As Pontes e Portarias: Guia de Opções de Conectividade da VPC
Uma fortaleza isolada é segura, mas inútil. Ela precisa se comunicar com a internet, com seu data center local e com outros "condomínios" (outras VPCs). A habilidade de um arquiteto de nuvem é projetar os pontos de entrada e saída corretos para cada necessidade, mantendo sempre a segurança como prioridade.
Este guia é o seu manual de "engenharia civil" para construir as conexões da sua VPC.
O Guia de Conectividade do Arquiteto
Vamos analisar os cenários de conectividade mais comuns e a solução da AWS para cada um.
Cenário 1: Conectar uma Sub-rede Privada à Internet
- A Dor (O Problema de Negócio): "Meus servidores de banco de dados estão em uma sub-rede privada e seguros, mas eles precisam baixar patches de segurança da internet. Como eles podem sair para a internet, sem que a internet possa entrar?"
- A Solução AWS: Um dispositivo NAT (Network Address Translation).
- Analogia: Pense no NAT como a "Portaria de Serviços" do seu condomínio. Um morador (instância privada) deixa seu pedido de compra na portaria. O "porteiro" (NAT Gateway), que tem um endereço na rua, faz o pedido em seu próprio nome. Quando a entrega chega, o porteiro a recebe e a leva até a casa do morador. O entregador nunca sabe o endereço da casa.
As Opções de NAT:
| Tipo | Descrição | Melhor Para |
|---|---|---|
| NAT Gateway | Um serviço gerenciado, altamente disponível e escalável da AWS. | Produção. É a melhor prática recomendada pela AWS. |
| Instância NAT | Uma instância EC2 que você mesmo configura para atuar como NAT. | Ambientes de teste ou quando um controle muito específico é necessário. |
Outros Cenários de Conectividade Essenciais
| Se você precisa... | A Solução AWS é... | Analogia |
|---|---|---|
| Conectar uma VPC a outra VPC | VPC Peering | Construir uma "ponte particular" que conecta dois condomínios. |
| Conectar sua VPC a uma rede externa (seu data center) | AWS Site-to-Site VPN ou AWS Direct Connect | Um "túnel subterrâneo seguro" que conecta seu condomínio ao seu escritório no centro. |
| Conectar sua VPC a serviços AWS (como S3) sem sair pela internet | VPC Endpoints (AWS PrivateLink) | Construir uma "porta de serviço privada" nos muros do seu condomínio. |
| Conectar VÁRIAS VPCs e redes externas de forma centralizada | AWS Transit Gateway | Construir um "trevo rodoviário" central para onde todas as estradas dos seus condomínios convergem. |
Deep Dive: Como o NAT Gateway Funciona
Especificar: Você cria o NAT Gateway em uma sub-rede pública e associa um Endereço IP Elástico (um IP público fixo) a ele.
Atualizar: Você vai na Tabela de Rotas da sua sub-rede privada e adiciona uma rota:
Destino: 0.0.0.0/0->Alvo: [Seu NAT Gateway].
!!! tip "Insight de Arquiteto"Com essa configuração, toda vez que uma instância na sub-rede privada tentar acessar a internet, a tabela de rotas a direcionará para o NAT Gateway, que fará a "mágica" da tradução de endereço e encaminhará a requisição.
HACK PARA CERTIFICAÇÃO: Para a prova: 1. NAT Gateway: Para instâncias em sub-redes privadas acessarem a internet (somente saída). 2. Internet Gateway: Para instâncias em sub-redes públicas acessarem a internet (entrada e saída). 3. VPC Peering: Para conectar duas VPCs. 4. VPN / Direct Connect: Para conectar sua VPC à sua rede on-premises.
As Plantas da Conectividade: Guia da Arquitetura do NAT Gateway e VPC Peering
Já conhecemos as peças da nossa fortaleza de rede. Agora, vamos ver como os arquitetos as juntam para criar duas soluções essenciais: uma "portaria de serviços" para saídas seguras e uma "ponte particular" para conectar condomínios vizinhos.
1. Planta Baixa 1: A Saída Segura (Arquitetura do NAT Gateway)
A Dor que Resolve: Seus servidores de banco de dados estão seguros em uma sub-rede privada, mas precisam baixar atualizações de segurança da internet. Como eles podem sair para a internet, sem que a internet possa entrar?
