Ruta CLF-C02Dominio 3 · Tecnología y servicios AWSAmazon VPC: redes básicas en AWS para CLF-C02

Guía AWS Cloud Practitioner CLF-C02

31 módulos4 dominios
Preparación1
Dominio 12
Dominio 23
Dominio 34
Dominio 45
Estás en:
Preparación
Resumen del curso Estrategia de examen AWS CLF-C02
Dominio 1 · Conceptos cloud
Dominio 1 · Conceptos cloud Beneficios de cloud: agilidad, elasticidad, pago por uso y economía de escala Infraestructura global AWS: regiones, zonas de disponibilidad y edge locations AWS Well-Architected Framework: los pilares que debes dominar Migración a AWS: CAF, estrategias 7R, DMS, MGN y Snow Family
Dominio 2 · Seguridad y cumplimiento
Dominio 2 · Seguridad y cumplimiento Modelo de responsabilidad compartida IAM en AWS: identidades, permisos, roles, políticas y MFA Cifrado y protección de datos en AWS Servicios de seguridad AWS para CLF-C02 Monitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config AWS Organizations, cuentas y SCP para CLF-C02 Compliance, AWS Artifact y gobierno en AWS
Dominio 3 · Tecnología y servicios AWS
Dominio 3 · Tecnología y servicios AWS Amazon EC2, Auto Scaling y Elastic Load Balancing Amazon VPC: redes básicas en AWS para CLF-C02 Amazon S3: almacenamiento de objetos, clases, versioning, lifecycle y Glacier EBS, EFS, AWS Backup y Storage Gateway para CLF-C02 CloudFront, Route 53 y servicios edge para CLF-C02 Bases de datos AWS: RDS, Aurora, DynamoDB, Redshift y más Serverless y contenedores: Lambda, ECS, EKS y Fargate Integración de aplicaciones: SQS, SNS, EventBridge, API Gateway y Step Functions Herramientas de gestión y despliegue en AWS Analítica e IA básica en AWS: Athena, Glue, QuickSight, Kinesis y SageMaker Machine Learning e IA en AWS para CLF-C02
Dominio 4 · Facturación, precios y soporte
Dominio 4 · Facturación, precios y soporte Facturación, precios y soporte en AWS Optimización de costes en AWS para CLF-C02 Soporte, documentación y recursos de aprendizaje AWS para CLF-C02
Módulo 16 de 29 · Dominio 3 · Tecnología y servicios AWS

Amazon VPC: redes básicas en AWS para CLF-C02

◷ 16 min

Amazon VPC es uno de los temas más importantes para entender cómo se conectan los recursos dentro de AWS. En Cloud Practitioner no te van a pedir diseñar una red compleja como en un examen de arquitectura, pero sí debes reconocer los conceptos principales: qué es una VPC, qué es una subred, qué hace una tabla de rutas, cuándo una subred es pública o privada, para qué sirve un Internet Gateway, cuándo usar un NAT Gateway y cómo se diferencian Security Groups y Network ACLs.

La forma sencilla de verlo es esta: una VPC es tu red privada dentro de AWS. Dentro de esa red creas subredes, colocas recursos como EC2, balanceadores o bases de datos, decides qué caminos puede seguir el tráfico y aplicas controles de seguridad. Si vienes del mundo on-premise, puedes imaginarla como una red corporativa virtual, pero gestionada sobre infraestructura AWS.

Idea clave: VPC define el espacio de red; las subnets dividen esa red por zonas de disponibilidad; las route tables deciden por dónde sale el tráfico; Internet Gateway permite comunicación con Internet; NAT Gateway permite salida desde subredes privadas; Security Groups y NACLs filtran tráfico.

Objetivos de aprendizaje

Entender la VPC

Comprender qué es una red virtual aislada, qué papel tiene el CIDR y por qué una cuenta puede tener varias VPC.

Diferenciar subred pública y privada

Aprender que una subnet no es pública por su nombre, sino por su ruta hacia un Internet Gateway.

