# Interconexiones de VPC
El emparejamiento de VPC le permite conectar dos VPC en la misma región o en regiones de AWS diferentes. Esto permite que las instancias de una VPC se comuniquen con las instancias de la otra VPC como si todas formaran parte de la misma red.
El emparejamiento de VPC crea una ruta de red directa entre las dos VPC mediante direcciones IPv4 o IPv6 privadas. El tráfico enviado entre las VPC conectadas no viaja por Internet, una conexión VPN o una conexión de AWS Direct Connect. Esto hace que la interconexión de VPC sea una forma segura de compartir recursos, como bases de datos o servidores web, a través de los límites de la VPC.
Para establecer una conexión de emparejamiento de VPC, debe crear una solicitud de conexión de emparejamiento desde una VPC y que la acepte el propietario de la otra VPC. Una vez establecida la conexión, puede actualizar las tablas de enrutamiento para enrutar el tráfico entre las VPC. Esto permite que las instancias de una VPC accedan a los recursos de la otra VPC.
La interconexión de VPC es una herramienta importante para crear arquitecturas de múltiples VPC y compartir recursos más allá de los límites organizacionales en AWS. Proporciona una forma sencilla y de baja latencia de conectar las VPC sin la complejidad de configurar una VPN u otro servicio de red.
Use los siguientes procedimientos para crear y trabajar con conexiones de emparejamiento de VPC.
**Topics**
+ [Creación de una interconexión de VPC](create-vpc-peering-connection.md)
+ [Acepte o rechace una conexión de emparejamiento de VPC](accept-vpc-peering-connection.md)
+ [Actualice sus tablas de enrutamiento para interconexiones de VPC](vpc-peering-routing.md)
+ [Actualizar grupos de seguridad para que hagan referencia a grupos de seguridad del mismo nivel](vpc-peering-security-groups.md)
+ [Habilite la resolución de DNS para la interconexión de VPC](vpc-peering-dns.md)
+ [Elimine la interconexión de VPC](delete-vpc-peering-connection.md)
+ [Solución de problemas de conexión de emparejamiento de VPC](troubleshoot-vpc-peering-connections.md)
# Creación de una interconexión de VPC
Para crear una interconexión de VPC, primero debe crear una solicitud de emparejamiento con otra VPC. Para activar la solicitud, el propietario de la VPC debe aceptar la solicitud. Se admiten los siguientes tipos de conexiones de emparejamiento:
+ Entre VPC en la misma cuenta y región
+ Entre VPC en la misma cuenta y diferentes regiones
+ Entre VPC en cuentas diferentes y en la misma región
+ Entre VPC en cuentas y regiones diferentes
En el caso de una conexión de emparejamiento de VPC en regiones distintas, la solicitud debe provenir de la región de la VPC solicitante y aceptarse desde la región de la VPC receptora. Para obtener más información, consulte [Acepte o rechace una conexión de emparejamiento de VPC](accept-vpc-peering-connection.md).
**Topics**
+ [Requisitos previos](#vpc-peering-connection-prerequisites)
+ [Creación de una conexión de emparejamiento mediante la consola](#create-vpc-peering-connection-console)
+ [Creación de una conexión de emparejamiento mediante la línea de comandos](#create-vpc-peering-connection-command-line)
## Requisitos previos
+ Revise las [limitaciones](vpc-peering-basics.md#vpc-peering-limitations) para conexiones de emparejamiento de VPC.
+ Asegúrese de que las VPC no tengan bloques de CIDR IPv4 que se solapen. En caso que se superpongan, el estado de la conexión de emparejamiento de VPC cambiará inmediatamente a `failed`. Esta limitación se aplica incluso cuando las VPC tengan bloques de CIDR IPv6.
## Creación de una conexión de emparejamiento mediante la consola
Utilice el siguiente procedimiento para crear una conexión de emparejamiento de VPC.
**Creación de una conexión de emparejamiento mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Peering Connections** (Conexiones de emparejamiento).
1. Elija **Create peering connection** (Crear conexión de emparejamiento).
1. (Opcional) En **Nombre**, indique un nombre para la conexión de emparejamiento de VPC. De esta manera, se creará una etiqueta con una clave de Name y el valor que especifique.
