AWS Networking Essentials

• Cos'è il cloud networking?

  Analogamente alla rete on-premise tradizionale, la rete cloud offre la possibilità di creare, gestire, gestire e connettere in modo sicuro le reti in tutti gli ambienti cloud e in tutte le sedi cloud e posizioni edge distribuite. Il cloud networking ti consente di progettare un'infrastruttura resiliente e ad alta disponibilità, aiutandoti a distribuire le tue applicazioni più velocemente, su larga scala e più vicino agli utenti finali quando ne hai bisogno.
  

• Perché è importante il punto in cui eseguo l'implementazione?

  Quando si apre un sito Web o si utilizza un'applicazione, i dati e le richieste devono essere trasferiti dal computer o dal telefono a un server che ospita il sito Web o l'applicazione e viceversa. Questo di solito viene fatto su una combinazione di diversi mezzi, ad esempio tramite Wi-Fi al router di casa, da lì al tuo ISP tramite fibra, cavo, ADSL, 5G, ecc. Una volta raggiunto l'ISP, questo si collega a sua volta a una rete più grande. Ad un certo punto, è probabile che i tuoi dati viaggino attraverso uno dei tanti cavi in fibra sottomarini. La velocità della luce determina quale può essere la velocità massima attraverso questi cavi, limitando la risposta più rapida possibile: la luce all'interno del cavo si riflette anche lateralmente mentre viaggia, quindi la distanza totale percorsa è maggiore del cavo stesso. Ad esempio, uno dei cavi tra il Giappone e la costa occidentale degli Stati Uniti ha una lunghezza totale di 21.000 km, il che significa che la luce che viaggia a 299.792.458 m/s impiegherebbe circa 70 ms per attraversare la lunghezza totale del cavo, rallentando il sito Web o l'applicazione poiché più chiamate vanno avanti e indietro. Estremizzando, il tempo può essere molto più lungo non solo a causa della distanza percorsa, ma anche della congestione della rete tra i punti lungo il percorso, con risposte che richiedono diversi secondi per essere completate.
  

  Grazie al cloud, puoi espanderti in nuove regioni geografiche e distribuire globalmente in pochi minuti. Per esempio, l'infrastruttura AWS offre una copertura globale, così che tu possa distribuire la tua applicazione in più luoghi fisici in pochi clic. Avvicinando le applicazioni agli utenti finali, è possibile ridurre la latenza e migliorare l'esperienza utente
  

  L'infrastruttura cloud AWS è basata su Regioni AWS e zone di disponibilità. Una regione è un'area geografica in cui si trovano diverse zone di disponibilità. Le zone di disponibilità consistono in uno o più data center provvisti di alimentazione, rete e connettività ridondanti, ognuno in una propria struttura separata. Queste zone di disponibilità consentono di eseguire applicazioni e database in ambienti di produzione con disponibilità, tolleranza ai guasti e scalabilità altrimenti impossibili da ottenere all'interno di un singolo data center.
  

• Cos'è Amazon VPC?

  Amazon Virtual Private Cloud (Amazon VPC) consente di effettuare il provisioning di una sezione logicamente isolata di AWS cloud, dove è possibile avviare risorse AWS in una rete virtuale definita dall'utente. Hai il controllo completo sul tuo ambiente virtuale di rete, incluse la selezione degli intervalli di indirizzi IP, la creazione di sottoreti e la configurazione di tabelle di routing e di gateway di rete. Puoi anche creare una connessione di rete privata virtuale (VPN) hardware tra il tuo data center aziendale e il tuo VPC che ti consente di connettere i server tra i due come se fossero sulla stessa rete.

  
  Puoi personalizzare facilmente la configurazione di rete per il tuo VPC in base alle tue esigenze. Un VPC si estende su un'intera regione e le sottoreti vengono utilizzate per specificare intervalli di indirizzi IP all'interno delle zone di disponibilità all'interno della regione da allocare a macchine virtuali e altri servizi. Ad esempio, è possibile creare una sottorete pubblica per i server Web dotata di accesso a Internet e collocare i sistemi back-end quali database o server di applicazioni in una sottorete privata senza accesso a Internet. Grazie ai vari livelli di sicurezza disponibili, inclusi i gruppi di sicurezza e le liste di controllo degli accessi di rete, è possibile controllare l'accesso alle istanze di Amazon EC2 in ciascuna sottorete.
  

