Domande generiche

D: Cos'è Amazon Virtual Private Cloud?

Amazon VPC consente di eseguire il provisioning di una sezione logicamente isolata del cloud di Amazon Web Services (AWS) dove è possibile avviare risorse AWS in una rete virtuale definita dal cliente. L'utente ha il controllo completo sul proprio ambiente virtuale di rete, incluse la selezione degli intervalli di indirizzi IP, la creazione di sottoreti e la configurazione di tabelle di routing e di gateway di rete. Inoltre, potrai creare una connessione VPN hardware tra il tuo data center aziendale e la VPC per utilizzare il cloud AWS come estensione del data center aziendale.

È possibile personalizzare la configurazione di rete di Amazon VPC con estrema facilità. Ad esempio, è possibile creare una sottorete pubblica per i server Web dotata di accesso a Internet e collocare i sistemi back-end quali database o server di applicazioni in una sottorete privata senza accesso a Internet. Grazie ai vari livelli di sicurezza disponibili, come i gruppi di sicurezza e le liste di controllo degli accessi di rete, è possibile controllare l'accesso alle istanze di Amazon EC2 in ciascuna sottorete.

D: Quali sono i componenti di Amazon VPC?

Amazon VPC è composto da una serie di oggetti già noti ai clienti con reti esistenti:

  • Un cloud privato virtuale: una rete virtuale isolata logicamente nel cloud AWS. Potrai scegliere manualmente gli intervalli dello spazio degli indirizzi IP del VPC.
  • Sottorete: un segmento di un intervallo di indirizzi IP di cloud privato virtuale in cui collocare gruppi di risorse isolate.
  • Gateway Internet: una connessione pubblica a Internet, lato Amazon VPC.
  • Gateway NAT: un servizio gestito di Network Address Translation (NAT) ad elevata disponibilità per consentire l'accesso a Internet alle risorse in sottoreti private.
  • Connessione VPN hardware: una connessione VPN basata su hardware tra Amazon VPC e il data center, la rete locale o una struttura in co-location.
  • Gateway privato virtuale: una connessione VPN, lato Amazon VPC.
  • Gateway del cliente: una connessione VPN, lato utente.
  • Router: i router collegano le sottoreti e instradano il traffico tra gateway Internet, gateway privati virtuali, gateway NAT e sottoreti.
  • Connessione peer: una connessione peer consente di instradare il traffico attraverso indirizzi IP privati tra due VPC in peering.
  • Endpoint VPC: permettono connessioni private ai servizi in hosting in AWS direttamente dal cloud privato virtuale, senza dover utilizzare gateway Internet, VPN, dispositivi NAT o proxy firewall.
  • Gateway Internet per traffico solo in uscita: un gateway stateful che fornisce solo accesso in uscita per il traffico IPv6.
 
D: Qual è il vantaggio di utilizzare Amazon VPC?
 
Amazon VPC consente di creare una rete virtuale nel cloud AWS senza dover configurare VPN, hardware o data center fisici. Puoi definire uno spazio di rete e controllare le interazioni tra la rete (e le risorse di Amazon EC2 in essa) e Internet. Puoi anche sfruttare le opzioni di sicurezza avanzate di Amazon VPC per fornire accesso con maggiore granularità in entrata e in uscita dalle istanze Amazon EC2 nella rete virtuale.
 
D: Come si inizia a usare Amazon VPC?
 
Le tue risorse AWS vengono automaticamente assegnate in un cloud privato virtuale di default pronto all'uso. Puoi scegliere di creare ulteriori VPC accedendo alla pagina di Amazon VPC della Console di gestione AWS e facendo clic su pulsante "Start VPC Wizard".
 
Avrai a tua disposizione quattro opzioni di base per creare l'architettura di rete. Dopo aver selezionato un'opzione, puoi modificare le dimensioni e l'intervallo di indirizzi IP del cloud privato virtuale e delle relative sottoreti. Se selezioni un'opzione che prevede l'accesso a una VPN hardware, dovrai specificare l'indirizzo IP della VPN hardware nella tua rete. Puoi modificare il cloud privato virtuale aggiungendo o rimuovendo gateway e intervalli IP secondari oppure aggiungendo altre sottoreti agli intervalli IP.
 
Le quattro opzioni sono:
 
  1. VPC with a Single Public Subnet Only
  2. VPC with Public and Private Subnets
  3. VPC with Public and Private Subnets and Hardware VPN Access
  4. VPC with a Private Subnet Only and Hardware VPN Access
 
D: Quali tipi di endpoint VPC sono disponibili in Amazon VPC?
 
Gli endpoint VPC consentono di connettere in modo privato un cloud privato virtuale ai servizi in hosting in AWS senza utilizzare gateway Internet, dispositivi NAT, VPN o proxy firewall. Gli endpoint sono dispositivi virtuali con scalabilità orizzontale e disponibilità elevata che permettono la comunicazione tra le istanze in un cloud privato virtuale e i servizi AWS. Amazon VPC offre due diversi tipi di endpoint: gli endpoint di tipo gateway e gli endpoint di tipo interfaccia.
 
Gli endpoint di tipo gateway sono disponibili solo per i servizi AWS, ad esempio S3 e DynamoDB. Questi endpoint aggiungono un elemento alla tabella di routing selezionata e instradano il traffico ai servizi supportati tramite la rete privata di Amazon.
 
Gli endpoint di tipo interfaccia forniscono connettività privata ai servizi compatibili con PrivateLink, che siano servizi AWS, aziendali o soluzioni SaaS e supporta le connessioni su Direct Connect. In futuro, questo tipo di endpoint supporterà anche altre soluzioni AWS e SaaS. Consulta la pagina relativa ai prezzi di VPC per informazioni sulle tariffe degli endpoint di tipo interfaccia.
 

Fatturazione

D: Come viene addebitato e fatturato il mio utilizzo di Amazon VPC?

Non sono previsti costi aggiuntivi per la creazione e l'uso di un cloud privato virtuale. Vengono invece addebitati i costi per gli altri servizi, ad esempio Amazon EC2, secondo le tariffe pubblicate (incluse quelle per il trasferimento dei dati). Se colleghi il tuo VPC al data center aziendale usando una connessione VPN hardware opzionale, il costo dipende dalle ore di connessione alla VPN (la quantità di tempo in cui la connessione è in stato "disponibile"). Le ore parziali saranno fatturate come ore complete. I dati trasferiti tramite connessioni VPN saranno fatturati secondo le tariffe standard di AWS. Per informazioni sui prezzi di VPC e VPN, visita la sezione dedicata nella pagina di Amazon VPC.

D: In che modo sono definite le ore di connessione fatturabili di VPN?

Le ore di connessione di VPN sono calcolate secondo la quantità di tempo in cui le connessioni VPN sono in stato "disponibile". Puoi determinare lo stato di una connessione VPN tramite la Console di gestione AWS, l'interfaccia a riga di comando o le API. Se non desideri utilizzare una connessione VPN, puoi interromperla per non incorrere in tariffe aggiuntive.

D: Quali sono i costi di utilizzo derivanti dall'impiego di altri servizi AWS, ad esempio Amazon S3, nelle istanze Amazon EC2 nella VPC?

I costi di utilizzo per gli altri servizi, ad esempio Amazon EC2, vengono addebitati secondo le tariffe pubblicate (incluse quelle per il trasferimento dei dati). Il trasferimento dei dati non prevede alcun costo quando l'accesso ad Amazon Web Services (ad esempio ad Amazon S3) avviene tramite il gateway Internet del cloud privato virtuale.

Se accedi alle risorse AWS tramite la connessione VPN, vengono addebitati i costi di trasferimento dei dati su Internet.

D: I prezzi includono le tasse?

Salvo diversa indicazione, i prezzi sono al netto di eventuali tasse e imposte doganali, inclusa l'IVA ed eventuali imposte sulle vendite. Per i clienti con indirizzo di fatturazione in Giappone, l'utilizzo dei servizi AWS è soggetto all'imposta sul consumo giapponese. Ulteriori informazioni.

Connettività

D: Quali sono le opzioni di connettività per un cloud privato virtuale?

