Modelli di accesso per l'accesso a una ElastiCache cache in un Amazon VPC - Amazon ElastiCache

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modelli di accesso per l'accesso a una ElastiCache cache in un Amazon VPC

Amazon ElastiCache supporta i seguenti scenari per l'accesso a una cache in un Amazon VPC:

Accesso a una ElastiCache cache quando essa e l'istanza Amazon EC2 si trovano nello stesso Amazon VPC

Il caso d'uso più comune è quando un'applicazione implementata su un'istanza EC2 deve connettersi a una cache nello stesso VPC.

Il diagramma seguente illustra questo scenario.

Immagine: diagramma che mostra l'applicazione e ElastiCache nello stesso VPC

Il modo più semplice per gestire l'accesso tra istanze EC2 e cache nello stesso VPC è procedere come segue:

  1. Crea un gruppo di sicurezza VPC per la cache. Questo gruppo di sicurezza può essere usato per limitare l'accesso alla cache. Per questo gruppo di sicurezza è, ad esempio, possibile creare una regola personalizzata che consenta l'accesso TCP tramite la porta assegnata alla cache al momento della creazione e un indirizzo IP che viene utilizzato per accedere alla cache.

    La porta predefinita per le cache Memcached è 11211.

  2. Creare un gruppo di sicurezza VPC per le istanze EC2 (server Web e di applicazioni). Questo gruppo di sicurezza può, se necessario, consentire l'accesso all'istanza EC2 da Internet tramite la tabella di routing del VPC. Ad esempio, può impostare regole in questo gruppo di sicurezza per consentire l'accesso TCP all'istanza EC2 sulla porta 22.

  3. Crea le regole personalizzate nel gruppo di sicurezza per la cache che consentano le connessioni dal gruppo di sicurezza creato per le istanze EC2. In tal modo qualsiasi membro del gruppo di sicurezza può accedere alle cache.

Nota

Se si prevede di utilizzare Local Zones, assicurati di averlo abilitato. Quando si crea un gruppo di sottorete in quella zona locale, la VPC viene estesa a quella zona locale e la VPC considera la sottorete come qualsiasi sottorete in qualsiasi altra zona di disponibilità. Tutti i gateway e le tabelle di routing pertinenti verranno regolati automaticamente.

Per creare in un gruppo di sicurezza VPC una regola che consenta connessioni da un altro gruppo di sicurezza
  1. Accedi alla console di AWS gestione e apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc.

  2. Fai clic su Gruppi di sicurezza nel riquadro di navigazione.

  3. Scegli o crea un gruppo di sicurezza da utilizzare per la cache. In Regole in entrata, scegliere Modifica regole in entrata e quindi Aggiungi regola. Tale gruppo di sicurezza consentirà di accedere ai membri di un altro gruppo di sicurezza.

  4. In Type (Tipo) scegliere Custom TCP Rule (Regola TCP personalizzata).

    1. Per Intervallo di porte specifica la porta utilizzata alla creazione della cache.

      La porta predefinita per le cache Memcached è 11211.

    2. Nella casella Source (fonte) iniziare a digitare l'ID del gruppo di sicurezza. Nell'elenco selezionare il gruppo di sicurezza da utilizzare per le istanze Amazon EC2.

  5. Scegliere Save (Salva) al termine.

    Immagine. Schermata per la modifica di una regola VPC in entrata

Accedere a una ElastiCache cache quando essa e l'istanza Amazon EC2 si trovano in diversi Amazon VPC

Quando la cache si trova in un VPC differente da quello in cui si trova l'istanza EC2 che utilizzi per accedervi, è possibile accedere alla cache in diversi modi. Se la cache e l'istanza EC2 si trovano in VPC differenti, ma nella stessa regione, puoi utilizzare il peering VPC. Se la cache e l'istanza EC2 si trovano in regioni differenti, puoi creare una connessione VPN tra le regioni.