Reconocer conectividad

Distinguir Internet Gateway, NAT Gateway, VPC peering, VPC endpoints, VPN y Direct Connect.

Responder escenarios CLF-C02

Elegir correctamente entre Security Group, NACL, NAT Gateway, IGW, VPN, Direct Connect y route tables.

1. Qué es Amazon VPC

Amazon Virtual Private Cloud, o Amazon VPC, te permite crear una red virtual aislada dentro de AWS. Aislada no significa desconectada del mundo, sino controlada por ti. Tú decides el rango de IP, las subredes, las rutas, los controles de entrada y salida, y la conectividad con Internet, otras VPC o tu datacenter.

Cuando lanzas recursos como instancias EC2, bases de datos RDS, balanceadores o servicios dentro de una red, normalmente los colocas dentro de una VPC y una subred concreta. Esa elección no es decorativa: afecta a seguridad, conectividad, disponibilidad y arquitectura.

Para CLF-C02 debes quedarte con esta frase: una VPC es la red privada donde colocas recursos de AWS y controlas cómo se comunican.

2. CIDR: el rango de IP de tu red

Cuando creas una VPC, eliges un rango de direcciones IP usando notación CIDR, por ejemplo 10.0.0.0/16. Ese rango define cuántas direcciones IP tendrá la red y de qué bloque saldrán las IP privadas de tus recursos.

No necesitas hacer cálculos avanzados de subnetting para Cloud Practitioner, pero sí reconocer que CIDR está relacionado con rangos de IP. Si una pregunta habla de definir el espacio de direcciones de una VPC o subred, está hablando de CIDR.

Ejemplo sencillo

Una empresa crea una VPC con el rango 10.0.0.0/16. Después divide ese rango en subredes más pequeñas, por ejemplo 10.0.1.0/24 para una subred pública y 10.0.2.0/24 para una subred privada.

3. Subnets: dividir la VPC en partes más pequeñas

Una subnet es una parte de la VPC. Cada subnet vive dentro de una zona de disponibilidad concreta. Esto es muy importante: una VPC puede abarcar varias zonas de disponibilidad, pero cada subnet pertenece a una sola AZ.

Por eso, cuando quieres alta disponibilidad, normalmente creas varias subredes en distintas AZ. Por ejemplo, una subred pública en la AZ A, otra subred pública en la AZ B, una subred privada en la AZ A y otra subred privada en la AZ B.

Este patrón se repite muchísimo en arquitectura AWS: recursos distribuidos en varias zonas para evitar que un fallo de una zona deje toda la aplicación caída.

4. Subred pública y subred privada

Una de las confusiones más comunes es pensar que una subred es pública simplemente porque se llama “public-subnet”. No. El nombre no decide nada. Lo que hace que una subred sea pública es su tabla de rutas.

Una subred pública tiene una ruta hacia un Internet Gateway. Si un recurso dentro de esa subred tiene IP pública o Elastic IP y sus reglas de seguridad lo permiten, puede comunicarse directamente con Internet.

Una subred privada no tiene ruta directa hacia un Internet Gateway para tráfico iniciado desde Internet. Los recursos privados pueden estar protegidos de entrada directa, aunque pueden salir a Internet usando un NAT Gateway si lo necesitan.

Regla rápida: pública = tiene ruta a Internet Gateway. Privada = no tiene entrada directa desde Internet. El nombre de la subnet no basta; manda la tabla de rutas.

5. Route tables: las tablas de rutas

Una route table decide hacia dónde se envía el tráfico que sale de una subred. Es como el mapa de carreteras de la red. Si el destino es una IP dentro de la VPC, el tráfico se queda dentro. Si el destino es Internet, la tabla de rutas necesita una ruta que apunte a un componente adecuado, como un Internet Gateway o un NAT Gateway.

La ruta más famosa que verás en ejemplos es 0.0.0.0/0. Significa “cualquier destino IPv4”. Si una route table tiene una ruta 0.0.0.0/0 hacia un Internet Gateway, esa subred puede comportarse como pública para recursos con IP pública.