Puoi connettere un cloud privato virtuale a:

  • Internet (tramite un gateway Internet)
  • Data center aziendale con una connessione VPN hardware (tramite un gateway privato virtuale)
  • Internet e data center aziendale (tramite sia gateway Internet sia gateway privato virtuale)
  • Altri servizi AWS (tramite gateway Internet, NAT, gateway privato virtuale o endpoint VPC)
  • Altri VPC (tramite connessioni peer VPC)
 
D: Come si collega a Internet un cloud privato virtuale?
 
Amazon VPC supporta la creazione di un gateway Internet. Questo gateway consente alle istanze EC2 nel cloud privato virtuale di accedere direttamente a Internet.
 
D: Sono previste limitazioni di banda per i gateway Internet? È necessario pianificarne la disponibilità? Può rappresentare un singolo punto di errore?
 
No. Un gateway Internet dispone di scalabilità orizzontale, è ridondante e offre disponibilità elevata. Non impone alcuna limitazione di banda.
 
D: Come accedono a Internet le istanze in un cloud privato virtuale?
 
Puoi utilizzare indirizzi IP pubblici, tra cui gli indirizzi IP elastici (EIP) per permettere alle istanze in un cloud privato virtuale di comunicare direttamente verso l'esterno e di ricevere traffico in entrata su Internet (ad es. con server Web). Puoi anche utilizzare le soluzioni proposte nella domanda successiva.
 
D: In che modo le istanze senza indirizzi IP pubblici possono accedere a Internet?
 
Le istanze sprovviste di indirizzi IP pubblici possono accedere a Internet in due modi:
 
  1. Le istanze prive di indirizzi IP pubblici possono instradare il traffico attraverso un gateway NAT oppure un'istanza NAT. Queste istanze usano l'indirizzo IP pubblico del gateway NAT o dell'istanza NAT per accedere a Internet. Il gateway NAT (o l'istanza NAT) consente le comunicazioni in uscita ma non permette alle macchine su Internet di avviare una connessione alle istanze con indirizzi privati.
  2. Per i VPC con connessione VPN hardware o Direct Connect, le istanze possono instradare il traffico Internet all'interno del gateway privato virtuale fino al data center esistente. Da lì possono accedere a Internet tramite i punti di uscita esistenti e i dispositivi di protezione/monitoraggio della rete.
 
D: È possibile collegarsi al VPC usando una VPN software?
 
Sì. È possibile usare una VPN software di terze parti per creare una connessione VPN di accesso remoto o tra due siti con il VPC, utilizzando il gateway Internet.
 
D: Come funziona una connessione VPN hardware con Amazon VPC?
 
Una connessione VPN hardware collega il cloud privato virtuale al tuo data center. Amazon supporta le connessioni VPN IPsec (Internet Protocol security). I dati trasferiti tra il cloud privato virtuale e il data center vengono instradati su una connessione VPN crittografata per proteggere la riservatezza e l'integrità dei dati in transito. Per stabilire connessioni VPN hardware non è invece necessario disporre di un gateway Internet-
 
D: Cosa significa IPsec?
IPsec è una suite di protocolli che si prefigge di ottenere connessioni sicure sul protocollo IP (Internet Protocol) mediante l'autenticazione e la crittografia dei singoli pacchetti IP del flusso di dati.
 
D: Quali dispositivi gateway del cliente è possibile usare per collegarsi ad Amazon VPC?
 
È possibile creare due tipi di connessioni VPN: con instradamento statico e con instradamento dinamico. I dispositivi gateway del cliente che supportano le connessioni VPN con instradamento statico devono essere in grado di:
 
  • Stabilire un'associazione di sicurezza tramite protocollo IKE utilizzando chiavi precondivise
  • Stabilire un'associazione di sicurezza tramite protocollo IPsec in modalità Tunnel
  • Utilizzare funzioni di crittografia con algoritmo AWS a 128 o a 256 bit
  • Utilizzare funzioni di hashtag SHA-1 o SHA-2 (256)
  • Utilizzare lo scambio di chiavi Diffie-Hellman in modalità "Group 2" con Perfect Forward Secrecy o uno dei gruppi DH aggiuntivi supportati
  • Eseguire la frammentazione dei pacchetti prima della crittografia
 
Oltre alle funzioni fin qui citate, i dispositivi che supportano le connessioni VPN con instradamento dinamico devono essere in grado di:
 
  • Configurare peer secondo il protocollo BGP (Border Gateway Protocol)
  • Unire tunnel a interfacce logiche (VPN basata sull'instradamento)
  • Utilizzare la funzione di Dead Peer Detection su protocollo IPsec
 
D: Quali gruppi Diffie-Hellman sono supportati?
 
I gruppi DH (Diffie-Hellman) supportati Phase1 e Phase2 sono i seguenti.
 
  • Gruppi DH Phase1 2, 14-18, 22, 23, 24
  • Gruppi DH Phase2 2, 5, 14-18, 22, 23, 24
 
D: Di quali dispositivi gateway del cliente è già nota la compatibilità con Amazon VPC?
 
Nel seguente elenco sono riportati i dispositivi che soddisfano i requisiti illustrati in alto e di cui è nota la compatibilità con le connessioni VPN hardware; inoltre, questi dispositivi supportano gli strumenti a riga di comando, consentendo la generazione automatica dei file di configurazione più adatti:
 
Nota: queste configurazioni di esempio soddisfano i requisiti minimi per AES-128, SHA-1 e DH Group 2. Per poter sfruttare AES-256, SHA-256 e altri gruppi DH, la configurazione va modificata.
 
D: Se il dispositivo in uso non è tra quelli elencati, dove sono disponibili eventuali informazioni su come utilizzarlo con Amazon VPC?
 
Ti consigliamo di consultare il forum su Amazon VPC, perché è possibile che altri clienti utilizzino il tuo stesso dispositivo.
 
D: Sono previste limitazioni al throughput delle connessioni VPN?
 
Sono diversi i fattori che possono influenzare il throughput della connessione VPN, ad esempio la capacità del gateway del cliente (CGW), la velocità della connessione. le dimensioni medie dei pacchetti, il protocollo utilizzato (TCP o UDP) e la latenza tra il gateway del cliente e il gateway privato virtuale (VGW).
 
D: Quali strumenti è possibile usare per risolvere i problemi di configurazione della VPN hardware?
 
L'API DescribeVPNConnection mostra lo stato della connessione VPN e dei singoli tunnel VPN ("attivo"/"non attivo"), inclusi gli eventuali messaggi di errore se uno dei tunnel non è attivo. Queste informazioni sono consultabili anche sulla Console di gestione AWS.
 
D: Come si collega un cloud privato virtuale al data center aziendale?
 
Stabilire una connessione VPN hardware tra la rete esistente e Amazon VPC consente di interagire con le istanze Amazon EC2 all'interno del cloud privato virtuale come se si trovassero all'interno della rete esistente. AWS non applica la funzione Network Address Translation (NAT) alle istanze Amazon EC2 dentro un cloud privato virtuale tramite connessione VPN hardware.
 
D: È possibile usare la funzione NAT con un gateway del cliente protetto da router o firewall?
 
Sì, ma sarà necessario abilitare NAT-T e aprire la porta UDP 4500 sul dispositivo NAT.
 
D: Quale indirizzo IP è possibile utilizzare per un CGW?

Sarà necessario utilizzare l'indirizzo IP pubblico del dispositivo NAT.

D: Come si disabilita la funzione NAT-T su una connessione?

La funzione NAT-T va disabilitata sul dispositivo. Se non desideri usare la funzione NAT-T e sul dispositivo è abilitata, proveremo a stabilire un tunnel sulla porta UDP 4500. Se la porta non è aperta, non sarà stabilito alcun tunnel.

D: Quali operazioni bisogna eseguire per configurare più gateway del cliente dietro una NAT?

È necessario usare l'indirizzo IP pubblico del dispositivo NAT per il gateway del cliente per ciascuna connessione. Sarà inoltre necessario accertarsi che la porta UDP 4500 sia aperta.

D: Quante associazioni di sicurezza tramite protocollo IPsec è possibile stabilire contemporaneamente in ogni tunnel?

Il servizio VPN di AWS è una soluzione basata sull'instradamento, perciò se usi una configurazione basata sull'instradamento non incorrerai in alcuna limitazione usando le associazioni di sicurezza. Se tuttavia usi una soluzione basata su policy, la limitazione sarà a una singola associazione di sicurezza poiché il servizio è una soluzione basata sull'instradamento.

 

Assegnazione degli indirizzi IP

D: Quali intervalli di indirizzi IP è possibile usare nel cloud privato virtuale?

