VPC: Tu Red Privada en la Nube
Una Virtual Private Cloud (VPC) es tu red privada aislada dentro de AWS. Controlas completamente la topologia de red: subnets, tablas de ruteo, gateways y seguridad. Entender VPC es fundamental porque TODOS los servicios de AWS que corren en tu cuenta operan dentro de una VPC.
Arquitectura de VPC
| Componente | Funcion | Analogia |
|---|---|---|
| VPC | Red privada aislada | Tu edificio de oficinas |
| Subnet publica | Accesible desde internet | Recepcion (acceso publico) |
| Subnet privada | Solo accesible internamente | Oficinas internas (sin acceso directo) |
| Internet Gateway | Puerta a internet | Puerta principal del edificio |
| NAT Gateway | Internet saliente para subnets privadas | Linea telefonica para llamar afuera |
| Security Group | Firewall a nivel de instancia | Guardia de seguridad por oficina |
| NACL | Firewall a nivel de subnet | Control de acceso por piso |
# Terraform: VPC con subnets publicas y privadas
module "vpc" {
source = "terraform-aws-modules/vpc/aws"
version = "5.0.0"
name = "produccion-vpc"
cidr = "10.0.0.0/16"
azs = ["sa-east-1a", "sa-east-1b", "sa-east-1c"]
private_subnets = ["10.0.1.0/24", "10.0.2.0/24", "10.0.3.0/24"]
public_subnets = ["10.0.101.0/24", "10.0.102.0/24", "10.0.103.0/24"]
enable_nat_gateway = true
single_nat_gateway = false # Una por AZ para HA
enable_dns_hostnames = true
enable_dns_support = true
tags = {
Environment = "production"
Team = "platform"
}
}Security Groups vs NACLs
| Caracteristica | Security Group | NACL |
|---|---|---|
| Nivel | Instancia (ENI) | Subnet |
| Estado | Stateful (auto-permite retorno) | Stateless (reglas explicitas) |
| Reglas | Solo Allow | Allow y Deny |
| Evaluacion | Todas las reglas | En orden numerico |
| Default | Deny todo ingress, allow todo egress | Allow todo |
🚀 Dato Clave
Arquitectura recomendada para produccion: 3 AZs con subnets publicas (ALB, NAT) y privadas (EC2, RDS, Lambda). Bases de datos SIEMPRE en subnets privadas. NAT Gateway para que las privadas accedan a internet.
Con VPC dominado, tienes la base de red para cualquier arquitectura en AWS.