Domande generiche

D: Cos'è Amazon Virtual Private Cloud?

Amazon VPC consente di eseguire il provisioning di una sezione logicamente isolata del cloud di Amazon Web Services (AWS) dove puoi avviare risorse AWS in una rete virtuale da te definita. Hai il controllo completo sul tuo ambiente virtuale di rete, incluse la selezione degli intervalli di indirizzi IP, la creazione di sottoreti e la configurazione di tabelle di routing e di gateway di rete. Inoltre, potrai creare una connessione VPN hardware tra il tuo data center aziendale e la VPC per utilizzare il cloud AWS come estensione del data center aziendale.

Puoi personalizzare la configurazione di rete di Amazon VPC con estrema facilità. Ad esempio, puoi creare una sottorete pubblica per i server Web dotata di accesso a Internet e collocare sistemi back-end quali database o server di applicazioni in una sottorete privata senza accesso a Internet. Grazie ai vari livelli di sicurezza disponibili, inclusi i gruppi di sicurezza e le liste di controllo degli accessi di rete, è possibile controllare l'accesso alle istanze di Amazon EC2 in ciascuna sottorete.

D: Quali sono i componenti di Amazon VPC?

Amazon VPC è composto da una serie di oggetti già noti ai clienti con reti esistenti:

  • Un cloud privato virtuale: una rete virtuale isolata logicamente nel cloud AWS. Potrai scegliere manualmente gli intervalli dello spazio degli indirizzi IP del VPC.
  • Sottorete: un segmento di un intervallo di indirizzi IP di cloud privato virtuale (Virtual Private Cloud, VPC) in cui collocare gruppi di risorse isolate.
  • Internet gateway: una connessione pubblica a Internet, lato Amazon VPC.
  • Gateway NAT: un servizio gestito di Network Address Translation (NAT) ad elevata disponibilità per consentire l'accesso a Internet alle risorse in sottoreti private.
  • Gateway virtuale privato: una connessione VPN, lato Amazon VPC.
  • Connessione peer: una connessione peer consente di instradare il traffico attraverso indirizzi IP privati tra due VPC in peering.
  • Endpoint VPC: permettono connessioni private ai servizi in hosting in AWS direttamente dal cloud privato virtuale, senza dover utilizzare Internet gateway, VPN, dispositivi NAT o proxy firewall.
  • Internet gateway per traffico solo in uscita: un gateway stateful che fornisce solo accesso in uscita per il traffico IPv6.
 
D: Qual è il vantaggio di utilizzare Amazon VPC?
 
Amazon VPC consente di creare una rete virtuale nel cloud AWS senza dover configurare VPN, hardware o data center fisici. Puoi definire uno spazio di rete e controllare le interazioni tra la rete (e le risorse di Amazon EC2 al suo interno) e Internet. Puoi anche sfruttare le opzioni di sicurezza avanzate di Amazon VPC per fornire accesso con maggiore granularità in entrata e in uscita dalle istanze Amazon EC2 nella rete virtuale.
 
D: Come si inizia a usare Amazon VPC?
 
Le tue risorse AWS vengono automaticamente assegnate in un cloud privato virtuale di default pronto all'uso. Puoi scegliere di creare ulteriori VPC accedendo alla pagina di Amazon VPC della Console di gestione AWS e facendo clic sul pulsante "Start VPC Wizard".
 
Avrai a tua disposizione quattro opzioni di base per creare l'architettura di rete. Dopo aver selezionato un'opzione, puoi modificare le dimensioni e l'intervallo di indirizzi IP del cloud privato virtuale e delle relative sottoreti. Se selezioni un'opzione che prevede l'accesso a una VPN hardware, dovrai specificare l'indirizzo IP della VPN hardware nella tua rete. Puoi modificare il cloud privato virtuale aggiungendo o rimuovendo gateway e intervalli IP secondari oppure aggiungendo altre sottoreti agli intervalli IP.
 
Le quattro opzioni sono:
  1. Un VPC con una sottorete pubblica singola, esclusivamente
  2. Un VPC con sottoreti pubbliche e privati
  3. Un VPC Amazon con sottoreti pubbliche e private e accesso a un VPN gestito da AWS
  4. Un VPC Amazon con una sottorete privata esclusivamente e accesso a un VPN gestito da AWS
 
D: Quali tipi di endpoint VPC sono disponibili in Amazon VPC?
 
Gli endpoint VPC consentono di connettere in modo privato un cloud privato virtuale ai servizi in hosting in AWS senza utilizzare Internet gateway, dispositivi NAT, VPN o proxy firewall. Gli endpoint sono dispositivi virtuali con scalabilità orizzontale e disponibilità elevata che permettono la comunicazione tra le istanze in un cloud privato virtuale e i servizi AWS. Amazon VPC offre due diversi tipi di endpoint: gli endpoint di tipo gateway e gli endpoint di tipo interfaccia.
 
Gli endpoint di tipo gateway sono disponibili solo per i servizi AWS, ad esempio S3 e DynamoDB. Questi endpoint aggiungono un elemento alla tabella di routing selezionata e instradano il traffico ai servizi supportati tramite la rete privata di Amazon.
 
Gli endpoint di tipo interfaccia forniscono connettività privata ai servizi compatibili con PrivateLink, che siano servizi AWS, aziendali o soluzioni SaaS e supportano le connessioni su Direct Connect. In futuro, questo tipo di endpoint supporterà anche altre soluzioni AWS e SaaS. Consulta la pagina relativa ai prezzi di VPC per informazioni sulle tariffe degli endpoint di tipo interfaccia.
 

Fatturazione

D: Come viene addebitato e fatturato il mio utilizzo di Amazon VPC?

Non sono previsti costi aggiuntivi per la creazione e l'uso di un cloud privato virtuale. Vengono invece addebitati i costi per gli altri servizi, ad esempio Amazon EC2, secondo le tariffe pubblicate (incluse quelle per il trasferimento dei dati). Se colleghi il tuo VPC al data center aziendale usando una connessione VPN hardware opzionale, il costo dipende dalle ore di connessione alla VPN (la quantità di tempo in cui la connessione è in stato "disponibile"). Le ore parziali saranno fatturate come ore complete. I dati trasferiti tramite connessioni VPN saranno fatturati secondo le tariffe standard di AWS. Per informazioni sui prezzi di VPC e VPN, visita la sezione dedicata nella pagina di Amazon VPC.

D: Quali sono i costi di utilizzo derivanti dall'impiego di altri servizi AWS, ad esempio Amazon S3, nelle istanze Amazon EC2 nella VPC?

I costi di utilizzo per gli altri servizi, incluso Amazon EC2, vengono addebitati secondo le tariffe pubblicate per le risorse interessate. Il trasferimento dei dati non prevede alcun costo quando l'accesso ad Amazon Web Services (ad esempio ad Amazon S3) avviene tramite Internet gateway del cloud privato virtuale.

Se accedi alle risorse AWS tramite la connessione VPN, vengono addebitati i costi di trasferimento dei dati su Internet.

D: I prezzi includono le tasse?

Salvo diversamente specificato, i prezzi sono al netto di eventuali tasse e imposte doganali, inclusa l'IVA ed eventuali imposte sulle vendite. Per i clienti con indirizzo di fatturazione in Giappone, l'utilizzo dei servizi AWS è soggetto all'imposta sul consumo giapponese. Ulteriori informazioni.

Connettività

D: Quali sono le opzioni di connettività per un cloud privato virtuale Amazon?

Puoi connettere un cloud privato virtuale Amazon a:

  • Internet (tramite un Internet gateway)
  • Data center aziendale con una connessione VPN gestita da AWS (tramite un gateway virtuale privato)
  • Internet e data center aziendale (tramite sia Internet gateway sia gateway virtuale privato)
  • Altri servizi AWS (tramite Internet gateway, NAT, gateway virtuale privato o endpoint VPC)
  • Altri VPC Amazon (tramite connessioni peer VPC)
 
D: Come si collega a Internet un cloud privato virtuale?
 
Amazon VPC supporta la creazione di un Internet gateway. Questo gateway consente alle istanze Amazon EC2 nel cloud privato virtuale di accedere direttamente a Internet. Puoi anche utilizzare un Gateway Internet per traffico solo in uscita che è un gateway con stato che fornisce solo accesso in uscita per il traffico IPv6 dal VPC a Internet.
 
D: Sono previste limitazioni di banda per Internet gateway? È necessario pianificarne la disponibilità? Può rappresentare un singolo punto di errore?
 
No. Un Internet gateway dispone di scalabilità orizzontale, è ridondante e offre disponibilità elevata. Non impone alcuna limitazione di banda.
 
D: Come accedono a Internet le istanze in un VPC?
 
Puoi utilizzare indirizzi IP pubblici, tra cui gli indirizzi IP elastici (EIP) e gli indirizzi globali unici IPv6 (GUA) per permettere alle istanze in un cloud privato virtuale di comunicare direttamente verso l'esterno e di ricevere traffico in entrata su Internet (ad es. con server Web). Puoi anche utilizzare le soluzioni proposte nella domanda successiva. 
 
D: Quando viene considerato pubblico un indirizzo IP?
 
Tutti gli indirizzi IP che sono assegnati a un istanza o a un servizio in hosting in un VPC a cui è possibile accedere su Internet sono considerati indirizzi IP pubblici. Solo gli indirizzi IPv4 pubblici, compresi gli indirizzi IP elastici (EIP) e i GUA IPv6 possono essere instradati su Internet. Per farlo, dovresti prima connettere il VPC a Internet e poi aggiornare la tabella di routing per renderli raggiungibili da Internet.
 