Puoi usare qualsiasi intervallo di indirizzi IPv4, inclusi gli indirizzi IP previsti nella RFC 1918 o quelli instradabili pubblicamente per il blocco CIDR principale. Per i blocchi CIDR secondari, sono previste alcune restrizioni. I blocchi IP instradabili pubblicamente sono raggiungibili solo tramite gateway privato virtuale e non è possibile accedervi da Internet tramite il gateway Internet. AWS non pubblicizza in Internet i blocchi di indirizzi IP di proprietà dei clienti. Potrai allocare un blocco CIDR IPv6 fornito da Amazon in un cloud privato virtuale richiamando la relativa API oppure tramite la Console di gestione AWS.

D: Come si assegnano gli intervalli di indirizzi IP ai cloud privati virtuali?

Puoi assegnare un singolo intervallo di indirizzi IP CIDR (Classless Internet Domain Routing) come blocco CIDR principale al momento della creazione del cloud privato virtuale; successivamente potrai aggiungere fino a quattro (4) blocchi CIDR secondari. Alle sottoreti interne al cloud privato virtuale potrai assegnare gli indirizzi compresi in questi intervalli CIDR. Anche se gli intervalli di indirizzi IP di diversi cloud privati virtuali possono sovrapporsi, non sarà possibile connettere i VPC a una comune rete domestica tramite una connessione VPN hardware. Per questo motivo, consigliamo di non utilizzare intervalli di indirizzi IP sovrapposti. Potrai allocare un blocco CIDR IPv6 fornito da Amazon nel tuo cloud privato virtuale.

D: Quali intervalli di indirizzi IP vengono assegnati a un cloud privati virtuale di default?

Ai cloud privati virtuali di default viene assegnato l'intervallo CIDR 172.31.0.0/16. Le sottoreti di default all'interno di un cloud privato virtuale ricevono netblock /20 all'interno dell'intervallo CIDR del cloud privato virtuale. 

D: È possibile pubblicizzare l'intervallo di indirizzi IP pubblici di un cloud privato virtuale su Internet e instradare il traffico attraverso il data center (tramite VPN hardware) verso il cloud privato virtuale?

Sì, puoi instradare il traffico tramite connessione VPN hardware e pubblicizzare l'intervallo di indirizzi dalla rete domestica.

D: Quali sono le dimensioni massime consentite per un cloud privato virtuale?

Al momento, Amazon VPC supporta cinque (5) intervalli di indirizzi IP, uno (1) principale e quattro (4) secondari per IPv4. Le dimensioni di ciascuno di questi intervalli devono essere comprese tra /28 e /16 (secondo la notazione CIDR). Gli intervalli di indirizzi IP del cloud privato virtuale non devono però sovrapporsi a intervalli di reti esistenti.

Per il protocollo IPv6, il cloud privato virtuale ha una dimensione fissa di /56 (in notazione CIDR). Ad un cloud privato virtuale possono essere associati blocchi CIDR sia IPv4 sia IPv6.

D: È possibile modificare le dimensioni di un cloud privato virtuale?

Sì. È possibile espandere un cloud privato virtuale esistente aggiungendo fino a quattro (4) intervalli IPv4 secondari (CIDR). Per ridurne le dimensioni, è possibile eliminare i blocchi CIDR secondari che erano stati aggiunti. Non è tuttavia possibile modificare le dimensioni dell'intervallo di indirizzi IPv6 del cloud privato virtuale.

D: Quante sottoreti è possibile creare per ogni cloud privato virtuale?

Al momento è possibile creare fino a 200 sottoreti per cloud privato virtuale. Se desideri crearne un numero maggiore, inoltra una richiesta al centro di supporto.

D: Sono previste dimensioni minime o massime per una sottorete?

La dimensione minima di una sottorete è /28 (o 14 indirizzi IP) per il protocollo IPv4. Le sottoreti non possono avere dimensioni maggiori rispetto al cloud privato virtuale in cui sono create.

Per il protocollo IPv6, le sottoreti hanno una dimensione fissa di /64. A una sottorete può essere allocato un solo blocco CIDR IPv6.

D: È possibile usare tutti gli indirizzi IP assegnati a una sottorete?

No. Amazon riserva i primi quattro (4) e l'ultimo indirizzo IP di ogni sottorete a scopo di gestione della rete IP. 

D: Come si assegnano gli indirizzi IP privati alle istanze Amazon EC2 all'interno di una VPC?

Quando avvii un'istanza Amazon EC2 all'interno di un cloud privato virtuale, puoi specificarne l'indirizzo IP privato principale. Se decidi di non specificare l'indirizzo IP privato principale, AWS ne assegna automaticamente uno dall'intervallo di indirizzi IP assegnati alla sottorete. Puoi assegnare indirizzi IP privati secondari quando avvii un'istanza o crei un'interfaccia di rete elastica o in qualsiasi momento dopo aver avviato l'istanza o creato l'interfaccia.

D: È possibile modificare gli indirizzi IP privati di un'istanza Amazon EC2 mentre è in esecuzione e/o interrotta all'interno di un cloud privato virtuale?

Gli indirizzi IP privati principali rimangono gli stessi per tutto il ciclo di vita dell'istanza o dell'interfaccia. Gli indirizzi IP privati secondari possono essere assegnati, rimossi o riassegnati tra diverse istanze o interfacce in qualsiasi momento.

D: Se un'istanza Amazon EC2 viene interrotta all'interno di un cloud privato virtuale, è possibile avviare un'altra istanza con lo stesso indirizzo IP nello stesso cloud?

No. Un indirizzo IP assegnato a un'istanza in esecuzione può essere riutilizzato da un'altra istanza solo se l'istanza originale viene terminata.

D: È possibile assegnare indirizzi IP simultaneamente per più istanze?

No. Puoi specificare l'indirizzo IP di una sola istanza alla volta, al momento dell'avvio.

D: È possibile assegnare un indirizzo IP qualsiasi a un'istanza?

Puoi assegnare un indirizzo IP qualsiasi a un'istanza solo se l'indirizzo:

  • È parte dell'intervallo di indirizzi IP della sottorete associata
  • Non è riservato da Amazon a scopo di gestione della rete IP
  • Non è assegnato a un'altra interfaccia

D: È possibile assegnare più indirizzi IP a un'istanza?

Sì. Puoi assegnare uno o più indirizzi IP privati secondari a un'interfaccia di rete elastica o a un'istanza EC2 in Amazon VPC. Il numero di indirizzi IP privati secondari che puoi assegnare dipende dal tipo di istanza. Consulta il documento EC2 User Guide per ulteriori informazioni sul numero di indirizzi IP privati secondari assegnabili per tipo di istanza.

D: È possibile assegnare uno o più indirizzi IP elastici a istanze Amazon EC2 basate su VPC?

Sì; gli indirizzi IP elastici, tuttavia, risulteranno raggiungibili solamente da Internet e non, quindi, dalla connessione VPN. Ogni indirizzo IP elastico deve essere associato a un indirizzo IP privato univoco sull'istanza. Gli indirizzi IP elastici dovrebbero essere usato solo su istanze in sottoreti configurate in modo che il loro traffico venga instradato direttamente verso il gateway Internet. Gli indirizzi IP elastici non possono essere usati su istanze in sottoreti configurate per l'utilizzo di un gateway NAT o di un'istanza NAT con accesso a Internet. Questa regola si applica solo al protocollo IPv4. I cloud privati virtuali al momento non supportano indirizzi IP elastici per il protocollo IPv6.

Instradamento e topologia

D: Qual è la funzione di un router VPC?

Un router Amazon VPC consente alle istanze Amazon EC2 all'interno delle sottoreti di comunicare con le istanze Amazon EC2 in altre sottoreti nello stesso cloud privato virtuale. Il router VPC consente inoltre a sottoreti, gateway Internet e gateway privati virtuali di comunicare tra loro. Il router non offre i dati sull'utilizzo della rete, ma è possibile reperire queste informazioni dalle istanze utilizzando Amazon CloudWatch.

D: È possibile modificare le tabelle di routing di un cloud privato virtuale?

Sì. Puoi creare regole di routing che specifichino quali sottoreti vengono instradate verso il gateway Internet, il gateway privato virtuale o verso altre istanze.

D: È possibile specificare quale sottorete utilizzerà quale gateway di default?