  Le seguenti funzionalità consentono di configurare un VPC per fornire la connettività necessaria alle applicazioni:
  

  Funzionalità	Descrizione
  VPC	Un VPC è una rete virtuale molto simile a una rete tradizionale come quella che potrebbe essere gestita nel tuo data center. Dopo aver creato un VPC, puoi aggiungere sottoreti.
  Sottoreti	Una sottorete è un intervallo di indirizzi IP nel tuo VPC. Una sottorete può occupare una sola zona di disponibilità. Dopo aver aggiunto le sottoreti, puoi distribuire le risorse AWS nel VPC.
  Assegnazione di indirizzi IP	È possibile assegnare indirizzi IPv4 e indirizzi IPv6 ai VPC e alle sottoreti. Puoi anche portare i tuoi GUA (indirizzi Unicast globali) IPv4 e IPv6 pubblici in AWS e allocarli alle risorse del tuo VPC, come istanze EC2, gateway NAT e Network Load Balancer.
  Routing	Utilizza le tabelle di routing per determinare dove viene diretto il traffico di rete proveniente dalla sottorete o dal gateway.
  Gateway ed endpoint	Un gateway connette il tuo VPC a un'altra rete. Ad esempio, utilizza un gateway Internet per connettere il tuo VPC a Internet. Usa un endpoint VPC per connetterti ai servizi AWS in privato, senza l'uso di un gateway Internet o di un dispositivo NAT.
  Connessioni peering	Usa una connessione peering VPC per instradare il traffico tra le risorse in due VPC.
  Monitoraggio del traffico	Copia il traffico di rete dalle interfacce di rete e invialo ai dispositivi di sicurezza e monitoraggio per un'ispezione approfondita dei pacchetti.
  Gateway di transito	Usa un gateway di transito, che funge da hub centrale, per indirizzare il traffico tra i tuoi VPC, le connessioni VPN e le connessioni AWS Direct Connect.
  Flussi di log di VPC	Un flusso di log acquisisce informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel VPC.
  Connessioni VPN	Connetti i tuoi VPC alle reti on-premise utilizzando AWS Virtual Private Network (AWS VPN).

  Nozioni di base su Amazon VPC

  Il tuo account AWS include un VPC predefinito in ogni regione AWS. I tuoi VPC predefiniti sono configurati in modo tale da poter iniziare immediatamente l'avvio e la connessione alle istanze EC2. Per ulteriori informazioni, vedi Inizia a usare Amazon VPC.
  

• In che modo comunicano le risorse del mio Amazon VPC?

  I VPC offrono pieno controllo sul tuo ambiente di reti virtuali, inclusi posizionamento della risorsa, connettività e sicurezza. Inizia configurando il tuo VPC nella Console di gestione AWS. Quindi aggiungi risorse, come le istanze Amazon EC2 e Amazon Relational Database Service (Amazon RDS). Infine, definisci il modo in cui i tuoi VPC comunicano fra loro, tra account, zone di disponibilità o regioni.
  

  In un VPC è possibile utilizzare sia l'indirizzamento IPv4 che IPv6. Con IPv4 si seleziona e assegna un blocco CIDR (Classless Inter-Domain Routing) VPC da una dimensione massima di /16 a una dimensione minima di /28. Puoi utilizzare qualsiasi indirizzo pubblico di tua proprietà (in regioni selezionate). Ti consigliamo di utilizzare indirizzi RFC 1918 privati. Una volta creato un CIDR, si definiscono le sottoreti. Le sottoreti possono avere dimensioni comprese tra /16 e /28 e sono delimitate da zone di disponibilità. Ogni sottorete del VPC deve essere associata a una tabella di routing della sottorete.
  

