# Exemplo: VPC com servidores em sub-redes privadas e NAT
<a name="vpc-example-private-subnets-nat"></a>

Este exemplo demonstra como criar uma VPC que pode ser usada para servidores em um ambiente de produção. Para melhorar a resiliência, os servidores serão implantados em duas zonas de disponibilidade usando um grupo do Auto Scaling e um Application Load Balancer. Para maior segurança, os servidores serão implantados em sub-redes privadas. Os servidores recebem solicitações por meio do balanceador de carga. Os servidores podem se conectar à Internet usando um gateway NAT. Para melhorar a resiliência, o gateway NAT será implantado nas duas zonas de disponibilidade.

**Topics**
+ [Visão geral](#overview-vpc-private-subnets-nat)
+ [1. Criar a VPC](#create-vpc-private-subnets-nat)
+ [2. Implantar o aplicativo](#deploy-private-subnets)
+ [3. Testar a configuração](#test-private-subnets)
+ [4. Limpeza](#clean-up-private-subnets)

## Visão geral
<a name="overview-vpc-private-subnets-nat"></a>

O diagrama a seguir fornece uma visão geral dos recursos incluídos neste exemplo. A VPC tem sub-redes públicas e sub-redes privadas em duas zonas de disponibilidade. Cada sub-rede pública contém um gateway NAT e um nó balanceador de carga. Os servidores executados nas sub-redes privadas são executados e encerrados usando um grupo do Auto Scaling e recebem tráfego do balanceador de carga. Os servidores podem se conectar à Internet usando o gateway NAT. Os servidores podem se conectar ao Amazon S3 usando um endpoint da VPC de gateway.

![\[Uma VPC com sub-redes em duas zonas de disponibilidade.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/vpc-example-private-subnets.png)


### Roteamento
<a name="routing-vpc-private-subnets-nat"></a>

Quando essa VPC é criada usando a console da Amazon VPC, criamos uma tabela de rotas para as sub-redes públicas com rotas locais e rotas para o gateway da Internet. Também criamos uma tabela de rotas para as sub-redes privadas com rotas locais e rotas para o gateway NAT, o gateway da Internet somente de saída e o endpoint da VPC de gateway.

Veja a seguir um exemplo da tabela de rotas para sub-redes públicas com rotas para IPv4 e IPv6. Se você criar sub-redes somente IPv4 em vez de sub-redes de pilha dupla, sua tabela de rotas incluirá somente as rotas IPv4.


| Destination (Destino) | Destino | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 2001:db8:1234:1a00::/56 | local | 
| 0.0.0.0/0 | igw-id | 
| ::/0 | igw-id | 

Veja a seguir um exemplo de tabela de rotas para uma das sub-redes privadas com rotas para IPv4 e IPv6. Se você criou sub-redes somente IPv4, a tabela de rotas incluirá somente as rotas IPv4. A última rota envia tráfego destinado ao Amazon S3 para o endpoint da VPC de gateway.


| Destination (Destino) | Destino | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 2001:db8:1234:1a00::/56 | local | 
| 0.0.0.0/0 | nat-gateway-id | 
| ::/0 | eigw-id | 
| s3-prefix-list-id | s3-gateway-id | 

### Segurança
<a name="security-vpc-private-subnets-nat"></a>

Veja a seguir um exemplo das regras podem ser criadas para o grupo de segurança associado por você aos seus servidores. O grupo de segurança deve permitir o tráfego do balanceador de carga pela porta e pelo protocolo do receptor. Ele também deve permitir o tráfego de verificação de integridade.


| Origem | Protocolo | Intervalo de portas | Comentários | 
| --- | --- | --- | --- | 
| ID do balanceador de carga do grupo de segurança | protocolo do receptor | porta do receptor | Permite tráfego de entrada do balanceador de carga na porta do receptor | 
| ID do balanceador de carga do grupo de segurança | protocolo de verificação de integridade | porta de verificação de integridade | Permite tráfego de entrada da verificação de integridade proveniente do balanceador de carga | 

## 1. Criar a VPC
<a name="create-vpc-private-subnets-nat"></a>

Use o procedimento a seguir para criar uma VPC com uma sub-rede pública e uma sub-rede privada em duas zonas de disponibilidade e um gateway NAT em cada zona de disponibilidade.

**Como criar a VPC**

1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel, escolha **Criar VPC**.