D: In che modo le istanze senza indirizzi IP pubblici possono accedere a Internet?
 
Le istanze sprovviste di indirizzi IP pubblici possono accedere a Internet in due modi:
  1. Le istanze prive di indirizzi IP pubblici possono instradare il traffico attraverso un gateway NAT oppure un'istanza NAT. Queste istanze usano l'indirizzo IP pubblico del gateway NAT o dell'istanza NAT per accedere a Internet. Il gateway NAT (o l'istanza NAT) consente le comunicazioni in uscita ma non permette alle macchine su Internet di avviare una connessione alle istanze con indirizzi privati.
  2. Per i VPC con connessione VPN hardware o Direct Connect, le istanze possono instradare il traffico Internet all'interno del gateway virtuale privato fino al data center esistente. Da lì possono accedere a Internet tramite i punti di uscita esistenti e i dispositivi di protezione/monitoraggio della rete.
 
D: È possibile collegarsi al VPC usando una VPN software?
 
Sì. È possibile usare una VPN software di terze parti per creare una connessione VPN di accesso remoto o tra due siti con il VPC, utilizzando Internet gateway.
 
D: Il traffico passa attraverso Internet quando due istanze comunicano usando indirizzi IP pubblici o quando le istanze comunicano con un endpoint del servizio AWS pubblico?
 
No. Quando si utilizza lo spazio dell'indirizzo IP pubblico, tutte le comunicazioni tra le istanze e i servizi ospitati in AWS utilizzano la rete privata di AWS. I pacchetti che hanno origine dalla rete AWS con una destinazione sulla rete AWS rimangono sulla rete globale AWS, tranne il traffico verso o dalle Regioni AWS Cina.
 
Inoltre, tutti i dati che passano attraverso la rete globale AWS che collega i nostri centri dati e le nostre regioni vengono automaticamente crittografati a livello fisico prima di lasciare le nostre strutture sicure. Esistono anche ulteriori livelli di crittografia: ad esempio, tutto il traffico peer transregionale VPC e le connessioni Transport Layer Security (TLS, sicurezza del livello di trasporto) per i clienti o service-to-service. 
 
D: Come funziona una connessione VPN gestita da AWS con Amazon VPC?
 
Una connessione VPN gestita da AWS collega il cloud privato virtuale al tuo data center. Amazon supporta le connessioni VPN IPSec (Internet Protocol security). I dati trasferiti tra il cloud privato virtuale e il data center vengono instradati su una connessione VPN crittografata per proteggere la riservatezza e l'integrità dei dati in transito. Per stabilire connessioni VPN hardware non è invece necessario disporre di una connessione VPN gestita da AWS.

Assegnazione degli indirizzi IP

D: Quali intervalli di indirizzi IP è possibile usare nel cloud privato virtuale?

Puoi usare qualsiasi intervallo di indirizzi IPv4, inclusi gli indirizzi IP previsti nella RFC 1918 o quelli che è possibile instradare pubblicamente per il blocco CIDR principale. Per i blocchi CIDR secondari sono previste alcune restrizioni. I blocchi IP instradabili pubblicamente sono raggiungibili solo tramite gateway virtuale privato e non è possibile accedervi da Internet tramite Internet gateway. AWS non pubblicizza in Internet i blocchi di indirizzi IP di proprietà dei clienti. Potrai allocare un massimo di 5 blocchi CIDR forniti da Amazon o GUA IPv6 BYOIP in un VPC richiamando la relativa API oppure tramite la Console di gestione AWS.

D: Come si assegnano gli intervalli di indirizzi IP agli Amazon VPC?

Puoi assegnare un singolo intervallo di indirizzi IP CIDR (Classless Internet Domain Routing) come blocco CIDR principale al momento della creazione del VPC; successivamente potrai aggiungere fino a quattro (4) blocchi CIDR secondari. Alle sottoreti interne al VPC potrai assegnare gli indirizzi compresi in questi intervalli CIDR. Anche se gli intervalli di indirizzi IP di diversi cloud privati virtuali possono sovrapporsi, non sarà possibile connettere i VPC a una comune rete domestica tramite una connessione VPN hardware. Per questo motivo, consigliamo di non utilizzare intervalli di indirizzi IP sovrapposti. Puoi allocare un massimo di 5 blocchi CIDR forniti da Amazon o IPv6 BYOIP al VPC.

D: Quali intervalli di indirizzi IP vengono assegnati a un cloud privato virtuale Amazon di default?

Ai cloud privati virtuali di default viene assegnato l'intervallo CIDR 172.31.0.0/16. Le sottoreti di default all'interno di un cloud privato virtuale ricevono netblock /20 all'interno dell'intervallo CIDR del cloud privato virtuale. 

D: È possibile pubblicizzare l'intervallo di indirizzi IP pubblici di un cloud privato virtuale su Internet e instradare il traffico attraverso il data center (tramite VPN gestito da AWS) verso il cloud privato virtuale Amazon?

Sì, puoi instradare il traffico tramite connessione VPN gestita da AWS e pubblicizzare l'intervallo di indirizzi dalla rete domestica.

D: Posso usare i miei indirizzi IP nel VPC e accedervi via Internet? 

Sì, puoi portare i tuoi indirizzi IPv4 pubblici e gli indirizzi GUA IPv6 in AWS VPC e allocarli staticamente a sottoreti e istanze EC2. Per accedere a questi indirizzi via Internet, devi pubblicizzarli su Internet dalla tua rete On-Premise. Devi anche reindirizzare il traffico su questi indirizzi tra il tuo VPC e la rete locale usando AWS DX o una connessione VPN AWS. Puoi reindirizzare il traffico dal tuo VPC usando il gateway virtuale privato. Allo stesso modo, puoi reindirizzare il traffico dalla tua rete locale al tuo VPC usando il tuo router.

D: Quali sono le dimensioni massime consentite per un cloud privato virtuale?

Al momento, Amazon VPC supporta cinque (5) intervalli di indirizzi IP, uno (1) principale e quattro (4) secondari per IPv4. Le dimensioni di ciascuno di questi intervalli devono essere comprese tra /28 e /16 (secondo la notazione CIDR). Gli intervalli di indirizzi IP del cloud privato virtuale non devono però sovrapporsi a intervalli di reti esistenti.

Per il protocollo IPv6, il cloud privato virtuale ha una dimensione fissa di /56 (in notazione CIDR). Ad un cloud privato virtuale possono essere associati blocchi CIDR sia IPv4 sia IPv6.

D: Posso cambiare le dimensioni di un VPC?

Sì. È possibile espandere un cloud privato virtuale esistente aggiungendo fino a quattro (4) intervalli IPv4 secondari (CIDR). Per ridurne le dimensioni, è possibile eliminare i blocchi CIDR secondari che erano stati aggiunti.   Allo stesso modo, puoi aggiungere fino a cinque (5) intervalli IP (CIDR) IPv6 al tuo VPC.  Puoi ridurre il tuo VPC eliminando questi intervalli aggiuntivi.

D: Quante sottoreti è possibile creare per ogni cloud privato virtuale?

Al momento è possibile creare fino a 200 sottoreti per cloud privato virtuale. Se desideri crearne un numero maggiore, inoltra una richiesta al centro assistenza.

D: Sono previste dimensioni minime o massime per una sottorete?

La dimensione minima di una sottorete è /28 (o 14 indirizzi IP) per IPv4. Le sottoreti non possono avere dimensioni maggiori rispetto al cloud privato virtuale in cui sono create.

Per il protocollo IPv6, le sottoreti hanno una dimensione fissa di /64. A una sottorete può essere allocato un solo blocco CIDR IPv6.

D: È possibile usare tutti gli indirizzi IP assegnati a una sottorete?

Amazon riserva i primi quattro (4) e l'ultimo (1) indirizzo IP di ogni sottorete alla gestione della rete IP. 

D: Come si assegnano gli indirizzi IP privati alle istanze Amazon EC2 all'interno di un VPC?

Quando avvii un'istanza Amazon EC2 all'interno di una sottorete che non è solo IPv6, puoi opzionalmente specificare l'indirizzo IPv4 privato primario per l'istanza. Se decidi di non specificare l'indirizzo IPv4 privato principale, AWS ne assegna automaticamente uno dall'intervallo di indirizzi IPv4 assegnati alla sottorete. Puoi assegnare indirizzi IPv4 privati secondari quando avvii un'istanza, quando crei un'interfaccia di rete elastica, o in qualsiasi momento dopo aver avviato l'istanza o creato l'interfaccia. Se avvii un istanza Amazon EC2 in una sottorete solo IPv6, AWS la indirizza automaticamente dall'indirizzo GUA IPv6 CIDR di quella sottorete fornito da Amazon. L'indirizzo GUA IPv6 dell'istanza rimarrà privato a meno che tu lo renda raggiungibile da Internet con la giusta configurazione del gruppo di sicurezza, del NACL e della tabella di routing. 

D: È possibile modificare gli indirizzi IP privati di un'istanza Amazon EC2 mentre è in esecuzione e/o interrotta all'interno di un VPC?