 

Accedere a una ElastiCache cache quando essa e l'istanza Amazon EC2 si trovano in diversi Amazon VPC nella stessa regione

Il seguente diagramma illustra l'accesso a una cache da un'istanza Amazon EC2 in un Amazon VPC differente presente nella stessa regione, usando una connessione peering Amazon VPC.

Immagine: diagramma che mostra l'applicazione e ElastiCache in diversi VPC nella stessa regione

Cache a cui si accede da un'istanza Amazon EC2 in un Amazon VPC differente nella stessa regione - Connessione peering VPC

Una connessione di peering di VPC è una connessione di rete tra due VPC che consentono di instradare il traffico tra loro utilizzando degli indirizzi IP privati. Le istanze in uno qualsiasi dei VPC possono comunicare tra loro come se fossero nella stessa rete. Puoi creare una connessione peering VPC tra i tuoi Amazon VPC o con un Amazon VPC in un altro AWS account all'interno di una singola regione. Per ulteriori informazioni sul peering VPC di Amazon consulta la documentazione relativa alla VPC.

Nota

La risoluzione dei nomi DNS potrebbe non riuscire per i VPC peer, a seconda delle configurazioni applicate al VPC. ElastiCache Per risolvere tale problema, entrambi i VPC devono essere abilitati per nomi host DNS e risoluzione DNS. Per ulteriori informazioni, consulta Abilitazione della risoluzione DNS per una connessione peering VPC.

Per accedere a una cache in un Amazon VPC differente con peering
  1. Assicurarsi che i due VPC non abbiano un intervallo IP sovrapposto, altrimenti non si potrà sottoporli a peering.

  2. Eseguire il peering dei due VPC. Per ulteriori informazioni, consulta Creare e accettare una connessione peering VPC di Amazon.

  3. Aggiornare la tabella di routing. Per ulteriori informazioni, consulta Aggiornamento delle tabelle di routing per una connessione peering VPC.

    Di seguito è mostrato l'aspetto delle tabelle di routing relative all'esempio nel diagramma precedente. pcx-a894f1c1 è la connessione peering.

    Immagine. Screenshot di una tabella di routing VPC

    Tabella di routing VPC

  4. Modifica il gruppo di sicurezza della ElastiCache cache per consentire la connessione in entrata dal gruppo di sicurezza dell'applicazione nel VPC peerizzato. Per ulteriori informazioni, vedi l'argomento relativo ai gruppi di sicurezza nel VPC in peering.

L'accesso a una cache con una connessione peering implica ulteriori costi di trasferimento dei dati.

Uso del Transit Gateway

Un gateway di transito consente di collegare VPC e connessioni VPN nella stessa AWS regione e di instradare il traffico tra di esse. Un gateway di transito funziona su più AWS account ed è possibile utilizzare AWS Resource Access Manager per condividere il gateway di transito con altri account. Dopo aver condiviso un gateway di transito con un altro AWS account, il proprietario dell'account può collegare i propri VPC al gateway di transito. Un utente di uno qualsiasi degli account può eliminare il collegamento in qualsiasi momento.

È possibile abilitare il multicast in un gateway di transito, quindi creare un dominio del gateway di transito multicast che consenta l'invio del traffico multicast dall'fonte multicast ai membri del gruppo multicast tramite allegati VPC associati al dominio.

Puoi anche creare un collegamento di peering tra gateway di transito in diverse regioni. AWS In questo modo è possibile instradare il traffico tra gli allegati dei gateway di transito in diverse regioni.

Per ulteriori informazioni, consulta Gateway di transito.

Accedere a una ElastiCache cache quando essa e l'istanza Amazon EC2 si trovano in VPC Amazon diversi in regioni diverse

Utilizzo di VPC di transito

Un’alternativa all’utilizzo del peering VPC, un’altra strategia comune per connettere più VPC situati in differenti zone geografiche e reti remote consiste nel creare un VPC di transito utilizzabile come centro di transito di rete globale. Un VPC di transito semplifica la gestione della rete e riduce al minimo il numero di connessioni necessarie per connettersi a più VPC e reti remote. Questo tipo di progettazione può consentirti di risparmiare tempo, limitare il lavoro necessario e ridurre i costi, in quanto è praticamente implementato senza la spesa in genere necessaria per stabilire una presenza fisica in un hub di transito di co-location o per distribuire un'apparecchiatura di rete fisica.