A Solução: Um NAT Gateway.
O Fluxo do Tráfego (A Jornada do Pedido de Update)
- O Pedido: Uma instância na Sub-rede Privada tenta se conectar a um servidor de updates na internet.
- O Mapa da Rua Privada: O pacote de dados consulta a Tabela de Rotas da Sub-rede Privada. A regra
0.0.0.0/0(qualquer tráfego para a internet) aponta para oNAT-Gateway-ID. - A Portaria de Serviços: O tráfego é enviado para o NAT Gateway, que está localizado na Sub-rede Pública. O NAT Gateway substitui o IP de origem privado da instância pelo seu próprio IP Elástico (um IP público).
- O Portão Principal: O tráfego sai para a internet através do Internet Gateway.
- A Resposta: Quando o servidor de updates responde, ele envia a resposta para o IP do NAT Gateway. O NAT Gateway então traduz o endereço de volta para o IP privado da instância original e o encaminha.
O Resultado: A instância privada conseguiu acessar a internet, mas a internet só "enxerga" o endereço da portaria (NAT Gateway). A identidade e o endereço da instância privada permanecem seguros e inacessíveis.
2. Planta Baixa 2: A Ponte Privada (Arquitetura do VPC Peering)
A Dor que Resolve: Sua empresa tem uma VPC para o time de desenvolvimento e outra para o de produção. Como fazer com que os recursos nessas duas redes conversem entre si de forma privada e segura, sem passar pela internet?
A Solução: VPC Peering.
!!! danger "A Regra de Ouro do Peering"Para que o VPC Peering funcione, as duas VPCs NÃO podem ter blocos CIDR sobrepostos. Se ambas usarem10.0.0.0/16, o roteador não saberá para qual "cidade" enviar o tráfego.
O Processo de Construção da Ponte
- O Convite: O dono da VPC A envia uma solicitação de emparelhamento para a VPC B.
- O Aperto de Mão: O dono da VPC B aceita a solicitação. A "ponte" (uma conexão
pcx-...) é criada. - A Atualização dos Mapas (Passo CRÍTICO): A ponte existe, mas ninguém sabe como usá-la. Ambos os donos devem atualizar suas Tabelas de Rotas:
- A Tabela de Rotas da VPC A precisa de uma rota:
Destino: [CIDR da VPC B]->Alvo: [ID da Conexão Peering]. - A Tabela de Rotas da VPC B precisa de uma rota:
Destino: [CIDR da VPC A]->Alvo: [ID da Conexão Peering].
- A Tabela de Rotas da VPC A precisa de uma rota:
- A Liberação dos Guardas: Se necessário, atualize os Security Groups em ambas as VPCs para permitir o tráfego vindo do bloco CIDR da VPC vizinha.
INSIGHT DE ESPECIALISTA: O passo 3, atualizar as tabelas de rotas em AMBOS os lados, é o mais esquecido por iniciantes e a principal causa de falhas em conexões de peering. A conexão só funciona se o tráfego souber ir E voltar.
HACK PARA CERTIFICAÇÃO: Para a prova: 1. NAT Gateway vive em uma sub-rede pública e permite que instâncias em uma sub-rede privada acessem a internet (somente saída). 2. VPC Peering conecta duas VPCs para que elas se comuniquem usando IPs privados. 3. Uma limitação chave do VPC Peering é que as VPCs não podem ter CIDRs sobrepostos.
As Rodovias da Nuvem: Guia de VPC Peering e AWS Direct Connect
Já sabemos como conectar duas VPCs. Agora, vamos aprender a automatizar essa conexão e, o mais importante, a entender suas regras e limitações. Em seguida, vamos conhecer a "rodovia expressa" que conecta seu data center corporativo diretamente à AWS.
1. A Ponte Particular (VPC Peering)
Automatizando a Construção da Ponte
Criar conexões de rede manualmente no console é propenso a erros. A prática profissional é usar Infraestrutura como Código (IaC).