Per un istanza avviata su una sottorete IPv4 o dual stack, l'indirizzo IPv4 privato principale è trattenuto per tutto il ciclo vitale dell'istanza o dell'interfaccia. Gli indirizzi IPv4 privati secondari possono essere assegnati, rimossi o riassegnati tra diverse istanze o interfacce in qualsiasi momento. Per un'istanza lanciata in una sottorete solo IPv6, l'indirizzo GUA IPv6 assegnato che è anche il primo indirizzo IP sull'interfaccia di rete primaria dell'istanza può essere modificato in qualsiasi momento associando un nuovo indirizzo GUA IPv6 e rimuovendo l'indirizzo GUA IPv6 esistente.

D: Se un'istanza Amazon EC2 viene interrotta all'interno di un cloud privato virtuale, è possibile avviare un'altra istanza con lo stesso indirizzo IP nello stesso VPC?

Un indirizzo IPv4 assegnato a un'istanza in esecuzione può essere riutilizzato da un'altra istanza solo se l'istanza originale è terminata. Tuttavia, l'indirizzo GUA IPv6 assegnato a un'istanza in esecuzione può essere utilizzato di nuovo da un'altra istanza dopo che è stato rimosso dala prima istanza.

D: È possibile assegnare indirizzi IP simultaneamente per più istanze?

Puoi specificare l'indirizzo IP di una sola istanza alla volta, al momento dell'avvio.

D: È possibile assegnare un indirizzo IP qualsiasi a un'istanza?

Puoi assegnare un indirizzo IP qualsiasi a un'istanza solo se l'indirizzo:

  • È parte dell'intervallo di indirizzi IP della sottorete associata
  • Non è riservato da Amazon a scopo di gestione della rete IP
  • Non è assegnato a un'altra interfaccia

D: È possibile assegnare più indirizzi IP a un'istanza?

Sì. Puoi assegnare uno o più indirizzi IP privati secondari a un'interfaccia di rete elastica o a un'istanza EC2 in Amazon VPC. Il numero di indirizzi IP privati secondari che puoi assegnare dipende dal tipo di istanza. Consulta il documento Guida per l'utente EC2 per ulteriori informazioni sul numero di indirizzi IP privati secondari assegnabili per tipo di istanza.

D: È possibile assegnare uno o più indirizzi IP elastici a istanze Amazon EC2 basate su VPC?

Sì; gli indirizzi IP elastici, tuttavia, risulteranno raggiungibili solamente da Internet e non, quindi, dalla connessione VPN. Ogni indirizzo IP elastico deve essere associato a un indirizzo IP privato univoco sull'istanza. Gli indirizzi IP elastici dovrebbero essere usati solo su istanze in sottoreti configurate in modo che il loro traffico venga instradato direttamente verso Internet gateway. Gli indirizzi IP elastici non possono essere usati su istanze in sottoreti configurate per l'utilizzo di un gateway NAT o di un'istanza NAT con accesso a Internet. Questa regola si applica solo al protocollo IPv4. I cloud privati virtuali al momento non supportano indirizzi IP elastici per il protocollo IPv6.

Topologia

D: È possibile specificare quale sottorete utilizzerà quale gateway di default?

Sì. Puoi creare un instradamento di default per ogni sottorete. L'instradamento predefinito può indirizzare il traffico in uscita dal VPC tramite Internet gateway, gateway virtuale privato o gateway NAT.

Sicurezza e filtri

D: Come è possibile proteggere le istanze Amazon EC2 in esecuzione all'interno di un cloud privato virtuale?

Per proteggere le istanze all'interno di Amazon VPC sono disponibili i gruppi di sicurezza di Amazon EC2. I gruppi di sicurezza in un cloud privato virtuale consentono di specificare il traffico ammesso in ingresso e in uscita per ogni istanza Amazon EC2. Il traffico che non viene espressamente consentito, sia in ingresso sia in uscita, viene automaticamente bloccato.

Oltre ai gruppi di sicurezza, per consentire o limitare il traffico in entrata e in uscita da ciascuna sottorete è possibile usare le liste di controllo accessi (ACL) di rete.

D: Quali sono le differenze tra i gruppi di sicurezza e le liste di controllo accessi di rete in un cloud privato virtuale?

In un cloud privato virtuale, i gruppi di sicurezza indicano il traffico che è consentito in ingresso e in uscita da un'istanza Amazon EC2. Le liste di controllo accessi di rete operano a livello di sottorete e analizzano il traffico in entrata e in uscita da una sottorete. Le liste possono essere usate per configurare regole che autorizzano e che bloccano il traffico. All'interno della stessa sottorete, le liste di controllo accessi di rete non possono essere usate per filtrare il traffico tra istanze. Infine, queste liste consentono un filtraggio stateless, mentre i gruppi di sicurezza eseguono un filtraggio stateful.

D: Qual è la differenza tra filtraggio stateful e stateless?

Il filtraggio di tipo stateful risale all'origine di una richiesta e può consentire l'inoltro automatico della risposta verso il computer da cui è stata inviata. Ad esempio, un filtro di tipo stateful che consente il traffico in entrata sulla porta TCP 80 di un server Web consentirà il traffico in risposta, di solito su un numero di porta elevato (ad esempio la porta TCP di destinazione 63, 912), attraverso il filtro di tipo stateful tra il client e il server Web. Il servizio di filtraggio conserva una tabella di stato che tiene nota dell'origine e della destinazione dei numeri di porta e degli indirizzi IP. Sul servizio di filtraggio è necessaria una sola regola, che consenta il traffico in entrata verso il server Web sulla porta TCP 80.

Il filtraggio di tipo stateless, invece, esamina esclusivamente l'indirizzo IP di origine o di destinazione e la porta di destinazione, senza tenere conto se il traffico proviene da una nuova richiesta o da una risposta a una richiesta. Nell'esempio illustrato in precedenza, sarebbe necessario implementare due regole nel servizio di filtraggio: una regola per consentire il traffico in entrata verso il server Web sulla porta TCP 80 e una per consentire il traffico in uscita dal server Web (porte TCP da 49, da 152 a 65, 535).

D: In Amazon VPC, è possibile utilizzare coppie di chiavi SSH create per istanze in Amazon EC2 e viceversa?

Sì.

D: Le istanze Amazon EC2 in un cloud privato virtuale possono comunicare con le istanze Amazon EC2 al di fuori del cloud?

Sì. Se è stato configurato un Internet gateway, il traffico di Amazon VPC destinato alle istanze Amazon EC2 esterne al cloud privato virtuale passerà attraverso Internet gateway ed entrerà poi nella rete pubblica di AWS per raggiungere l'istanza EC2. Se non è stato configurato un Internet gateway, oppure se l'istanza è in una sottorete configurata per l'instradamento attraverso il gateway virtuale privato, il traffico passerà attraverso la connessione VPN e uscirà dal data center per rientrare poi nella rete pubblica di AWS.

D: Le istanze Amazon EC2 all'interno di un VPC in una regione possono comunicare con le istanze Amazon EC2 di un altro VPC che si trova in una regione differente?

Sì. Le istanze in una regione possono comunicare tra loro mediante connessioni VPC in peering tra più regioni, indirizzi IP pubblici, gateway NAT, istanze NAT, connessioni VPN e connessioni Direct Connect.

D: Le istanze Amazon EC2 in un cloud privato virtuale possono comunicare con Amazon S3?

Sì. Le risorse in un cloud privato virtuale possono comunicare con Amazon S3 in diversi modi.  Puoi usare un endpoint VPC per S3, che fa sì che tutto il traffico rimanga nella rete di Amazon e consente di applicare policy di accesso aggiuntive al traffico di Amazon S3. Puoi usare un Internet gateway per abilitare l'accesso a Internet dal VPC, consentendo alle istanze in VPC di comunicare con Amazon S3. Puoi anche instradare tutto il traffico di Amazon S3 attraverso una connessione Direct Connect o VPN, facendolo uscire dal data center e rientrare poi nella rete AWS pubblica.

D: È possibile monitorare il traffico di rete nel cloud privato virtuale?

Sì. Per monitorare il traffico di rete nel tuo Amazon VPC, puoi utilizzare le funzionalità di traffic mirroring e i log di flusso di Amazon VPC.

D: Cosa sono i log di flusso di Amazon VPC?

I log di flusso sono una funzionalità che consente di acquisire informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo VPC. I dati dei log di flusso possono essere pubblicati su Amazon CloudWatch Logs o Amazon S3. È possibile monitorare i log di flusso del VPC per acquisire visibilità operativa delle dipendenze di rete e dei pattern di traffico, per rilevare anomalie e prevenire le perdite di dati, oppure per risolvere problemi di connettività e configurazione di rete. I metadati arricchiti dei log di flusso consentono di ottenere informazioni aggiuntive sul soggetto che ha avviato le connessioni TCP e sulle effettive sorgenti e destinazioni a livello di pacchetto del traffico che attraversa i livelli intermedi, come ad esempio il gateway NAT. Inoltre, è possibile archiviare i log di flusso per soddisfare determinati requisiti di conformità. Per ulteriori informazioni sui flussi di log di Amazon VPC, consulta la documentazione.

D: Come posso usare i log di flusso del VPC?