Sì. Puoi creare un instradamento di default per ogni sottorete. L'instradamento di default può indirizzare il traffico in uscita dal cloud privato virtuale tramite il gateway Internet, il gateway privato virtuale o il gateway NAT.

D: Amazon VPC supporta il multicast o il broadcast?

No.

Sicurezza e filtri

D: Come è possibile proteggere le istanze Amazon EC2 in esecuzione all'interno di un cloud privato virtuale?

Per proteggere le istanze all'interno di Amazon VPC sono disponibili i gruppi di sicurezza di Amazon EC2. I gruppi di sicurezza in un cloud privato virtuale consentono di specificare il traffico consentito in ingresso e in uscita per ogni istanza Amazon EC2. Il traffico che non viene espressamente consentito, sia in ingresso sia in uscita, viene automaticamente bloccato.

Oltre ai gruppi di sicurezza, per consentire o limitare il traffico in entrata e in uscita da ciascuna sottorete è possibile usare le liste di controllo degli accessi di rete (ACL).

D: Quali sono le differenze tra i gruppi di sicurezza e le liste di controllo degli accessi di rete in un cloud privato virtuale?

In un cloud privato virtuale, i gruppi di sicurezza indicano il traffico che è consentito in ingresso e in uscita da un'istanza Amazon EC2. Le liste di controllo degli accessi di rete operano a livello di sottorete e analizzano il traffico in entrata e in uscita da una sottorete. Le liste possono essere usate per configurare regole che autorizzano e che bloccano il traffico. All'interno della stessa sottorete, le liste di controllo degli accessi di rete non possono essere usate per filtrare il traffico tra istanze. Infine, queste liste consentono un filtraggio stateless, mentre i gruppi di sicurezza eseguono un filtraggio stateful.

D: Qual è la differenza tra filtraggio stateful e stateless?

Il filtraggio di tipo stateful risale all'origine di una richiesta e può consentire l'inoltro automatico della risposta verso il computer da cui è stata inviata. Ad esempio, un filtro di tipo stateful che consente il traffico in entrata sulla porta TCP 80 di un server Web consentirà il traffico in risposta, di solito su un numero di porta elevato (ad esempio la porta TCP di destinazione 63, 912), attraverso il filtro di tipo stateful tra il client e il server Web. Il servizio di filtraggio conserva una tabella di stato che tiene nota dell'origine e della destinazione dei numeri di porta e degli indirizzi IP. Sul servizio di filtraggio è necessaria una sola regola, che consenta il traffico in entrata verso il server Web sulla porta TCP 80.

Il filtraggio di tipo stateless, invece, esamina esclusivamente l'indirizzo IP di origine o di destinazione e la porta di destinazione, senza tenere conto se il traffico proviene da una nuova richiesta o da una risposta a una richiesta. Nell'esempio illustrato in precedenza, sarebbe necessario implementare due regole nel servizio di filtraggio: una regola per consentire il traffico in entrata verso il server Web sulla porta TCP 80 e una per consentire il traffico in uscita dal server Web (porte TCP da 49.152 a 65.535).

D: In Amazon VPC, è possibile utilizzare coppie di chiavi SSH create per istanze in Amazon EC2 e viceversa?

Sì.

D: Le istanze Amazon EC2 in un cloud privato virtuale possono comunicare con le istanze Amazon EC2 al di fuori del cloud?

Sì. Se è stato configurato un gateway Internet, il traffico di Amazon VPC destinato alle istanze Amazon EC2 esterne al cloud privato virtuale passerà attraverso il gateway e raggiungerà la rete pubblica di AWS e l'istanza EC2. Se non è stato configurato un gateway Internet, oppure se l'istanza è in una sottorete configurata per l'instradamento attraverso il gateway privato virtuale, il traffico passerà attraverso la connessione VPN in uscita dal data center per rientrare nella rete pubblica di AWS.

D: Le istanze Amazon EC2 all'interno di un VPC in una regione possono comunicare con le istanze Amazon EC2 di un altro VPC che si trova in una regione differente?

Sì. Le istanze in una regione possono comunicare tra loro mediante connessioni VPC in peering tra più regioni, indirizzi IP pubblici, gateway NAT, istanze NAT, connessioni VPN e connessioni Direct Connect.

D: Le istanze Amazon EC2 in un cloud privato virtuale possono comunicare con Amazon S3?

Sì. Le risorse in un VPC possono comunicare con Amazon S3 in diversi modi.  Puoi usare un endpoint VPC per S3, che fa sì che tutto il traffico rimanga nella rete di Amazon e consente di applicare policy di accesso aggiuntive al traffico di Amazon S3. Puoi usare un gateway Internet per consentire l'accesso a Internet dal VPC, consentendo alle istanze in VPC di comunicare con Amazon S3. Puoi anche instradare tutto il traffico di Amazon S3 attraverso una connessione Direct Connect o VPN, facendolo uscire dal data center e rientrare nella rete AWS pubblica.

D: Perché non è possibile eseguire il ping del router o del gateway di default che collega le sottoreti?

Le richieste ping verso il router (pacchetti ICMP di tipo Echo Request ed Echo Reply) non sono supportate in un VPC. Le richieste ping tra le istanze Amazon EC2 all'interno di un VPC sono supportate se consentito da firewall del sistema operativo, gruppi di sicurezza di VPC e liste di controllo degli accessi di rete.

D: È possibile monitorare il traffico di rete nel cloud privato virtuale?

Sì. È possibile usare la funziona Flow Logs di Amazon VPC per monitorare il traffico di rete nel cloud privato virtuale.

Amazon VPC ed EC2

D: In quali regioni di Amazon EC2 è disponibile Amazon VPC?

Amazon VPC è disponibile in diverse zone di disponibilità in tutte le regioni di Amazon EC2.

D: Un cloud privato virtuale può coprire diverse zone di disponibilità?

Sì. 

D: Una sottorete può coprire diverse zone di disponibilità?

No. Una sottorete può occupare una sola zona di disponibilità.

D: Come si specifica in quale zona di disponibilità avviare le istanze Amazon EC2?

Quando viene avviata un'istanza Amazon EC2, è necessario specificare la sottorete in cui avviarla. L'istanza verrà avviata nella zona di disponibilità associata alla sottorete scelta.

D: Come si determina in quale zona di disponibilità di trova una sottorete?

Quando crei una sottorete devi specificare la zona di disponibilità in cui collocarla. Quando usi lo strumento VPC Wizard, puoi selezionarla nella schermata di conferma. Quando usi l'API o l'interfaccia a riga di comando, puoi sceglierla durante la creazione. Se non specifichi alcuna zona di disponibilità, viene selezionata l'opzione di default "No Preference" e la sottorete sarà creata in una zona di disponibilità qualsiasi della regione.

D: Quali costi vengono addebitati per la larghezza di banda della rete tra istanze in diverse sottoreti?

Se le istanze si trovano in sottoreti situate in zone di disponibilità differenti, verrà addebitato 0,01 USD per GB di dati trasferiti.

D: Quando viene richiamato il comando DescribeInstances(), vengono visualizzate tutte le istanze Amazon EC2, incluse quelle in EC2-Classic ed EC2-VPC?

Sì. Il comando DescribeInstances() restituirà tutte le istanze Amazon EC2 in esecuzione. È possibile differenziare le istanze EC2-Classic da quelle EC2-VPC mediante una voce nel campo Subnet. Se viene elencato un ID sottorete, l'istanza sarà interna alla VPC. 

D: Quando viene richiamato il comando DescribeVolumes(), vengono visualizzati tutti i volumi di Amazon EBS, inclusi quelli in EC2-Classic ed EC2-VPC?

Sì. Il comando DescribeVolumes() restituirà tutti i volumi EBS.

D: Quante istanze di Amazon EC2 è possibile impiegare in un VPC?

In un cloud privato virtuale è possibile eseguire tutte le istanze Amazon EC2 che si desiderano, ammesso che le dimensioni del cloud siano sufficienti e che a ogni istanza sia assegnato un indirizzo IP. Inizialmente, è possibile avviare solo 20 istanze Amazon EC2 alla volta, e le dimensioni massime di un cloud privato virtuale corrispondono a /16 (65.536 indirizzi IP). Se desideri superare queste limitazioni, compila questo modulo.

D: È possibile usare le AMI esistenti in Amazon VPC?