- Com a AWS CLI:
aws ec2 create-vpc-peering-connection \ --vpc-id vpc-minha-vpc \ --peer-vpc-id vpc-vpc-do-parceiro - Com o AWS CloudFormation (YAML):
PeeringConnection: Type: AWS::EC2::VPCPeeringConnection Properties: VpcId: vpc-minha-vpc PeerVpcId: vpc-vpc-do-parceiro
As Regras da Ponte (Limitações do VPC Peering)
!!! danger "A Regra Mais Importante: Sem Atalhos (Não-Transitividade)"Esta é a limitação mais crucial a se entender. O emparelhamento de VPC NÃO é transitivo.Analogia: Você construiu uma ponte entre o Condomínio A e o Condomínio B. O Condomínio B construiu outra ponte para o Condomínio C.
Um morador do Condomínio A NÃO PODE usar a ponte A-B e depois a ponte B-C para chegar ao Condomínio C. O tráfego não "pula" de uma ponte para outra. Para A e C se comunicarem, eles precisam construir sua própria ponte direta A-C.
Insight de Arquiteto: É exatamente essa limitação que leva à necessidade de um serviço como o AWS Transit Gateway para arquiteturas com muitas VPCs. O Transit Gateway age como um "trevo rodoviário" central que é transitivo.
2. A Rodovia Expressa (AWS Direct Connect)
A Dor que Resolve: Uma conexão VPN pela internet é ótima, mas pode sofrer com instabilidades de performance e latência. Para cargas de trabalho críticas que exigem uma conexão estável e de alta largura de banda com o data center local, é necessária uma solução mais robusta.
A Solução: AWS Direct Connect.
- O que é? Uma conexão de rede física e dedicada entre o seu data center e a AWS.
- Analogia: Em vez de usar as "estradas públicas" (a internet), você paga para construir uma "rodovia de fibra óptica, privada e exclusiva" que conecta seu "escritório central" (seu data center) diretamente à "entrada de serviço" do seu condomínio (a rede AWS).
Os Componentes da Conexão:
- A Conexão Física: É um cabo de fibra óptica de verdade, que conecta seu roteador a um roteador da AWS em um local de parceiro (um data center de colocation).
- As Interfaces Virtuais (VIFs): Sobre este cabo, você cria canais lógicos:
VIF Privada: Para se conectar à sua VPC de forma privada.
VIF Pública: Para acessar os endpoints públicos de serviços da AWS (como S3 e DynamoDB) através da sua conexão privada, sem passar pela internet.
!!! tip "Adicionando a Blindagem (Direct Connect + VPN)"O Direct Connect fornece uma conexão privada, mas não criptografada por padrão. Para a máxima segurança, você pode criar um túnel VPN que roda por cima da sua conexão Direct Connect, adicionando a criptografia IPsec à sua rodovia particular.
HACK PARA CERTIFICAÇÃO: Para a prova: 1. A limitação mais importante do VPC Peering é que ele não é transitivo. 2. AWS Direct Connect é a solução para criar uma conexão de rede DEDICADA e PRIVADA entre seu data center e a AWS. 3. Entenda a diferença: VPN é criptografada e trafega sobre a internet pública. Direct Connect é uma conexão física privada que oferece maior largura de banda e consistência.
O Império Conectado: Guia de Redes Híbridas e Escaláveis na AWS
Quando sua presença na nuvem cresce de uma única VPC para dezenas, e você precisa integrar tudo isso com seus escritórios e data centers locais, as ferramentas básicas de conectividade não são mais suficientes. É hora de pensar como um arquiteto de rede empresarial.
Este guia explora as soluções da AWS para os desafios de conectividade mais complexos.
1. O Acesso Privilegiado (VPC Endpoints e AWS PrivateLink)
A Dor que Resolve: Seus servidores em uma sub-rede privada precisam acessar serviços da AWS, como o S3 ou o SQS. A forma tradicional seria usar um NAT Gateway para sair para a internet e depois acessar o endpoint público do serviço. Isso é menos seguro, pode ter maior latência e gera custos de processamento de dados no NAT Gateway.
A Solução: VPC Endpoints. * Analogia: Em vez de sair do seu condomínio pela portaria principal para ir aos "Correios da AWS" (S3), você constrói uma "agência dos Correios" privada dentro do seu condomínio. * Como Funciona: Um VPC Endpoint cria uma conexão privada entre sua VPC e os serviços da AWS, mantendo todo o tráfego dentro da rede segura da Amazon, sem nunca passar pela internet pública.