È possibile creare un log di flusso per un VPC, una sottorete o un'interfaccia di rete. Creando un log di flusso per una sottorete o un VPC, ogni interfaccia di rete in quella sottorete o in quel VPC viene monitorata. Durante la creazione di una registrazione dei log di flusso, è possibile scegliere i campi dei metadati che si desidera acquisire, l'intervallo massimo di aggregazione e la destinazione preferita del log. Si può anche scegliere di acquisire tutto il traffico o solo il traffico accettato o rifiutato. È possibile utilizzare strumenti come CloudWatch Log Insights o CloudWatch Contributor Insights per analizzare i log di flusso del VPC distribuiti in CloudWatch Logs. Puoi utilizzare strumenti come Amazon Athena o AWS QuickSight per interrogare e visualizzare i log di flusso del VPC distribuiti in Amazon S3. Puoi anche creare un'applicazione downstream personalizzata per analizzare i tuoi log o utilizzare soluzioni di partner come Splunk, Datadog, Sumo Logic, Cisco StealthWatch, Checkpoint CloudGuard, New Relic ecc.

D: L'utilizzo di log di flusso ha un impatto sulla latenza o sulle prestazioni della mia rete?

I dati dei log di flusso vengono raccolti al di fuori del percorso del tuo traffico di rete, quindi non influenzano il throughput o la latenza della rete. Puoi creare o eliminare i log di flusso senza alcun rischio di impatto sulle prestazioni della rete.

D: Quanto costano i log di flusso del VPC?

I costi di acquisizione e archiviazione dei dati per i vended log si applicano quando si pubblicano i log di flusso su CloudWatch Logs o su Amazon S3. Per ulteriori informazioni ed esempi, consulta la pagina dei prezzi di Amazon CloudWatch. Puoi anche tenere traccia degli addebiti dalla pubblicazione dei log di flusso usando i tag di allocazione dei costi.

Traffic mirroring del VPC

D: Cos’è la funzionalità di traffic mirroring di Amazon VPC?

La funzionalità di traffic mirroring di Amazon VPC permette di replicare in modo semplice il traffico di rete da e verso un’istanza di Amazon EC2 e inviarlo sui dispositivi di sicurezza e monitoraggio al di fuori della banda per casi d’uso quali l’ispezione dei contenuti, il monitoraggio delle minacce e la risoluzione dei problemi. Questi dispositivi possono essere implementati su una singola istanza EC2 o su una flotta di istanze in un sistema Network Load Balancer (NLB) con un listener UDP (User Datagram Protocol).

D: Come funziona la funzionalità di traffic mirroring di Amazon VPC?

La funzionalità di traffic mirroring copia il traffico di rete dall’ENI (Elastic Network Interface) delle istanze EC2 sul tuo Amazon VPC. Il traffico così duplicato può essere inviato a un’altra istanza EC2 o a un NLB con un listener UDP. Questa funzionalità incapsula tutto il traffico copiato attraverso degli header VXLAN. La sorgente e la destinazione della copia (dispositivi di monitoraggio) possono essere all’interno dello stesso VPC o in un VPC differente, connesso tramite peering di VPC o AWS Transit Gateway.

D: Quali risorse possono essere monitorate con la funzionalità di traffic mirroring di Amazon VPC?

Il traffic mirroring supporta i pacchetti di rete catturati a livello dell'interfaccia di rete elastica (ENI) per le istanze EC2. Fai riferimento alla documentazione di mirroring del traffico per le istanze EC2 che supportano la funzionalità di mirroring del traffico di Amazon VPC.

D: Quali tipi di dispositivi sono supportati con il traffic mirroring di Amazon VPC?

I clienti possono utilizzare strumenti open source o scegliere tra una vasta gamma di soluzioni di monitoraggio disponibili su AWS Marketplace. Il traffic mirroring permette ai clienti di trasmettere il traffico replicato a qualsiasi collettore o broker di pacchetti di rete o strumento di analisi, senza dover installare agenti specifici per fornitore. 

D: Qual è la differenza tra il traffic mirroring di Amazon VPC e i log di flusso di Amazon VPC?

I log di flusso di Amazon VPC permettono ai clienti di raccogliere, archiviare e analizzare i log di flusso della rete. Le informazioni catturate nei log di flusso includono dati sul traffico permesso e negato, la sorgente e la destinazione degli indirizzi IP, le porte, il numero di protocollo, il numero di pacchetti e byte, e un’azione (accettare o rifiutare). Puoi utilizzare questa funzionalità per risolvere i problemi di connettività e sicurezza, e assicurarti che le regole di accesso alla rete stiano funzionando come dovuto.

Il traffic mirroring di Amazon VPC, invece, fornisce una visione più accurata all’interno del traffico di rete, permettendoti di analizzare il contenuto effettivo del traffico, tra cui il payload, ed è mirato per casi d’utilizzo in cui hai bisogno di analizzare i pacchetti di rete per determinare la radice di un problema di prestazioni, applicare un processo di ingegneria inversa per un attacco di rete sofisticato, o rilevare e terminare violazioni interne o carichi di lavoro compromessi.

Amazon VPC ed EC2

D: In quali regioni di Amazon EC2 è disponibile Amazon VPC?

Amazon VPC è attualmente disponibile in diverse zone di disponibilità in tutte le regioni di Amazon EC2.

D: Un cloud privato virtuale può coprire diverse zone di disponibilità?

Sì. 

D: Una sottorete può coprire diverse zone di disponibilità?

No. Una sottorete può occupare una sola zona di disponibilità.

D: Come si specifica in quale zona di disponibilità avviare le istanze Amazon EC2?

Quando viene avviata un'istanza Amazon EC2, è necessario specificare la sottorete in cui avviarla. L'istanza verrà avviata nella zona di disponibilità associata alla sottorete scelta.

D: Come si determina in quale zona di disponibilità di trova una sottorete?

Quando crei una sottorete devi specificare la zona di disponibilità in cui collocarla. Quando usi lo strumento VPC Wizard, puoi selezionarla nella schermata di conferma. Quando usi l'API o l'interfaccia a riga di comando, puoi sceglierla durante la creazione della sottorete. Se non specifichi alcuna zona di disponibilità, viene selezionata l'opzione di default "No Preference" e la sottorete sarà creata in una zona di disponibilità qualsiasi della regione.

D: Quali costi vengono addebitati per la larghezza di banda della rete tra istanze in diverse sottoreti?

Se le istanze si trovano in sottoreti situate in zone di disponibilità differenti, verrà addebitato 0,01 USD per GB di dati trasferiti.

D: Quando viene richiamato il comando DescribeInstances(), vengono visualizzate tutte le istanze Amazon EC2, incluse quelle in EC2-Classic ed EC2-VPC?

Sì. Il comando DescribeInstances() restituirà tutte le istanze Amazon EC2 in esecuzione. È possibile differenziare le istanze EC2-Classic da quelle EC2-VPC mediante una voce nel campo Subnet. Se viene elencato un ID sottorete, l'istanza sarà interna al VPC. 

D: Quando viene richiamato il comando DescribeVolumes(), vengono visualizzati tutti i volumi di Amazon EBS, inclusi quelli in EC2-Classic ed EC2-VPC?

Sì. Il comando DescribeVolumes() restituirà tutti i volumi EBS.

D: Quante istanze di Amazon EC2 è possibile impiegare in un VPC?

Per le istanze che richiedono un indirizzo IPv4, è possibile eseguire tutte le istanze Amazon EC2 che si desiderano dentro un VPC, ammesso che le dimensioni del cloud siano sufficienti e che a ogni istanza sia assegnato un indirizzo IPv4. Inizialmente, è possibile avviare solo 20 istanze Amazon EC2 alla volta, e le dimensioni massime di un VPS corrispondono a /16 (65.536 indirizzi IP). Se desideri superare queste limitazioni, compila questo modulo. Per le istanze solo IPv6, la dimensione del VPC di /56 ti permette di avviare un numero virtualmente illimitato di istanze Amazon EC2.

D: È possibile usare le AMI esistenti in Amazon VPC?

Puoi usare le AMI in Amazon VPC se sono registrate nella stessa regione del cloud privato virtuale. Ad esempio, puoi usare le AMI registrate in us-east-1 all'interno di un cloud privato virtuale situato nella regione us-east-1. Per ulteriori informazioni, consulta le domande frequenti sulla zona di disponibilità e la Regione Amazon EC2.

D: È possibile usare gli snapshot Amazon EBS esistenti?

Sì, puoi usare gli snapshot Amazon EBS se si trovano nella stessa regione del cloud privato virtuale. Potrai trovare maggiori informazioni, nelle domande frequenti sulla zona di disponibilità e la Regione Amazon EC2.

D: È possibile avviare un'istanza Amazon EC2 da un volume Amazon EBS all'interno di Amazon VPC?

Sì; tuttavia, un'istanza avviata in un cloud privato virtuale usando un'AMI basata su Amazon EBS conserverà lo stesso indirizzo IP quando interrotta e riavviata. Questa situazione è in contrasto con quanto accade con istanze simili avviate esternamente al cloud privato virtuale, che ricevono un nuovo indirizzo IP. Gli indirizzi IP delle istanze interrotte in una sottorete saranno considerati non disponibili.

D: È possibile utilizzare le istanze riservate di Amazon EC2 con Amazon VPC?

Sì. Quando acquisti istanze riservate, puoi prenotare un'istanza in Amazon VPC. Al momento del calcolo della fattura, AWS non effettua alcuna distinzione tra le istanze eseguite in Amazon VPC o in Amazon EC2 standard. AWS selezionerà automaticamente le istanze riservate con il prezzo minore per consentirti di risparmiare. La prenotazione dell'istanza, tuttavia, sarà specifica di Amazon VPC. Per ulteriori informazioni, consulta la pagina dedicata alle istanze riservate.

