# Conexões de emparelhamento de VPC
<a name="working-with-vpc-peering"></a>

O emparelhamento de VPC permite que você conecte duas VPCs na mesma região ou em regiões diferentes da AWS. Isso permite que as instâncias de uma VPC se comuniquem com as instâncias da outra VPC como se estivessem na mesma rede.

O emparelhamento de VPC cria uma rota de rede direta entre as duas VPCs usando endereços IPv4 ou IPv6 privados. O tráfego enviado entre as VPCs conectadas não atravessa a Internet, uma conexão de VPN nem uma conexão do AWS Direct Connect. Isso torna o emparelhamento de VPC uma forma segura de compartilhar recursos, como bancos de dados ou servidores web, cruzando as fronteiras da VPC.

Para estabelecer uma conexão de emparelhamento da VPC, você cria uma solicitação de conexão de emparelhamento em uma VPC e o proprietário da outra VPC a aceita. Após a conexão ser estabelecida, você poderá atualizar as tabelas de rotas para rotear tráfego entre as VPCs. Isso permite que as instâncias em uma VPC acessem os recursos na outra VPC.

O emparelhamento de VPC é uma ferramenta importante para criar arquiteturas com várias VPCs e compartilhar recursos cruzando as fronteiras organizacionais da AWS. Ele fornece uma maneira simples e de baixa latência de conectar VPCs sem a complexidade de configurar uma VPN ou outro serviço de rede.

Use os procedimentos a seguir para criar e trabalhar com conexões de emparelhamento da VPC.

**Topics**
+ [Criar uma conexão de emparelhamento de VPC](create-vpc-peering-connection.md)
+ [Aceitar uma solicitação de conexão de emparelhamento da VPC](accept-vpc-peering-connection.md)
+ [Atualizar suas tabelas de rotas para uma conexão de emparelhamento da VPC](vpc-peering-routing.md)
+ [Atualizar seus grupos de segurança para fazer referência a grupos de segurança de mesmo nível](vpc-peering-security-groups.md)
+ [Habilitar a resolução de DNS para a conexão de emparelhamento da VPC](vpc-peering-dns.md)
+ [Excluir uma conexão de emparelhamento da VPC](delete-vpc-peering-connection.md)
+ [Solucionar problemas com a conexão de emparelhamento da VPC](troubleshoot-vpc-peering-connections.md)

# Criar uma conexão de emparelhamento de VPC
<a name="create-vpc-peering-connection"></a>

Para criar uma conexão de emparelhamento de VPC, crie uma solicitação para fazer emparelhamento com outra VPC. Para ativar a solicitação, o proprietário da VPC que receber a solicitação deve aceitá-la. Os seguintes tipos de conexão de emparelhamento são compatíveis:
+ Entre VPCs nas mesmas conta e região
+ Entre VPCs nas mesmas conta, mas em regiões diferentes
+ Entre VPCs em contas diferentes, mas na mesma região
+ Entre VPCs em contas e regiões diferentes

Para uma conexão de emparelhamento da VPC entre regiões, a solicitação deve ser feita a partir da região da VPC solicitante e a solicitação deve ser aceita na região da VPC aceitante. Para obter mais informações, consulte [Aceitar uma solicitação de conexão de emparelhamento da VPC](accept-vpc-peering-connection.md).

**Topics**
+ [Pré-requisitos](#vpc-peering-connection-prerequisites)
+ [Como criar uma conexão de emparelhamento usando o console](#create-vpc-peering-connection-console)
+ [Criar uma conexão de emparelhamento usando a linha de comando](#create-vpc-peering-connection-command-line)

## Pré-requisitos
<a name="vpc-peering-connection-prerequisites"></a>
+ Revise as [limitações](vpc-peering-basics.md#vpc-peering-limitations) das conexões de emparelhamento da VPC.
+ Certifique-se de que as VPCs não tenham blocos CIDR IPv4 sobrepostos. Se houver sobreposição, o status da conexão de emparelhamento da VPC imediatamente se tornará `failed`. Essa limitação se aplica, mesmo se as VPCs tiverem blocos CIDR IPv6 únicos.