Si una subred privada necesita salir a Internet para actualizaciones, descargas o llamadas externas, su route table puede tener una ruta 0.0.0.0/0 hacia un NAT Gateway ubicado en una subred pública.

6. Internet Gateway

Un Internet Gateway permite que una VPC se comunique con Internet. Se adjunta a la VPC y se utiliza en las tablas de rutas de subredes públicas.

Pero ojo: tener un Internet Gateway no significa que todos tus recursos sean públicos automáticamente. Para que una instancia sea accesible desde Internet normalmente necesita estar en una subred con ruta al IGW, tener IP pública o Elastic IP, y permitir tráfico en sus Security Groups y NACLs.

Escenario tipo examen

Una empresa quiere publicar un servidor web en Internet. La instancia debe estar en una subred con ruta hacia un Internet Gateway, tener IP pública o Elastic IP y permitir tráfico HTTP/HTTPS en su Security Group.

7. NAT Gateway

NAT Gateway sirve para que recursos en subredes privadas puedan iniciar conexiones hacia Internet sin ser accesibles directamente desde Internet.

Este caso aparece muchísimo en preguntas: “una instancia en una subred privada necesita descargar actualizaciones, pero no debe recibir conexiones entrantes desde Internet”. La respuesta suele ser NAT Gateway.

Normalmente el NAT Gateway se coloca en una subred pública, con acceso al Internet Gateway. Después, la route table de la subred privada apunta el tráfico de salida hacia ese NAT Gateway.

Regla rápida: Internet Gateway publica recursos hacia Internet. NAT Gateway permite salida desde privado hacia Internet, pero no entrada iniciada desde Internet.

8. Security Groups

Un Security Group actúa como firewall virtual a nivel de recurso, por ejemplo una instancia EC2, un balanceador o una interfaz de red. Es uno de los controles de seguridad de red más importantes en AWS.

Los Security Groups son stateful. Esto significa que si permites una conexión de entrada, la respuesta de salida se permite automáticamente. Y si permites una conexión de salida, la respuesta de entrada correspondiente también se permite automáticamente.

Otro detalle clave: los Security Groups usan reglas de permitir. No se usan para crear reglas explícitas de denegación. Si algo no está permitido, queda bloqueado por defecto.

Para CLF-C02, asocia Security Group con: firewall a nivel de recurso, stateful, reglas allow, asociado a EC2/ENI/ALB/RDS.

9. Network ACLs

Una Network ACL, o NACL, controla tráfico a nivel de subred. A diferencia de los Security Groups, las NACLs son stateless. Esto significa que debes permitir tanto la ida como la vuelta del tráfico si quieres que funcione correctamente.

Las NACLs pueden tener reglas de allow y deny, y se evalúan por orden numérico. La primera regla que coincide gana. Esto las hace útiles para controles más generales a nivel de subred.

Para Cloud Practitioner no necesitas configurar NACLs en detalle, pero sí diferenciar NACL y Security Group.

10. Security Groups vs NACLs

ConceptoCómo funcionaPista típica de examen
Security GroupFirewall virtual a nivel de recurso o interfaz de red.Stateful, reglas allow, asociado a EC2, ALB, RDS o ENI.
Network ACLControl de tráfico a nivel de subnet.Stateless, reglas allow y deny, orden numérico.
Security GroupNo tiene deny explícito en reglas normales.Si no permites el tráfico, queda bloqueado.
Network ACLPuede permitir y denegar tráfico explícitamente.Útil para bloquear rangos IP a nivel de subred.
Security GroupGestiona automáticamente el tráfico de respuesta.Más sencillo para proteger instancias y servicios.
Network ACLLa ida y la vuelta deben estar permitidas.Si olvidas el retorno, la comunicación puede fallar.