  Quando crei le sottoreti, devi associarle a una tabella di routing VPC principale. Per impostazione predefinita, questa tabella di routing conterrà solo i CIDR IPv4 e IPv6 locali del VPC. Una sottorete può essere associata solo a una tabella di routing della sottorete. Una tabella di routing può avere più associazioni di sottoreti. Le tabelle di routing vengono utilizzate per controllare il traffico in uscita dalla sottorete. Ogni sottorete dispone di un router VPC. Non esiste un singolo dispositivo per un VPC. Il software del VPC si occupa del routing per tuo conto. Puoi aggiungere percorsi più specifici per fornire un filtro del traffico per il traffico est/ovest.
  

• In che modo posso collegarmi ad Amazon VPC?

  Puoi connettere il tuo VPC ad altre reti, ad esempio altri VPC, a Internet o alla tua rete on-premise. Puoi connettere un Amazon VPC a:
  

  Come connettersi	Descrizione
  Internet (tramite un gateway Internet)	Un gateway Internet è un componente del VPC con scalabilità orizzontale, ridondante e ad alta disponibilità che consente la comunicazione tra il VPC e Internet. Supporta il traffico IPv4 e IPv6 e non causa rischi di disponibilità o limiti di larghezza di banda sul traffico di rete. Un gateway Internet consente alle risorse nelle sottoreti pubbliche (come le istanze EC2) di connettersi a Internet se la risorsa ha un indirizzo IPv4 pubblico o un indirizzo IPv6. Allo stesso modo, le risorse su Internet possono avviare una connessione alle risorse della sottorete utilizzando l'indirizzo IPv4 o l'indirizzo IPv6 pubblico. Ad esempio, un gateway Internet consente di connettersi a un'istanza EC2 in AWS utilizzando il computer locale. Un gateway Internet fornisce una destinazione nelle tabelle di routing del VPC per il traffico instradabile su Internet. Per la comunicazione tramite IPv4, il gateway Internet esegue anche la traduzione degli indirizzi di rete (NAT). Per la comunicazione tramite IPv6, il NAT non è necessario perché gli indirizzi IPv6 sono pubblici.
  Il data center aziendale con una connessione VPN sito-sito AWS (tramite un gateway virtuale privato)	Per impostazione predefinita, le istanze avviate in un Amazon VPC non possono comunicare con la tua rete remota. Puoi abilitare l'accesso alla tua rete remota dal VPC creando una connessione VPN sito-sito AWS (VPN sito-sito) e configurando il routing per far passare il traffico attraverso la connessione.  NOTA: quando connetti i tuoi VPC a una rete on-premise comune, ti consigliamo di utilizzare blocchi CIDR non sovrapposti per le tue reti.
  Sia Internet che il data center aziendale (tramite un gateway Internet e un gateway privato virtuale)	Il VPC dispone di un gateway privato virtuale collegato e la rete on-premise (remota) include un dispositivo gateway del cliente, che è necessario configurare per abilitare la connessione VPN sito-sito. Il routing viene impostato in modo che tutto il traffico proveniente dal VPC destinato alla rete venga indirizzato al gateway privato virtuale.
  Istanza NAT	Puoi utilizzare un'istanza NAT per consentire alle risorse nelle sottoreti private di connettersi a Internet, ad altri VPC o alle reti on-premise. Queste istanze possono comunicare con servizi esterni al VPC, ma non possono ricevere richieste di connessione non desiderate.
  Gateway NAT	Un gateway NAT è un servizio Network Address Translation (NAT). È possibile usare un gateway NAT in modo che le istanze in una sottorete privata possano connettersi ai servizi dall'esterno del VPC, ma i servizi esterni non possono iniziare una connessione con queste istanze. Quando si crea un gateway NAT, si specifica uno dei seguenti tipi di connettività: Pubblica: (impostazione predefinita) le istanze nelle sottoreti private possono connettersi a Internet tramite un gateway NAT pubblico, ma non possono ricevere connessioni in entrata non richieste da Internet. È necessario creare un gateway NAT pubblico in una sottorete pubblica e al momento della creazione è necessario associare un indirizzo IP elastico al gateway NAT. Instrada il traffico dal gateway NAT al gateway Internet per il VPC. In alternativa, puoi utilizzare un gateway NAT pubblico per connetterti ad altri VPC o alla tua rete on-premise. In questo caso, si indirizza il traffico dal gateway NAT attraverso un gateway di transito o un gateway privato virtuale. Privata: le istanze nelle sottoreti private possono connettersi ad altri VPC o alla rete locale tramite un gateway NAT privato. È possibile indirizzare il traffico dal gateway NAT attraverso un gateway di transito o un gateway privato virtuale. Non è possibile associare un indirizzo IP elastico a un gateway NAT privato. È possibile collegare un gateway Internet a un VPC con un gateway NAT privato, ma se si indirizza il traffico dal gateway NAT privato al gateway Internet, il gateway Internet interrompe il traffico. Il gateway NAT sostituisce l'indirizzo IP di origine delle istanze con indirizzi IP privati del gateway NAT. Per un gateway NAT pubblico, questo è l'indirizzo IP elastico del gateway NAT. Per un gateway NAT privato, questo è l'indirizzo IP privato del gateway NAT. Quando si invia il traffico di risposta alla istanze, il dispositivo NAT traduce gli indirizzi all'indirizzo IP di origine.
  AWS Direct Connect	Sebbene la VPN su Internet sia un'ottima opzione per iniziare, la connettività Internet potrebbe non essere affidabile per il traffico di produzione. A causa di questa inaffidabilità, molti clienti scelgono AWS Direct Connect. AWS Direct Connect è un servizio di rete che fornisce un'alternativa all'utilizzo di Internet per la connessione ad AWS. Con AWS Direct Connect, i dati che in precedenza sarebbero stati trasferiti tramite Internet saranno, invece, mobilitati su una connessione di rete privata tra AWS e la tua infrastruttura. In molti casi, le connessioni di rete private consentono di ridurre i costi, aumentare la larghezza di banda e ottenere un'esperienza di rete più coerente rispetto alle comuni connessioni a Internet. Consulta il whitepaper Costruzione di un'infrastruttura di reti AWS multi-VPC sicura e scalabile per saperne di più.
  Altri Amazon VPC (tramite connessioni peering VPC)	Una connessione peering VPC è una connessione di reti fra due VPC che ti permette di instradare il traffico fra i due in maniera privata. Le istanze in entrambi i VPC possono comunicare tra loro come se fossero all'interno della stessa rete. Puoi creare una connessione peering VPC tra i tuoi VPC, con un VPC in un altro account AWS o con un VPC in un'altra regione AWS. Per creare una connessione peer tra cloud privati virtuali AWS impiega la sua infrastruttura; non impiega un gateway o una connessione VPN sito-sito AWS, né dipende da un singolo apparato hardware fisico. Non prevede alcun singolo punto di errore né colli di bottiglia.

