O que é uma VPC (Virtual Private Cloud) e como se divide em Subnets Públicas e Privadas?
O que é: É o seu datacenter virtual na nuvem. A VPC isola logicamente uma seção da AWS onde você pode lançar seus recursos (como EC2 ou RDS) em uma rede que você mesmo define [web:91][web:93].
Como funcionam as Subnets (Sub-redes): São pedaços menores de rede dentro da sua VPC, divididas por Zonas de Disponibilidade.
- Subnet Pública: Possui uma rota direta em sua Tabela de Roteamento para um Internet Gateway (IGW). Recursos aqui podem acessar e ser acessados pela internet (www) (ex: balanceadores de carga) [web:91][web:95].
- Subnet Privada: Não possui uma rota direta para o IGW. Recursos aqui estão isolados do mundo externo (ex: bancos de dados RDS) [web:95].
Quando usar: Toda a sua infraestrutura de dados deve residir numa VPC. Use subnets privadas para armazenar dados e processamento (Glue, EMR) e subnets públicas apenas para os recursos que precisam interagir com a internet.
Exemplo de uso: Você cria uma VPC com uma Subnet Pública contendo o AWS WAF/Load Balancer e uma Subnet Privada contendo suas instâncias de banco de dados, protegendo os dados da web aberta.
O que são Route Tables (Tabelas de Roteamento) e o Internet Gateway (IGW)?
O que são e Como funcionam:
- Route Tables: Funcionam como as ‘placas de trânsito’ ou o GPS da sua rede. Elas contêm um conjunto de regras (rotas) que determinam exatamente para onde o tráfego de rede de uma Subnet ou Gateway deve ser direcionado [web:91][web:93].
- Internet Gateway (IGW): É um componente da VPC altamente disponível e redundante que funciona como a ‘porta de saída/entrada’ da VPC para a internet pública [web:93][web:95].
A Relação entre eles: Para que uma Subnet se torne ‘Pública’, você deve criar uma regra na Route Table associada a ela apontando todo o tráfego de destino ‘0.0.0.0/0’ (qualquer lugar da internet) para o ‘igw-id’ (o Internet Gateway anexado à sua VPC) [web:91][web:95].
Exemplo de uso: Uma instância EC2 na subnet tenta baixar uma atualização de pacote do Linux. O pacote de rede verifica a Route Table, vê que a internet fica na direção do IGW, passa pelo IGW e chega ao servidor de origem [web:95].
Qual a diferença entre NAT Gateway e NAT Instance e como funcionam?
O que são e Como funcionam: Ambos servem para permitir que recursos localizados em uma Subnet Privada acessem a internet (para baixar atualizações de software ou chamar APIs externas), sem permitir que a internet inicie uma conexão com eles [web:99]. Eles devem sempre ser colocados dentro de uma Subnet Pública e ter a Route Table da subnet privada apontando o tráfego web para eles [web:96].
NAT Gateway (AWS-managed):
- É um serviço totalmente gerenciado, altamente disponível e que escala a banda de rede automaticamente [web:99].
- Não suporta port forwarding (redirecionamento de porta) e não pode ser usado como Bastion Host.
NAT Instance (Self-managed):
- É um servidor EC2 comum com um script Linux de redirecionamento (NAT) rodando nele.
- É gerenciado por você (se o servidor cair, a internet cai). Você precisa configurar manualmente e desativar a verificação de origem/destino da rede (Source/Destination Check) [web:96][web:99].
Vantagens vs Desvantagens:
- Vantagem (NAT Gateway): Zero manutenção e altíssima disponibilidade, sendo o padrão absoluto para arquiteturas de produção atuais [web:96][web:102].
- Desvantagem (NAT Instance): Requer manutenção, mas pode ser útil e mais barato para ambientes de teste muito pequenos ou se houver uma necessidade exótica de port forwarding [web:99][web:102].
O que é uma NACL (Network Access Control List) e como funciona?
O que é: É um firewall a nível de sub-rede (Subnet). Ele controla e filtra todo o tráfego que entra (inbound) e sai (outbound) de uma Subnet inteira [web:97][web:103].