Puoi usare le AMI in Amazon VPC se sono registrate nella stessa regione del cloud privato virtuale. Ad esempio, puoi usare le AMI registrate in us-east-1 all'interno di un cloud privato virtuale situato nella regione us-east-1. Per ulteriori informazioni, consulta le domande frequenti su regioni AWS e zone di disponibilità di Amazon EC2.

D: È possibile usare gli snapshot Amazon EBS esistenti?

Sì, puoi usare gli snapshot Amazon EBS se si trovano nella stessa regione del cloud privato virtuale. Per ulteriori informazioni, consulta le domande frequenti su regioni AWS e zone di disponibilità di Amazon EC2.

D: È possibile avviare un'istanza Amazon EC2 da un volume Amazon EBS all'interno di Amazon VPC?

Sì; tuttavia, un'istanza avviata in un cloud privato virtuale usando un'AMI basata su Amazon EBS conserverà lo stesso indirizzo IP quando interrotta e riavviata. Questa situazione è in contrasto con quanto accade con istanze simili avviate esternamente al cloud privato virtuale, che ricevono un nuovo indirizzo IP. Gli indirizzi IP delle istanze interrotte in una sottorete saranno considerati non disponibili.

D: È possibile utilizzare le istanze riservate di Amazon EC2 con Amazon VPC?

Sì. Quando acquisti istanze riservate, puoi prenotare un'istanza in Amazon VPC. Al momento del calcolo della fattura, AWS non effettua alcuna distinzione tra le istanze eseguite in Amazon VPC o in Amazon EC2. AWS selezionerà automaticamente le istanze riservate con il prezzo minore per consentirti di risparmiare. La prenotazione dell'istanza, tuttavia, sarà specifica di Amazon VPC. Per ulteriori informazioni, consulta la pagina dedicata alle istanze riservate.

D: È possibile impiegare Amazon CloudWatch in Amazon VPC?

Sì.

D: È possibile impiegare Auto Scaling in Amazon VPC?

Sì. 

D: È possibile avviare istanze cluster di Amazon EC2 in un cloud privato virtuale?

Sì. Le istanze cluster sono supportate in Amazon VPC, ma non tutti i tipi di istanza sono disponibili in tutte le regioni o zone di disponibilità.

 

Cloud privati virtuali di default

D: Cos'è un cloud privato virtuale di default?

Un cloud privato virtuale di default è una rete virtuale isolata logicamente nel cloud AWS, che viene automaticamente creata per il tuo account AWS la prima volta che effettui il provisioning di risorse Amazon EC2. Quando avvii un'istanze senza specificare il valore subnet-ID, l'istanza viene avviata nel cloud privato virtuale di default.

D: Quali sono i vantaggi di un cloud privato virtuale di default?

Quando avvii una risorsa in un cloud privato virtuale di default, puoi sfruttare le avanzate funzionalità di rete di Amazon VPC (EC2-VPC) con la facilità di utilizzo di Amazon EC2 (EC2-Classic). Potrai modificare in pochi istanti i membri dei gruppi di sicurezza e i relativi filtri in uscita, e sfruttare caratteristiche quali gli indirizzi IP multipli e le interfacce di rete multiple senza dover espressamente creare un cloud privato virtuale e avviare le istanze al suo interno.

D: Quali account sono abilitati all'uso del cloud privato virtuale di default?

Se il tuo account AWS è stato creato dopo il 18 marzo 2013, è possibile che tu sia in grado di avviare risorse in un VPC di default. Consultare questo annuncio sul forum per stabilire in quali regioni è possibile disporre di un VPC di default. Inoltre, gli account creati prima delle date elencate potranno utilizzare un VPC di default in qualsiasi regione in cui ciò sia consentito, a condizione che tu vi non abbia mai avviato istanze EC2 o effettuato il provisioning per risorse di Amazon Elastic Load Balancing, Amazon RDS, Amazon ElastiCache o Amazon Redshift.

D: Come si stabilisce se un account è configurato per l'utilizzo di un VPC di default?

Potrai vedere in quali piattaforme puoi avviare istanze per la regione selezionata nella console di Amazon EC2. Accertati che la regione in cui intendi operare sia selezionata nella barra di navigazione. Nel pannello di controllo della console di Amazon EC2, seleziona "Account Attribute"s, quindi "Supported Platforms". Se sono elencati due valori, EC2-Classic ed EC2-VPC, puoi avviare istanze in entrambe le piattaforme. Se è presente un solo valore, EC2-VPC, potrai avviare istanze solo in EC2-VPC. Se il tuo account è configurato per l'utilizzo di un VPC di default, potrai visualizzare il valore VPC ID di default nella sezione "Account Attributes". Per ottenere una descrizione delle piattaforme supportate, puoi anche usare l'API DescribeAccountAttributes di EC2 o l'interfaccia a riga di comando.

D: Sono necessarie nozioni approfondite di Amazon VPC per poter usare un VPC di default?

No. Per avviare e gestire istanze EC2 e altre risorse AWS in un cloud privato virtuale di default puoi usare la Console di gestione AWS, l'interfaccia a riga di comando di Amazon EC2 o l'API AWS EC2. AWS creerà automaticamente un VPC di default, con una sottorete in ciascuna zona di disponibilità nella regione AWS. Il tuo cloud privato virtuale di default sarà connesso a un gateway Internet e le istanze riceveranno automaticamente indirizzi IP pubblici, come avviene per EC2-Classic.

D: Quali sono le differenze tra le istanze avviate in EC2-Classic e in EC2-VPC?

Consultare Differences between EC2-Classic and EC2-VPC nel documento EC2 User's Guide.

D: È necessario disporre di una connessione VPN per usare un cloud privato virtuale di default?

No. I cloud privati virtuali di default sono collegati a Internet e tutte le istanze avviate nelle sue sottoreti di default ricevono automaticamente indirizzi IP pubblici. Se lo desideri, comunque, puoi aggiungere al tuo cloud una connessione VPN.

D: È possibile creare altri cloud privati virtuali e usarli insieme a quello di default?

Sì. Per avviare un'istanza in cloud privati virtuali non di default è necessario specificare il valore subnet-ID al momento dell'avvio.

D: È possibile creare sottoreti aggiuntive nel cloud privato virtuale di default, ad esempio sottoreti private?

Sì. Per eseguire l'avvio in sottoreti non di default, è possibile scegliere la destinazione degli avvii usando la console oppure tramite l'opzione --subnet da interfaccia a riga di comando, API o kit SDK.

D: Quanti VPC di default è possibile avere?

È possibile avere un solo VPC di default in ciascuna regione AWS in cui l'attributo Supported-Platforms è impostato su "EC2-VPC".

D: Qual è l'intervallo IP di un cloud privato virtuale di default?

Il blocco CIDR di un cloud privato virtuale di default è 172.31.0.0/16. Le sottoreti di default usano blocchi CIDR /20 all'interno dello stesso blocco CIDR.

D: Quante sottoreti di default ci sono in un cloud privato virtuale di default?

Viene creata una sottorete di default per ogni zona di disponibilità nel VPC di default.

D: È possibile specificare quale cloud privato virtuale è quello di default?

No, al momento no.

D: È possibile specificare quali sottoreti sono quelle di default?

No, al momento no.

D: È possibile eliminare un cloud privato virtuale di default?

Sì, un'istanza VPC di default può essere eliminata. Una volta completata l'operazione, è possibile creare una nuova istanza di default direttamente dalla console di VPC o dall'interfaccia a riga di comando. La nuova istanza VPC sarà quella predefinita all'interno della regione specificata. Questa operazione non consente il ripristino dell'istanza VPC precedentemente eliminata.

D: È possibile eliminare una sottorete di default?

Sì, una sottorete di default può essere eliminata. Una volta eliminata, è possibile creare una nuova sottorete di default nella zona di disponibilità utilizzando l'interfaccia a riga di comando o il kit SDK. La nuova sottorete di default sarà creata nella zona di disponibilità specificata. Questa operazione non consente il ripristino della sottorete precedentemente eliminata.

D: Ho un account EC2-Classic esistente. Posso usare un VPC di default?

Il modo più semplice per ottenere un VPC di default è creare un nuovo account in una regione che ne permette l'utilizzo, oppure usare un account esistente in una regione che non hai mai utilizzato, a condizione che l'attributo Supported-Platforms per quell'account nella regione sia "EC2-VPC".

