas de segurança" da sua fortaleza.
  • A Dor que Resolve: A necessidade de organizar e isolar recursos com diferentes níveis de segurança.

HACK PARA CERTIFICAÇÃO: O que define uma sub-rede como pública não é uma configuração nela mesma, mas sim o fato de que a Tabela de Rotas associada a ela tem uma rota para um Internet Gateway. Se não tiver essa rota, a sub-rede é, por definição, privada.

4. O Posto de Correio Seguro (NAT Gateway)

  • O que é? Um serviço gerenciado da AWS que permite que instâncias em uma sub-rede privada iniciem conexões com a internet, mas impede que a internet inicie conexões com elas.
  • Analogia: É o "Posto de Correio Seguro". Ele fica localizado no pátio de entrada (sub-rede pública), e os soldados do quartel-general (sub-rede privada) enviam suas cartas através dele. A resposta da internet volta para o posto de correio, que a encaminha para o soldado correto. O mundo exterior só conhece o endereço do posto de correio, nunca o do soldado.
  • A Dor que Resolve: "Meu banco de dados na sub-rede privada precisa baixar atualizações de segurança da internet, mas eu não quero de jeito nenhum expô-lo ao mundo."

INSIGHT PODEROSO: Para funcionar, um NAT Gateway precisa de um Elastic IP (um IP público estático) e deve ser colocado em uma sub-rede pública. A tabela de rotas da sua sub-rede privada é então configurada para enviar o tráfego da internet (0.0.0.0/0) para o NAT Gateway.

5. A Dupla de Firewalls (NACLs e Security Groups)

Sua fortaleza tem duas camadas de segurança.

Característica Network ACL (NACL) Security Group (SG)
Analogia O "Guarda da Muralha do Setor". O "Guarda-Costas Pessoal" do prédio.
Nível de Atuação Sub-rede (afeta tudo dentro) Instância EC2 (individual)
Estado Stateless (sem estado): Verifica a entrada E a saída separadamente. Stateful (com estado): Se permite a entrada, a saída da resposta é automaticamente permitida.
Regras Permite regras de Permitir E de Negar. Permite apenas regras de Permitir.
Padrão A NACL padrão permite tudo. Uma NACL customizada nega tudo. O Security Group padrão nega toda entrada e permite toda saída.

Dica de Certificação: Entender a diferença Stateless (NACL) vs. Stateful (SG) é um dos tópicos mais cobrados em redes. Lembre-se: com a NACL, se você permite tráfego de entrada na porta 80, você também precisa criar uma regra de saída para permitir a resposta. Com o Security Group, você só precisa da regra de entrada.

Dominar esses 6 componentes é a chave para projetar qualquer arquitetura de rede que você precise na AWS, da mais simples à mais complexa.

A Grande Inauguração: Integrando Serviços e Construindo sua Primeira VPC

Até agora, aprendemos sobre cada componente da nossa "fortaleza digital" de forma isolada: os terrenos (VPC), as salas (Sub-redes), os portões (Gateways) e os guardas (Security Groups/NACLs).

Agora, vamos juntar tudo. Veremos por que a VPC é o centro do universo AWS e faremos um passo a passo conceitual de uma construção completa, a arquitetura mais clássica e segura que você usará no seu dia a dia.

O Ecossistema da Fortaleza: A VPC como Centro do Universo AWS

A Dor que Isso Resolve: "Por que eu preciso aprender sobre VPCs? Não posso simplesmente usar o EC2 e o S3?"

A Resposta: A VPC não é apenas "mais um serviço"; ela é a fundação sobre a qual quase todos os outros serviços da AWS são construídos. * Analogia: Sua fortaleza (VPC) não é um terreno vazio. É onde você vai construir o "quartel-general" (Amazon EC2), a "central de inteligência" (Amazon RDS), a "tesouraria" (Amazon ElastiCache) e o "depósito de suprimentos" (Amazon EFS). A VPC é o que conecta e protege todos eles.

Praticamente qualquer recurso que precisa de uma rede para operar (servidores, bancos de dados, etc.) será lançado DENTRO de uma VPC. Dominar a VPC é a chave para usar todo o poder da AWS.