1. En **ID de VPC (solicitante)**, seleccione una VPC de la cuenta actual.
1. En **Seleccionar otra VPC con la que realizar la conexión**, haga lo siguiente:
1. En **Cuenta**, para conectarse con una VPC de otra cuenta, elija **Otra cuenta** e ingrese el ID de la cuenta. De lo contrario, elija **Mi cuenta**.
1. En **Región**, si desea establecer conexiones con una VPC de otra región, seleccione **Otra región** y elija la región. De lo contrario, elija **Esta región**.
1. En **ID de VPC (receptora)**, seleccione una VPC de la cuenta y la región especificadas.
1. (Opcional) Para agregar una etiqueta, elija **Add new tag** (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta.
1. Elija **Create peering connection** (Crear conexión de emparejamiento).
1. El propietario de la cuenta receptora deberá aceptar la solicitud de interconexión. Para obtener más información, consulte [Acepte o rechace una conexión de emparejamiento de VPC](accept-vpc-peering-connection.md).
1. Actualice las tablas de enrutamiento de ambas VPC para permitir la comunicación entre ellas. Para obtener más información, consulte [Actualice sus tablas de enrutamiento para interconexiones de VPC](vpc-peering-routing.md).
## Creación de una conexión de emparejamiento mediante la línea de comandos
Puede crear una conexión de emparejamiento de VPC mediante los siguientes comandos:
+ [create-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-peering-connection.html) (AWS CLI)
+ [New-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)
# Acepte o rechace una conexión de emparejamiento de VPC
El propietario de la VPC que acepte la interconexión debe aceptar las interconexiones de VPC con el estado `pending-acceptance` para que puedan activarse. Para obtener más información sobre el estado de la conexión de emparejamiento `Deleted`, consulte [Ciclo de vida de las interconexiones de VPC](vpc-peering-basics.md#vpc-peering-lifecycle). No puede aceptar solicitudes de conexión de emparejamiento de VPC que haya enviado a otra cuenta de AWS. Para crear una conexión de emparejamiento de VPC entre VPC de la misma cuenta de AWS, deberá crear y aceptar la solicitud usted mismo.
Puede rechazar cualquier solicitud de interconexión de VPC recibida con el estado `pending-acceptance`. Acepte solo conexiones de emparejamiento de VPC de Cuentas de AWS que conozca y que sean de confianza. Rechace las solicitudes no deseadas. Para obtener más información sobre el estado de la conexión de emparejamiento `Rejected`, consulte [Ciclo de vida de las interconexiones de VPC](vpc-peering-basics.md#vpc-peering-lifecycle).
**importante**
No acepte interconexiones de VPC de cuentas de AWS que no conozca. ya que los usuarios malintencionados pueden enviar solicitudes de interconexión de VPC para obtener acceso no autorizado a su VPC. Esto se denomina ataques de phishing de interconexión. De este modo, puede rechazar con seguridad las solicitudes de interconexión de VPC sin correr el riesgo de que el solicitante obtenga acceso a información acerca de su cuenta de AWS o su VPC. Para obtener más información, consulte [Acepte o rechace una conexión de emparejamiento de VPC](#accept-vpc-peering-connection). También puede omitir estas solicitudes y dejar que caduquen. De manera predeterminada, las solicitudes a los 7 días.
**Aceptación o rechazo de una solicitud de conexión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el selector de regiones, seleccione la región de la VPC receptora.
1. En el panel de navegación, elija **Peering Connections** (Conexiones de emparejamiento).
1. Para aceptar o rechazar una conexión de emparejamiento, seleccione la conexión de emparejamiento de VPC y elija **Acciones**, **Rechazar solicitud**. Cuando se le pida confirmación, elija **Rechazar solicitud**.
1. Para aceptar o rechazar una conexión de emparejamiento, seleccione la conexión de emparejamiento de VPC pendiente (con el estado `pending-acceptance`) y elija **Acciones**, **Aceptar solicitud**. Para obtener más información acerca de los estados del ciclo de vida de una conexión de emparejamiento, consulte [Ciclo de vida de las interconexiones de VPC](vpc-peering-basics.md#vpc-peering-lifecycle).