D: Mi occorre un cloud privato virtuale per il mio account EC2 esistente. È possibile ottenerlo?

Sì; tuttavia possiamo configurare un account esistente per l'utilizzo di VPC di default solo se non contiene risorse EC2-Classic in quella regione. Inoltre, dovrai terminare tutte le risorse di Elastic Load Balancer, Amazon RDS, Amazon ElastiCache e Amazon Redshift non VPC di cui è stato eseguito il provisioning in quella regione. Una volta che il tuo account è configurato per l'utilizzo di un cloud privato virtuale, le risorse che avvierai in futuro, incluse le istanze avviate tramite Auto Scaling, saranno collocate in esso. Per richiedere che il tuo account esistente sia configurato per l'utilizzo di un cloud privato virtuale, contatta AWS Support. Prima di procedere, esamineremo la tua richiesta e i servizi AWS in uso, e verificheremo la presenza di risorse EC2-Classic.

D: In che modo un cloud privato virtuale di default influisce sugli account IAM?

Se il tuo account AWS dispone di un cloud privato virtuale di default, qualsiasi account IAM associato con il tuo account utilizzerà lo stesso cloud privato virtuale di default.

 

Interfacce di rete elastiche

D: È possibile collegare e scollegare una o più interfacce di rete da un'istanza EC2 mentre è in esecuzione?

Sì.

D: È possibile collegare più di due interfacce di rete a un'istanza EC2?

Il numero totale di interfacce di rete che è possibile collegare a un'istanza EC2 dipende dal tipo di istanza. Consultare il documento EC2 User's Guide per ulteriori informazioni sul numero di interfacce di rete consentite per ciascun tipo di istanza.

D: È possibile collegare un'interfaccia di rete in una zona di disponibilità a un'istanza situata in un'altra zona di disponibilità?

Le interfacce di rete possono essere collegate esclusivamente a istanze che si trovano nella stessa zona di disponibilità.

D: È possibile collegare un'interfaccia di rete in un cloud privato virtuale a un'istanza situata in un altro cloud?

Le interfacce di rete possono essere collegate esclusivamente a istanze che si trovano nello stesso cloud privato virtuale.

D: È possibile usare le interfacce di rete elastiche per eseguire l'hosting di più siti Web che necessitano di indirizzi IP separati su una singola istanza?

Sì; tuttavia non si tratta di un caso d'uso ideale per usare più interfacce. Ti consigliamo di assegnare più indirizzi IP privati all'istanza, associando quindi indirizzi IP elastici agli IP privati secondo necessità.

D: Se un indirizzo IP elastico è associato a un'interfaccia di rete, ma l'interfaccia non è collegata a un'istanza in esecuzione, i relativi costi saranno comunque fatturati?

Sì.

D: È possibile scollegare l'interfaccia principale (eth0) su un'istanza EC2?

No. È possibile collegare e scollegare interfacce secondarie (eth1-ethn) su un'istanza EC2, ma non è possibile scollegare l'interfaccia eth0.

 

Connessioni Peer

D: È possibile creare una connessione peer a un cloud privato virtuale in una regione differente?

Sì. È possibile creare connessioni in peering tra cloud privati virtuali in regioni differenti. Le connessioni tra VPC in peering tra regioni diverse sono disponibili nelle regioni Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) e UE (Irlanda).

D: È possibile creare una connessione peer tra due cloud privati virtuali appartenenti ad account AWS differenti?

Sì, se il proprietario dell'altro cloud privato virtuale accetta la tua richiesta di connessione peer.

D: È possibile creare una connessione peer tra due cloud privati virtuali con intervalli di indirizzi IP sovrapposti?

No. I cloud privati virtuali in peering devono avere intervalli IP non sovrapponibili.

D: Quanto costano le connessioni peer di un cloud privato virtuale?

Per la creazione di connessioni peer di cloud privati virtuali non viene addebitato alcun costo; tuttavia verrà fatturato il trasferimento di dati tra connessioni peer. Per informazioni sulle tariffe di trasferimento dei dati, consulta la relativa sezione nella pagina dei prezzi di EC2.

D: È possibile usare AWS Direct Connect o una connessione VPN hardware per accedere a un cloud privato virtuale in peering?

No. Amazon VPC non supporta la funzione "Edge to Edge routing". Per ulteriori informazioni consulta VPC Peering Guide.

D: È necessario avere un gateway Internet per usare connessioni peer?

No. Le connessioni peer di cloud privati virtuali non necessitano di gateway Internet.

D: Il traffico di connessioni peer tra istanze VPC all'interno di una regione è crittografato?

No. Il traffico tra istanze in cloud privati virtuali in peering è privato e isolato, come il traffico tra due istanze nello stesso cloud privato virtuale.

D: Se una delle due parti interrompe la connessione peer, l'altra parte potrà ancora accedere al cloud privato virtuale in peering?

No. Una connessione peer può essere interrotta da una delle due parti in qualsiasi momento. In seguito all'interruzione, il traffico tra i due cloud privati virtuali viene bloccato.

D: Le istanze VPC A e B sono collegate in peering, così come le istanze B e C; significa che le istanze A e C sono collegate tra loro in peering?

No. La proprietà transitiva delle connessioni peer non è supportata.

D: Cosa succede quando la connessione peer subisce un'interruzione?

Per creare una connessione peer tra cloud privati virtuali AWS impiega la sua infrastruttura; non impiega un gateway o una connessione VPN, né dipende da un singolo apparato hardware fisico. Non prevede alcun singolo punto di errore né colli di bottiglia.

Una connessione peer tra istanze VPC in regioni diverse opera avvalendosi della stessa tecnologia ridondante a scalabilità orizzontale ed elevata disponibilità su cui si basa VPC. Il traffico per queste connessioni passa dalla dorsale di AWS, che offre ridondanza di design e assegna la larghezza di banda in modo dinamico. Non esiste un singolo punto di errore nella comunicazione.

Se si verifica un errore su una connessione tra regioni diverse, il traffico non verrà inoltrato su Internet.

D: Sono previste limitazioni di banda per le connessioni peer?

La larghezza di banda tra le istanze in cloud privati virtuali peer non è diversa da quella tra istanze all'interno dello stesso cloud privato virtuale. Nota: un gruppo di posizionamento può coprire più VPC in peering, all'interno dei quali non sarà tuttavia disponibile la bisezione completa della larghezza di banda tra istanze. Scopri di più sui Gruppi di posizionamento.

D: Il traffico delle connessioni peer tra istanze VPC in regioni diverse è crittografato?

Il traffico viene crittografato utilizzando i moderni algoritmi AEAD (Authenticated Encryption with Associated Data). Accordo e gestione della chiave sono gestiti da AWS.

D: Come funziona la traduzione DNS con le connessioni peer tra istanze VPC in regioni diverse?

Di default, una query per un nome host pubblico di un'istanza in un cloud privato virtuale in peering in una regione differente viene risolto con un indirizzo IP pubblico. È possibile utilizzare il DNS privato di Route 53 per risolvere il nome con un indirizzo IP privato con connessioni peer tra istanze VPC in regioni diverse.

D: È possibile usare come riferimento gruppi di sicurezza su una connessione peer tra istanze VPC in regioni diverse?

No. Non è possibile fare riferimento a gruppi di sicurezza su una connessione peer tra istanze VPC in regioni diverse.

D: Le connessioni peer tra istanze VPC in regioni diverse supportano IPv6?

No. Le connessioni peer tra istanze VPC in regioni diverse non supportano IPv6.

D: Le connessioni peer tra istanze VPC in regioni diverse possono essere usate con EC2-Classic Link?

No. Le connessioni peer tra istanze VPC in regioni diverse non possono essere usate con EC2-Classic Link.

D: Esistono servizi che non possono essere utilizzati su connessioni peer tra istanze VPC in regioni diverse?

Network Load Balancer, AWS PrivateLink ed Elastic File System non possono essere utilizzati su connessioni peer tra istanze VPC in regioni diverse.

D: Cos'è ClassicLink?

ClassicLink di Amazon Virtual Private Cloud (VPC) consente alle istanze EC2 nella piattaforma EC2-Classic di comunicare con le istanze in un cloud privato virtuale usando indirizzi IP privati. Per usare ClassicLink, attiva la funzione in un cloud privato virtuale nel tuo account e associa un gruppo di sicurezza al suo interno con un'istanza in EC2-Classic. Nelle comunicazioni tra le istanze in EC2-Classic e quelle nel cloud privato virtuale saranno applicate le regole del gruppo di sicurezza di quest'ultimo. 