Os Dois Tipos de "Portas de Serviço":
Gateway Endpoints:
- O que são? Um gateway que você usa como alvo em sua Tabela de Rotas.
!!! tip "Dica de Especialista"Eles são gratuitos e funcionam apenas para dois serviços: Amazon S3 e DynamoDB.
Interface Endpoints (AWS PrivateLink):
- O que são? Uma "placa de rede" (uma ENI com um IP privado) dentro da sua sub-rede que serve como um portal para um serviço.
- Suportam a maioria dos outros serviços da AWS (SQS, Kinesis, Systems Manager, etc.) e também serviços de terceiros no Marketplace.
2. As Redes de Filiais (AWS VPN CloudHub e Transit Gateway)
A Dor que Resolve: Sua empresa tem 20 escritórios remotos e 10 VPCs na AWS. Conectar todos eles com pontes individuais (VPC Peering e VPNs separadas) criaria uma "teia de aranha" de conexões complexa e quase impossível de gerenciar.
A Solução: Um modelo Hub-and-Spoke (Hub e Raios).
AWS VPN CloudHub (A Solução Clássica)
- Analogia: O "Sistema de Malote entre Filiais".
- Como Funciona: Você usa o Virtual Private Gateway da sua VPC principal como um hub central. Todos os seus escritórios remotos se conectam a este hub via VPN. O hub então retransmite o tráfego entre os escritórios, permitindo a comunicação site-a-site.
AWS Transit Gateway (A Solução Moderna e Escalável)
- Analogia: O "Aeroporto Central Privado da Corporação".
- Como Funciona: Em vez de usar uma VPC como hub, você cria um Transit Gateway, que é um roteador de nuvem regional e altamente escalável. Cada VPC e cada conexão VPN/Direct Connect se torna um "raio" (spoke) que se conecta a este hub.
- O Resultado: O gerenciamento é drasticamente simplificado. Para conectar uma nova VPC à rede inteira, você só precisa fazer uma conexão com o Transit Gateway.
O Veredito do Arquiteto
| Se o seu problema é... | A Solução Simples é... | A Solução Escalável/Moderna é... |
|---|---|---|
| Conectar DUAS VPCs | VPC Peering | VPC Peering |
| Conectar MUITAS VPCs e redes on-prem | VPC Peering (complexo) | Transit Gateway |
| Acessar S3/DynamoDB de uma sub-rede privada | NAT Gateway | Gateway Endpoint (melhor e gratuito) |
| Acessar outros serviços AWS de uma sub-rede privada | NAT Gateway | Interface Endpoint (PrivateLink) |
HACK PARA CERTIFICAÇÃO: Para a prova: 1. VPC Endpoints permitem acesso privado a serviços AWS, evitando a internet. 2. AWS Direct Connect é uma conexão física, dedicada e privada ao seu data center. 3. AWS Transit Gateway é um hub para simplificar a conectividade entre muitas VPCs e redes on-premises, resolvendo o problema de transitividade do VPC Peering.
As Muralhas da Nuvem: Guia de Defesa em Camadas e Troubleshooting de Rede
Uma única fechadura nunca é suficiente para proteger um tesouro. A segurança de rede na AWS é construída sobre o princípio da Defesa em Profundidade. Isso significa criar múltiplas camadas de segurança. Se um invasor passar pela primeira, ele ainda terá que enfrentar a segunda, a terceira, e assim por diante.
Analogia: Pense na sua VPC como um "reino" e na sua instância EC2 como a "torre do tesouro" dentro de um castelo.
1. As 4 Camadas da Fortaleza (O Modelo de Defesa)
Vamos explorar as quatro principais "muralhas" que protegem seus recursos.
1.
Tabelas de Rotas (O Controle das Pontes)
- O que faz? Controla o fluxo de tráfego. É sua primeira e mais poderosa camada de defesa.
- Analogia: O "controle das pontes levadiças e das estradas" do seu reino. Se não houver uma estrada que leve ao seu castelo a partir do mundo exterior (uma rota
0.0.0.0/0para um Internet Gateway), nenhum invasor da internet poderá sequer chegar perto.
2.