Si no hay ninguna conexión de emparejamiento de VPC pendiente, compruebe que ha seleccionado la región de la VPC receptora.
1. Cuando se le pida confirmación, elija **Aceptar solicitud**.
1. Elija **Modificar mis tablas de enrutamiento ahora** para agregar una ruta a la tabla de enrutamiento de la VPC y así, poder enviar y recibir tráfico a través de la conexión de emparejamiento. Para obtener más información, consulte [Actualice sus tablas de enrutamiento para interconexiones de VPC](vpc-peering-routing.md).
**Aceptación de una conexión de emparejamiento mediante la línea de comandos**
+ [accept-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-peering-connection.html) (AWS CLI)
+ [Approve-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)
**Rechazo de una conexión de emparejamiento mediante la línea de comandos**
+ [reject-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-peering-connection.html) (AWS CLI)
+ [Deny-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)
# Actualice sus tablas de enrutamiento para interconexiones de VPC
Para habilitar el tráfico IPv4 privado entre instancias en VPC interconectadas, debe agregar una ruta a las tablas de enrutamiento asociadas a las subredes de ambas instancias. El destino de la ruta es el bloque de CIDR (o parte del bloque de CIDR) de la VPC del mismo nivel y el objetivo es el ID de la conexión de emparejamiento de VPC. Para obtener más información, consulte [Configurar tablas de enrutamiento](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) en la *Guía del usuario de Amazon VPC*.
A continuación se muestra un ejemplo de las tablas de enrutamiento que permiten la comunicación entre instancias en dos VPC interconectadas, VPC A y VPC B. Cada tabla tiene una ruta local y una ruta que envía tráfico de la VPC del mismo nivel a la conexión de emparejamiento de VPC.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/peering/vpc-peering-routing.html)
Del mismo modo, si las VPC de la conexión de emparejamiento de VPC tienen asociados bloques de CIDR IPv6, podrá agregar rutas para permitir la comunicación con la VPC del mismo nivel a través de IPv6.
Para obtener más información acerca de las configuraciones de tabla de ruteo compatibles para las interconexiones de VPC, consulte [Configuraciones comunes de conexión de emparejamiento de VPC](peering-configurations.md).
**Consideraciones**
+ Si tiene una VPC interconectada con varias VPC con bloques de CIDR IPv4 solapados o que coinciden, asegúrese de que las tablas de ruteo estén configuradas para evitar el envío de tráfico de respuesta desde la VPC a una VPC incorrecta. Actualmente AWS no admite el reenvío de rutas inversas unidifusión en interconexiones de VPC que comprueben la IP de origen de los paquetes y direccionará los paquetes de respuesta de vuelta al origen. Para obtener más información, consulte [Enrutamiento del tráfico de respuesta](peering-configurations-partial-access.md#peering-incorrect-response-routing).
+ Su cuenta tiene una [cuota](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) en el número de entradas que puede agregar por cada tabla de enrutamiento. Si el número de interconexiones de VPC de su VPC supera la cuota de entrada de la tabla de ruteo para una única tabla de ruteo, considere la posibilidad de utilizar varias subredes asociadas a una tabla de ruteo personalizada.
+ Puede añadir una ruta para una interconexión de VPC que tenga el estado `pending-acceptance`. Sin embargo, la ruta tendrá el estado de `blackhole` y no tendrá efecto alguno hasta que la conexión de emparejamiento de VPC tenga el estado `active`.
**Para añadir una ruta IPv4 para una interconexión de VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Tablas de enrutamiento**.
1. Seleccione la casilla de verificación al lado de la tabla de enrutamiento asociada a la subred en la que reside su instancia.
Si no asocia de manera explícita ninguna subred a una tabla de enrutamiento, la subred se asociará de manera implícita a una tabla de enrutamiento principal.