D: Quanto costa ClassicLink?

Non sono previsti costi aggiuntivi per l'utilizzo di ClassicLink; tuttavia saranno applicate le tariffe di trasferimento dei dati tra diverse zone di disponibilità. Per ulteriori informazioni, consulta la pagina dei prezzi di EC2.

D: Come si usa ClassicLink?

Per poterlo usare, è necessario configurare almeno un cloud privato virtuale per l'utilizzo di ClassicLink. Quindi devi associare un gruppo di sicurezza del cloud privato virtuale con un'istanza EC2-Classic. Questa istanza è così collegata al VPC e fa parte del gruppo di sicurezza selezionato.  Un'istanza EC2-Classic non può essere collegata a più di un VPC alla volta.

D: L'istanza EC2-Classic può entrare a far parte del cloud privato virtuale?

No, l'istanza EC2-Classic non entra a far parte del cloud privato virtuale. Diventa membro del gruppo di sicurezza del cloud associato con essa. Nelle comunicazioni tra le istanze in EC2-Classic e le risorse nel cloud privato virtuale saranno applicate tutte le regole e i riferimenti al gruppo di sicurezza del cloud.

D: È possibile usare i nomi host DNS pubblici di EC2 delle istanze EC2-Classic ed EC2-VPC per instradarsi tra loro, in modo da comunicare usando IP privati?

No. Il nome host DNS pubblico di EC2 non risolve l'indirizzo IP privato dell'istanza EC2-VPC quando riceve una query proveniente da un'istanza EC2-Classic, né viceversa.

D: Esistono cloud privati virtuali per i quali non è possibile abilitare ClassicLink?

Sì. ClassicLink non può essere abilitato per cloud privati virtuali con CIDR (Classless Inter-Domain Routing) nell'intervallo 10.0.0.0/8, ad eccezione di 10.0.0.0/16 e 10.1.0.0/16. Inoltre, ClassicLink non può essere abilitato per cloud privati virtuali con una voce nella tabella di routing che indirizza verso lo spazio CIDR 10.0.0.0/8 con un'impostazione di destinazione diversa da "local".

D: È possibile instradare il traffico proveniente da un'istanza EC2-Classic attraverso Amazon VPC, indirizzandolo in uscita attraverso gateway Internet, gateway virtuale o cloud privati virtuali peer?

Il traffico proveniente da un'istanza EC2-Classic può essere instradato solo verso indirizzi IP privati all'interno del cloud privato virtuale. Non potrà essere instradato verso destinazioni esterne al cloud, inclusi gateway Internet, gateway virtuali o cloud privati virtuali peer.

D: L'uso di ClassicLink può avere conseguenze sul controllo degli accessi tra l'istanza EC2-Classic e altre istanze nella piattaforma EC2-Classic?

ClassicLink non modifica in alcun modo il controllo degli accessi definito per un'istanza EC2-Classic tramite i gruppi di sicurezza esistenti nella piattaforma EC2-Classic.

D: Le impostazioni di ClassicLink in un'istanza EC2-Classic rimangono valide anche quando viene arrestata e riavviata?

La connessione ClassicLink viene interrotta quando l'istanza EC2-Classic viene arrestata e riavviata. L'istanza EC2-Classic dovrà pertanto essere nuovamente collegata al cloud privato virtuale. La connessione ClassicLink, tuttavia, rimane valida anche in seguito al riavvio dell'istanza.

D: Dopo l'attivazione di ClassicLink, viene assegnato un nuovo indirizzo IP privato all'istanza EC2-Classic?

No, non viene assegnato alcun nuovo indirizzo IP privato all'istanza EC2-Classic. Quando attivi ClassicLink su un'istanza EC2-Classic, l'istanza conserverà il proprio indirizzo IP privato per le comunicazioni con le risorse in un cloud privato virtuale.

D: ClassickLink consente alle regole del gruppo di sicurezza di EC2-Classic di usare come riferimento i gruppi di sicurezza del cloud privato virtuale o viceversa?

ClassickLink non consente alle regole del gruppo di sicurezza di EC2-Classic di usare come riferimento i gruppi di sicurezza del cloud privato virtuale né viceversa.

Gateway privato virtuale: importazione di Autonomous System Number propri

D: In cosa consiste questa caratteristica?

Per ogni nuovo gateway virtuale, l'uso di Autonomous System Number (ASN) privati permette ai clienti di impostare l'ASN della sessione BGP lato Amazon per le VPN e le interfacce virtuali private di AWS Direct Connect.

D: Quali costi prevede questa caratteristica?

Questa caratteristica non prevede costi aggiuntivi.

D: In che modo è possibile configurare o assegnare un numero ASN da pubblicizzare come ASN lato Amazon?

È possibile configurare o assegnare un numero ASN da pubblicizzare come ASN lato Amazon durante la creazione di un nuovo gateway privato virtuale. Per creare un nuovo gateway virtuale, è sufficiente accedere alla console di VPC o richiamare l'API EC2/CreateVpnGateway.

D: Quali numeri ASN assegnava Amazon prima che entrasse in funzione questa caratteristica?

Amazon assegnava i seguenti numeri ASN: 9059 in UE occidentale (Irlanda), 17493 in Asia Pacifico (Singapore) e 10124 in Asia Pacifico (Tokyo). A tutte le altre regioni veniva assegnato il numero ASN 7224. Questi ASN sono noti come "ASN pubblici legacy".

D: È possibile utilizzare un qualsiasi numero ASN, pubblico o privato?

È possibile assegnare qualsiasi numero ASN privato lato Amazon. Fino al 30 giugno 2018 è possibile assegnare uno degli "ASN pubblici legacy"; non è possibile assegnare altri numeri ASN pubblici. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Perché non è possibile assegnare un numero ASN pubblico per la parte relativa ad Amazon di una sessione BGP?

Non è Amazon a convalidare la proprietà dei numeri ASN, perciò limita i numeri ASN lato Amazon ai numeri privati. Il nostro obiettivo è proteggere i clienti dallo spoofing BGP.

D: Quali numeri ASN è possibile scegliere?

È possibile scegliere qualsiasi numero ASN privato. Gli intervalli per i numeri ASN privati a 16 bit includono quello tra 64512 e 65534. È anche possibile fornire numeri ASN a 32 tra 4200000000 e 4294967294.

Se non viene scelto alcun numero ASN per il gateway virtuale, Amazon ne fornirà uno di default. Fino al 30 giugno 2018, Amazon continuerà a fornire il numero "ASN pubblico legacy" delle rispettive regioni. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Cosa accade se viene assegnato un numero ASN pubblico per la parte relativa ad Amazon di una sessione BGP?

Al momento della creazione del gateway virtuale, verrà chiesto di inserire nuovamente un numero ASN privato, a meno che non si tratti del numero "ASN pubblico legacy" della regione.

D: Se non viene fornito un numero ASN per la parte relativa ad Amazon di una sessione BGP, quale numero ASN assegnerà Amazon?

Se non viene scelto alcun numero ASN per il gateway virtuale, Amazon ne fornirà uno di default. Fino al 30 giugno 2018, Amazon continuerà a fornire il numero "ASN pubblico legacy" delle rispettive regioni. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Dove è possibile visualizzare il numero ASN lato Amazon?

È possibile visualizzare il numero ASN lato Amazon nella pagina del gateway virtuale nella console di VPC o richiamando l'API EC2/DescribeVpnGateways.

D: Se è disponibile un numero ASN pubblico, può essere utilizzato con un numero ASN privato lato AWS?

Sì, è possibile configurare la sessione BGP lato Amazon con un numero ASN privato e il proprio lato con un numero ASN pubblico.

D: Dispongo di un'interfaccia virtuale privata già configurata e desidero impostare un numero ASN lato Amazon differente per la sessione BGP su un'interfaccia virtuale esistente. In che modo è possibile apportare questa modifica?

Sarà necessario creare un nuovo gateway virtuale con il numero ASN desiderato e creare una nuova interfaccia virtuale con tale gateway. Anche la configurazione del dispositivo dovrà essere modificata di conseguenza.

D: Dispongono di connessioni VPN già configurate e desidero modificarne il numero ASN lato Amazon per la sessione BGP. In che modo è possibile apportare questa modifica?

