Tutorial: Creazione di un VPC per l'utilizzo con un'istanza database (modalità dual-stack)

Uno scenario comune include un'istanza database in un cloud privato virtuale (VPC) basato sul servizio Amazon VPC. Questo VPC condivide i dati con un'istanza Amazon EC2 pubblica in esecuzione nello stesso VPC.

In questo tutorial, si crea il VPC per questo scenario che funziona con un database in esecuzione in modalità dual-stack. Modalità dual-stack per abilitare la connessione tramite il protocollo di indirizzamento IPv6. Per ulteriori informazioni sull'indirizzamento IP, consulta Assegnazione di indirizzi IP in Amazon RDS.

Le istanze di rete dual-stack sono supportate nella maggior parte delle regioni. Per ulteriori informazioni, consulta Disponibilità di regioni e versioni. Per esaminare le limitazioni della modalità dual-stack, consulta Limitazioni per istanze database di rete dual-stack.

Il seguente diagramma mostra questo scenario.

Per informazioni su altri scenari, consulta Scenari per accedere a un'istanza database in un VPC.

L'istanza database deve essere disponibile solo per l'istanza Amazon EC2 e non per la rete Internet pubblica. Pertanto, occorre creare un VPC con sottoreti pubbliche e private. Il server Web è ospitato nella sottorete pubblica, in modo da poter raggiungere l'Internet pubblico. L'istanza database è ospitata in una sottorete privata. L'istanza Amazon EC2 può connettersi all'istanza database perché è ospitata nello stesso VPC. Tuttavia, l'istanza database non è disponibile per la rete Internet pubblica, fornendo una maggiore sicurezza.

Questo tutorial configura una sottorete pubblica e privata aggiuntiva in una zona di disponibilità separata. Queste sottoreti non vengono utilizzate dal tutorial. Un gruppo di sottoreti DB RDS richiede una sottorete in almeno due zone di disponibilità. La sottorete aggiuntiva semplifica il passaggio a un'implementazione Multi-AZ di un'istanza DB in futuro.

Per creare un'istanza database che utilizza la modalità dual-stack, specificare Dual-stack mode (Modalità dual-stack) per l'opzione Tipo di rete. Si può inoltre modificare un'istanza database usando la stessa impostazione. Per ulteriori informazioni, consulta Creazione di un'istanza database Amazon RDS e Modifica di un'istanza database Amazon RDS.

In questa esercitazione viene descritta la configurazione di un VPC per istanze DB Amazon RDS. Per ulteriori informazioni su Amazon VPC, consulta la Guida per l'utente di Amazon VPC.

Creazione di un VPC con sottoreti pubbliche e private

Utilizza la procedura seguente per creare un VPC con sottoreti pubbliche e private.

Per creare un VPC e sottoreti

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nell'angolo in alto a destra della AWS Management Console scegliere la regione in cui creare il VPC. Questo esempio utilizza la regione Stati Uniti orientali (Ohio).

3. Nell'angolo in alto a sinistra, scegli VPC Dashboard (Pannello di controllo VPC). Per iniziare a creare un VPC, scegli Create VPC (Crea VPC).

4. In Resources to create (Risorse da creare) nell'area VPC settings (Impostazioni VPC), scegli VPC and more (VPC e altro).

5. Nei campi VPC settings (Impostazioni VPC) restanti, imposta i seguenti valori:

   • Name tag auto-generation (Generazione automatica del tag del nome): tutorial-dual-stack

   • IPv4 CIDR block (Blocco CIDR IPv4): 10.0.0.0/16

   • IPv6 CIDR block (Blocco CIDR IPv6): blocco CIDR IPv6 fornito da Amazon

   • Tenancy (Locazione): Default

   • Number of Availability Zones (AZs) (Numero di zone di disponibilità): 2

   • Customize AZs (Personalizza le zone di disponibilità): mantieni i valori predefiniti.