Immagine. Diagramma che mostra la connessione tra VPC differenti in diverse regioni

Connessione tra VPC differenti in diverse regioni

Una volta stabilito il VPC Amazon Transit, un'applicazione distribuita in un VPC «spoke» in una regione può connettersi a una ElastiCache cache in un VPC «spoke» all'interno di un'altra regione.

Per accedere a una cache in un VPC diverso all'interno di una regione diversa AWS
  1. Distribuire una soluzione VPC di transito. Per ulteriori informazioni, consulta AWS Transit Gateway.

  2. Aggiornare le tabelle di routing VPC nei VPC di app e cache per instradare il traffico tramite il gateway privato virtuale (VGW) e l'appliance VPN. Nel caso di un routing dinamico con Border Gateway Protocol (BGP) le route possono essere automaticamente propagate.

  3. Modifica il gruppo di sicurezza della ElastiCache cache per consentire la connessione in entrata dall'intervallo IP delle istanze dell'applicazione. In questo scenario, non è possibile fare riferimento al gruppo di sicurezza del server di applicazioni.

L'accesso a una cache tra regioni introduce latenze di rete e ulteriori costi di trasferimento dei dati tra regioni.

Accesso a una ElastiCache cache da un'applicazione in esecuzione nel data center di un cliente

Un altro scenario possibile è un'architettura ibrida in cui i client o le applicazioni nel data center del cliente potrebbero dover accedere a una ElastiCache cache nel VPC. Anche questo scenario è supportato purché sia disponibile una connessione tra VPC e data center dei clienti tramite VPN o Direct Connect.

 

Accesso a una ElastiCache cache da un'applicazione in esecuzione nel data center di un cliente utilizzando la connettività VPN

Il diagramma seguente illustra l'accesso a una ElastiCache cache da un'applicazione in esecuzione nella rete aziendale tramite connessioni VPN.

Immagine: diagramma che mostra la connessione ElastiCache dal data center tramite una VPN

Connessione ElastiCache dal data center tramite una VPN

Per accedere a una cache in un VPC da un'applicazione on-premise con una connessione VPN
  1. Stabilire una connessione VPN aggiungendo un gateway privato virtuale hardware al proprio VPC. Per ulteriori informazioni, consulta Aggiunta di un gateway privato virtuale hardware al proprio VPC.

  2. Aggiorna la tabella di routing VPC per la sottorete in cui è distribuita la ElastiCache cache per consentire il traffico proveniente dal server delle applicazioni locale. Nel caso di un routing dinamico con BGP le route possono essere automaticamente propagate.

  3. Modifica il gruppo di sicurezza della ElastiCache cache per consentire la connessione in entrata dai server delle applicazioni locali.

L'accesso a una cache con una connessione VPN introduce latenze di rete e ulteriori costi di trasferimento dei dati.

 

Accesso a una ElastiCache cache da un'applicazione in esecuzione nel data center di un cliente tramite Direct Connect

Il diagramma seguente illustra l'accesso a una ElastiCache cache da un'applicazione in esecuzione sulla rete aziendale tramite Direct Connect.

Immagine: diagramma che mostra la connessione ElastiCache dal data center tramite Direct Connect

Connessione ElastiCache dal data center tramite Direct Connect

Per accedere a una ElastiCache cache da un'applicazione in esecuzione nella rete utilizzando Direct Connect
  1. Stabilire una connessione Direct Connect. Per ulteriori informazioni, consulta Guida introduttiva a AWS Direct Connect.

  2. Modifica il gruppo di sicurezza della ElastiCache cache per consentire la connessione in entrata dai server delle applicazioni locali.

L'accesso a una cache con una connessione DX può introdurre latenze di rete e ulteriori costi di trasferimento dei dati.