1. Elija **Actions** (Acciones), **Edit routes** (Editar rutas).
1. Seleccione **Add route (Añadir ruta)**.
1. En **Destination**, escriba el rango de direcciones IPv4 al que debe dirigirse el tráfico de red de la interconexión de VPC. Puede especificar el bloque de CIDR IPv4 completo de la VPC del mismo nivel, un rango específico o una dirección IPv4 individual como, por ejemplo, la dirección IP de la instancia con la que desea comunicarse. Por ejemplo, si el bloque de CIDR de la VPC del mismo nivel es `10.0.0.0/16`, puede especificar una porción `10.0.0.0/24` o una dirección IP específica `10.0.0.7/32`.
1. En **Objetivo**, seleccione la conexión de emparejamiento de VPC.
1. Seleccione **Save changes (Guardar cambios)**.
El propietario de la VPC del mismo nivel también debe completar estos pasos para agregar una ruta para dirigir el tráfico de vuelta a la VPC a través de la conexión de pares de VPC.
Si tiene recursos en diferentes regiones de AWS en los que se utilizan direcciones IPv6, puede crear una interconexión entre regiones. Luego, puede agregar una ruta IPv6 para la comunicación entre los recursos.
**Para añadir una ruta IPv6 para una interconexión de VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Tablas de enrutamiento**.
1. Seleccione la casilla de verificación al lado de la tabla de enrutamiento asociada a la subred en la que reside su instancia.
**nota**
Si no tiene ninguna tabla de ruteo asociada a dicha subred, seleccione la tabla de ruteo principal de la VPC, ya que la subred utilizará dicha tabla de ruteo de manera predeterminada.
1. Elija **Actions (Acciones)**, **Edit routes (Editar rutas)**.
1. Seleccione **Add route (Añadir ruta)**.
1. En **Destination**, escriba el rango de direcciones IPv6 para la VPC del mismo nivel. Puede especificar el bloque de CIDR IPv6 completo de la VPC del mismo nivel, un rango específico o una dirección IPv6 individual. Por ejemplo, si el bloque de CIDR de la VPC del mismo nivel es `2001:db8:1234:1a00::/56`, puede especificar una porción `2001:db8:1234:1a00::/64` o una dirección IP específica `2001:db8:1234:1a00::123/128`.
1. En **Objetivo**, seleccione la conexión de emparejamiento de VPC.
1. Seleccione **Save changes (Guardar cambios)**.
Para obtener más información, consulte [Tablas de ruteo](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) en la *Guía del usuario de Amazon VPC*.
**Agregado o sustitución de una ruta mediante la línea de comandos**
+ [create-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html) y [replace-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html)(AWS CLI)
+ [New-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html) y [Set-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html)(AWS Tools for Windows PowerShell)
# Actualizar grupos de seguridad para que hagan referencia a grupos de seguridad del mismo nivel
Puede actualizar las reglas entrantes o salientes de los grupos de seguridad de su VPC para que hagan referencia a los grupos de seguridad de las VPC del mismo nivel. De este modo, garantizará el tráfico entrante y saliente de las instancias asociadas al grupo de seguridad al que se hace referencia en la VPC del mismo nivel.
**nota**
Los grupos de seguridad de una VPC del mismo nivel no se muestran en la consola para que los seleccione.
**Requisitos**
+ Para hacer referencia a un grupo de seguridad de una VPC del mismo nivel, la interconexión de VPC debe tener el estado `active`.
+ La VPC del mismo nivel puede ser una VPC de su cuenta o una VPC de otra cuenta de AWS. Para hacer referencia a un grupo de seguridad que se encuentra en otra cuenta de AWS pero en la misma región, incluya el número de cuenta con el ID del grupo de seguridad. Por ejemplo, `123456789012/sg-1a2b3c4d`.
+ No es posible hacer referencia al grupo de seguridad de una VPC del mismo nivel que se encuentra en una región distinta. En lugar de ello, utilice el bloque de CIDR de la VPC del mismo nivel.
+ Si configura rutas para reenviar el tráfico entre dos instancias en subredes diferentes a través de un dispositivo de middlebox, debe asegurarse de que los grupos de seguridad de ambas instancias permiten que el tráfico fluya entre las instancias. El grupo de seguridad de cada instancia debe hacer referencia a la dirección IP privada de la otra instancia, o al rango CIDR de la subred que contiene la otra instancia, como fuente. Si hace referencia al grupo de seguridad de la otra instancia como fuente, esto no permite que el tráfico fluya entre las instancias.