11. Diferencia entre rutas y reglas de seguridad

Otro error típico es mezclar rutas con seguridad. Una tabla de rutas dice por dónde puede ir el tráfico. Un Security Group o una NACL dice si ese tráfico está permitido o bloqueado.

Puede existir una ruta correcta hacia Internet, pero si el Security Group no permite el puerto 443, el tráfico HTTPS no funcionará. También puede existir una regla de Security Group permitiendo tráfico, pero si no hay ruta hacia el destino, tampoco funcionará.

Ejemplo práctico

Una instancia tiene permitido el tráfico HTTP en su Security Group, pero está en una subred sin ruta hacia Internet Gateway y no tiene IP pública. Aunque el Security Group permita HTTP, la instancia no será accesible públicamente.

12. Alta disponibilidad en redes AWS

Las redes en AWS se diseñan pensando en zonas de disponibilidad. Una arquitectura típica usa varias subredes en distintas AZ para evitar depender de una única zona.

Por ejemplo, una aplicación web puede tener un Application Load Balancer en subredes públicas de dos AZ y servidores EC2 en subredes privadas de esas mismas AZ. Si una zona falla, la otra puede seguir atendiendo tráfico si la aplicación está preparada.

Con NAT Gateway también conviene pensar en resiliencia. En arquitecturas bien diseñadas, se suele desplegar un NAT Gateway por AZ y las subredes privadas de cada AZ salen por el NAT de su misma zona. Así se evita depender de un único NAT para toda la aplicación.

13. VPC Peering

VPC Peering permite conectar dos VPC para que puedan comunicarse usando direcciones IP privadas. Es útil cuando tienes redes separadas y quieres que ciertos recursos se comuniquen sin pasar por Internet público.

Para CLF-C02, si una pregunta dice “conectar dos VPC mediante conectividad privada”, VPC Peering puede aparecer como respuesta. Pero recuerda que no es una solución para conectar cientos de VPC de forma centralizada; para escenarios más grandes se usa AWS Transit Gateway.

14. AWS Transit Gateway

AWS Transit Gateway actúa como un hub central para conectar múltiples VPC y redes on-premises. Imagina una rotonda o núcleo central de conectividad: en vez de crear muchas conexiones punto a punto, conectas redes al Transit Gateway.

En Cloud Practitioner no deberías tener que diseñar Transit Gateway, pero sí reconocerlo cuando el escenario habla de simplificar conectividad entre muchas VPC y entornos locales.

15. VPC Endpoints

VPC Endpoints permiten acceder a servicios de AWS desde una VPC sin salir a Internet público. Esto es importante para seguridad y privacidad.

Por ejemplo, una instancia privada puede necesitar acceder a Amazon S3. En vez de salir por NAT Gateway hacia Internet, puede usar un VPC Endpoint para S3 y mantener el tráfico dentro de la red de AWS.

Para el examen, asocia VPC Endpoint con acceso privado a servicios AWS sin usar Internet público.

16. VPN Site-to-Site

AWS Site-to-Site VPN permite conectar una red on-premises con AWS usando túneles cifrados sobre Internet. Es una opción habitual cuando una empresa quiere conectividad híbrida de forma relativamente rápida y segura.

La pista del examen suele ser: “conexión cifrada entre el datacenter de la empresa y AWS a través de Internet”. Ahí piensa en VPN.

17. AWS Direct Connect

AWS Direct Connect proporciona una conexión de red dedicada entre el entorno del cliente y AWS. No va por Internet público como una VPN normal. Suele usarse cuando se necesita conectividad más estable, predecible, privada o con mayor ancho de banda.

La pista típica es: “conexión dedicada”, “conectividad privada”, “ancho de banda consistente” o “reducir variabilidad de Internet”. Ahí piensa en Direct Connect.