## Como criar uma conexão de emparelhamento usando o console
<a name="create-vpc-peering-connection-console"></a>

Use o procedimento a seguir para criar uma conexão de emparelhamento da VPC.

**Para criar uma conexão de emparelhamento usando o console**

1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Peering Connections** (Conexões de emparelhamento).

1. Selecione **Create Peering Connection** (Criar conexão de emparelhamento).

1. (Opcional) Em **Nome**, especifique um nome para a conexão de emparelhamento da VPC. Fazer isso cria uma tag com a chave Name e o valor especificado.

1. Para **ID da VPC (Solicitante)**, selecione uma VPC na conta atual.

1. Em **Selecionar outra VPC para emparelhar**, faça o seguinte:

   1. Em **Conta**, para emparelhar com uma VPC em outra conta, escolha **Outra conta** e insira o ID da conta. Caso contrário, mantenha **Minha conta**.

   1. Em **Região**, para emparelhar com uma VPC em outra região, escolha **Outra região** e escolha a região. Caso contrário, mantenha **Esta região**.

   1. Para **ID da VPC (aceitante)**, selecione uma VPC da conta e da região especificadas.

1. (Opcional) Para adicionar uma etiqueta, escolha **Add new tag** (Adicionar nova etiqueta) e insira a chave e o valor da etiqueta.

1. Selecione **Create Peering Connection** (Criar conexão de emparelhamento).

1. O proprietário da conta aceitante deverá aceitar a conexão de emparelhamento. Para obter mais informações, consulte [Aceitar uma solicitação de conexão de emparelhamento da VPC](accept-vpc-peering-connection.md).

1. Atualize as tabelas de rotas de ambas as VPCs para permitir a comunicação entre elas. Para obter mais informações, consulte [Atualizar suas tabelas de rotas para uma conexão de emparelhamento da VPC](vpc-peering-routing.md).

## Criar uma conexão de emparelhamento usando a linha de comando
<a name="create-vpc-peering-connection-command-line"></a>

É possível criar uma conexão de emparelhamento da VPC usando os seguintes comandos:
+ [create-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-peering-connection.html) (AWS CLI)
+ [New-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Aceitar uma solicitação de conexão de emparelhamento da VPC
<a name="accept-vpc-peering-connection"></a>

Uma conexão de emparelhamento da VPC que está no estado `pending-acceptance` deve ser aceita pelo proprietário da VPC receptora para ser ativada. Para obter mais informações sobre o status de conexões de emparelhamento `Deleted`, consulte [Ciclo de vida da conexão de emparelhamento de VPC](vpc-peering-basics.md#vpc-peering-lifecycle). Não é possível aceitar uma solicitação de conexão de emparelhamento da VPC que enviou para outra conta da AWS. Para criar uma conexão de emparelhamento da VPC entre VPCs na mesma conta da AWS, você deverá criar e aceitar a solicitação.

Você pode rejeitar qualquer solicitação de conexão de emparelhamento da VPC recebida que esteja no estado `pending-acceptance`. Você deve aceitar somente conexões de emparelhamento da VPC de Contas da AWS que conheça e nas quais confie, podendo rejeitar quaisquer solicitações indesejadas. Para obter mais informações sobre o status de conexões de emparelhamento `Rejected`, consulte [Ciclo de vida da conexão de emparelhamento de VPC](vpc-peering-basics.md#vpc-peering-lifecycle).

**Importante**  
Não aceite conexões de emparelhamento da VPC de contas da AWS desconhecidas. Um usuário mal intencionado pode ter enviado uma solicitação de emparelhamento da VPC para você para obter acesso não autorizado à sua VPC. Isso é conhecido como peer phishing (phishing de emparelhamento). Você pode seguramente rejeitar solicitações de conexão de emparelhamento da VPC indesejadas sem qualquer risco de o solicitante obter acesso a quaisquer informações sobre sua conta da AWS ou da sua VPC. Para obter mais informações, consulte [Aceitar uma solicitação de conexão de emparelhamento da VPC](#accept-vpc-peering-connection). Você também pode ignorar a solicitação e deixá-la expirar; por padrão, solicitações expiram em 7 dias.