D: È possibile impiegare Amazon CloudWatch in Amazon VPC?

Sì.

D: È possibile impiegare Auto Scaling in Amazon VPC?

Sì. 

D: È possibile avviare istanze cluster di Amazon EC2 in un cloud privato virtuale?

Sì. Le istanze cluster sono supportate in Amazon VPC, ma non tutti i tipi di istanza sono disponibili in tutte le regioni e zone di disponibilità.

D: Cosa sono i nomi host delle istanze?

Quando avvii un'istanza, le viene assegnato un nome host. Ci sono due possibilità: un nome basato sull'indirizzo IP o un nome basato sulla risorsa e questo parametro può essere configurato all'avvio dell'istanza. Il nome basato sull'indirizzo IP utilizza un modulo dell'indirizzo IPv4 privato mentre quello basato sulla risorsa utilizza un modulo dell'ID istanza.

D: Posso cambiare il nome host della mia istanza Amazon EC2?

Sì, puoi cambiare il nome host di un'istanza basato sull'IP con uno basato sulla risorsa e viceversa interrompendo l'istanza e quindi cambiando le opzioni di nome basate sulla risorsa.

D: Posso utilizzare i nomi host dell'istanza come nomi host DNS?

Sì, il nome host dell'istanza può essere utilizzato come nome host DNS. Per le istanze lanciate in una sottorete solo IPv4 o dual-stack, il nome basato su IP risolve sempre all'indirizzo IPv4 privato sull'interfaccia di rete primaria dell'istanza e questo non può essere disattivato. Inoltre, il nome basato sulle risorse può essere configurato per risolvere all'indirizzo IPv4 privato sull'interfaccia di rete primaria, o al primo indirizzo GUA IPv6 sull'interfaccia di rete primaria, o entrambi. Per le istanze avviate in una sottorete solo IPv6, il nome basato sulle risorse sarà configurato per risolvere al primo indirizzo GUA IPv6 sull'interfaccia di rete primaria. 

VPC di default

D: Cos'è un cloud privato virtuale di default?

Un cloud privato virtuale di default è una rete virtuale isolata logicamente nel cloud AWS, che viene automaticamente creata per il tuo account AWS la prima volta che effettui il provisioning di risorse Amazon EC2. Quando avvii un'istanza senza specificare un ID di sottorete, l'istanza viene avviata nel cloud privato virtuale di default.

D: Quali sono i vantaggi di un cloud privato virtuale di default?

Quando avvii una risorsa in un cloud privato virtuale di default, puoi sfruttare le avanzate funzionalità di rete di Amazon VPC (EC2-VPC) con la facilità di utilizzo di Amazon EC2 (EC2-Classic). Potrai modificare in pochi istanti i membri dei gruppi di sicurezza e i relativi filtri in uscita e sfruttare caratteristiche quali gli indirizzi IP multipli e le interfacce di rete multiple senza dover espressamente creare un cloud privato virtuale e avviare le istanze al suo interno.

D: Quali account sono abilitati all'uso del cloud privato virtuale di default?

Se il tuo account AWS è stato creato dopo il 18 marzo 2013, è possibile che tu sia in grado di avviare risorse in un VPC di default. Leggi questo annuncio sul forum per stabilire in quali regioni è possibile disporre di un VPC di default. Inoltre, gli account creati prima delle date elencate potranno utilizzare un VPC di default in qualsiasi regione in cui ciò sia consentito, a condizione che tu non abbia mai avviato istanze EC2 o effettuato il provisioning per risorse di Amazon Elastic Load Balancing, Amazon RDS, Amazon ElastiCache o Amazon Redshift.

D: Come si stabilisce se un account è configurato per l'utilizzo di un VPC di default?

Potrai vedere in quali piattaforme puoi avviare istanze per la regione selezionata nella console di Amazon EC2 e se disponi di un VPC di default in quella regione. Accertati che la regione in cui intendi operare sia selezionata nella barra di navigazione. Nel pannello di controllo della console di Amazon EC2, seleziona "Account Attribute"s, quindi "Supported Platforms". Se sono elencati due valori, EC2-Classic ed EC2-VPC, puoi avviare istanze in entrambe le piattaforme. Se è presente un solo valore, EC2-VPC, potrai avviare istanze solo in EC2-VPC. Se il tuo account è configurato per l'utilizzo di un VPC di default, potrai visualizzare l’ID VPC di default nella sezione "Account Attributes". Per ottenere una descrizione delle piattaforme supportate, puoi anche usare l'API DescribeAccountAttributes di EC2 o l'interfaccia a riga di comando.

D: Sono necessarie nozioni approfondite di Amazon VPC per poter usare un VPC di default?

No. Per avviare e gestire istanze EC2 e altre risorse AWS in un cloud privato virtuale di default puoi usare la Console di gestione AWS, l'interfaccia a riga di comando di Amazon EC2 o l'API AWS EC2. AWS creerà automaticamente un VPC di default, con una sottorete in ciascuna zona di disponibilità nella regione AWS. Il tuo cloud privato virtuale di default sarà connesso a un Internet gateway e le istanze riceveranno automaticamente indirizzi IP pubblici, come avviene per EC2-Classic.

D: Quali sono le differenze tra le istanze avviate in EC2-Classic e in EC2-VPC?

Vedere Differences between EC2-Classic and EC2-VPC nel documento EC2 User's Guide.

D: È necessario disporre di una connessione VPN per usare un cloud privato virtuale di default?

I cloud privati virtuali di default sono collegati a Internet e tutte le istanze avviate nelle sue sottoreti di default ricevono automaticamente indirizzi IP pubblici. Se lo desideri, comunque, puoi aggiungere al tuo cloud una connessione VPN.

D: È possibile creare altri cloud privati virtuali e usarli insieme a quello di default?

Sì. Per avviare un'istanza in cloud privati virtuali non di default è necessario specificare l’ID della sottorete al momento dell'avvio.

D: È possibile creare sottoreti aggiuntive nel cloud privato virtuale di default, ad esempio sottoreti private?

Sì. Per eseguire l'avvio in sottoreti non di default, è possibile scegliere la destinazione degli avvii usando la console oppure tramite l'opzione --subnet da interfaccia a riga di comando, API o SDK.

D: Quanti VPC di default è possibile avere?

È possibile avere un solo VPC di default in ciascuna regione AWS in cui l'attributo Supported-Platforms è impostato su "EC2-VPC".

D: Qual è l'intervallo IP di un cloud privato virtuale di default?

Il blocco CIDR di un cloud privato virtuale di default è 172.31.0.0/16. Le sottoreti di default usano blocchi CIDR /20 all'interno dello stesso blocco CIDR del VPC.

D: Quante sottoreti di default ci sono in un cloud privato virtuale di default?

Viene creata una sottorete di default per ogni zona di disponibilità nel VPC di default.

D: È possibile specificare quale cloud privato virtuale è quello di default?

No, al momento no.

D: È possibile specificare quali sottoreti sono quelle di default?

No, al momento no.

D: È possibile eliminare un cloud privato virtuale di default?

Sì, un'istanza VPC di default può essere eliminata. Una volta completata l'operazione, è possibile creare una nuova istanza di default direttamente dalla console di VPC o dall'interfaccia a riga di comando. La nuova istanza VPC sarà quella predefinita all'interno della regione specificata. Questa operazione non consente il ripristino dell'istanza VPC precedentemente eliminata.

D: È possibile eliminare una sottorete di default?

Sì, una sottorete di default può essere eliminata. Una volta eliminata, è possibile creare una nuova sottorete di default nella zona di disponibilità utilizzando l'interfaccia a riga di comando o SDK. La nuova sottorete di default sarà creata nella zona di disponibilità specificata. Questa operazione non consente il ripristino della sottorete precedentemente eliminata.

D: Ho un account EC2-Classic. Posso ottenere un VPC di default?

Il modo più semplice per ottenere un VPC di default è creare un nuovo account in una regione che ne permette l'utilizzo, oppure usare un account esistente in una regione che non hai mai utilizzato, a condizione che l'attributo Supported-Platforms per quell'account nella regione sia "EC2-VPC".

D: Mi occorre un cloud privato virtuale per il mio account EC2 esistente. È possibile ottenerlo?

Sì; tuttavia possiamo configurare un account esistente per l'utilizzo di VPC di default solo se non hai risorse EC2-Classic per quell’account in quella regione. Inoltre, dovrai terminare tutte le risorse di Elastic Load Balancer, Amazon RDS, Amazon ElastiCache e Amazon Redshift non VPC di cui è stato eseguito il provisioning in quella regione. Una volta che il tuo account è configurato per l'utilizzo di un cloud privato virtuale, le risorse che avvierai in futuro, incluse le istanze avviate tramite Auto Scaling, saranno collocate in esso. Per richiedere la configurazione di un account esistente per l'utilizzo di un cloud privato virtuale, seleziona Account and Billing -> Service: Account -> Category: Convert EC2 Classic to VPC e inoltra una richiesta. Esamineremo la richiesta e i servizi AWS in uso e verificheremo la presenza di risorse EC2-Classic, inviando le istruzioni su come procedere.

D: In che modo un cloud privato virtuale di default influisce sugli account IAM?

Se il tuo account AWS dispone di un cloud privato virtuale di default, qualsiasi account IAM associato con il tuo account utilizzerà lo stesso cloud privato virtuale di default.

 

EC2 Classic

D: Cos’è EC2-Classic?