**Para actualizar las reglas del grupo de seguridad desde la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Seleccione el grupo de seguridad y haga una de las operaciones siguientes:
+ Para modificar las reglas de entrada, seleccione **Acciones**, **Editar reglas de entrada**.
+ Para modificar las reglas de salida, seleccione **Acciones**, **Editar reglas de salida**.
1. Para agregar una regla, elija **Agregar regla** y especifique el tipo, el protocolo y el rango de puertos. En **Origen** (regla de entrada) o **Destino** (regla de salida), haga alguna de las siguientes acciones:
+ Para una VPC del mismo nivel en la misma cuenta y región, ingrese el ID del grupo de seguridad.
+ Para una VPC del mismo nivel en una cuenta diferente pero de la misma región, ingrese el ID de la cuenta y el ID del grupo de seguridad, separados por una barra diagonal (por ejemplo, `123456789012/sg-1a2b3c4d`).
+ Para una VPC del mismo nivel en una región diferente, ingrese el bloque de CIDR de la VPC del mismo nivel.
1. Para editar una regla existente, cambie los valores (por ejemplo, el origen o la descripción).
1. Para eliminar una regla, elija la opción **Eliminar** situada junto a la regla.
1. Seleccione **Guardar reglas**.
**Para actualizar las reglas de entrada mediante la línea de comandos**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) y [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) y [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
Por ejemplo, para actualizar el grupo de seguridad `sg-aaaa1111` para permitir el acceso entrante a través de HTTP desde `sg-bbbb2222` en una VPC del mismo nivel, utilice el siguiente comando. Si la VPC del mismo nivel está en la misma región pero en otra cuenta, agregue `--group-owner` *aws-account-id*.
```
aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
```
**Para actualizar las reglas de salida mediante la línea de comandos**
+ [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) y [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) y [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) (AWS Tools for Windows PowerShell)
Una vez actualizadas las reglas del grupo de seguridad, utilice el comando [describe-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html) para consultar el grupo de seguridad al que se hace referencia en las reglas del grupo de seguridad.
## Identifique los grupos de seguridad a los que se hace referencia
Para determinar si se hace referencia a su grupo de seguridad en las reglas de un grupo de seguridad de una VPC del mismo nivel, utilice uno de los comandos siguientes para uno o varios grupos de seguridad de su cuenta.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
En el siguiente ejemplo, la respuesta indica que un grupo de seguridad de la VPC `sg-bbbb2222` hace referencia al grupo de seguridad `vpc-aaaaaaaa`:
```
aws ec2 describe-security-group-references --group-id sg-bbbb2222
```
```
{
"SecurityGroupsReferenceSet": [
{
"ReferencingVpcId": "vpc-aaaaaaaa",
"GroupId": "sg-bbbb2222",
"VpcPeeringConnectionId": "pcx-b04deed9"
}
]
}
```
Si se elimina la interconexión de VPC o si el propietario de la VPC del mismo nivel elimina el grupo de seguridad al que se hace referencia, la regla del grupo de seguridad quedará obsoleta.
## Ver y eliminar reglas de grupo de seguridad obsoletas
Las reglas de grupos de seguridad obsoletas son aquellas que hacen referencia a un grupo de seguridad eliminado en la misma VPC o en una VPC del mismo nivel, o que hace referencia a un grupo de seguridad en una VPC del mismo nivel para la que se ha eliminado la conexión de emparejamiento de VPC. Cuando una regla de grupo de seguridad queda obsoleta, esta no se quita automáticamente del grupo de seguridad, sino que debe quitarla manualmente. Si una regla de grupo de seguridad queda obsoleta porque se ha eliminado la interconexión de VPC, esta dejará de marcarse como obsoleto si crea una nueva interconexión de VPC con las mismas VPC.
Puede consultar y eliminar las reglas de grupo de seguridad obsoletas de una VPC mediante la consola de Amazon VPC.
**Para ver y eliminar reglas de grupo de seguridad obsoletas**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Security groups** (Grupos de seguridad).