Network ACLs (Os Guardas do Bairro)
- O que faz? Um firewall que atua no nível da sub-rede.
- Analogia: Os "arqueiros nos muros do bairro" (sua sub-rede). Eles têm uma lista de regras (
Allow/Deny) e verificam quem pode entrar ou sair daquele bairro específico. São Stateless: se você permite a entrada, precisa de uma regra separada para permitir a saída.
3.
Security Groups (Os Guardas da Casa)
- O que faz? Um firewall que atua no nível da instância (na sua interface de rede).
- Analogia: Os "guardas de elite na porta da sua casa" (sua instância EC2). São sua última linha de defesa de rede. São Stateful: se você permite que um visitante entre, eles automaticamente o deixam sair.
4.
Sistema Operacional (O Cofre)
- O que faz? Firewalls do SO, softwares de antivírus/antimalware.
- Analogia: A "fechadura e o cofre" dentro da sala do tesouro. Mesmo que um invasor passe por todos os guardas, ele ainda precisa arrombar o cofre. Esta camada é sua responsabilidade gerenciar.
O Padrão do Host Bastião: Um Host Bastião é uma instância EC2 "reforçada" que fica em uma sub-rede pública e serve como o único ponto de entrada administrativo para sua rede. Para acessar um banco de dados em uma sub-rede privada, um administrador primeiro se conecta ao Bastião via SSH e, de lá, "pula" para o banco de dados. É a aplicação perfeita da defesa em camadas.
2. O Detetive de Rede (Solução de Problemas na VPC)
A Dor: "Minha instância não consegue se conectar à internet" ou "Eu não consigo me conectar à minha instância". Por onde começar?
A Solução: Siga o caminho do tráfego, camada por camada.
O Fluxo de Investigação Lógico:
-
Verifique a Casa (A Instância EC2):
- Ela está no estado
running? - Ela está em uma sub-rede pública e tem um IP público (se precisar de acesso da internet)?
- Ela está no estado
-
Verifique a Fechadura (O Security Group):
- A regra de entrada (
Inbound) permite o tráfego na porta e IP de origem corretos? (Ex: Porta 22 para seu IP). - A regra de saída (
Outbound) permite que a instância inicie a comunicação? (Por padrão, tudo é permitido).
- A regra de entrada (
-
Verifique os Guardas da Rua (A Network ACL):
- A regra de entrada (
Inbound) da sub-rede permite o tráfego? - Ponto Crítico: Como a NACL é stateless, a regra de saída (
Outbound) também permite o tráfego de resposta? (Para tráfego da web, isso significa permitir a saída em portas efêmeras, 1024-65535).
- A regra de entrada (
-
Verifique o Mapa (A Tabela de Rotas):
- A sub-rede da sua instância está associada à tabela de rotas correta?
- A tabela de rotas tem um caminho para o destino? (Ex: uma rota
0.0.0.0/0apontando para umInternet Gatewaypara acesso à internet).
HACK PARA CERTIFICAÇÃO: A prova adora a diferença entre Security Groups e Network ACLs. * Security Group: Nível da Instância, Stateful, só Allow. * Network ACL: Nível da Sub-rede, Stateless, Allow e Deny. Saber qual age primeiro (NACL) e qual age por último (SG) é fundamental para questões de troubleshooting.
As Muralhas da Nuvem: Guia Avançado de Security Groups, NACLs e Bastion Hosts
Já entendemos que a segurança na nuvem é feita em camadas. Agora, vamos nos aprofundar nas duas principais "muralhas" de firewall da sua VPC — Security Groups e Network ACLs — e aprender o padrão de arquitetura profissional para acesso administrativo seguro: o Host Bastião.
1. A Guarda Pessoal (Deep Dive no Security Group)
- O que é? Um firewall que atua no nível da instância (especificamente, na sua interface de rede).
- Analogia: O "Guarda Pessoal Inteligente" designado para cada "nobre" (sua instância EC2).
Características Chave:
- Regras de Permissão (
Allow): Você só pode criar regras que permitem o tráfego. Tudo o que não é explicitamente permitido é negado por padrão. - Stateful (Inteligente): Esta é sua característica mais importante.
- Como Funciona: O "guarda" é inteligente. Se ele deixa um mensageiro entrar para entregar uma mensagem (requisição de entrada), ele automaticamente sabe que aquele mensageiro tem permissão para sair com a resposta.
