🌐

Networking: VPC, Route 53, CloudFront

⏱ 11 min de leitura·+55 XP

Networking é o tecido que conecta tudo na AWS. EC2, RDS, Lambda (quando em VPC), S3 (via endpoint), API Gateway — todos falam através de redes que VOCÊ define. O CLF-C02 cobre os conceitos essenciais: VPC, subnets, Security Groups, NACLs, Internet Gateway, NAT, DNS (Route 53) e CDN (CloudFront).

Onde isso entra no exame

📘 Domain 3 — Cloud Technology and Services· 34%

Networking é frequentemente cobrado em questões de cenário: "a EC2 não consegue acessar a internet — o que pode ser?". A resposta envolve saber a cascata: Security Group → NACL → Route Table → IGW/NAT. O CLF-C02 não pede que você escreva um NACL complexo, mas espera que você identifique o gargalo.

Anatomia de uma VPC

🗺️ VPC típica com subnets pública e privada


┌──────────────────────────────────────────────────────────────┐
│                   VPC 10.0.0.0/16                            │
│                                                              │
│  ┌──────────────────────────────────────────────────────┐   │
│  │   Subnet Pública  10.0.1.0/24  (AZ-a)                │   │
│  │   ┌──────────┐       ┌──────────┐                    │   │
│  │   │ EC2 web  │       │ NAT GW   │                    │   │
│  │   └──────────┘       └──────────┘                    │   │
│  │        │                  │                          │   │
│  │        └──────┬───────────┘                          │   │
│  └───────────────┼──────────────────────────────────────┘   │
│                  │                                           │
│                  ▼                                           │
│          ┌──────────────┐        ┌──────────────────┐       │
│          │Internet GW   │◀─────▶│     INTERNET     │       │
│          └──────────────┘        └──────────────────┘       │
│                                                              │
│  ┌──────────────────────────────────────────────────────┐   │
│  │   Subnet Privada  10.0.2.0/24  (AZ-a)                │   │
│  │   ┌──────────┐       ┌──────────┐                    │   │
│  │   │EC2 app   │       │  RDS     │                    │   │
│  │   └──────────┘       └──────────┘                    │   │
│  └──────────────────────────────────────────────────────┘   │
└──────────────────────────────────────────────────────────────┘

Componentes de uma VPC

Componente	O que faz
VPC	Rede virtual isolada em uma Região (bloco CIDR IPv4/IPv6)
Subnet	Fração da VPC em uma AZ específica (pública ou privada)
Internet Gateway (IGW)	Permite subnets da VPC comunicarem com a internet
NAT Gateway	Permite subnets privadas SAÍREM para internet sem serem acessíveis de fora
Route Table	Define para onde vai o tráfego de uma subnet
Security Group	Firewall stateful a nível de instância
Network ACL (NACL)	Firewall stateless a nível de subnet
VPC Peering	Conecta duas VPCs diretamente (não transitivo)
Transit Gateway	Hub central conectando múltiplas VPCs e on-prem
VPN Gateway	Conecta VPC a rede on-prem via IPsec pela internet
Direct Connect	Link dedicado físico (fibra) entre on-prem e AWS
VPC Endpoint	Acesso privado a serviços AWS (S3, DynamoDB) sem passar na internet

Subnet pública vs privada

Aspecto	Pública	Privada
Rota default	Aponta para Internet Gateway	Aponta para NAT Gateway (ou nada)
IP público	Instâncias recebem auto-assign	Sem IP público (só privado)
Acesso da internet	Possível (se SG permitir)	Impossível diretamente
Uso típico	Web servers, ALB, Bastion, NAT	App servers, bancos, caches

Security Group vs NACL

Característica	Security Group	NACL
Nível	ENI / Instância	Subnet
Estado	Stateful (lembra conexões)	Stateless (regras separadas in/out)
Regras	Allow apenas (sem deny)	Allow e Deny
Avaliação	Todas as regras	Por ordem numerada
Padrão novo	Bloqueia tudo inbound, libera tudo outbound	Libera tudo

💡

Defensa em camadas: use Security Group como primeira defesa (simples, stateful). Use NACLs quando precisar bloquear IPs/subnets específicos em nível de subnet.

Route 53 — DNS gerenciado

DNS authoritative da AWS. Registra domínios, resolve nomes, e faz routing policies inteligentes:

Policy	Comportamento
Simple	Retorna um único valor
Weighted	Distribui por pesos (ex: 70/30 para A/B testing)
Latency-based	Direciona para a Região com menor latência
Failover	Primary + secondary (health check)
Geolocation	Roteia pela origem geográfica do usuário
Geoproximity	Baseado em distância geográfica (com bias)
Multivalue Answer	Retorna múltiplos IPs com health check

CloudFront — CDN global

Cacheia conteúdo em 600+ Edge Locations. Origem pode ser S3, ALB, EC2 ou qualquer HTTP endpoint. Features:

• TLS/HTTPS com certificados ACM grátis
• Origin Access Control (OAC) — proteção do bucket S3 para servir só via CloudFront
• Lambda@Edge / CloudFront Functions — compute no edge
• Signed URLs / Signed Cookies — acesso controlado a conteúdo privado
• AWS Shield Standard (grátis) + AWS WAF (pago) integrados