O Projeto de Construção (Um Passo a Passo Conceitual)

Vamos construir a arquitetura de site mais comum e segura: um servidor web que conversa com um banco de dados, sem expor o banco de dados à internet.

Missão: Lançar uma aplicação web de duas camadas.

  1. Passo 1: Demarcar o Terreno (Criar a VPC)

    • Ação: Criamos uma VPC com um bloco CIDR privado, como 10.0.0.0/16.
    • Resultado: Temos nosso "terreno" privado com 65.536 endereços IP disponíveis.

  2. Passo 2: Desenhar as Salas (Criar Sub-redes)

    • Ação: Dividimos o terreno em "salas". Criamos pelo menos duas:
      • Sub-rede Pública (ex: 10.0.1.0/24)
      • Sub-rede Privada (ex: 10.0.2.0/24)
    • Resultado: Temos uma "recepção" e uma "sala do cofre".

  3. Passo 3: Instalar o Portão Principal (Internet Gateway)

    • Ação: Criamos um Internet Gateway e o "anexamos" à nossa VPC.
    • Resultado: Nossa fortaleza agora tem uma ponte levadiça para o mundo exterior.

  4. Passo 4: Criar o Mapa (Tabelas de Rotas)

    • Ação: Configuramos as placas de sinalização.
      • Na tabela de rotas da Sub-rede Pública, adicionamos a regra: 0.0.0.0/0 -> target: Internet Gateway. (Tradução: "Para ir para a internet, vá pelo portão principal").
      • A tabela de rotas da Sub-rede Privada permanece com a rota padrão: 10.0.0.0/16 -> target: local. (Tradução: "Você só pode conversar com quem está aqui dentro").
    • Resultado: O tráfego agora sabe para onde ir.

  5. Passo 5 (Opcional, mas recomendado): Criar o Posto de Correio (NAT Gateway)

    • Ação: Criamos um NAT Gateway dentro da Sub-rede Pública e atualizamos a tabela de rotas da Sub-rede Privada com a regra: 0.0.0.0/0 -> target: NAT Gateway.
    • Resultado: Nossos recursos na sala do cofre (banco de dados) agora podem buscar atualizações na internet, mas a internet não pode iniciar uma conversa com eles.

  6. Passo 6: Posicionar os Guardas (Security Groups)

    • Ação: Criamos dois Security Groups:
      • sg-servidor-web: Permite tráfego de entrada na porta 443 (HTTPS) vindo de qualquer lugar (0.0.0.0/0).
      • sg-banco-de-dados: Permite tráfego de entrada na porta 3306 (MySQL) vindo apenas da origem sg-servidor-web.
    • Resultado: O porteiro só deixa visitantes entrarem na recepção. E só permite que alguém da recepção entre na sala do cofre.

  7. Passo 7: Povoar a Fortaleza

    • Ação: Lançamos nossa instância EC2 do servidor web na Sub-rede Pública (associando o sg-servidor-web) e nossa instância RDS do banco de dados na Sub-rede Privada (associando o sg-banco-de-dados).

A Planta Baixa Final

O diagrama abaixo, feito em Mermaid.js, representa a nossa fortaleza concluída: graph TD subgraph Internet Usuario[Usuário] end

subgraph "AWS Cloud (Região)"
    subgraph "VPC (10.0.0.0/16)"
        IGW[Internet Gateway]
        NAT[NAT Gateway]

        subgraph "Sub-rede Pública (10.0.1.0/24)"
            EC2[Instância EC2 - Servidor Web]
        end

        subgraph "Sub-rede Privada (10.0.2.0/24)"
            RDS[Instância RDS - Banco de Dados]
        end

        EC2 -- "Porta 3306" --> RDS
        RDS -- "Atualizações" --> NAT
    end
end

Usuario -- "Porta 443 (HTTPS)" --> IGW
IGW --> EC2
NAT --> IGW
EC2 -.-> Usuario

HACK PARA CERTIFICAÇÃO: Responda às perguntas do material:

  • Qual nível o grupo de segurança protege? O nível da Instância.

  • Qual é o maior bloco CIDR que pode ser escolhido para uma VPC? O /16 (65.536 endereços). Entender a função de cada um dos 7 componentes listados neste passo a passo é a chave para responder a 90% das questões sobre VPC no exame.