**Para aceitar ou rejeitar uma conexão de emparelhamento usando o console**

1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Use o seletor de Regiões para escolher a Região da VPC aceitante.

1. No painel de navegação, escolha **Peering Connections** (Conexões de emparelhamento). 

1. Para rejeitar uma conexão de emparelhamento, selecione a conexão de emparelhamento da VPC e escolha **Ações**, **Rejeitar solicitação**. Quando a confirmação for solicitada, escolha **Rejeitar solicitação**.

1. Para aceitar a conexão de emparelhamento, selecione a conexão de emparelhamento da VPC pendente (o status é `pending-acceptance`) e depois escolha **Ações**, **Aceitar solicitação**. Para obter mais informações sobre os status do ciclo de vida das conexões de emparelhamento, consulte [Ciclo de vida da conexão de emparelhamento de VPC](vpc-peering-basics.md#vpc-peering-lifecycle).

   Se não houver uma conexão de emparelhamento da VPC pendente, verifique se você selecionou a região da VPC aceitante.

1. Quando a confirmação for solicitada, escolha **Aceitar solicitação**.

1. Escolha **Modificar minhas tabelas de rotas agora** para adicionar uma rota à tabela de rotas da VPC para que você possa enviar e receber tráfego pela conexão de emparelhamento. Para obter mais informações, consulte [Atualizar suas tabelas de rotas para uma conexão de emparelhamento da VPC](vpc-peering-routing.md).

**Para aceitar uma conexão de emparelhamento usando a linha de comando**
+ [accept-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-peering-connection.html) (AWS CLI)
+ [Approve-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

**Para rejeitar uma conexão de emparelhamento usando a linha de comando**
+ [reject-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-peering-connection.html) (AWS CLI)
+ [Deny-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Atualizar suas tabelas de rotas para uma conexão de emparelhamento da VPC
<a name="vpc-peering-routing"></a>

Para habilitar o tráfego IPv4 privado entre instâncias em VPCs com emparelhamento, é necessário adicionar uma rota às tabelas de rotas associadas às sub-redes de ambas as instâncias. O destino da rota é o bloco CIDR (ou parte do bloco CIDR) da VPC de mesmo nível e o destino é o ID da conexão de emparelhamento da VPC. Para obter mais informações, consulte [Configurar tabelas de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html), no *Guia do usuário da Amazon VPC*.

O exemplo a seguir mostra tabelas de rotas que permitem a comunicação entre instâncias em duas VPCs com emparelhamento, VPC A e VPC B. Cada tabela tem uma rota local e uma rota que envia tráfego da VPC peer à conexão de emparelhamento da VPC.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc/latest/peering/vpc-peering-routing.html)

Da mesma forma, se as VPCs na conexão de emparelhamento da VPC tiverem blocos CIDR IPv6 associados, você poderá adicionar rotas que permitem a comunicação com a VPC de mesmo nível por IPv6.

Para obter mais informações sobre configurações de tabela de rotas compatíveis com conexões de emparelhamento de VPC, consulte [Configurações comuns de conexões de emparelhamento de VPC](peering-configurations.md).

**Considerações**
+ Se você tiver uma VPC emparelhada com várias VPCs que possuem blocos CIDR IPv4 correspondentes ou sobrepostos, verifique se as tabelas de rotas estão configuradas, para evitar o envio de tráfego de resposta da sua VPC para a VPC incorreta. Atualmente, a AWS não oferece suporte ao encaminhamento invertido unicast em conexões de emparelhamento da VPC que verificam o IP de origem de pacotes, e encaminham pacotes de resposta de volta à origem. Para obter mais informações, consulte [Rota para tráfego de resposta](peering-configurations-partial-access.md#peering-incorrect-response-routing).
+ Sua conta tem uma [cota](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) para o número de entradas que são adicionadas por tabela de rotas. Se o número de conexões de emparelhamento da VPC na sua VPC exceder a cota de entradas da tabela de rotas para uma única tabela de rotas, use várias sub-redes que estejam associadas a uma tabela de rotas personalizada.
+ Você pode adicionar uma rota a uma conexão de emparelhamento da VPC que esteja no estado `pending-acceptance`. Entretanto, a rota tem o estado `blackhole` e não surtirá efeito até que a conexão de emparelhamento da VPC esteja no estado `active`.