Como funciona:
- É Stateless (Sem estado): Se você criar uma regra permitindo que o tráfego entre na porta 80, a resposta não poderá sair a menos que você crie também uma regra explícita permitindo a saída [web:97].
- Possui regras de ALLOW (Permitir) e DENY (Negar) explícitas.
- As regras são avaliadas rigorosamente em ordem numérica (a regra número 100 é avaliada antes da 200). Se a regra 100 bloquear o IP X, a regra 200 permitindo o IP X será ignorada [web:97].
Quando usar: Como uma camada extra e secundária de segurança para bloquear IPs específicos maliciosos no limite da sua rede, antes que eles cheguem aos seus servidores.
Exemplo de uso: Você percebe um ataque cibernético vindo do IP ‘203.0.113.50’. Você cria uma regra na NACL com o número 10 e a ação ‘DENY’ para esse IP. O tráfego será descartado antes mesmo de entrar na Subnet.
O que é um Security Group e qual o fluxo ‘Internet > NACL > Security Group’?
O que é: É um firewall a nível de instância (Elastic Network Interface - ENI). Ele controla o tráfego que entra e sai de servidores e serviços específicos (como EC2 ou RDS) [web:97][web:103].
Como funciona:
- É Stateful (Com estado): Se uma requisição de entrada (inbound) for permitida na porta 443, a resposta correspondente de saída (outbound) é automaticamente permitida, independentemente das regras de saída [web:97].
- Possui APENAS regras de ALLOW (Permitir). Se você não criar uma regra, o tráfego é bloqueado por padrão (Deny default) [web:97].
- Suporta referenciar endereços de IP, mas o seu grande poder é permitir referenciar outros Security Groups [web:100].
O Fluxo de Defesa em Profundidade (Exemplo de EC2 em Subnet Pública):
1. O tráfego entra pela Internet (www) via Internet Gateway.
2. Chega na fronteira da Subnet e é avaliado pela NACL (avalia regras de Allow/Deny em ordem numérica e de forma Stateless).
3. Se permitido pela NACL, viaja até a instância e é avaliado pelo Security Group da placa de rede (avalia regras apenas de Allow de forma Stateful).
4. Se permitido, chega ao sistema operacional da EC2.
Vantagens vs Desvantagens (Comparado à NACL):
- Vantagem: É inteligente (Stateful) e permite que você libere o acesso apenas a recursos que possuem uma tag de um outro Security Group específico, facilitando infraestruturas dinâmicas onde os IPs dos servidores mudam o tempo todo [web:100].
Sobre o VPC Flow Logs: O que é, como funciona e quais são os cenários de uso?
O que é: Um serviço que coleta logs detalhados sobre todo o tráfego de IPs indo e vindo das suas interfaces de rede [web:1].
Como funciona: Pode ser ativado no nível de toda a VPC, de uma Subnet específica ou diretamente em uma Elastic Network Interface (ENI). Os dados capturados são enviados de forma assíncrona para destinos como Amazon S3, CloudWatch Logs ou Kinesis Data Streams [web:1].
Quando utilizar (Cenários): É a ferramenta ideal para troubleshooting (solução de problemas) de conectividade [web:2]. Exemplo: Descobrir por que um job do AWS Glue não consegue acessar um banco de dados, verificando se o tráfego aparece como REJECT nos logs devido a um Security Group restrito [web:3].
Vantagens: Fornece visibilidade total sem causar qualquer impacto na latência ou no desempenho da rede da sua aplicação [web:5].
Sobre o VPC Peering: Explique o que é, como funciona, dê um cenário prático e compare com o Transit Gateway.
O que é: Um recurso que permite conectar duas VPCs de forma totalmente privada, utilizando a rede global da AWS [web:20].
Como funciona: Facilita o roteamento de tráfego entre as duas redes usando IPs privados, fazendo com que os serviços se comuniquem como se estivessem na mesma rede [web:20].
Quando utilizar (Cenários): Ideal para arquiteturas simples onde sistemas departamentais em VPCs diferentes precisam compartilhar dados diretamente [web:20]. Exemplo: Uma VPC do time de Engenharia de Dados precisa realizar consultas rápidas em um banco de dados isolado na VPC de Produção.