18. VPN vs Direct Connect

NecesidadServicio más probablePor qué
Conectar oficina o datacenter con AWS usando Internet cifrado.Site-to-Site VPNUsa túneles cifrados sobre Internet.
Conectividad dedicada entre cliente y AWS.Direct ConnectOfrece enlace privado dedicado.
Conexión rápida de implementar y más simple.VPNNo requiere circuito dedicado.
Mayor estabilidad y rendimiento predecible.Direct ConnectEvita depender de Internet público.
Conectividad híbrida crítica con alta demanda.Direct Connect, a veces combinado con VPNPuede complementarse con VPN como backup.

19. Load Balancer dentro de una VPC

Los balanceadores de carga, como Application Load Balancer o Network Load Balancer, se despliegan dentro de una VPC y normalmente usan subredes de varias zonas de disponibilidad.

Un patrón típico es tener un ALB público en subredes públicas y servidores EC2 en subredes privadas. El usuario entra por el balanceador, pero las instancias no están expuestas directamente a Internet. Esto mejora seguridad y permite escalar mejor.

Escenario de arquitectura común

Una aplicación web debe ser accesible desde Internet, pero las instancias EC2 no deben tener IP pública. Una solución típica es usar un Application Load Balancer público y colocar las instancias en subredes privadas.

20. Subred pública no significa insegura

Una subred pública no es “mala” por definición. Se usa para recursos que necesitan entrada o salida directa a Internet, como balanceadores públicos, NAT Gateways o bastiones si se usan. Lo importante es controlar qué recursos colocas ahí y qué reglas de seguridad aplicas.

Una mala práctica sería colocar bases de datos directamente en subredes públicas sin necesidad. En una arquitectura típica, una base de datos RDS va en subredes privadas y solo permite acceso desde la capa de aplicación.

21. Subred privada no significa sin Internet

Una subred privada no recibe tráfico directo desde Internet, pero eso no significa que sus recursos no puedan salir a Internet. Pueden hacerlo usando NAT Gateway, endpoints privados o conectividad controlada.

Esto se usa mucho para servidores de aplicación que necesitan descargar paquetes, llamar a APIs externas o actualizar software, pero que no deben ser accesibles desde Internet.

22. Patrones típicos de examen

Patrón 1: instancia privada con salida a Internet

Una EC2 privada necesita descargar actualizaciones, pero no debe aceptar conexiones entrantes desde Internet. Respuesta típica: NAT Gateway en subred pública y ruta desde la subred privada hacia el NAT.

Patrón 2: aplicación web pública

Una aplicación necesita recibir tráfico de usuarios de Internet. Respuesta típica: subred pública con Internet Gateway, balanceador público y reglas de Security Group adecuadas.

Patrón 3: proteger una instancia

Una instancia EC2 solo debe aceptar SSH desde una IP concreta. Respuesta típica: Security Group con regla de entrada limitada a esa IP y puerto.

Patrón 4: bloquear tráfico a nivel de subnet

Una empresa quiere bloquear un rango IP concreto para toda una subred. Respuesta posible: Network ACL, porque permite reglas allow y deny a nivel de subnet.

Patrón 5: conectar datacenter con AWS

Si se pide conexión cifrada sobre Internet, piensa en VPN. Si se pide conexión dedicada y más estable, piensa en Direct Connect.

23. Tabla de decisión rápida

ElementoPara qué sirvePista típica de CLF-C02
VPCRed virtual aislada dentro de AWS.Crear una red privada para recursos AWS.
CIDRDefine el rango de direcciones IP.Bloques como 10.0.0.0/16 o 10.0.1.0/24.
SubnetSegmento de una VPC en una zona de disponibilidad.Dividir red por AZ, pública o privada.
Route tableDefine hacia dónde se envía el tráfico.Ruta 0.0.0.0/0 hacia IGW o NAT.
Internet GatewayPermite conectividad con Internet para recursos públicos.Subred pública, tráfico entrante/saliente a Internet.
NAT GatewayPermite salida a Internet desde subred privada.Actualizar instancias privadas sin exponerlas.
Security GroupFirewall stateful a nivel de recurso.Permitir puertos a EC2, ALB o RDS.
Network ACLFiltro stateless a nivel de subnet.Allow/deny, reglas numeradas, control por subnet.
VPC EndpointAcceso privado a servicios AWS.Acceder a S3 o servicios AWS sin Internet público.
VPC PeeringConecta dos VPC mediante red privada.Comunicación entre dos VPC.
Transit GatewayHub central para muchas VPC y redes.Conectividad centralizada a gran escala.
VPNConexión cifrada sobre Internet.Conectar on-premises con AWS usando túneles.
Direct ConnectConexión dedicada con AWS.Conectividad privada, estable y dedicada.