- O Resultado: Você só precisa criar regras para o tráfego de entrada. A resposta de saída é permitida automaticamente, o que simplifica muito a configuração.
2. O Guarda do Portão (Deep Dive na Network ACL)
- O que é? Um firewall que atua no nível da sub-rede.
- Analogia: O "Guarda do Portão do Bairro" (sua sub-rede).
Características Chave:
- Regras de Permissão e Negação: Você pode criar regras de
Allow(Permitir) eDeny(Negar). - Avaliação por Ordem: As regras são numeradas e avaliadas em ordem, da menor para a maior. A primeira regra que corresponder ao tráfego é aplicada.
- Stateless (Sem Memória): Esta é a diferença crucial.
- Como Funciona: O "guarda do portão" tem uma memória curta. Se ele deixa um mensageiro entrar porque o nome dele está na lista de entrada, ele não se lembra disso. Quando o mensageiro tenta sair, o guarda verifica a lista de saída. Se não houver uma regra explícita permitindo a saída, ele ficará preso.
!!! tip "O Desafio do Stateless"A principal fonte de erros para iniciantes. Se você permite tráfego de entrada na porta 443 (HTTPS), você precisa criar uma regra de saída para permitir o tráfego de resposta nas portas efêmeras (1024-65535).
3. A Torre de Vigia (O Padrão do Host Bastião)
A Dor que Resolve: "Preciso dar acesso administrativo (SSH/RDP) para meus servidores em uma sub-rede privada, mas eles não podem ter um IP público. Como faço isso de forma segura?"
A Solução: Um Host Bastião (ou Jump Host).
- Analogia: Em vez de ter uma porta dos fundos em cada prédio, você constrói uma única "Torre de Vigia" super fortificada. É a única entrada permitida para administradores.
- Como Funciona:
- Você lança uma pequena e reforçada instância EC2 (o Bastião) em uma sub-rede pública.
- Você cria um Security Group para ela (
SG-Bastiao) que permite acesso SSH (porta 22) apenas do IP do seu escritório. - Nos Security Groups dos seus servidores privados (
SG-Privado), você cria uma regra que permite acesso SSH apenas a partir da origemSG-Bastiao.
- O Resultado: Um administrador se conecta primeiro ao Bastião e, de lá, "pula" para os servidores privados. A superfície de ataque da sua rede é drasticamente reduzida a um único ponto, que você pode monitorar e proteger intensamente.
INSIGHT DE ESPECIALISTA (SSH Agent Forwarding): A melhor prática é não armazenar suas chaves privadas no Host Bastião. Use o encaminhamento de agente SSH, que cria um "túnel" seguro para sua chave local através do Bastião até a instância final, sem nunca expor a chave.
HACK PARA CERTIFICAÇÃO: A prova adora a diferença entre Security Groups e Network ACLs. * Security Group: Atua no nível da Instância, é Stateful e só tem regras de Allow. * Network ACL: Atua no nível da Sub-rede, é Stateless e tem regras de Allow e Deny. Saber o que é um Host Bastião e por que ele é usado (acesso seguro a sub-redes privadas) também é um grande diferencial.
O Acesso Secreto e o Manual do Detetive: Guia de Bastion Hosts e Troubleshooting
Gerenciar uma rede segura na AWS envolve duas habilidades essenciais: primeiro, projetar pontos de acesso restritos e seguros; segundo, saber diagnosticar problemas de conectividade quando eles ocorrem. Este guia cobre essas duas frentes.
1. A Torre de Vigia (O Padrão do Host Bastião)
A Dor que Resolve: Seus servidores mais importantes (como bancos de dados) estão seguros em sub-redes privadas, sem acesso à internet. Mas como seus administradores podem acessá-los para manutenção? Expor esses servidores diretamente é um risco de segurança inaceitável.
A Solução: Um Host Bastião (ou Jump Host). * Analogia: Em vez de ter uma porta dos fundos em cada prédio do seu castelo, você constrói uma única "Torre de Vigia" super fortificada. É o único ponto de entrada permitido para administradores.