**Para adicionar uma rota IPv4 para uma conexão de emparelhamento de VPC**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Route tables**.

1. Marque a caixa de seleção próxima à tabela de rotas associada à sub-rede na qual a instância reside.

   Se você não tiver uma tabela de rotas explicitamente associada a essa sub-rede, a tabela de rotas principal da VPC será implicitamente associada à sub-rede.

1. Selecione **Actions (Ações)**, **Edit routes (Editar rotas)**.

1. Escolha **Add route (Adicionar rota)**.

1. Para **Destination**, digite o intervalo de endereço IPv4 para o qual o tráfego de rede na conexão de emparelhamento da VPC deve ser direcionado. Você pode especificar todo o bloco CIDR IPv4 da VPC de mesmo nível, um intervalo específico ou um endereço IPv4 individual, como o endereço IP da instância com a qual deve ser comunicar. Por exemplo, se o bloco CIDR da VPC de mesmo nível for `10.0.0.0/16`, você poderá especificar uma parte `10.0.0.0/24` ou um endereço IP específico `10.0.0.7/32`.

1. Em **Destino**, selecione a conexão de emparelhamento da VPC.

1. Escolha **Salvar alterações**.

O proprietário da VPC peer também deve executar essas etapas para adicionar uma rota para direcionar o tráfego de volta para a sua VPC por meio da conexão de emparelhamento da VPC.

Se você tiver recursos em diferentes regiões da AWS que usam endereços IPv6, poderá criar uma conexão de emparelhamento entre regiões. Em seguida, você pode adicionar uma rota IPv6 para comunicação entre os recursos.

**Para adicionar uma rota IPv6 para uma conexão de emparelhamento de VPC**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Route tables**.

1. Marque a caixa de seleção próxima à tabela de rotas associada à sub-rede na qual a instância reside.
**nota**  
Se você não tiver uma tabela de rotas associada a essa sub-rede, selecione a tabela de rotas principal para a VPC como sub-rede e use essa tabela de rotas como padrão. 

1. Selecione **Actions (Ações)**, **Edit routes (Editar rotas)**.

1. Escolha **Add route (Adicionar rota)**.

1. Para **Destination**, digite o intervalo de endereço IPv6 para a VPC de mesmo nível. Você pode especificar todo o bloco CIDR IPv6 da VPC de mesmo nível, um intervalo específico ou um endereço IPv6 individual. Por exemplo, se o bloco CIDR da VPC de mesmo nível for `2001:db8:1234:1a00::/56`, você poderá especificar uma parte `2001:db8:1234:1a00::/64` ou um endereço IP específico `2001:db8:1234:1a00::123/128`.

1. Em **Destino**, selecione a conexão de emparelhamento da VPC.

1. Escolha **Salvar alterações**.

Para obter mais informações, consulte [Tabelas de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) no *Guia do usuário da Amazon VPC*.

**Como adicionar ou substituir uma rota usando a linha de comando**
+ [create-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html) e [replace-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html) (AWS CLI)
+ [New-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html) e [Set-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html) (AWS Tools for Windows PowerShell)

# Atualizar seus grupos de segurança para fazer referência a grupos de segurança de mesmo nível
<a name="vpc-peering-security-groups"></a>

Você pode atualizar as regras de entrada e saída dos grupos de segurança da VPC para referenciar grupos de segurança para VPCs emparelhadas. Fazendo isso, você permite que o tráfego flua entre as instâncias associadas com o grupo de segurança referenciado na VPC emparelhada.