• Posso connettermi ad altri VPC con account diversi?

  Sì, supponendo che il proprietario dell'altro VPC accetti la tua richiesta di connessione peering, puoi effettuare il peering su altri VPC con account diversi.
  

  Condivisione VPC

  La condivisione dei VPC è utile quando l'isolamento della rete tra i team non deve essere gestito in modo rigoroso dal proprietario del VPC, ma devono esserlo gli utenti e le autorizzazioni a livello di account. Con un VPC condiviso, più account AWS creano le proprie risorse applicative (come le istanze EC2) in Amazon VPC condivisi e gestiti centralmente. In questo modello, l'account che possiede il VPC (proprietario) condivide una o più sottoreti con altri account (partecipanti). Dopo la condivisione di una sottorete, i partecipanti potranno visualizzare, creare, modificare ed eliminare le proprie risorse applicative nelle sottoreti condivise con loro. I partecipanti non potranno visualizzare, modificare o eliminare le risorse che appartengono ad altri partecipanti o al proprietario del VPC. La sicurezza tra le risorse nei VPC condivisi viene gestita utilizzando gruppi di sicurezza, liste di controllo degli accessi di rete (NACL) o tramite un firewall tra le sottoreti
  

  AWS PrivateLink

  AWS PrivateLink fornisce la connettività privata tra VPC, servizi AWS e reti on-premise senza esporre il traffico a Internet pubblico. AWS PrivateLink semplifica la connessione di servizi tra account e VPC diversi, riducendo significativamente la complessità della tua architettura di rete. Ciò consente ai clienti che potrebbero voler esporre privatamente un servizio/applicazione che risiede in un VPC (fornitore di servizi) ad altri VPC (consumatori) all'interno di una Regione AWS in modo che solo i VPC consumer avviino connessioni al VPC del fornitore di servizi. Un esempio di ciò è la possibilità per le applicazioni private di accedere alle API dei provider di servizi.
  