Comparação (VPC Peering vs Transit Gateway):
- Vantagens do Peering: Oferece conexão direta com baixíssima latência, é mais simples de configurar inicialmente e não tem custo fixo por hora (paga-se apenas pela transferência de dados) [web:16][web:20].
- Desvantagens: Não suporta roteamento transitivo [web:19][web:20]. Se a VPC A conecta na B, e a B conecta na C, a VPC A não terá acesso à C a menos que você crie um novo Peering direto entre A e C. Para muitas VPCs, vira uma teia complexa de gerenciar, cenário onde o Transit Gateway (que age como um hub central) é muito mais recomendado [web:19][web:20].
Sobre VPC Endpoints: O que são e quais as principais diferenças entre Gateway Endpoints e Interface Endpoints?
O que é: Serviços que permitem a comunicação dos seus recursos na VPC com outros serviços da AWS utilizando uma rede privada em vez da internet pública (WWW), garantindo melhor segurança e menor latência [web:6][web:12].
VPC Endpoint Gateway:
- É um serviço projetado exclusivamente para o Amazon S3 e o Amazon DynamoDB [web:6].
- Funciona por meio da inserção de uma rota diretamente na tabela de rotas da sua VPC [web:12].
- Vantagens: É um serviço totalmente gratuito e de altíssima escalabilidade [web:6][web:12].
VPC Endpoint Interface:
- Atende à grande maioria dos serviços da AWS e também possui suporte para S3 e DynamoDB [web:9].
- Utiliza a tecnologia AWS PrivateLink, criando uma interface de rede elástica (ENI) com IP privado dentro da sua sub-rede [web:6].
- Vantagens: Permite o uso de Security Groups para controle de acesso mais granular e aceita tráfego vindo de redes on-premises [web:6][web:9].
- Desvantagens: Possui custo cobrado por hora de uso da interface e também por gigabyte de dado processado [web:6].
Sobre o AWS PrivateLink (VPC Endpoint Services): O que é, como funciona e como se compara ao uso do VPC Peering?
O que é: Uma forma altamente segura e escalável de expor um serviço da sua VPC para milhares de outras VPCs de clientes externos [web:6].
Como funciona: O lado que oferece o serviço (provedor) configura um Network Load Balancer (NLB), enquanto o consumidor configura uma Elastic Network Interface (ENI) na sua própria rede para acessar o serviço de forma privada [web:6].
Quando utilizar (Cenários): Muito utilizado para o modelo de negócios SaaS. Exemplo: Você desenvolveu um serviço de transformação de dados na sua conta AWS e deseja vender o acesso a essa ferramenta para outras empresas de forma segura [web:9].
Comparação (PrivateLink vs VPC Peering):
- Vantagens do PrivateLink: Dispensa configurações complexas de rede como peering, internet gateway ou NAT [web:6]. Evita totalmente problemas de sobreposição de IPs (overlapping) e estabelece uma comunicação unidirecional segura (o cliente consome seu serviço, mas você não tem acesso à rede dele) [web:6].
- Desvantagens: Exige a gestão de um Load Balancer (NLB) e gera custos contínuos de infraestrutura que o Peering simples não possui.
Sobre Conectividade On-premises: Compare o Site-to-Site VPN e o Direct Connect (DX) abordando seus funcionamentos, vantagens e desvantagens.
Site-to-Site VPN:
- Como funciona: Conecta o seu ambiente on-premises (datacenter corporativo) à rede da AWS utilizando túneis com conexão fortemente criptografada (IPSec), trafegando sobre a internet pública [web:7][web:13].
- Vantagens: Baixo custo, implantação fácil e disponibilidade em questão de minutos [web:13].
- Desvantagens: A performance, a banda e a latência podem oscilar bastante, pois dependem da estabilidade da internet pública [web:7][web:13].
Direct Connect (DX):
- Como funciona: Estabelece uma conexão física e dedicada (cabos de fibra ótica passados por parceiros da AWS) do seu datacenter até a AWS, trafegando exclusivamente em uma rede privada [web:10][web:13].
