CLF-C02

Deep Dive

Volver a guías
D1Conceptos de nube
¿Qué es la nube AWS? Las 6 ventajasInfraestructura global de AWSWell-Architected Framework y CAFMigración a AWS: estrategias y herramientas
D2Seguridad y cumplimiento
Modelo de responsabilidad compartidaIAM: Identidad y control de accesoServicios de seguridad AWS
D3Tecnología y servicios en la nube
Despliegue y operación en AWSCómputo: EC2, Lambda y contenedoresAlmacenamiento: S3, EBS, EFS y SnowBases de datos: RDS, DynamoDB y másRedes: VPC, Route 53, CloudFrontGestión: CloudWatch, CloudTrail, OrganizationsIA, Machine Learning y AnalíticaOtros servicios AWS en alcance
D4Facturación, precios y soporte
Modelos de precios AWSHerramientas de costos y facturaciónPlanes de soporte AWS
Practicar ahora
D3 · Tecnología y servicios en la nube

Redes: VPC, Route 53 y CloudFront

Los servicios de red de AWS forman la base de toda arquitectura en la nube. El CLF-C02 evalúa especialmente la diferencia entre Security Groups y NACLs, y los casos de uso de Route 53 vs CloudFront.

Contenido

Amazon VPC — Virtual Private Cloud

Icon-Architecture-Group/32/Virtual-private-cloud-VPC_32

Tu red privada aislada dentro de AWS

Amazon VPC te permite lanzar recursos AWS en una red virtual que defines. Tienes control completo sobre el entorno de red virtual: selección del rango de IP, creación de subnets, configuración de tablas de rutas y gateways de red.

Componentes clave de una VPC

Subnets

Divisiones de la VPC. Pública: tiene ruta al Internet Gateway. Privada: sin acceso directo a internet.

Internet Gateway (IGW)

Permite que recursos en subnets públicas se comuniquen con internet. Adjunto a la VPC (1 por VPC).

NAT Gateway

Permite que instancias en subnets PRIVADAS inicien conexiones salientes a internet, sin permitir conexiones entrantes desde internet.

Route Tables

Definen a dónde se enruta el tráfico de red. Cada subnet tiene una tabla de rutas asociada.

VPC Peering

Conecta dos VPCs entre sí (pueden estar en diferentes cuentas o regiones). El tráfico no sale a internet.

VPC Endpoints

Conecta la VPC a servicios AWS (S3, DynamoDB) sin pasar por internet público.

Arquitectura VPC típica de 3 capas

Subnet Pública

Web servers, Load Balancers, NAT Gateway

Subnet Privada (App)

Application servers, APIs. Acceden a internet via NAT GW.

Subnet Privada (Data)

RDS, ElastiCache, bases de datos. Sin acceso a internet.

Best practice

Nunca colocar bases de datos en subnets públicas. Las RDS deben estar en subnets privadas, accesibles solo desde la capa de aplicación.

Security Groups vs Network ACLs — La distinción más importante

Esta pregunta aparece en casi todos los exámenes CLF-C02

Debes poder distinguir cuándo se aplica cada uno y cuál es stateful vs stateless.

DimensiónSecurity GroupsNetwork ACLs
NivelInstancia (EC2, RDS, etc.)Subnet
Stateful / Stateless✅ Stateful — respuesta de salida automática❌ Stateless — debes definir reglas de entrada Y salida
Tipo de reglasSolo Allow (no hay reglas Deny)Allow y Deny. Evaluadas en orden numérico.
DefaultSin acceso de entrada. Todo el acceso de salida permitido.VPC default NACL: permite todo el tráfico entrada y salida.
EvaluaciónEvalúa TODAS las reglas antes de decidirEvalúa en orden numérico (la primera que coincide se aplica)
Dónde se adjuntaA instancias/ENIs individualesA subnets. Aplica a TODO el tráfico de esa subnet.
Caso de usoControlar acceso por instancia específicaBloquear rangos de IP a nivel de subnet, reglas Deny explícitas

Stateful (Security Groups)

Si permites tráfico de entrada en el puerto 80, la respuesta de salida se permite automáticamente. No necesitas crear regla de salida explícita para esa conexión.

Analogía: como una conversación telefónica — si contestas la llamada, puedes hablar en ambas direcciones.

Stateless (Network ACLs)

Debes crear reglas de entrada Y salida por separado. Si permites entrada en 80, también debes permitir la salida de la respuesta (puertos efímeros 1024-65535) explícitamente.