**nota**  
Os grupos de segurança em uma VPC de emparelhamento não estão exibidos no console para serem selecionados.

**Requisitos**
+ Para referenciar um security group em uma VPC de mesmo nível, a conexão de emparelhamento precisa estar no estado `active`.
+ A VPC emparelhada pode ser uma VPC na sua conta ou uma VPC em outra conta da AWS. Para fazer referência a um grupo de segurança que está em outra conta da AWS, mas na mesma região, inclua o número da conta com a ID do grupo de segurança. Por exemplo, `123456789012/sg-1a2b3c4d`.
+ Não é possível referenciar o grupo de segurança de uma VPC de emparelhamento que esteja em uma região diferente. Em vez disso, use o bloco CIDR da VPC de emparelhamento.
+ Se você configurar rotas para encaminhar o tráfego entre duas instâncias em sub-redes diferentes por meio de um dispositivo middlebox, deverá garantir que os grupos de segurança de ambas as instâncias permitam o fluxo de tráfego entre as instâncias. O grupo de segurança para cada instância deve fazer referência ao endereço IP privado da outra instância ou ao intervalo CIDR da sub-rede que contém a outra instância, como a origem. Se você fizer referência ao grupo de segurança da outra instância como a origem, isso não permitirá que o tráfego flua entre as instâncias.

**Atualizar as regras do grupo de segurança usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, selecione **Security groups** (Grupos de segurança).

1. Selecione o grupo de segurança e siga um destes procedimentos:
   + Para modificar as regras de entrada, escolha **Ações**, **Editar regras de entrada**.
   + Para modificar as regras de saída, escolha **Ações**, **Editar regras de saída**.

1. Para adicionar uma regra, selecione **Adicionar regra** e especifique o tipo, protocolo e intervalo de porta. Para **Origem** (regra de entrada) ou **Destino** (regra de saída), siga um destes procedimentos:
   + Para uma VPC de emparelhamento na mesma conta e região, insira o ID do grupo de segurança.
   + Para uma VPC de emparelhamento em uma conta diferente, mas na mesma região, insira o ID da conta e o ID do grupo de segurança, separados por uma barra (por exemplo, `123456789012/sg-1a2b3c4d`).
   + Para uma VPC de emparelhamento em uma região diferente, insira o bloco CIDR da VPC de emparelhamento.

1. Para editar uma regra existente, altere seus valores (por exemplo, a origem ou a descrição).

1. Para excluir uma regra, selecione **Excluir**, próximo à regra.

1. Selecione **Salvar rules**.

**Como atualizar regras de entrada usando a linha de comando**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) e [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) e [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)

Por exemplo, para atualizar o grupo de segurança `sg-aaaa1111` para permitir acesso de entrada por HTTP de `sg-bbbb2222` que está em uma VPC de emparelhamento, use o comando a seguir. Se a VPC de emparelhamento estiver na mesma região, mas em uma conta diferente, adicione `--group-owner` *aws-account-id*.

```
aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
```

**Para atualizar regras de saída usando a linha de comando**
+ [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) e [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) e [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) (AWS Tools for Windows PowerShell)

Depois de atualizar as regras do grupo de segurança, use o comando [describe-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html), para visualizar o grupo de segurança mencionado nas suas regras de grupo de segurança. 

## Identificar seus grupos de segurança referenciados
<a name="vpc-peering-referenced-groups"></a>

Para determinar se o security group está sendo referenciado nas regras de um security group em uma VPC de mesmo nível, use um dos comandos a seguir para um ou mais security groups da sua conta.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)

No seguinte exemplo, a resposta indica que o security group `sg-bbbb2222` está sendo referenciado por um security group na VPC `vpc-aaaaaaaa`:

```
aws ec2 describe-security-group-references --group-id sg-bbbb2222
```

```
{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}
```

Se a conexão de emparelhamento da VPC for excluída ou se o proprietário da VPC de mesmo nível excluir o security group de referência, a regra do security group ficará obsoleta. 

## Visualizar e excluir com regras de grupo de segurança obsoletas
<a name="vpc-peering-stale-groups"></a>

Uma regra de grupo de segurança obsoleta é uma regra que referencia um grupo de segurança excluído na mesma VPC ou em em no par de uma VPC, ou que referencia um grupo de segurança em que a conexão de emparelhamento da VPC foi excluída. Quando uma regra de grupo de segurança se torna obsoleta, ela não é automaticamente removida do seu grupo de segurança; é necessário removê-la manualmente. Se uma regra de grupo de segurança estiver obsoleta porque a conexão de emparelhamento da VPC foi excluída, ela não será mais marcada como obsoleta se você criar uma nova conexão de emparelhamento de VPC com as mesmas VPCs.