1. Elija **Actions** (Acciones), **Manage stale rules** (Administrar reglas obsoletas).
1. En **VPC**, elija la VPC con las reglas obsoletas.
1. Elija **Edit**.
1. Presione el botón **Delete** (Eliminar), que se encuentra junto a la regla que desea eliminar. Elija **Vista previa de cambios**, **Guardar reglas**.
**Descripción de las reglas de grupo de seguridad obsoletas mediante la línea de comandos**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
En el ejemplo siguiente, se creó una interconexión entre la VPC A `(vpc-aaaaaaaa`) y la VPC B y se eliminó la interconexión de VPC. El grupo de seguridad `sg-aaaa1111` de la VPC A hace referencia al grupo `sg-bbbb2222` de la VPC B. Al ejecutar el comando `describe-stale-security-groups` para su VPC, la respuesta indica que el grupo de seguridad `sg-aaaa1111` tiene una regla SSH obsoleta que hace referencia al grupo `sg-bbbb2222`.
```
aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
```
```
{
"StaleSecurityGroupSet": [
{
"VpcId": "vpc-aaaaaaaa",
"StaleIpPermissionsEgress": [],
"GroupName": "Access1",
"StaleIpPermissions": [
{
"ToPort": 22,
"FromPort": 22,
"UserIdGroupPairs": [
{
"VpcId": "vpc-bbbbbbbb",
"PeeringStatus": "deleted",
"UserId": "123456789101",
"GroupName": "Prod1",
"VpcPeeringConnectionId": "pcx-b04deed9",
"GroupId": "sg-bbbb2222"
}
],
"IpProtocol": "tcp"
}
],
"GroupId": "sg-aaaa1111",
"Description": "Reference remote SG"
}
]
}
```
Una vez identificadas las reglas de grupo de seguridad obsoletas, puede eliminarlas utilizando los comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) o [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).
# Habilite la resolución de DNS para la interconexión de VPC
La configuración de DNS de una conexión de emparejamiento de VPC determina cómo se resuelven los nombres de host de DNS públicos para las solicitudes que utilizan la conexión de emparejamiento de VPC. Si una instancia de EC2 de un lado de una conexión de emparejamiento de VPC envía una solicitud a una instancia de EC2 del otro lado con el nombre de host de DNS de IPv4 público de la instancia, el nombre de host de DNS se resuelve de la siguiente manera.
**Resolución de DNS desactivada (por defecto)**
El nombre de host de DNS de IPv4 público basado en IPBN se resuelve en la dirección IPv4 pública de la instancia.
**Resolución de DNS activada**
El nombre de host de DNS de IPv4 público basado en IPBN se resuelve en la dirección IPv4 privada de la instancia.
**Requisitos**
+ Ambas VPC deben tener habilitados los nombres de host DNS y la resolución de DNS. Para obtener más información, consulte [Atributos de DNS para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/AmazonDNS-concepts.html#vpc-dns-support) en la *Guía del usuario de Amazon VPC*.
+ La conexión de emparejamiento de estar en el estado `active`. No se puede activar la compatibilidad con la resolución DNS cuando se crea una conexión de emparejamiento.
+ El propietario de la VPC solicitante debe modificar las opciones de conexión de emparejamiento de la VPC solicitante; el propietario de la VPC receptora debe modificar las opciones de emparejamiento de la VPC receptora. Si las VPC se encuentran en la misma cuenta, puede activar la resolución de DNS para la VPC solicitante y la receptora al mismo tiempo. Esto funciona tanto para las conexiones de emparejamiento de VPC de la misma región como entre regiones.
**Activación de la resolución de DNS para la conexión de emparejamiento mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Peering Connections** (Conexiones de emparejamiento).
1. Seleccione la conexión de emparejamiento de VPC.
1. Elija **Acciones**, **Editar configuración de DNS**.
1. Si desea activar la resolución de DNS para las solicitudes de la VPC solicitante, seleccione **Resolución de DNS del solicitante** y **Permitir que la VPC receptora resuelva el DNS de la VPC solicitante**.
1. Para garantizar la resolución de DNS para las solicitudes de la VPC receptora, seleccione **Resolución de DNS de la receptora** y **Permitir que la VPC solicitante resuelva el DNS de la VPC receptora**.