EC2-Classic è una rete flat che abbiamo avviato con EC2 nell'estate del 2006. Con EC2-Classic, le tue istanze vengono eseguite in un'unica rete flat che condividi con altri clienti. Nel corso del tempo, ispirati dalle esigenze in continua evoluzione dei nostri clienti, abbiamo avviato Amazon Virtual Private Cloud (VPC) nel 2009 per consentirti di eseguire istanze in un cloud privato virtuale logicamente isolato dal tuo account AWS. Oggi, mentre la maggior parte dei nostri clienti utilizza Amazon VPC, alcuni clienti utilizzano ancora EC2-Classic.

D: Cosa cambierà?

Ritireremo Amazon EC2-Classic il 15 agosto 2022 e abbiamo bisogno che tu migri tutte le istanze EC2 e altre risorse AWS in esecuzione su EC2-Classic ad Amazon VPC prima di questa data. La sezione seguente fornisce ulteriori informazioni sul ritiro della classe EC2, nonché strumenti e risorse per assisterti nella migrazione.

D: In che modo il mio account è influenzato dal ritiro di EC2-Classic?

Sei interessato da questa modifica solo se hai abilitato EC2-Classic sul tuo account in una qualsiasi delle regioni AWS. Puoi usare la console o il comando description-account-attributes  per verificare se EC2-Classic è abilitato per una regione AWS; fai riferimento a questo documento per maggiori dettagli.

Se non disponi di risorse AWS attive in esecuzione su EC2-Classic in nessuna regione, ti chiediamo di disattivare EC2-Classic dal tuo account per quella regione. La disattivazione di EC2-Classic in una regione consente di avviare il VPC predefinito lì. Per farlo, vai all'AWS Support Center all'indirizzo console.aws.amazon.com/support, scegli "Crea caso" e quindi "Account e supporto per la fatturazione", per "Tipo" scegli "Account", per "Categoria" scegli "Converti". EC2 Classic a VPC", inserisci gli altri dettagli come richiesto e scegli "Invia".

Disattiveremo automaticamente EC2-Classic dal tuo account il 30 ottobre 2021 per qualsiasi regione AWS in cui non disponi di risorse AWS (istanze EC2, database relazionale Amazon, AWS Elastic Beanstalk, Amazon Redshift, AWS Data Pipeline, Amazon EMR, AWS OpsWorks) su EC2-Classic dal 1° gennaio 2021.

D'altra parte, se disponi di risorse AWS in esecuzione su EC2-Classic, ti chiediamo di pianificare la loro migrazione ad Amazon VPC il prima possibile. Non potrai avviare istanze o servizi AWS sulla piattaforma EC2-Classic oltre il 15 agosto 2022. Eventuali carichi di lavoro o servizi in stato di esecuzione perderanno gradualmente l'accesso a tutti i servizi AWS su EC2-Classic man mano che verranno ritirati a partire dal 16 agosto 2022.

Puoi trovare le guide alla migrazione per le tue risorse AWS nella domanda successiva.

D: Quali sono i vantaggi del passaggio da EC2-Classic ad Amazon VPC?

Amazon VPC ti offre il controllo completo sul tuo ambiente di rete virtuale su AWS, isolato logicamente dal tuo account AWS. Nell'ambiente EC2-Classic, i tuoi carichi di lavoro condividono un'unica rete flat con altri clienti. L'ambiente Amazon VPC offre molti altri vantaggi rispetto all'ambiente EC2-Classic, inclusa la possibilità di selezionare il proprio spazio di indirizzi IP, la configurazione di sottoreti pubbliche e private e la gestione di tabelle di routing e gateway di rete. Tutti i servizi e le istanze attualmente disponibili in EC2-Classic hanno servizi comparabili disponibili nell'ambiente Amazon VPC. Amazon VPC offre anche una generazione di istanze molto più ampia e di ultima generazione rispetto a EC2-Classic. Ulteriori informazioni su Amazon VPC sono disponibili a questo link.

D: Come posso migrare da EC2-Classic a VPC?

Per aiutarti a migrare le tue risorse, abbiamo pubblicato playbook e soluzioni create che troverai di seguito. Per eseguire la migrazione, devi ricreare le tue risorse EC2-Classic nel tuo VPC. Innanzitutto, puoi utilizzare questo script per identificare tutte le risorse fornite in EC2-Classic in tutte le regioni in un account. Puoi quindi utilizzare la guida alla migrazione per le risorse AWS pertinenti di seguito:

Oltre alle guide alla migrazione di cui sopra, offriamo anche una soluzione lift-and-shift (alza e sposta) altamente automatizzata, AWS Application Migration Service (AWS MGN), che semplifica, accelera e riduce i costi di migrazione delle applicazioni. Puoi trovare risorse pertinenti su AWS MGN qui:

Per semplici migrazioni di singole istanze EC2 da EC2-Classic a VPC, oltre ad AWS MGN o alla Guida alla Migrazione delle Istanze, puoi anche utilizzare il runbook "AWSSupport-MigrateEC2 ClassicToVPC" da "AWS Systems Manager > Automation". Questo runbook automatizza i passaggi necessari per migrare un'istanza da EC2-Classic a VPC creando un'AMI dell'istanza in EC2-Classic, creando una nuova istanza dall'AMI in VPC e, facoltativamente, terminando l'istanza EC2-Classic.

In caso di domande o dubbi, puoi contattare il team di AWS Support tramite AWS Premium Support.

Nota: se disponi di risorse AWS in esecuzione su EC2-Classic in più regioni AWS, ti consigliamo di disattivare EC2-Classic per ciascuna di tali regioni non appena hai migrato tutte le tue risorse a VPC in esse.

D: Quali sono le date importanti di cui dovrei essere a conoscenza?

Intraprenderemo le seguenti due azioni prima della data di ritiro del 15 agosto 2022:

  • Non emetteremo più istanze riservate (RI) di 3 anni e RI di 1 anno per l'ambiente EC2-Classic il 30 ottobre 2021. Le istanze riservate già in atto nell'ambiente EC2-Classic non saranno interessate in questo momento. Le istanze riservate che scadranno dopo il 15/08/2022 dovranno essere modificate per utilizzare l'ambiente Amazon VPC per il periodo rimanente del contratto di locazione. Per informazioni su come modificare le istanze riservate, visita il nostrodocumento.
  • Il 15 agosto 2022, non consentiremo più la creazione di nuove istanze (Spot o on demand) o altri servizi AWS nell'ambiente EC2-Classic. Eventuali carichi di lavoro o servizi in stato di esecuzione perderanno gradualmente l'accesso a tutti i servizi AWS su EC2-Classic man mano che verranno ritirati a partire dal 16 agosto 2022.

Interfacce di rete elastiche

D: È possibile collegare e scollegare una o più interfacce di rete da un'istanza EC2 mentre è in esecuzione?

Sì.

D: È possibile collegare più di due interfacce di rete a un'istanza EC2?

Il numero totale di interfacce di rete che è possibile collegare a un'istanza EC2 dipende dal tipo di istanza. Consultare il documento EC2 User's Guide per ulteriori informazioni sul numero di interfacce di rete consentite per ciascun tipo di istanza.

D: È possibile collegare un'interfaccia di rete in una zona di disponibilità a un'istanza situata in un'altra zona di disponibilità?

Le interfacce di rete possono essere collegate esclusivamente a istanze che si trovano nella stessa zona di disponibilità.

D: È possibile collegare un'interfaccia di rete in un cloud privato virtuale a un'istanza situata in un altro cloud privato virtuale?

Le interfacce di rete possono essere collegate esclusivamente a istanze che si trovano nello stesso cloud privato virtuale.

D: È possibile usare le interfacce di rete elastiche per eseguire l'hosting di più siti Web che necessitano di indirizzi IP separati su una singola istanza?

Sì; tuttavia non si tratta di un caso d'uso ideale per usare più interfacce. Ti consigliamo di assegnare più indirizzi IP privati all'istanza, associando quindi indirizzi IP elastici agli IP privati secondo necessità.

D: Se un indirizzo IP elastico è associato a un'interfaccia di rete, ma l'interfaccia non è collegata a un'istanza in esecuzione, i relativi costi saranno comunque fatturati?

Sì.

D: È possibile scollegare l'interfaccia principale (eth0) su un'istanza EC2?

È possibile collegare e scollegare interfacce secondarie (eth1-ethn) su un'istanza EC2, ma non è possibile scollegare l'interfaccia eth0.

 

Connessioni Peer

D: È possibile creare una connessione peer a un cloud privato virtuale in una regione differente?

Sì. È possibile creare connessioni in peering tra cloud privati virtuali in regioni differenti. La connessione peer VPC tra regioni è disponibile a livello globale in tutte le regioni commerciali (escluso la Cina).

D: È possibile creare una connessione peer tra due cloud privati virtuali appartenenti ad account AWS differenti?

Sì, se il proprietario dell'altro cloud privato virtuale accetta la tua richiesta di connessione peer.

D: È possibile creare una connessione peer tra due cloud privati virtuali con intervalli di indirizzi IP sovrapposti?

I cloud privati virtuali in peering devono avere intervalli IP non sovrapposti.

D: Quanto costano le connessioni peer di un cloud privato virtuale?

Per la creazione di connessioni peer di cloud privati virtuali non viene addebitato alcun costo; tuttavia verrà fatturato il trasferimento di dati tra connessioni peer. Per informazioni sulle tariffe di trasferimento dei dati, consulta la relativa sezione nella pagina dei prezzi di EC2.