É possível visualizar e excluir as regras de grupo de segurança obsoletas para uma VPC usando o console da Amazon VPC.

**Como visualizar e excluir regras do grupo de segurança obsoletas**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, selecione **Security groups** (Grupos de segurança).

1. Selecione **Ações**, **Gerenciar regras obsoletas**.

1. Em **VPC**, escolha a VPC com as regras obsoletas.

1. Selecione **Editar**.

1. Selecione o botão **Excluir** ao lado da regra que deseja excluir. Selecione **Visualizar alterações**, **Salvar regras**.

**Como descrever as regras desatualizadas do seu grupo de segurança usando a linha de comando**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)

No exemplo a seguir, a VPC A `(vpc-aaaaaaaa`) e a VPC B foram emparelhadas e a conexão de emparelhamento de VPC foi excluída. Seu security group `sg-aaaa1111` na VPC A referencia `sg-bbbb2222` na VPC B. Quando você executar o comando `describe-stale-security-groups` para a sua VPC, a resposta indicará que o security group `sg-aaaa1111` possui uma regra SSH obsoleta que referencia `sg-bbbb2222`.

```
aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
```

```
{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}
```

Depois de identificar as regras de grupo de segurança obsoleto, você pode excluí-las usando os comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) ou [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).

# Habilitar a resolução de DNS para a conexão de emparelhamento da VPC
<a name="vpc-peering-dns"></a>

As configurações de DNS para uma conexão de emparelhamento da VPC determinam como os nomes de host DNS públicos são resolvidos para solicitações que atravessam a conexão de emparelhamento da VPC. Se uma instância do EC2 em um lado de uma conexão de emparelhamento da VPC enviar uma solicitação para uma instância do EC2 do outro lado usando o nome de host DNS IPv4 público da instância, o nome de host DNS será resolvido conforme mostrado a seguir.

**Resolução de DNS desabilitada (padrão)**  
O nome de host DNS IPv4 público é resolvido no endereço IPv4 público da instância.

**Resolução de DNS habilitada**  
O nome de host DNS IPv4 público é resolvido no endereço IPv4 privado da instância.

**Requisitos**
+ As duas VPCs devem ser habilitadas para nomes de hosts DNS e resolução DNS. Para ter mais informações, consulte [Atributos de DNS para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/AmazonDNS-concepts.html#vpc-dns-support) no *Guia do usuário da Amazon VPC*.
+ A conexão de emparelhamento deve estar no estado `active`. Não é possível habilitar o suporte de resolução de DNS ao criar uma conexão de emparelhamento.
+ O proprietário da VPC solicitante deve modificar as opções de emparelhamento da VPC solicitante, e o proprietário da VPC aceitante deve modificar as opções de emparelhamento da VPC aceitante. Se as VPCs estiverem na mesma conta, você poderá habilitar a resolução de DNS para as VPCs solicitante e aceitante ao mesmo tempo. Isso funciona para conexões de emparelhamento da VPC na mesma região e entre regiões.

**Para habilitar a resolução de DNS para uma conexão de emparelhamento usando o console**

1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Peering Connections** (Conexões de emparelhamento).

1. Selecione a conexão de emparelhamento da VPC.

1. Escolha **Ações**, **Editar configurações de DNS**.

1. Para habilitar a resolução de DNS para solicitações da VPC solicitante, selecione **Resolução de DNS da solicitante**, **Permitir que a VPC aceitante resolva o DNS da VPC solicitante**.

1. Para garantir a resolução de DNS para solicitações da VPC aceitante, selecione **Resolução de DNS da aceitante**, **Permitir que a VPC solicitante resolva o DNS da VPC aceitante**.