Analogía: como un guardia de seguridad que revisa cada persona al entrar Y al salir, sin recordar si ya pasó.

Amazon Route 53

Icon-Architecture/48/Arch_Amazon-Route-53_48

Servicio DNS escalable y altamente disponible

Amazon Route 53 es un servicio web DNS (Domain Name System) en la nube altamente disponible y escalable. Traduce nombres de dominio legibles (ej: www.ejemplo.com) a direcciones IP numéricas (ej: 192.0.2.1).

Políticas de enrutamiento de Route 53

Simple

Responde con uno o más registros de recursos. Sin verificación de salud.

Uso: Básico: un dominio → una IP

Weighted

Distribuye el tráfico entre recursos según pesos que defines.

Uso: A/B testing, distribución de tráfico gradual en deployments

Latency

Dirige al usuario a la región AWS con menor latencia desde su ubicación.

Uso: Apps multi-región para mejor experiencia del usuario

Failover

Dirige tráfico a un recurso primario; si falla, al secundario.

Uso: Disaster recovery activo-pasivo

Geolocation

Dirige tráfico basado en la ubicación geográfica del usuario.

Uso: Cumplimiento de residencia de datos, contenido localizado

Geoproximity

Dirige tráfico según la ubicación del usuario y los recursos, con bias.

Uso: Control fino de distribución geográfica

Multivalue Answer

Responde con múltiples registros y realiza verificaciones de salud.

Uso: DNS básico con health checks (no reemplaza un load balancer)

Amazon CloudFront — CDN

Icon-Architecture/48/Arch_Amazon-CloudFront_48

Content Delivery Network (CDN) con 400+ Edge Locations globales

Amazon CloudFront distribuye contenido (HTML, CSS, JS, imágenes, videos) a usuarios finales con baja latencia y alta velocidad de transferencia, usando una red global de Edge Locations.

Tipos de origen (Origins)

  • • Amazon S3 bucket (más común)
  • • EC2 instance / Application Load Balancer
  • • Cualquier servidor HTTP/S personalizado
  • • Lambda Function URLs

Características avanzadas

  • • OAI/OAC: acceso privado a S3 solo via CloudFront
  • • Lambda@Edge: ejecuta código en el Edge
  • • Geo-restriction: bloquear países
  • • HTTPS automático con certificados de ACM

AWS Direct Connect y Site-to-Site VPN

Icon-Architecture/48/Arch_AWS-Direct-Connect_48

AWS Direct Connect

Conexión de red dedicada y privada entre tu datacenter on-premises y AWS. No pasa por el internet público. Alta velocidad (1 Gbps a 100 Gbps) y baja latencia consistente.

  • ✓ Ancho de banda alto y consistente
  • ✓ Latencia predecible y baja
  • ✓ Más seguro (no internet público)
  • ✗ Tarda semanas en provisionar
  • ✗ Más costoso que VPN
Icon-Architecture/48/Arch_AWS-Site-to-Site-VPN_48

Site-to-Site VPN

Conexión cifrada entre tu red on-premises y tu VPC de AWS a través del internet público. Se establece rápidamente y es más económica que Direct Connect.

  • ✓ Se configura en horas
  • ✓ Más económico
  • ✓ Usa internet público (cifrado IPSec)
  • ✗ Latencia variable (depende de internet)
  • ✗ Menos ancho de banda

Cuándo usar cada uno — Pregunta de examen

Direct Connect: grandes volúmenes de datos (TBs), baja latencia crítica, cargas de trabajo de misión crítica, compliance.

Site-to-Site VPN: conectividad rápida y económica, backup de Direct Connect, latencia tolerable, cargas menores.

Elastic Load Balancing (ELB)

Elastic Load Balancing distribuye automáticamente el tráfico entrante de aplicaciones a múltiples destinos (EC2, contenedores, IPs, funciones Lambda) en una o múltiples Availability Zones.

TipoCapa OSIProtocolosCasos de uso
ALB (Application)L7 (Aplicación)HTTP, HTTPS, WebSocketMicroservicios, apps web, routing por URL/headers
NLB (Network)L4 (Transporte)TCP, UDP, TLSUltra-baja latencia, millones de req/seg, gaming, VoIP
CLB (Classic)L4/L7HTTP, HTTPS, TCPLegacy. Usar ALB o NLB para apps nuevas.

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Un administrador de red necesita bloquear acceso desde un rango de IPs específico (203.0.113.0/24) a una subnet completa de la VPC. ¿Qué servicio o característica de AWS debería usar?