Como acceder al contenido de cursos de AWS

• Diseño de VPCs multi-cuenta y multi-región con subredes públicas/privadas, tablas de ruteo, NACLs y security groups.

• Conectividad: Internet Gateway, NAT Gateway, VPC Peering, Transit Gateway (TGW), PrivateLink, VPN y Direct Connect.

• Entrega de aplicaciones: ALB/NLB/Gateway Load Balancer, CloudFront, Global Accelerator.

• Seguridad de red: AWS WAF, Shield, Network Firewall, Route 53 Resolver + DNS Firewall, Verified Access.

• Observabilidad: VPC Flow Logs, Reachability Analyzer, Network Access Analyzer, CloudWatch, CloudTrail, GuardDuty.

• Gobernanza multi-cuenta: AWS Organizations, Control Tower, SCPs, VPC IPAM.

• Automatización con IaC: CloudFormation/CDK/Terraform y Systems Manager.

1) Fundamentos de AWS

• Identidad y permisos: IAM (roles, políticas administradas vs en línea, principio de mínimo privilegio).

• Cómputo y almacenamiento (visión rápida): EC2, Auto Scaling, EBS, S3.

• Regla de oro: todo diseño de red se subordina a seguridad y a cuentas separadas por entornos (dev/test/prod).

2) Núcleo de Redes (VPC a profundidad)

• VPC, subredes, CIDR planning (IPv4 y IPv6), Route Tables, NACLs (stateless) vs Security Groups (stateful).

• Patrones de subred: pública (ALB/NLB/bastion), privada-APP, privada-DB.

• Herramientas clave: Reachability Analyzer (pruebas “what-if”), Network Access Analyzer (postura de red).

• Tip: adopta IPv6 pronto; elimina NAT para tráfico v6 y usa Egress-Only Internet Gateway.

3) Conectividad y Enrutamiento

• Internet Gateway y NAT Gateway (costos y zonas).

• VPC Peering vs Transit Gateway (hub-and-spoke).

• PrivateLink para exponer/consumir servicios de forma privada.

• Site-to-Site VPN y Direct Connect para híbridos; alta disponibilidad (2 túneles VPN, 2 DX si es misión crítica).

• Route 53 (privado/público) y Resolver endpoints (ingreso/egreso + DNS Firewall).

4) Entrega de Aplicaciones y Edge

• ALB (HTTP/HTTPS, WAF), NLB (L4, TLS passthrough), Gateway Load Balancer (appliances).

• CloudFront (CDN), Global Accelerator (entry global con rutas Anycast).

• VPC Lattice (conectividad/observabilidad entre servicios a nivel capa de aplicación sin malla compleja).

5) Seguridad de Red

• Security Groups por capa (LB, App, DB). Nunca abras 0.0.0.0/0 a puertos sensibles.

• AWS WAF (reglas administradas, rate limiting), Shield (DDoS), Network Firewall (inspección L3–L7).

• Verified Access para Zero Trust hacia apps privadas sin VPN tradicional.

• KMS (cifrado en tránsito/descanso), GuardDuty (detección de amenazas).

6) Observabilidad y Operación

• VPC Flow Logs (tráfico aceptado/rechazado), CloudWatch Logs/Metrics, CloudTrail.

• Reachability Analyzer para validar rutas; Health Checks y Route 53 Failover.

• AWS Network Manager (mapa y monitoreo multi-red).

7) Automatización e IaC

• Elige tu herramienta (CloudFormation/CDK o Terraform) y versiona todo.

• SSM para parches, inventario, Session Manager (adiós a bastions expuestos).

• Pipelines CI/CD para redes (validación estática de plantillas + pruebas automatizadas).

8) Resiliencia, DR y Multi-Región

• Multi-AZ como base; evalúa Activa/Activa vs Activa/Pasiva entre regiones.

• S3 CRR, RDS cross-region read replicas, DynamoDB Global Tables.

• Global Accelerator o Route 53 Failover para desastres.

9) Costos y Gobernanza

• Data transfer manda: inter-AZ, cross-region, NAT e egress a Internet.

• Minimiza NAT Gateway (usa endpoints VPC y IPv6 cuando aplique).

• VPC Endpoints (Gateway/Interface) para evitar salir a Internet.

• VPC IPAM para gestionar CIDRs multi-cuenta/multi-región.

• Organizations/Control Tower con SCPs para “guardrails”.

• Amazon VPC: base de todo; segmenta por cuenta/entorno.

• Transit Gateway: mallado controlado (hub-and-spoke) a escala.

• PrivateLink: consumo/exp. de servicios privados (mejor que peering en muchos casos).

• Route 53 (DNS + Resolver + DNS Firewall): resolución privada, split-horizon.

• ALB/NLB/GWLB: balanceo según capa y necesidad (L7/L4/appliances).

• CloudFront/Global Accelerator: latencia global y resiliencia.

• AWS WAF/Shield/Network Firewall: seguridad perimetral.

• VPC Lattice: conectividad/seguridad entre servicios sin malla compleja.

• Reachability/Network Access Analyzer: validación y compliance de red.

• VPC IPAM: gobierno de direccionamiento IP.

• Direct Connect/VPN: híbrido empresarial.

Hub-and-Spoke con TGW (multi-cuenta)

lessCopiarEditar   Internet       Corp DC
      |            |
    [ALB]      [Direct Connect]
      |            |
  [Spoke VPCs]--[Transit Gateway]--[Spoke VPCs]
        \          |              /
         \----[Shared Services]--/

Cuándo: muchas VPCs y crecimiento sostenido. Ventaja: control central de rutas/seguridad.