24. Errores típicos

  • Creer que una subred es pública solo porque se llama “public”. Lo importante es la ruta hacia Internet Gateway.
  • Confundir Internet Gateway con NAT Gateway. IGW permite conectividad pública; NAT permite salida desde privado.
  • Pensar que NAT Gateway permite conexiones entrantes desde Internet hacia instancias privadas. No es su función.
  • Confundir Security Groups con NACLs. Security Group es stateful y va a nivel de recurso; NACL es stateless y va a nivel de subnet.
  • Olvidar que las rutas y los controles de seguridad son cosas distintas.
  • Elegir Direct Connect cuando el escenario solo pide una VPN cifrada sobre Internet.
  • Elegir VPN cuando el escenario pide una conexión dedicada y rendimiento predecible.
  • Colocar bases de datos en subred pública sin necesidad.
  • Olvidar que para alta disponibilidad conviene distribuir recursos en varias AZ.
  • Pensar que una instancia en subred pública será accesible automáticamente aunque no tenga IP pública o reglas adecuadas.

Test del módulo · 14 preguntas

1. Una instancia en una subred privada necesita descargar actualizaciones de Internet sin recibir conexiones entrantes desde Internet. ¿Qué usarías?
  1. NAT Gateway
  2. Internet Gateway directamente en la instancia
  3. AWS Artifact
  4. Amazon Macie
Ver respuesta y explicación

Respuesta: A. NAT Gateway permite que recursos privados inicien conexiones hacia Internet sin exponer entrada directa desde Internet.

2. ¿Qué componente permite conectividad con Internet para una subred pública cuando la tabla de rutas apunta hacia él?
  1. Internet Gateway
  2. AWS KMS
  3. Amazon SQS
  4. AWS DMS
Ver respuesta y explicación

Respuesta: A. Internet Gateway permite comunicación entre la VPC e Internet cuando las rutas y permisos son correctos.

3. ¿Qué control de seguridad es stateful y se asocia normalmente a recursos como EC2, ALB o RDS?
  1. Security Group
  2. Network ACL
  3. Route 53
  4. CloudTrail
Ver respuesta y explicación

Respuesta: A. Security Groups son stateful y actúan a nivel de recurso o interfaz de red.

4. ¿Qué control es stateless y opera a nivel de subnet?
  1. Network ACL
  2. Security Group
  3. AWS Budgets
  4. Amazon Polly
Ver respuesta y explicación

Respuesta: A. Network ACL funciona a nivel de subnet y es stateless.

5. ¿Qué servicio ofrece una conexión dedicada entre un datacenter y AWS?
  1. AWS Direct Connect
  2. AWS Lambda
  3. Amazon ECR
  4. Amazon Athena
Ver respuesta y explicación

Respuesta: A. Direct Connect proporciona conectividad dedicada y privada hacia AWS.

6. Una empresa quiere conectar su datacenter con AWS mediante túneles cifrados sobre Internet. ¿Qué servicio encaja?
  1. AWS Site-to-Site VPN
  2. Amazon CloudFront
  3. AWS Artifact
  4. Amazon Redshift
Ver respuesta y explicación

Respuesta: A. Site-to-Site VPN conecta redes on-premises con AWS usando túneles cifrados sobre Internet.

7. ¿Qué elemento define por dónde se envía el tráfico de una subnet?
  1. Route table
  2. IAM user
  3. AWS Shield
  4. Amazon Polly
Ver respuesta y explicación

Respuesta: A. Las route tables contienen rutas que indican hacia dónde se envía el tráfico.

