⚙️ “El Enlace Invisible: Cómo AWS mantiene conectada toda tu arquitectura”

🧠 Introducción

En la mayoría de los diseños en AWS ponemos el foco en VPCs, subnets, seguridad, IAM o servicios gestionados. Sin embargo, detrás de todo eso existe un componente silencioso—casi invisible—que determina cómo se conectan los servicios, cómo viajan los paquetes y cómo realmente escala una red en la nube: el enrutamiento.

Este elemento, aunque pasa desapercibido, es el engranaje que mantiene cohesionada toda la arquitectura.

👉 Preambulo

Es fácil dar el enrutamiento por sentado, porque “simplemente funciona”. Pero comprenderlo de verdad es lo que diferencia una arquitectura básica de una arquitectura resiliente, eficiente y preparada para fallos.

Dominar cómo opera el tráfico dentro y fuera de una VPC permite diseñar soluciones más seguras, optimizadas y predecibles… y es ahí donde muchos arquitectos marcan la diferencia..

✔️ En este artículo analizaremos en detalle:

1. El router
2. Route Tables
3. Internet Gateway, NAT Gateway
4. VPC Peering
5. Transit Gateway
6. PrivateLink
7. Rutas
8. Seguridad vs Enrrutamiento

🔹 1. El router implícito de la VPC: el gran olvidado
Cada VPC en AWS incluye un router lógico que opera de manera automática.
No lo ves, no lo configuras directamente… pero todas las rutas pasan por él.

Este router (el gran orquestador) ya que:

• Mantiene la conectividad entre subnets de la misma VPC
• Aplica las Route Tables asociadas
• Gestiona el tráfico entrante y saliente (según rutas y gateways)

La conectividad intra‑VPC no es magia; ocurre gracias al router implícito de la VPC, un componente que AWS gestiona de forma transparente. Este router proporciona conectividad Full Mesh entre todas las subnets dentro de la misma VPC.

Por eso, no se necesita VPC Peering ni ninguna configuración adicional para lograr comunicación entre subnets: mientras compartan la misma VPC y las reglas de seguridad lo permitan, el tráfico fluye automáticamente.

🔹 2. Route Tables: el GPS de cada subnet
A diferencia de otros proveedores Cloud, en AWS cada subnet debe tener una Route Table asociada (la default o una explícita).

Las Route Tables definen:

• Subredes internas disponibles
• Tráfico hacia Internet
• Rutas hacia on-premise
• Rutas hacia otras VPC por Peering o Transit Gateway

Ejemplo típico:

  - 10.0.0.0/16      local
  - 0.0.0.0/0        igw-12345
  - 172.16.0.0/16    pcx-33333

📌 Regla de oro:
La entrada “local” nunca se puede modificar ni eliminar.

🔹 3. Internet Gateway, NAT Gateway y el rol de la red 0.0.0.0/0

Para que una subnet sea “pública”, su Route Table debe teneruna ruta parecida a esta:

 - 0.0.0.0/0 → igw-xxxx

Y las instancia dentro de esta subnet publica deben tener:

 - Una IP pública o Elastic IP
 - Permisos de Security Group para salida

Para subnets privadas:

 - 0.0.0.0/0 → nat-xxxx

Es decir, la diferencia entre pública y privada no es la subnet… sino su ruta por defecto.

• Subnet publicas: para su salida a internet apuntan a un Internet Gateway (IG)
• Subnet privada: para su salida a internet apuntan a un NAT Gateway (NG)

🔹 4. VPC Peering: rápido, simple… pero no escalable

El VPC Peering crea conectividad directa entre dos VPC, pero con limitaciones:

• No soporta tránsito (A ↔ B ↔ C no funciona) Concepto de transitividad
• No escala bien cuando hay muchas VPC's
• No admite superposiciones de IP (Overlaping)

EL VPC peering es ideal para soluciones puntuales, pero no para topologías complejas.

🔹 5. Transit Gateway: el backbone de redes grandes
Cuando la organización crece, el enrutamiento necesita ordenarse.
Ahí entra AWS Transit Gateway (TGW):

• Soporta miles de VPC
• Permite conectar on-premise vía VPN o Direct Connect
• Permite políticas de enrutamiento centralizadas
• Sí permite tránsito entre VPC

En esencia y como se muestra en siguiente diagrama de referencia, el TGW es en un concentrador de comunicaciones entre VPC´s de alto rendimiento.

🔹 6. PrivateLink: conectividad sin exponer redes
Una confusión frecuente: PrivateLink no es enrutamiento.
Es un servicio point-to-point para exponer servicios, no redes completas.

Sirve para:

• Conectar servicios entre VPC sin abrir rutas
• Consumir servicios SaaS de forma privada
• Evitar VPC Peering cuando no hace falta

PrivateLink minimiza la superficie de ataque porque expone únicamente un servicio específico y no toda la VPC. La comunicación se establece a nivel de endpoint, no a nivel de red.

🔹 7. Rutas hacia on-premise: VPN y Direct Connect
Cuando conectas on-premise a AWS, las Route Tables se enriquecen con rutas propagadas desde:

• VPN (Site-to-Site)
• Direct Connect
• Transit Gateway

El principio siempre es el mismo:

👉 La ruta con la coincidencia más específica gana.

🔹 8. Seguridad vs. enrutamiento: roles diferentes
Es importante entender y diferenciar el papel que cumplen estos 2 componentes en nuestros diseños:

• El enrutamiento decide a dónde va el tráfico.
• Los Security Groups y NACLs deciden si está permitido.

Ambos operan juntos, pero con funciones complementarias.

🧩 Conclusión
Entender el enrutamiento en AWS permite diseñar redes:

• Más seguras
• Más escalables
• Más resilientes
• Más predecibles ante fallos

Y lo más importante: te permite tomar decisiones de arquitectura basadas en principios, no en intuición.

Happy learnning on AWS!

Comments

[Alexi Stratthaus]

Excelente articulo @oscar_gaviria_2b862594738

[Oscar Gaviria]

Muchas gracias