Sarà necessario creare un nuovo gateway virtuale con il numero ASN desiderato e ricreare le connessioni VPN tra i gateway del cliente e il nuovo gateway.

D: Dispongo già di un gateway virtuale e di un'interfaccia virtuale privata o una connessione VPN configurati con un numero ASN pubblico assegnato da Amazon, 7224. Se Amazon genera automaticamente il numero ASN per il nuovo gateway privato virtuale, quale numero ASN sarà assegnato lato Amazon?

Amazon assegnerà al nuovo gateway virtuale il numero ASN 64512.

D: Dispongo di un gateway virtuale e di un'interfaccia virtuale privata o una connessione VPN configurati con un numero ASN pubblico assegnato da Amazon. Desidero utilizzare lo stesso numero ASN pubblico assegnato da Amazon per una nuova interfaccia virtuale privata o una nuova connessione VPN. Come si fa?

È possibile configurare o assegnare un numero ASN da pubblicizzare come ASN lato Amazon durante la creazione di un nuovo gateway privato virtuale. Il gateway virtuale può essere creato utilizzando la console o una chiamata all'API EC2/CreateVpnGateway. Come illustrato in precedenza, Amazon consentirà l'uso di numeri "ASN pubblici legacy" per i nuovi gateway.

D: Dispongo di un gateway virtuale e di un'interfaccia virtuale privata o una connessione VPN configurati con un numero ASN pubblico assegnato da Amazon, 7224. Se Amazon genera automaticamente il numero ASN per la nuova interfaccia virtuale privata o connessione VPN utilizzando lo stesso gateway virtuale, quale numero ASN sarà assegnato lato Amazon?

Amazon assegnerà alla nuova interfaccia virtuale o nuova connessione VPN il numero ASN 7224. Il numero ASN lato Amazon viene ereditato dal gateway virtuale esistente ed è il numero ASN di default.

D: Desidero collegare diverse interfacce private virtuali a un singolo gateway virtuale. È possibile assegnare un diverso numero ASN lato Amazon per ciascuna di esse?

No, è possibile assegnare o configurare diversi numeri ASN lato Amazon per ciascun gateway virtuale, non per ciascuna interfaccia virtuale. Il numero ASN lato Amazon per le interfacce virtuali viene ereditato dal gateway virtuale collegato.

D: Desidero creare diverse connessioni VPN per un singolo gateway virtuale. È possibile assegnare un diverso numero ASN lato Amazon per ciascuna di esse?

No, è possibile assegnare o configurare diversi numeri ASN lato Amazon per ciascun gateway virtuale, non per ciascuna connessione VPN. Il numero ASN lato Amazon per le connessioni VPN viene ereditato dal gateway virtuale.

D: Da dove è possibile selezionare un numero ASN personalizzato?

Al momento della creazione di un gateway virtuale nella console di VPC, deseleziona la casella che chiede se desideri ottenere un numero ASN della sessione BGP generato automaticamente da Amazon e indica un numero ASN privato per la parte relativa ad Amazon della sessione BGP. Una volta configurato il gateway virtuale con un numero ASN lato Amazon, le interfacce private virtuali o le connessioni VPN create tramite il gateway impiegheranno tale numero ASN.

D: Sto usando CloudHub. Sarà necessario aggiornare la configurazione in futuro?

No, non sarà necessario apportare alcuna modifica.

D: Desidero selezionare un numero ASN a 32 bit. Quali intervalli sono disponibili?

Sono supportati i numeri ASN a 32 bit compresi tra 4200000000 e 4294967294.

D: Una volta creato il gateway virtuale, è possibile modificare il numero ASN lato Amazon?

No, non è possibile modificare il numero ASN lato Amazon dopo la creazione del gateway. È necessario eliminare il gateway e crearne uno nuovo con il numero ASN desiderato.

D: È disponibile una nuova API per configurare o assegnare il numero ASN lato server?

No. Per eseguire questa operazione, è possibile utilizzare la stessa API di sempre: EC2/CreateVpnGateway. Tuttavia, all'API è stato aggiunto il nuovo parametro amazonSideAsn.

D: È disponibile una nuova API per visualizzare il numero ASN lato server?

No. Per eseguire questa operazione, è possibile utilizzare la stessa API di sempre: EC2/DescribeVpnGateway. Tuttavia, all'API è stato aggiunto il nuovo parametro amazonSideAsn.

 

D: Cos'è AWS PrivateLink?

AWS PrivateLink è una soluzione che permette di accedere ai servizi in hosting in AWS in modo scalabile e con elevata disponibilità mantenendo tutto il traffico di rete nell'ambito della rete AWS. I clienti che usano questa tecnologia possono accedere ai servizi compatibili con PrivateLink privatamente dal loro cloud privato virtuale di Amazon VPC o dal loro ambiente locale senza utilizzare IP pubblici e senza inviare traffico su Internet. I proprietari di servizi possono registrare i loro Network Load Balancer a PrivateLink e offrire i loro prodotti ad altri clienti AWS.

D: In che modo è possibile utilizzare AWS PrivateLink?

Gli utenti di un servizio dovranno creare endpoint VPC di tipo interfaccia per i servizi compatibili con PrivateLink. Questi endpoint saranno visualizzati come interfacce di rete elastiche o ENI (Elastic Network Interface) con indirizzi IP privati all'interno del cloud privato virtuale. Una volta creati gli endpoint, il traffico destinato agli indirizzi IP in questione sarà instradato in modo privato ai servizi AWS corrispondenti.

I proprietari di un servizio dovranno instradarlo in AWS PrivateLink; per farlo devono configurare un Network Load Balancer e creare un servizio PrivateLink che si registri ad esso. I clienti potranno stabilire endpoint all'interno del loro cloud privato virtuale per connettersi al servizio, previa inclusione del loro account in whitelist e ruoli di IAM.

D: Quali servizi sono compatibili con PrivateLink?

Questa caratteristica supporta i seguenti servizi AWS: Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Kinesis Streams, Service Catalog ed EC2 Systems Manager. Anche molte soluzioni SaaS supportano questa caratteristica. Visita AWS Marketplace per navigare tra i prodotti SaaS compatibili con AWS PrivateLink.

D: È possibile accedere in modo privato ai servizi basati su AWS PrivateLink tramite AWS Direct Connect?

Sì. L'applicazione nel data center può connettersi agli endpoint del servizio in Amazon VPC tramite AWS Direct Connect. Gli endpoint instraderanno automaticamente il traffico verso i servizi AWS basati su AWS PrivateLink.

Domande aggiuntive

D: È possibile usare la Console di gestione AWS per controllare e gestire Amazon VPC?

Sì. Puoi usare la Console di gestione AWS per gestire gli oggetti Amazon VPC quali cloud privati virtuali, tabelle di routing, gateway Internet e connessioni VPN IPsec. Inoltre, è disponibile una procedura guidata per creare cloud privati virtuali.

D: Quanti cloud privati virtuali, sottoreti, indirizzi IP elastici, gateway Internet, gateway del cliente, gateway privati virtuali e connessioni VPN è possibile creare?

Puoi creare:

  • 5 VPC Amazon per account AWS in ogni regione
  • 200 sottoreti per Amazon VPC
  • 5 indirizzi IP elastici di Amazon VPC per account AWS in ogni regione
  • 1 gateway Internet per cloud privato virtuale
  • 5 gateway privati virtuali per account AWS in ogni regione
  • 50 gateway del cliente per account AWS in ogni regione
  • 10 connessioni VPN IPsec per gateway privato virtuale

Per ulteriori informazioni sui limiti VPC, consultare il documento VPC User Guide.

D: La connessione VPN di Amazon VPC offre un contratto sul livello di servizio (SLA)?

Al momento non ancora. 

D: È possibile ottenere supporto da AWS per Amazon VPC?

Sì. Fai clic qui per ulteriori informazioni su AWS Support.

D: È possibile usare ElasticFox con Amazon VPC?

ElasticFox non è più ufficialmente supportato per la gestione di Amazon VPC. Il supporto per Amazon VPC è disponibile tramite le API di AWS, gli strumenti a riga di comando, la Console di gestione AWS e una serie di utility di terze parti.

 

Ulteriori informazioni su Amazon VPC

Visita la pagina sui dettagli del prodotto
Sei pronto per iniziare?
Registrati
Hai domande?
Contattaci