8. ¿Qué afirmación es correcta sobre una subred pública?
  1. Debe tener una ruta hacia un Internet Gateway para ser pública.
  2. Es pública solo porque su nombre contiene la palabra public.
  3. No necesita tabla de rutas.
  4. Siempre contiene bases de datos.
Ver respuesta y explicación

Respuesta: A. Lo que hace pública a una subnet es su conectividad, especialmente la ruta hacia Internet Gateway.

9. ¿Qué opción permite acceder a servicios de AWS desde una VPC sin salir a Internet público?
  1. VPC Endpoint
  2. Amazon Rekognition
  3. AWS Budgets
  4. AWS Snowball
Ver respuesta y explicación

Respuesta: A. VPC Endpoint permite acceso privado a servicios AWS desde una VPC.

10. Una empresa necesita conectar muchas VPC y redes on-premises mediante un hub central. ¿Qué servicio puede ayudar?
  1. AWS Transit Gateway
  2. Amazon S3 Glacier
  3. AWS KMS
  4. Amazon Comprehend
Ver respuesta y explicación

Respuesta: A. Transit Gateway centraliza conectividad entre múltiples VPC y redes.

11. ¿Qué componente se usa para conectar dos VPC entre sí mediante conectividad privada punto a punto?
  1. VPC Peering
  2. AWS WAF
  3. AWS DMS
  4. Amazon QuickSight
Ver respuesta y explicación

Respuesta: A. VPC Peering permite comunicación privada entre dos VPC.

12. Una aplicación web debe ser pública, pero las instancias EC2 no deben tener IP pública. ¿Qué patrón encaja mejor?
  1. Application Load Balancer público delante de instancias en subredes privadas
  2. Colocar la base de datos en una subred pública
  3. Eliminar todos los Security Groups
  4. Usar únicamente una NACL sin rutas
Ver respuesta y explicación

Respuesta: A. Un balanceador público puede recibir tráfico y enviar peticiones a instancias privadas.

13. ¿Qué significa CIDR en el contexto de VPC?
  1. Define rangos de direcciones IP para VPC y subredes.
  2. Es un plan de soporte AWS.
  3. Es un servicio de IA.
  4. Es un tipo de base de datos gestionada.
Ver respuesta y explicación

Respuesta: A. CIDR se usa para definir rangos de IP, como 10.0.0.0/16.

14. ¿Qué diferencia básica hay entre Security Group y Network ACL?
  1. Security Group es stateful y de recurso; NACL es stateless y de subnet.
  2. Security Group es para facturación y NACL para formación.
  3. NACL solo sirve para cifrado de datos.
  4. Security Group solo funciona con S3 Glacier.
Ver respuesta y explicación

Respuesta: A. Esa es la comparación clave para CLF-C02.

Resumen final

Amazon VPC es la base de red de muchas arquitecturas en AWS. Para CLF-C02, lo más importante es reconocer la función de cada pieza. La VPC es la red virtual. Las subnets dividen esa red por zonas de disponibilidad. Las route tables deciden hacia dónde va el tráfico. Internet Gateway permite conectividad pública. NAT Gateway permite salida desde subredes privadas. Security Groups protegen recursos de forma stateful. NACLs filtran a nivel de subnet de forma stateless.

Cuando leas una pregunta de examen, no intentes resolver toda la arquitectura de golpe. Busca la pista: si habla de salida desde privado, NAT Gateway. Si habla de entrada/salida a Internet para recursos públicos, Internet Gateway. Si habla de firewall de instancia, Security Group. Si habla de reglas allow/deny a nivel de subnet, NACL. Si habla de conexión cifrada con on-premises, VPN. Si habla de conexión dedicada, Direct Connect.

← Amazon EC2, Auto Scaling y Elastic Load Balancing Amazon S3: almacenamiento de objetos, clases, versioning, lifecycle y Glacier →