1. Seleccione **Save changes (Guardar cambios)**.
**Habilitación de la resolución de DNS mediante la línea de comandos**
+ [modify-vpc-peering-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-peering-connection-options.html) (AWS CLI)
+ [Edit-EC2VpcPeeringConnectionOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcPeeringConnectionOption.html) (AWS Tools for Windows PowerShell)
**Descripción de opciones de conexión de emparejamiento de VPC mediante la línea de comandos**
+ [describe-vpc-peering-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-peering-connections.html) (AWS CLI)
+ [Get-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)
# Elimine la interconexión de VPC
Los propietarios de VPC que intervienen en las interconexiones pueden eliminar la interconexión de VPC en cualquier momento. También puede eliminar interconexiones de VPC que haya solicitado y que sigan con el estado `pending-acceptance`.
No se puede eliminar la interconexión de la VPC cuando la interconexión de la VPC está en el estado `rejected`. Se elimina automáticamente la conexión.
Al eliminar una VPC en la consola de Amazon VPC que forme parte de una interconexión de VPC activa también elimina la interconexión de VPC. Si ha solicitado una interconexión de VPC con una VPC de otra cuenta y elimina su VPC antes de que la otra parte haya aceptado la solicitud, la interconexión de VPC también se eliminará. No podrá eliminar las VPC de las cuales tenga una solicitud `pending-acceptance` de una VPC de otra cuenta. Primero debe rechazar la solicitud de interconexión de VPC.
Cuando se elimina una conexión de emparejamiento, el estado se establece en `Deleting` y luego, en `Deleted`. Una vez que se elimina una conexión, no se puede aceptar, rechazar o editar. Para obtener más información sobre cuánto tiempo permanece visible la conexión de emparejamiento, consulte [Ciclo de vida de las interconexiones de VPC](vpc-peering-basics.md#vpc-peering-lifecycle).
**Para eliminar una interconexión de VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Peering Connections** (Conexiones de emparejamiento).
1. Seleccione la conexión de emparejamiento de VPC.
1. Elija **Actions** (Acciones), **Delete peering connection** (Eliminar la interconexión).
1. Cuando le pidan confirmación, escriba **delete** y elija **Eliminar**.
**Eliminación de una conexión de emparejamiento de VPC mediante la línea de comandos**
+ [delete-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-peering-connection.html) (AWS CLI)
+ [Remove-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)
# Solución de problemas de conexión de emparejamiento de VPC
Si tiene problemas para conectarse a un recurso de una VPC desde un recurso de una VPC del mismo nivel, haga lo siguiente:
+ Para cada recurso de cada VPC, compruebe que la tabla de enrutamiento de su subred contiene una ruta que envía el tráfico destinado a la VPC del mismo nivel a la conexión de emparejamiento de VPC. Esto garantiza que el tráfico de red pueda fluir correctamente entre las dos VPC. Para obtener más información, consulte [Actualización de las tablas de ruteo](vpc-peering-routing.md).
+ Para cualquier instancia EC2 involucrada, verifique que los grupos de seguridad de esas instancias permiten el tráfico entrante y saliente de la VPC emparejada. Las reglas de los grupos de seguridad controlan qué tráfico puede acceder a las instancias de EC2. Para obtener más información, consulte [Referencia a grupos de seguridad del mismo nivel](vpc-peering-security-groups.md).
+ Compruebe que las ACL de red de las subredes que contienen sus recursos permiten el tráfico necesario desde la VPC homóloga. Las ACL de red son una capa de seguridad adicional que filtra el tráfico en el nivel de subred.
Si el problema persiste, puede utilizar el Analizador de accesibilidad. El Analizador de accesibilidad puede ayudar a identificar el componente específico, ya sea una tabla de enrutamiento, un grupo de seguridad o una ACL de red, que causa el problema de conectividad entre las dos VPC. Para obtener más información, consulte la [Guía del Analizador de accesibilidad](https://docs.aws.amazon.com/vpc/latest/reachability/).
Verificar minuciosamente las configuraciones de red de la VPC es fundamental para solucionar cualquier problema de conexión de emparejamiento de VPC que pueda surgir.