D: È possibile usare AWS Direct Connect o una connessione VPN hardware per accedere a un cloud privato virtuale in peering?

No. Amazon VPC non supporta la funzione "Edge to Edge routing". Per ulteriori informazioni consulta Guida al peering VPC.

D: È necessario avere un Internet gateway per usare connessioni peer?

No. Le connessioni peer di cloud privati virtuali non necessitano di Internet gateway.

D: Il traffico di connessioni peer tra istanze VPC all'interno di una regione è crittografato?

Il traffico tra istanze in cloud privati virtuali in peering è privato e isolato, come il traffico tra due istanze nello stesso cloud privato virtuale.

D: Se una delle due parti interrompe la connessione peer, l'altra parte potrà ancora accedere al mio cloud privato virtuale in peering?

No. Una connessione peer può essere interrotta da una delle due parti in qualsiasi momento. In seguito all'interruzione, il traffico tra i due cloud privati virtuali viene bloccato.

D: Le istanze VPC A e B sono collegate in peering, così come le istanze B e C; significa che le istanze A e C sono collegate tra loro in peering?

No. La proprietà transitiva delle connessioni peer non è supportata.

D: Cosa succede quando la connessione peer subisce un'interruzione?

Per creare una connessione peer tra cloud privati virtuali AWS impiega la sua infrastruttura; non impiega un gateway o una connessione VPN, né dipende da un singolo apparato hardware fisico. Non prevede alcun singolo punto di errore né colli di bottiglia.

Una connessione peer tra istanze VPC in regioni diverse opera avvalendosi della stessa tecnologia ridondante a scalabilità orizzontale ed elevata disponibilità su cui si basa VPC. Il traffico per queste connessioni passa dalla dorsale di AWS, che offre ridondanza di design e assegna la larghezza di banda in modo dinamico. Non esiste un singolo punto di errore nella comunicazione.

Se si verifica un errore su una connessione tra regioni diverse, il traffico non verrà inoltrato su Internet.

D: Sono previste limitazioni di banda per le connessioni peer?

La larghezza di banda tra le istanze in cloud privati virtuali peer non è diversa da quella tra istanze all'interno dello stesso cloud privato virtuale. Nota:: un gruppo di posizionamento può coprire più VPC in peering, all'interno dei quali non sarà tuttavia disponibile la bisezione completa della larghezza di banda tra istanze. Scopri di più sui gruppi di posizionamento.

D: Il traffico delle connessioni peer tra istanze VPC in regioni diverse è crittografato?

Il traffico viene crittografato utilizzando i moderni algoritmi AEAD (Authenticated Encryption with Associated Data). Accordo e gestione della chiave sono gestiti da AWS.

D: Come funziona la traduzione DNS con le connessioni peer tra istanze VPC in regioni diverse?

Di default, una query per un nome host pubblico di un'istanza in un cloud privato virtuale in peering in una regione differente viene risolta con un indirizzo IP pubblico. È possibile utilizzare il DNS privato di Route 53 per risolvere il nome con un indirizzo IP privato con connessioni peer tra istanze VPC in regioni diverse.

D: È possibile usare come riferimento gruppi di sicurezza su una connessione peer tra istanze VPC in regioni diverse?

No. Non è possibile fare riferimento a gruppi di sicurezza su una connessione peer tra istanze VPC in regioni diverse.

D: Il peering VPC tra regioni supporta IPv6?

Sì. Le connessioni peer tra istanze VPC in regioni diverse supportano IPv6.

D: Le connessioni peer tra istanze VPC in regioni diverse possono essere usate con EC2-Classic Link?

No. Le connessioni peer tra istanze VPC in regioni diverse non possono essere usate con EC2-ClassicLink.

D: Cos'è ClassicLink?

ClassicLink di Amazon Virtual Private Cloud (VPC) consente alle istanze EC2 nella piattaforma EC2-Classic di comunicare con le istanze in un cloud privato virtuale usando indirizzi IP privati. Per usare ClassicLink, attiva la funzione in un cloud privato virtuale nel tuo account e associa un gruppo di sicurezza al suo interno con un'istanza in EC2-Classic. Nelle comunicazioni tra le istanze in EC2-Classic e quelle nel cloud privato virtuale saranno applicate le regole del gruppo di sicurezza di quest'ultimo. 

D: Quanto costa ClassicLink?

Non sono previsti costi aggiuntivi per l'utilizzo di ClassicLink; tuttavia saranno applicate le tariffe di trasferimento dei dati tra diverse zone di disponibilità. Per ulteriori informazioni, consulta la pagina dei prezzi di EC2.

D: Come si usa ClassicLink?

Per poterlo usare, è necessario configurare almeno un cloud privato virtuale per l'utilizzo di ClassicLink. Quindi devi associare un gruppo di sicurezza del cloud privato virtuale con un'istanza EC2-Classic. Questa istanza è così collegata al cloud privato virtuale e fa parte del gruppo di sicurezza selezionato.  Un'istanza EC2-Classic non può essere collegata a più di un VPC alla volta.

D: L'istanza EC2-Classic può entrare a far parte del cloud privato virtuale?

No, l'istanza EC2-Classic non entra a far parte del cloud privato virtuale. Diventa membro del gruppo di sicurezza del cloud associato con essa. Nelle comunicazioni tra le istanze in EC2-Classic e le risorse nel cloud privato virtuale saranno applicate tutte le regole e i riferimenti al gruppo di sicurezza del cloud.

D: È possibile usare i nomi host DNS pubblici di EC2 delle istanze EC2-Classic ed EC2-VPC per instradarsi tra loro, in modo da comunicare usando IP privati?

Il nome host DNS pubblico di EC2 non risolve l'indirizzo IP privato dell'istanza EC2-VPC quando riceve una query proveniente da un'istanza EC2-Classic, né viceversa.

D: Esistono cloud privati virtuali per i quali non è possibile abilitare ClassicLink?

Sì. ClassicLink non può essere abilitato per cloud privati virtuali con CIDR (Classless Inter-Domain Routing) nell'intervallo 10.0.0.0/8, ad eccezione di 10.0.0.0/16 e 10.1.0.0/16. Inoltre, ClassicLink non può essere abilitato per cloud privati virtuali con una voce nella tabella di routing che indirizza verso lo spazio CIDR 10.0.0.0/8 con un'impostazione di destinazione diversa da "local".

D: È possibile instradare il traffico proveniente da un'istanza EC2-Classic attraverso Amazon VPC, indirizzandolo in uscita attraverso Internet gateway, gateway virtuale privato o cloud privati virtuali peer?

Il traffico proveniente da un'istanza EC2-Classic può essere instradato solo verso indirizzi IP privati all'interno del cloud privato virtuale. Non potrà essere instradato verso destinazioni esterne al cloud, inclusi Internet gateway, gateway virtuale privato o cloud privato virtuale peer.

D: L'uso di ClassicLink può avere conseguenze sul controllo degli accessi tra l'istanza EC2-Classic e altre istanze nella piattaforma EC2-Classic?

ClassicLink non modifica in alcun modo il controllo degli accessi definito per un'istanza EC2-Classic tramite i gruppi di sicurezza esistenti nella piattaforma EC2-Classic.

D: Le impostazioni di ClassicLink in un'istanza EC2-Classic rimangono valide anche quando viene arrestata e riavviata?

La connessione ClassicLink viene interrotta quando l'istanza EC2-Classic viene arrestata e riavviata. L'istanza EC2-Classic dovrà pertanto essere nuovamente collegata al cloud privato virtuale. La connessione ClassicLink, tuttavia, rimane valida anche in seguito al riavvio dell'istanza.

D: Dopo l'attivazione di ClassicLink, viene assegnato un nuovo indirizzo IP privato all'istanza EC2-Classic?

No, non viene assegnato alcun nuovo indirizzo IP privato all'istanza EC2-Classic. Quando attivi ClassicLink su un'istanza EC2-Classic, l'istanza conserverà e utilizzerà il proprio indirizzo IP privato per le comunicazioni con le risorse in un cloud privato virtuale.

D: ClassicLink consente alle regole del gruppo di sicurezza di EC2-Classic di usare come riferimento i gruppi di sicurezza del cloud privato virtuale o viceversa?

ClassicLink non consente alle regole del gruppo di sicurezza di EC2-Classic di usare come riferimento i gruppi di sicurezza del cloud privato virtuale né viceversa.

D: Cos'è AWS PrivateLink?

AWS PrivateLink è una soluzione che permette di accedere ai servizi in hosting in AWS in modo scalabile e con elevata disponibilità mantenendo tutto il traffico di rete nell'ambito della rete AWS. I clienti che usano questa tecnologia possono accedere ai servizi compatibili con PrivateLink privatamente dal loro Amazon Virtual Private Cloud (VPC) o dal loro ambiente locale senza utilizzare IP pubblici e senza inviare traffico su Internet. I proprietari di servizi possono registrare i loro Network Load Balancer a PrivateLink e offrire i loro prodotti ad altri clienti AWS.

D: In che modo è possibile utilizzare AWS PrivateLink?

Gli utenti di un servizio dovranno creare endpoint VPC di tipo interfaccia per i servizi abilitati da PrivateLink. Questi endpoint saranno visualizzati come interfacce di rete elastiche (ENI, Elastic Network Interface) con indirizzi IP privati all'interno del cloud privato virtuale. Una volta creati gli endpoint, il traffico destinato agli indirizzi IP in questione sarà instradato in modo privato ai servizi AWS corrispondenti.