1. Escolha **Salvar alterações**.

**Como habilitar a resolução de DNS usando a linha de comando**
+ [modify-vpc-peering-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-peering-connection-options.html) (AWS CLI)
+ [Edit-EC2VpcPeeringConnectionOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcPeeringConnectionOption.html) (AWS Tools for Windows PowerShell)

**Para descrever opções de conexão de emparelhamento da VPC usando a linha de comando**
+ [describe-vpc-peering-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-peering-connections.html) (AWS CLI)
+ [Get-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Excluir uma conexão de emparelhamento da VPC
<a name="delete-vpc-peering-connection"></a>

Qualquer proprietário de uma VPC em uma conexão de emparelhamento pode excluir a conexão de VPC a qualquer momento. Você também pode excluir uma conexão de emparelhamento da VPC que solicitou que ainda esteja no estado `pending-acceptance`.

Quando a conexão de emparelhamento da VPC estiver no estado `rejected` não será possível excluí-la. Excluímos a conexão automaticamente para você. 

Excluir uma VPC no console da Amazon VPC que é parte de uma conexão de emparelhamento da VPC também exclui a conexão de emparelhamento de VPC. Se você solicitou uma conexão de emparelhamento da VPC com uma VPC em outra conta e excluiu sua VPC antes da outra parte ter aceitado a solicitação, a conexão de emparelhamento de VPC também será excluída. Você não pode excluir uma VPC para a qual possui uma `pending-acceptance` solicitação de VPC em outra conta. Você precisa, primeiro, rejeitar a solicitação de conexão de emparelhamento de VPC.

Quando você exclui uma conexão de emparelhamento, o status é definido como `Deleting` e, em seguida, como `Deleted`. Depois de excluir uma conexão, ela não poderá ser aceita, rejeitada ou editada. Para obter mais informações sobre por quanto tempo a conexão de emparelhamento permanece visível, consulte [Ciclo de vida da conexão de emparelhamento de VPC](vpc-peering-basics.md#vpc-peering-lifecycle).

**Para excluir uma conexão de emparelhamento de VPC**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Peering Connections** (Conexões de emparelhamento).

1. Selecione a conexão de emparelhamento da VPC.

1. Escolha **Actions** (Ações), **Delete peering connection** (Excluir conexão de emparelhamento).

1. Quando a confirmação for solicitada, insira **delete** e selecione **Excluir**.

**Como excluir uma conexão de emparelhamento da VPC usando a linha de comando**
+ [delete-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-peering-connection.html) (AWS CLI)
+ [Remove-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Solucionar problemas com a conexão de emparelhamento da VPC
<a name="troubleshoot-vpc-peering-connections"></a>

Se estiver com problemas para se conectar a um recurso em uma VPC a partir de um recurso em uma VPC peer, siga este procedimento:
+ Para cada recurso em cada VPC, observe se a tabela de rotas de sua sub-rede contém uma rota que envia o tráfego destinado à VPC peer para a conexão de emparelhamento da VPC. Isso garante que o tráfego de rede possa fluir adequadamente entre as duas VPCs. Para obter mais informações, consulte [Atualizar tabelas de rotas](vpc-peering-routing.md).
+ Para instâncias do EC2, certifique-se de que os grupos de segurança das instâncias do EC2 permitam tráfego de saída da VPC emparelhada. As regras de grupo de segurança controlam qual tráfego tem permissão para acessar as instâncias do EC2. Para obter mais informações, consulte [Fazer referência a grupos de segurança de mesmo nível](vpc-peering-security-groups.md).
+ Verifique se as ACLs de rede para as sub-redes que contêm seus recursos permitem o tráfego necessário vindo da VPC emparelhada. As ACLs de rede são uma camada adicional de segurança que filtra o tráfego no nível da sub-rede.

Se você ainda estiver tendo problemas, use o Analisador de Acessibilidade. O Analisador de Acessibilidade pode ajudar a identificar o componente específico, seja a tabela de rotas, o grupo de segurança ou a ACL de rede, que está causando o problema de conectividade entre as duas VPCs. Para obter mais informações, consulte o [Guia do Analisador de Acessabilidade](https://docs.aws.amazon.com/vpc/latest/reachability/).

Verificar cuidadosamente as configurações da rede VPC é fundamental para diagnosticar e resolver os problemas de conexão de emparelhamento da VPC que você possa encontrar.