Exposición privada con PrivateLink

• Proveedor expone NLB + Endpoint Service.

• Consumidores crean Interface Endpoints: sin peering, sin TGW, sin rutas complejas.

Zero Trust con Verified Access

• Acceso a apps privadas sin VPN, con políticas por identidad/dispositivo/postura.

Multi-Región activo/pasivo

• Datos replicados; Route 53 con failover y health checks; S3 CRR / RDS RR.

1. VPC base (IPv4/IPv6), subredes públicas/privadas, IGW, egress-only IGW, SG/NACL.

2. ALB público + Apps en privadas con Endpoints VPC (S3/DynamoDB) para evitar NAT.

3. Reachability Analyzer: verifica de ALB→EC2 privado y de bastion→DB.

4. TGW: 3 VPCs (web/app/db) + cuenta de red compartida; propaga/filtra rutas.

5. PrivateLink: publica un servicio (NLB) y consúmelo desde otra cuenta.

6. VPN site-to-site: túneles en alta dispo + rutas BGP; agrega pruebas de caída.

7. WAF + CloudFront: protege app, habilita reglas administradas y rate-based.

8. Global Accelerator: acelera entrada global hacia ALB (latencia y HA).

Hazlos con IaC (Terraform/CloudFormation/CDK). Versiona y aplica validaciones (lint + terraform validate/cfn-lint).

• NAT Gateway único: es SPOF y caro; usa uno por AZ o elimínalo con endpoints/IPv6.

• Security Groups permisivos: define por capa y evita 0.0.0.0/0 salvo HTTP/HTTPS controlado.

• Peering enredado: cuando crezca, migra a TGW.

• No medir tráfico: sin Flow Logs ni métricas no verás cuellos de botella.

• DNS privado mal diseñado: usa Resolver endpoints y DNS Firewall para control fino.

• Sin cuentas separadas: mezcla dev/prod complica seguridad y gobernanza.

• Plan de CIDRs con VPC IPAM (incluye IPv6).

• Subredes por AZ y propósito; rutas explícitas.

• SGs por capa; NACLs mínimas y documentadas.

• Endpoints VPC para servicios core; NAT minimizado.

• WAF/Shield/Network Firewall según superficie.

• Monitoreo: Flow Logs, CloudWatch, GuardDuty, métricas de LBs.

• Pruebas de Reachability y DR (conmutación en frío/caliente).

• IaC, revisiones de código y despliegue controlado.

• Cost review (inter-AZ, egress, NAT, PrivateLink, TGW).

• Latencia p95/p99 por ruta y región.

• Errores 4xx/5xx en ALB/NLB/CloudFront.

• Throughput y conexiones activas en LBs.

• Tasa de aciertos en CloudFront (cache hit ratio).

• Eventos de seguridad (WAF/Shield/GuardDuty).

• Costo por GB transferido y por ruta (intra-AZ, inter-AZ, cross-region, Internet).

Solo un boceto: VPC + subredes + endpoint S3 (evita NAT para acceso a S3).

hclCopiarEditarprovider "aws" { region = "us-east-1" }
resource "aws_vpc" "main" {
  cidr_block = "10.0.0.0/16"
  enable_dns_support = true
  enable_dns_hostnames = true
}
resource "aws_subnet" "public_a"  { vpc_id = aws_vpc.main.id cidr_block = "10.0.0.0/24"  availability_zone = "us-east-1a" map_public_ip_on_launch = true }
resource "aws_subnet" "private_a" { vpc_id = aws_vpc.main.id cidr_block = "10.0.2.0/24"  availability_zone = "us-east-1a" }
resource "aws_internet_gateway" "igw" { vpc_id = aws_vpc.main.id }
resource "aws_vpc_endpoint" "s3" {
  vpc_id       = aws_vpc.main.id
  service_name = "com.amazonaws.us-east-1.s3"
  route_table_ids = [aws_vpc.main.main_route_table_id]
}

Extiéndelo con NAT por AZ (si lo necesitas), ALB, ASG/EC2, WAF y Flow Logs.

• AWS Certified Advanced Networking – Specialty (ANS-C01).

• AWS Solutions Architect – Professional (complemento arquitectónico).

• Well-Architected Framework (pilar de Fiabilidad, Seguridad y Excelencia Operacional).

• Workshops/labs oficiales y re:Invent talks de redes (valen oro).

1. Landing Zone multi-cuenta con Control Tower/Organizations y SCPs.

2. Red centralizada con TGW y VPCs spoke (web/app/db) por entorno.

3. App pública con CloudFront + ALB + WAF, backend en privadas, DB cifrada.

4. PrivateLink para servicios internos compartidos entre cuentas.

5. Observabilidad: Flow Logs → CloudWatch Logs, paneles, alertas; Reachability Analyzer en CI.

6. DR entre regiones: réplica de datos y Route 53 Failover.

7. IaC 100% + pipeline con validación y pruebas de reachability.

• ¿Cuándo prefieres PrivateLink frente a Peering o TGW?

• ¿Cómo reduces costos de NAT en apps que solo consumen S3/DynamoDB?

• Diferencias prácticas entre ALB y NLB; ¿cuándo usar GWLB?

• ¿Cómo implementarías Zero Trust para apps privadas sin VPN?

• ¿Qué monitoreas a nivel red para detectar latencia o pérdida?