I proprietari di un servizio dovranno instradarlo in AWS PrivateLink; per farlo devono configurare un Network Load Balancer e creare un servizio PrivateLink che si registri ad esso. I clienti potranno stabilire endpoint all'interno del loro cloud privato virtuale per connettersi al servizio, previa inclusione del loro account in whitelist e ruoli IAM.

D: Quali servizi sono compatibili con AWS PrivateLink?

Questa caratteristica supporta i seguenti servizi AWS: Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Kinesis Streams, Service Catalog, EC2 Systems Manager e Amazon SNS. Anche molte soluzioni SaaS supportano questa caratteristica. Visita AWS Marketplace per navigare tra i prodotti SaaS abilitati da AWS PrivateLink.

D: È possibile accedere in modo privato ai servizi abilitati da AWS PrivateLink tramite AWS Direct Connect?

Sì. L'applicazione in locale può connettersi agli endpoint del servizio in Amazon VPC tramite AWS Direct Connect. Gli endpoint instraderanno automaticamente il traffico verso i servizi AWS abilitati da AWS PrivateLink.

D: Quali parametri CloudWatch sono disponibili per l'endpoint VPC basato su interfaccia?

Attualmente, non ci sono parametri CloudWatch disponibili per l'endpoint VPC basato su interfaccia.

D: Chi paga i costi di trasferimento dati per il traffico che passa attraverso l'endpoint VPC basato su interfaccia?

Il modo di calcolo dei costi di trasferimento dati è simile a quello per le istanze EC2. Poiché un endpoint VPC basato su interfaccia è un ENI nella sottorete, i costi di trasferimento dei dati dipendono dall'origine del traffico. Se il traffico in direzione di questa interfaccia proviene da una risorsa su più zone di disponibilità, i costi di trasferimento dati fra EC2 e le zone di disponibilità vengono applicati al consumatore. I clienti nel VPC del consumatore possono usare endpoint DNS specifici per una zona di disponibilità, per assicurarsi che il traffico rimanga nella stessa zona di disponibilità, se hanno effettuato il provisioning di ciascuna AZ disponibile nel loro account.

Bring Your Own IP

D: Cos'è la funzione Bring Your Own IP?

La funzione Bring Your Own IP (BYOIP), ossia la possibilità di utilizzare il proprio IP, permette ai clienti di trasferire lo spazio esistente degli indirizzi IPv4 o IPv6 instradabili pubblicamente in AWS per utilizzarli con le proprie risorse AWS. L'intervallo di indirizzi IP continuerà a essere di proprietà del cliente. Inoltre, i clienti potranno creare indirizzi IP elastici dallo spazio IPv4 importato in AWS, utilizzandoli con istanze EC2, gateway NAT e Network Load Balancer. I clienti potranno inoltre associare un massimo di 5 CIDR ai propri VPC dallo spazio IPv6 importato in AWS. Continueranno comunque a disporre dell'accesso agli indirizzi IP forniti da Amazon e potranno scegliere di utilizzare gli indirizzi IP elastici creati con la funzione BYOIP, gli IP forniti da Amazon o entrambi.

D: Qual è il vantaggio di utilizzare BYOIP?

Importare indirizzi IP esistenti in AWS può essere utile per diversi motivi:
Reputazione dell'IP: molti clienti considerano la reputazione dei propri indirizzi IP un asset strategico e desiderano utilizzarli in AWS con le proprie risorse. Ad esempio, clienti che operano servizi quali MTA di posta elettronica in uscita e dispongono di IP con reputazione elevata, ora potranno importare il proprio spazio degli indirizzi IP e conservare un'elevata efficacia del recapito.

Clienti di whitelist: BYOIP permette inoltre ai clienti di spostare workload che fanno affidamento su indirizzi IP whitelisting su AWS, senza necessità di ristabilire la whitelist con i nuvi indirizzi IP.

Dipendenze scritte nel codice: molti clienti dispongono di IP utilizzati nel codice dei dispositivi o hanno basato dipendenze architetturali sui loro indirizzi IP. La funzione BYOIP permette ai clienti di eseguire la migrazione in AWS senza problemi.

Normative e conformità: molti clienti devono utilizzare IP specifici a causa di normative o standard di conformità. Anche loro potranno trarre enormi vantaggi dall'uso della funzione BYOIP.

Policy della rete IPv6 in locale: molti clienti possono instradare esclusivamente il proprio IPv6 nella rete in locale. Questi clienti possono trarre vantaggio dalla funzione BYOIP perché permette loro di assegnare il proprio intervallo IPv6 al VPC e di scegliere l'instradamento alla rete in locale utilizzando Internet o Direct Connect.

D: In che modo è possibile utilizzare gli indirizzi IP con il prefisso della funzione BYOIP con le risorse AWS?

Il prefisso BYOIP sarà visualizzato come un pool di indirizzi IP nel tuo account. Potrai impiegare il pool IPv4 per creare indirizzi IP elastici (EIP) e utilizzarli nel modo consueto con qualsiasi risorsa AWS che li supporti. Al momento, gli EIP sono supportati dalle istanze EC2, dai gateway NAT e dai Network Load Balancer. Puoi associare i CIDR dal tuo pool IPv6 al tuo VPC. Gli indirizzi IPv6 importati tramite BYOIP funzionano nello stesso modo degli indirizzi IPv6 forniti da Amazon. Ad esempio, puoi associare questi indirizzi IPv6 a sottoreti, interfacce di rete elastiche (ENI) e istanze EC2 all'interno del tuo VPC.

D: Cosa accade se si rilascia un indirizzo IP elastico creato con la funzione BYOIP?

Quando viene rilasciato un indirizzo IP elastico creato con la funzione BYOIP, esso torna a far parte del pool di indirizzi IP da cui era stato allocato.

D: In quali regioni AWS è disponibile la funzione BYOIP?

Questa funzione al momento è disponibile nelle regioni Africa (Città del Capo), Asia Pacifico (Hong-Kong), Asia Pacifico (Mumbai), Asia Pacifico (Osaka), Asia Pacifico (Sydney), Asia Pacifico (Tokyo), Asia Pacifico (Seoul), Asia Pacifico (Singapore), Canada (Centrale), Europa (Dublino), Europa (Francoforte), Europa (Londra), Europa (Milano), Europa (Parigi), Europa (Stoccolma), Medio Oriente (Bahrein), Sud America (San Paolo), Stati Uniti occidentali (California settentrionale), Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), AWS GovCloud (Stati Uniti-Ovest) AWS GovCloud (Stati Uniti-Est).

D: È possibile condividere un prefisso BYOIP con diversi cloud privati virtuali nello stesso account?

Sì. È possibile utilizzare un prefisso BYOIP con un qualsiasi numero di cloud privati virtuali nello stesso account.

D: Quanti intervalli di indirizzi IP è possibile importare tramite la funzione BYOIP?

È possibile importare fino a cinque intervalli di indirizzi IP in un account.

D: Qual è la specifica massima di un prefisso importabile con la funzione BYOIP?

La specifica massima di un prefisso IPv4 importabile con la funzione BYOIP è un prefisso IPv4 /24 e un prefisso IPv6 /56. Se intendi pubblicizzare il tuo prefisso IPv6 su Internet, la specifica massima del prefisso IPv6 è /48.

D: Quali prefissi RIR è possibile utilizzare per la funzione BYOIP?

È possibile utilizzare i prefissi registrati ARIN, RIPE e APNIC.

D: È possibile importare un prefisso riassegnato o riallocato?

Al momento non sono accettati prefissi riassegnati o riallocati. Gli intervalli IP devono essere di rete e in allocazione o assegnazione diretta.

D: È possibile spostare un prefisso BYOIP da una regione AWS a un’altra?

Sì. È possibile farlo attraverso il de-provisioning del prefisso BYOIP dalla regione attuale e il provisioning nella nuova regione.

Domande aggiuntive

D: È possibile usare la Console di gestione AWS per controllare e gestire Amazon VPC?

Sì. Puoi usare la Console di gestione AWS per gestire oggetti Amazon VPC quali cloud privati virtuali, tabelle di routing, Internet gateway e connessioni VPN IPsec. Inoltre, è disponibile una procedura guidata per creare cloud privati virtuali.

D: Quanti VPC, sottoreti, indirizzi IP elastici e gateway Internet posso creare?

Puoi creare:

  • 5 VPC Amazon per account AWS in ogni regione
  • 200 sottoreti per Amazon VPC
  • Cinque indirizzi IP elastici di Amazon VPC per account AWS in ogni regione
  • Un Internet gateway per cloud privato virtuale Amazon

Per ulteriori informazioni sui limiti VPC, consulta il documento Guida per l’utente di Amazon VPC.

D: È possibile ottenere supporto da AWS per Amazon VPC?

Sì. Fai clic qui per ulteriori informazioni su AWS Support.

D: È possibile usare ElasticFox con Amazon VPC?

ElasticFox non è più ufficialmente supportato per la gestione di Amazon VPC. Il supporto per Amazon VPC è disponibile tramite le API di AWS, gli strumenti a riga di comando, la Console di gestione AWS e una serie di utility di terze parti.

 

Ulteriori informazioni su Amazon VPC

Visita la pagina sui dettagli del prodotto
Sei pronto per iniziare?
Registrati
Hai altre domande?
Contattaci