  AWS Transit Gateway

  AWS Transit Gateway consente ai clienti di connettere migliaia di VPC. Puoi collegare tutta la tua connettività ibrida (connessioni VPN e Direct Connect) a una singola istanza di Transit Gateway, consolidando e controllando l'intera configurazione di routing AWS della tua organizzazione in un unico posto. Transit Gateway controlla il modo in cui il traffico viene instradato tra tutte le reti parlate connesse tramite tabelle di routing. Questo modello hub-and-spoke semplifica la gestione e riduce i costi operativi perché i VPC si connettono solo all'istanza di Transit Gateway per accedere alle reti connesse.
  

  Soluzione Transit VPC

  I Transit VPC possono risolvere alcune delle carenze del peering VPC introducendo un design hub-and-spoke per la connettività tra VPC. In una rete VPC di transito, un VPC centrale (il VPC dell'hub) si connette a tutti gli altri VPC (VPC parlati) tramite una connessione VPN, in genere utilizzando BGP su IPsec. Il VPC centrale contiene istanze EC2 che eseguono appliance software che indirizzano il traffico in entrata verso le loro destinazioni utilizzando l'overlay VPN. Il peering del Transit VPC presenta i seguenti vantaggi:

  • Il routing transitivo è abilitato utilizzando la rete VPN overlay, che consente un design hub-and-spoke più semplice.
  • Quando si utilizza il software di un fornitore di terze parti sull'istanza EC2 nel Transit VPC dell'hub, è possibile utilizzare le funzionalità del fornitore relative alla sicurezza avanzata, ad esempio firewall di livello 7/sistema di prevenzione delle intrusioni (IPS)/sistema di rilevamento delle intrusioni (IDS). Se i clienti utilizzano lo stesso software in locale, beneficiano di un'esperienza operativa/di monitoraggio unificata.
  • L'architettura Transit VPC consente la connettività che potrebbe essere desiderata in alcuni casi d'uso. Ad esempio, puoi connettere un'istanza AWS GovCloud e un VPC di una regione commerciale o un'istanza Transit Gateway a un Transit VPC e abilitare la connettività tra VPC tra le due regioni. Valuta i tuoi requisiti di sicurezza e conformità quando prendi in considerazione questa opzione. Per una maggiore sicurezza, è possibile implementare un modello di ispezione centralizzato utilizzando i modelli di progettazione descritti più avanti in questo whitepaper.

  NOTA: Transit VPC presenta alcune problematiche, come costi più elevati per l'esecuzione di appliance virtuali di fornitori di terze parti su Amazon EC2 in base alla dimensione/famiglia dell'istanza, velocità di trasmissione effettiva limitata per connessione VPN (fino a 1,25 Gbps per tunnel VPN) e sovraccarico aggiuntivo di configurazione, gestione e resilienza (i clienti sono responsabili della gestione dell'elevata disponibilità e ridondanza delle istanze EC2 che eseguono le appliance virtuali di fornitori di terze parti).
  

• Quali sono alcune best practice di sicurezza per il tuo VPC?

  Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per il tuo ambiente, trattale come considerazioni utili anziché come prescrizioni.

  • Quando aggiungi sottoreti al tuo VPC per ospitare la tua applicazione, creale in più zone di disponibilità. Una zona di disponibilità consiste in uno o più data center provvisti di alimentazione, rete e connettività ridondanti in una Regione AWS. L'utilizzo di più zone di disponibilità rende le applicazioni di produzione altamente disponibili, tolleranti ai guasti e scalabili.
  • Usa gli ACL di rete per controllare l'accesso alle tue sottoreti e utilizza i gruppi di sicurezza per controllare il traffico verso le istanze EC2 nelle sottoreti.
  • Gestisci l'accesso alle risorse e alle API di Amazon VPC utilizzando la federazione di identità, gli utenti e i ruoli di AWS Identity and Access Management (IAM).
  • Usa Amazon CloudWatch con i log di flusso VPC per monitorare il traffico IP in entrata e in uscita dalle interfacce di rete del tuo VPC.