- Vantagens: Oferece conexões extremamente rápidas (chegando a até 100 Gbps), banda consistente e latência ultra baixa [web:7].
- Desvantagens: Tem um custo elevado, o prazo para instalação física pode levar meses e o tráfego não é criptografado por padrão (embora a AWS recomende rodar uma VPN por cima do DX para máxima proteção) [web:7][web:13].
Cenário prático: Se a sua equipe de engenharia de dados precisa migrar terabytes de dados para o Data Lake no S3 todos os dias de forma estável e rápida, o DX é a escolha certa. Se for apenas para o gerenciamento eventual de alguns servidores, a VPN é suficiente e mais barata [web:7].
Sobre o Amazon Route 53: O que é o serviço e quais são as funções dos registros A, AAAA, CNAME e NS?
O que é: É o serviço de DNS (Domain Name System) de alta disponibilidade e escalabilidade da AWS. Ele funciona como a “lista telefônica” da internet, traduzindo nomes de domínio amigáveis para os endereços IP que os computadores usam para se comunicar [web:30].
Como funciona (Principais Tipos de Registros):
- Tipo A: Mapeia um nome de host diretamente para um endereço de rede IPv4 [web:33]. Exemplo: ‘api.seusite.com’ apontando para ‘192.0.2.1’.
- Tipo AAAA: Possui a mesma função do tipo A, mas mapeia o nome de host para um endereço no formato IPv6 [web:26].
- Tipo CNAME (Canonical Name): Mapeia um nome de host para outro nome de host (um alias para outro domínio) [web:30]. Exemplo: apontar ‘blog.seusite.com’ para ‘ghs.googlehosted.com’. Importante: o DNS padrão não permite criar CNAME no nível raiz do domínio (zone apex) [web:33].
- Tipo NS (Name Server): Contém os registros dos servidores de nomes autoritativos, controlando quem gerencia e como o tráfego é roteado para o seu domínio [web:26].
Quando utilizar (Cenários): Sempre que você precisar registrar um domínio ou rotear requisições da internet para a sua arquitetura na AWS, como apontar um domínio personalizado para um Load Balancer que atende seus pipelines de dados.
Sobre o AWS CloudFront: O que é, como melhora a performance, como protege contra DDoS e como se compara ao Global Accelerator?
O que é: É o serviço de Content Delivery Network (CDN) da AWS, construído para disponibilizar dados e conteúdos o mais perto possível do usuário final, garantindo alta velocidade de transferência [web:31].
Como funciona: Ele armazena cópias temporárias dos seus dados (cache) em dezenas de pontos de presença (Edge Locations) globais [web:31]. Se um usuário na Europa acessa um arquivo que está em um bucket S3 no Brasil, o CloudFront entrega a cópia armazenada no servidor europeu, reduzindo a latência e aliviando a carga no servidor de origem [web:31].
Proteção contra DDoS: O CloudFront possui integração transparente e gratuita com o AWS Shield Standard. A infraestrutura global do CDN consegue absorver e mitigar grandes ataques de negação de serviço (DDoS) nas camadas 3 e 4 (como inundações de tráfego UDP ou SYN), impedindo que o tráfego malicioso derrube os servidores onde sua aplicação realmente roda [web:34][web:37].
Quando utilizar (Cenários): Ideal para acelerar a entrega de dashboards HTML salvos no S3, distribuição de mídias ou para otimizar o acesso a APIs consumidas globalmente [web:38].
Comparação (CloudFront vs AWS Global Accelerator):
- CloudFront: Focado em fazer cache de conteúdo na borda, ideal para tráfego HTTP/HTTPS, e utiliza diversos IPs dinâmicos [web:35][web:38].
- Global Accelerator: Não realiza cache de arquivos. Ele fornece IPs estáticos fixos e foca em otimizar a rota de rede inteira através do backbone da AWS [web:35]. É a escolha certa quando você precisa de altíssima performance para protocolos não-HTTP, como TCP ou UDP puro [web:38].