Implementação para Linux (SSH)
- A Torre de Vigia (
Host Bastion): É uma instância EC2 pequena em uma sub-rede pública. - O Portão da Torre (
SG-Bastiao): O Security Group do Bastião permite acesso na porta 22 (SSH) apenas do seu IP corporativo. - A Passagem Secreta (
SG-Privado): O Security Group da sua instância privada permite acesso na porta 22 (SSH) apenas a partir da origemSG-Bastiao. - O Fluxo: O administrador se conecta primeiro ao Bastião e, de lá, "pula" para a instância privada.
Implementação para Windows (Remote Desktop Gateway)
A Dor: Permitir acesso RDP (porta 3389) de qualquer lugar (0.0.0.0/0) é uma das maiores vulnerabilidades de segurança na nuvem. * A Solução: Use um servidor Remote Desktop Gateway como seu Bastião. * Como Funciona: O Gateway aceita conexões seguras na porta 443 (HTTPS), que é muito mais segura de expor. Após autenticar o usuário, ele atua como um proxy, encaminhando a conexão RDP para a instância privada na porta 3389.
INSIGHT DE ESPECIALISTA: O Host Bastião é um padrão clássico e poderoso. Hoje, para muitos casos de uso, o AWS Systems Manager Session Manager é a alternativa moderna e preferida, pois permite acesso ao terminal sem precisar de um Bastião, sem gerenciar chaves SSH e sem abrir nenhuma porta de entrada.
2. O Manual do Detetive (Solucionando Problemas de Conectividade)
A Dor: "Minha aplicação não consegue se conectar ao banco de dados! O que está errado?"
A Solução: Siga o caminho do tráfego, camada por camada, com um checklist lógico.
O Checklist Universal (Os 4 Passos Iniciais)
- A Vítima está OK? (A Instância): A instância EC2 está no estado
running? Ela passou nas verificações de status? - A Fechadura da Casa está OK? (O Security Group): A regra de saída da instância de origem permite o tráfego? E a regra de entrada da instância de destino permite o tráfego?
- O Guarda da Rua está OK? (A Network ACL): A regra de saída da sub-rede de origem permite o tráfego? E a regra de entrada da sub-rede de destino? Lembre-se: NACLs são stateless, então você também precisa de regras para o tráfego de resposta.
- O Mapa está OK? (A Tabela de Rotas): A sub-rede de origem tem uma rota que a leve até a sub-rede de destino?
Arquivos de Caso (Cenários Comuns)
- Caso: Não consigo conectar à minha instância pela internet.
- Pistas: A instância tem um IP Público ou Elástico? O Internet Gateway está anexado à VPC? A Tabela de Rotas da sub-rede pública tem uma rota
0.0.0.0/0para o Internet Gateway?
- Pistas: A instância tem um IP Público ou Elástico? O Internet Gateway está anexado à VPC? A Tabela de Rotas da sub-rede pública tem uma rota
- Caso: Minha conexão SSH falha.
- Pistas: Estou usando o nome de usuário correto (
ec2-userpara Amazon Linux,ubuntupara Ubuntu)? As permissões do meu arquivo.pemestão corretas (chmod 400)?
- Pistas: Estou usando o nome de usuário correto (
- Caso: Minha instância privada não acessa a internet (NAT).
- Pistas: A Tabela de Rotas da sub-rede privada aponta
0.0.0.0/0para o NAT Gateway? Se for uma Instância NAT, a verificaçãoSource/Destination Checkestá desabilitada?
- Pistas: A Tabela de Rotas da sub-rede privada aponta
- Caso: Minhas VPCs em Peering não se comunicam.
- Pistas: A solicitação de peering foi aceita pela outra conta? Ambas as VPCs atualizaram suas Tabelas de Rotas para apontar para a conexão de peering (
pcx-...)?
- Pistas: A solicitação de peering foi aceita pela outra conta? Ambas as VPCs atualizaram suas Tabelas de Rotas para apontar para a conexão de peering (
HACK PARA CERTIFICAÇÃO: A prova adora a diferença entre Security Groups e Network ACLs. * Security Group: Nível da Instância, Stateful, só Allow. * Network ACL: Nível da Sub-rede, Stateless, Allow e Deny. Um erro de
Connection Timed Outgeralmente indica um problema de firewall (Security Group ou NACL) ou de roteamento.