  Per le risposte alle domande frequenti relative alla sicurezza VPC, consulta la sezione Sicurezza e filtri nelle domande frequenti di Amazon VPC.
  

• Quali sono gli scenari VPC più comuni?

  VPC con una sottorete pubblica singola

  La configurazione per questo scenario include un VPC con un'unica sottorete pubblica e un gateway Internet per consentire la comunicazione su Internet. Consigliamo questa configurazione se è necessario eseguire un'applicazione Web a livello singolo rivolta al pubblico, come un blog o un semplice sito Web. Facoltativamente, questo scenario può anche essere configurato per IPv6. Le istanze avviate nella sottorete pubblica possono ricevere indirizzi IPv6 e comunicare tramite IPv6.
  

  

  Chiudi

  

  VPC con sottoreti pubbliche e private (NAT)

  La configurazione per questo scenario include un VPC con una sottorete pubblica e una sottorete privata. Consigliamo questo scenario se si desidera eseguire un'applicazione Web rivolta al pubblico, mantenendo server di backend non accessibili al pubblico. Un esempio comune è un sito Web a più livelli, con i server Web in una sottorete pubblica e i server del database in una sottorete privata. È possibile impostare la sicurezza e il routing in modo che i server Web possano comunicare con i server del database.

  Le istanze nella sottorete pubblica possono inviare traffico in uscita direttamente a Internet, mentre le istanze nella sottorete privata no. Le istanze in una sottorete privata possono accedere a Internet utilizzando un gateway NAT (Network Address Translation) che si trova nella sottorete pubblica. I server del database possono connettersi a Internet per gli aggiornamenti software utilizzando il gateway NAT, ma Internet non può stabilire connessioni ai server del database.

  Facoltativamente, questo scenario può anche essere configurato per IPv6. Le istanze avviate nelle sottoreti possono ricevere indirizzi IPv6 e comunicare tramite IPv6. Le istanze della sottorete privata possono utilizzare un gateway Internet di sola uscita per connettersi a Internet tramite IPv6, ma Internet non può stabilire connessioni alle istanze private tramite IPv6.
  

  

  Chiudi

  

  VPC con sottoreti pubbliche e private e accesso alla VPN sito-sito AWS

  La configurazione per questo scenario include un VPC con una sottorete pubblica e una sottorete privata e un gateway privato virtuale per consentire la comunicazione con la propria rete tramite un tunnel VPN IPsec. Consigliamo questo scenario se desideri estendere la tua rete nel cloud e accedere direttamente a Internet dal tuo VPC. Questo scenario consente di eseguire un'applicazione a più livelli con un front-end Web scalabile in una sottorete pubblica e di ospitare i dati in una sottorete privata connessa alla rete tramite una connessione VPN Site-to-Site IPsec AWS.

  Facoltativamente, questo scenario può anche essere configurato per IPv6. Le istanze avviate nelle sottoreti possono ricevere indirizzi IPv6. Non supportiamo la comunicazione IPv6 tramite una connessione VPN sito-sito su un gateway privato virtuale; tuttavia, le istanze nel VPC possono comunicare tra loro tramite IPv6 e le istanze nella sottorete pubblica possono comunicare su Internet tramite IPv6.
  

  

  Chiudi

  

  VPC con una sola sottorete privata e accesso alla VPN sito-sito AWS

  La configurazione per questo scenario include un VPC con una singola sottorete privata e un gateway privato virtuale per consentire la comunicazione con la propria rete tramite un tunnel VPN IPsec. Non esiste un gateway Internet per consentire la comunicazione su Internet. Consigliamo questo scenario se desideri estendere la tua rete nel cloud utilizzando l'infrastruttura AWS senza esporre la rete a Internet.

  Facoltativamente, questo scenario può anche essere configurato per IPv6. Le istanze avviate nella sottorete possono ricevere indirizzi IPv6. Non supportiamo la comunicazione IPv6 tramite una connessione VPN sito-sito AWS su un gateway privato virtuale; tuttavia, le istanze nel VPC possono comunicare tra loro tramite IPv6.
  

  

  Chiudi

  

Fasi successive