1. Em **Resources to create (Recursos a serem criados)**, escolha **VPC and more (VPC e mais)**.

1. **Configurar a VPC**

   1. Em **Name tag auto-generation** (Geração automática de tags de nome), insira um nome para a VPC.

   1. Em **Bloco CIDR IPv4**, é possível manter a sugestão padrão ou inserir o bloco CIDR exigido por sua aplicação ou rede.

   1. Se a sua aplicação se comunica usando endereços IPv6, escolha **Bloco CIDR IPv6**, **Bloco CIDR IPv6 fornecido pela Amazon**.

1. **Configurar as sub-redes**

   1. Em **Número de zonas de disponibilidade**, escolha **2**, para que você possa iniciar instâncias em várias zonas de disponibilidade para aumentar a resiliência.

   1. Em **Number of public subnets** (Número de sub-redes públicas), escolha **2**.

   1. Em **Number of private subnets** (Número de sub-redes privadas), escolha **2**.

   1. É possível manter o bloco CIDR padrão para a sub-rede pública ou, alternativamente, expandir **Personalizar blocos CIDR da sub-rede** e inserir um bloco CIDR. Para obter mais informações, consulte [Blocos CIDR de sub-redes](subnet-sizing.md).

1. Em **Gateways NAT**, escolha **1 por zona de disponibilidade** para melhorar a resiliência.

1. Se a sua aplicação se comunica usando endereços IPv6, em **Gateway da Internet somente de saída**, escolha **Sim**.

1. Em **Endpoints da VPC**, caso suas instâncias precisem acessar um bucket do S3, mantenha o **Gateway do S3** padrão. Caso contrário, as instâncias em sua sub-rede privada não poderão acessar o Amazon S3. Essa opção não tem custo, portanto, você poderá manter o padrão se quiser usar um bucket do S3 no futuro. Se você escolher **Nenhum**, sempre poderá adicionar um endpoint da VPC de gateway posteriormente.

1. Em **Opções de DNS**, desmarque **Habilitar nomes de host de DNS**.

1. Escolha **Criar VPC**.

## 2. Implantar o aplicativo
<a name="deploy-private-subnets"></a>

Idealmente, você terminou de testar seus servidores em um ambiente de desenvolvimento ou teste e criou os scripts ou imagens que usará para implantar sua aplicação no ambiente de produção.

É possível usar o [Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/) para implantar servidores em várias zonas de disponibilidade e manter a capacidade mínima de servidor exigida pela aplicação.

**Para executar instâncias usando um grupo do Auto Scaling**

1. Crie um modelo de execução para especificar as informações de configuração necessárias para executar suas instâncias do EC2 usando o Amazon EC2 Auto Scaling. Para obter instruções detalhadas, consulte [Criar um modelo de inicialização para um grupo do Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html) no *Guia do usuário do Amazon EC2 Auto Scaling*.

1. Crie um grupo do Auto Scaling, que é uma coleção de instâncias do EC2 com os tamanhos mínimo, máximo e desejado. Para obter instruções detalhadas, consulte [Criar um grupo do Auto Scaling usando um modelo de inicialização](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) no *Guia do usuário do Amazon EC2 Auto Scaling*.

1. Crie um balanceador de carga que distribua tráfego uniformemente entre as instâncias do grupo do Auto Scaling e anexe o balanceador de carga ao grupo do Auto Scaling. Para obter mais informações, consulte o [Guia do usuário do Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/) e [Usar o Elastic Load Balancing](https://docs.aws.amazon.com/autoscaling/ec2/userguide/autoscaling-load-balancer.html) no *Guia do usuário do Amazon EC2 Auto Scaling*.

## 3. Testar a configuração
<a name="test-private-subnets"></a>

Após concluir a implantação da aplicação, você poderá testá-la. Se a aplicação não conseguir enviar ou receber o tráfego esperado, você poderá usar o Reachability Analyzer para obter ajuda para solucionar problemas. Por exemplo, o Reachability Analyzer pode identificar problemas de configuração com suas tabelas de rotas ou grupos de segurança. Para obter mais informações, consulte o [Guia do Analisador de Acessabilidade](https://docs.aws.amazon.com/vpc/latest/reachability/).

## 4. Limpeza
<a name="clean-up-private-subnets"></a>

Quando essa configuração não for mais necessária, você poderá excluí-la. Antes de excluir a VPC, é necessário excluir o grupo do Auto Scaling, encerrar suas instâncias, excluir os gateways NAT e excluir o balanceador de carga. Para obter mais informações, consulte [Excluir a VPC:](delete-vpc.md).