Conectando AWS ao seu data center

Serviço	Meio	Latência / Segurança
Site-to-Site VPN	Internet pública (IPsec)	Latência variável, criptografado
Client VPN	Usuários finais via OpenVPN	Acesso individual a VPC
Direct Connect	Fibra dedicada	Latência baixa e previsível, altíssima banda
Direct Connect Gateway	DX + múltiplas VPCs/Regiões	Hub de conectividade

Load Balancers

Tipo	Camada OSI	Uso
Application LB (ALB)	7 (HTTP/HTTPS)	Apps web, HTTP routing avançado, WebSocket
Network LB (NLB)	4 (TCP/UDP)	Alta performance, latência ultra-baixa, IPs estáticos
Gateway LB (GWLB)	3 (IP)	Insere appliances de segurança na camada de rede
Classic LB (CLB)	4 e 7 (legacy)	Evitar — só existe para compat

AWS Global Accelerator

Anycast de dois IPs estáticos que entram na rede AWS no Edge mais próximo e roteiam por fibra privada até a Região. Diferente do CloudFront (que cacheia), Global Accelerator otimiza TCP/UDP em tempo real — ideal para jogos, VoIP, APIs.

Cenários de decisão

📋 Web app simples: front-end + backend + banco. Como estruturar a VPC?

✓ 1 VPC, 2 subnets públicas (ALB + NAT GW) + 2 subnets privadas (EC2 app + RDS) em 2 AZs

Padrão público/privado. ALB público expõe HTTPS. App em subnet privada acessa internet via NAT para patches/APIs externas. RDS isolado em subnet privada. Multi-AZ dá HA.

📋 Serviço global distribuir imagens estáticas com baixa latência

✓ S3 + CloudFront + OAC

S3 como origem. CloudFront cacheia globalmente. OAC protege o bucket para servir só via CloudFront (nunca direto).

📋 Matriz corporativa + 3 filiais + AWS — conectividade estável

✓ Direct Connect + Transit Gateway

DX entrega link dedicado da matriz. Transit Gateway centraliza rotas para todas as VPCs e as 3 filiais (via VPN). Modelo hub-and-spoke escala.

📋 EC2 privada precisa acessar S3 sem passar pela internet

✓ VPC Endpoint (Gateway Endpoint para S3)

Gateway Endpoints (S3, DynamoDB) são gratuitos e roteiam tráfego dentro da rede AWS. Mais seguro, mais barato, mais rápido que sair por NAT + IGW.

Exemplos de CLI

bash

# Criar VPC
aws ec2 create-vpc --cidr-block 10.0.0.0/16

# Criar subnet pública
aws ec2 create-subnet --vpc-id vpc-abc \
  --cidr-block 10.0.1.0/24 \
  --availability-zone sa-east-1a

# Security Group permitindo SSH só de um IP
aws ec2 create-security-group \
  --group-name bastion-sg \
  --description "SSH from office" \
  --vpc-id vpc-abc
aws ec2 authorize-security-group-ingress \
  --group-id sg-xyz \
  --protocol tcp --port 22 \
  --cidr 203.0.113.42/32

# Route 53 — criar um registro A
aws route53 change-resource-record-sets \
  --hosted-zone-id Z1234 \
  --change-batch file://change.json

⚠️

Pegadinha: "VPC Peering é transitivo?" — Não. Se A peering B e B peering C, A NÃO fala com C. Para conectar múltiplas VPCs, use Transit Gateway.

Perguntas típicas (Q&A)

❓ Quais são os 2 tipos de VPC Endpoints?

Gateway Endpoint (S3, DynamoDB — grátis) e Interface Endpoint (PrivateLink, a maioria dos outros serviços — pago, com ENI em cada subnet).

❓ Qual é o papel do Internet Gateway?

Componente horizontal escalável redundante, anexado à VPC, que permite comunicação entre instâncias na VPC e a internet. Sem IGW, a VPC é 100% isolada.

❓ Diferença entre NAT Gateway e NAT Instance?

NAT Gateway é gerenciado pela AWS (HA automático em uma AZ, escala automática). NAT Instance é uma EC2 que você gerencia (mais barata para low-traffic mas você cuida de tudo). Padrão moderno: NAT Gateway.

❓ Qual a menor VPC (bloco CIDR) permitida pela AWS?

/28 (16 IPs). A AWS reserva 5 IPs em cada subnet (network, VPC router, DNS, future use, broadcast), então uma /28 tem apenas 11 utilizáveis. Maior permitida: /16.

✅

Take-aways: VPC = rede isolada por Região. Subnet = por AZ. Pública (rota → IGW) vs privada (rota → NAT). SG = stateful na ENI. NACL = stateless na subnet. Route 53 = DNS + 7 policies. CloudFront = CDN em 600+ Edges. Global Accelerator = anycast TCP/UDP. VPC Endpoint = acesso privado a serviços AWS. DX = fibra dedicada. ALB/NLB/GWLB por camada.

🧩

Quiz rápido

3 perguntas · Acerte tudo e ganhe o badge 🎯 Gabarito