   • Number of public subnet (Numero di sottoreti pubbliche): 2

   • Number of private subnets (Numero di sottoreti private): 2

   • Customize subnets CIDR blocks (Personalizza blocchi CIDR delle sottoreti): mantieni i valori predefiniti.

   • NAT gateways ($) (Gateway NAT): nessuna

   • Egress only internet gateway (Gateway Internet solo in uscita): No

   • VPC endpoints (Endpoint VPC): nessuno

   • DNS options (Opzioni DNS): mantieni i valori predefiniti.

   Nota

   Amazon RDS richiede almeno due sottoreti in due zone di disponibilità diverse per supportare le implementazioni Multi-AZ di un'istanza DB. In questo tutorial viene creata crea un'implementazione Single-AZ, ma il requisito semplifica la conversione in un'implementazione Multi-AZ di un'istanza DB in futuro.

6. Seleziona Crea VPC.

Per creare un gruppo di sicurezza VPC per un'istanza Amazon EC2 pubblica

È possibile a questo punto aggiungere un gruppo di sicurezza per l'accesso pubblico. Per connettersi alle istanze EC2 nel VPC, aggiungi regole in entrata al gruppo di sicurezza VPC per consentire il traffico da Internet.

Per creare un gruppo di sicurezza VPC

1. Aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Scegliere VPC Dashboard (Pannello di controllo VPC), Security Groups (Gruppi di sicurezza) e quindi Create security group (Crea gruppo di sicurezza).

3. Nella pagina Create security group (Crea gruppo di sicurezza) impostare questi valori:

   • Security group name: (Nome del gruppo di sicurezza: tutorial-dual-stack-securitygroup

   • Descrizione: Tutorial Dual-Stack Security Group

   • VPC: scegli il VPC creato in precedenza, ad esempio vpc-identifier (tutorial-dual-stack-vpc)

4. Aggiungere regole in entrata al gruppo di sicurezza

   1. Determina l'indirizzo IP da utilizzare per connettersi alle istanze EC2 nel VPC utilizzando Secure Shell (SSH).

      Un esempio di indirizzo Internet Protocol versione 4 (IPv4) è 203.0.113.25/32. Un esempio di intervalli di indirizzi Internet Protocol versione 6 (IPv6) è 2001:db8:1234:1a00::/64.

      In molti casi, è possibile eseguire la connessione tramite un fornitore di servizi Internet (ISP) o con la protezione di un firewall senza un indirizzo IP statico. In tal caso, trova l'intervallo di indirizzi IP utilizzati dai computer client.

      avvertimento

      Se utilizzi 0.0.0.0/0 per IPv4 o ::0 per IPv6, consenti a tutti gli indirizzi IP di accedere alle istanze pubbliche utilizzando SSH. Questo approccio è accettabile per un breve periodo di tempo in un ambiente di test, ma non è sicuro per gli ambienti di produzione. In produzione, è preferibile autorizzare l'accesso alle istanze solo a indirizzo IP o a un intervallo di indirizzi specifico.

   2. Nella sezione Regole in entrata, scegliere Aggiungi regola.

   3. Imposta i seguenti valori per la nuova regola in entrata per consentire l'accesso Secure Shell (SSH) all'istanza Amazon EC2. In questo caso, è possibile connettersi all'istanza EC2 per installare client SQL e altre applicazioni. Specifica un indirizzo IP per poter accedere all'istanza EC2:

      • Tipo: SSH

      • Origine: indirizzo IP o intervallo ottenuto nel passaggio a. Un esempio di indirizzo IP IPv4 è 203.0.113.25/32. Un esempio di indirizzo IP IPv6 è 2001:DB8::/32.

5. Per creare il gruppo di sicurezza, scegli Create security group (Crea gruppo di sicurezza).

   Prendi nota dell'ID del gruppo di sicurezza perché sarà necessario in seguito in questo tutorial.

Creazione di un gruppo di sicurezza VPC per un'istanza database privata

Per mantenere l'istanza database privata, crea un secondo gruppo di sicurezza per l'accesso privato. Per connetterti alle istanze database private nel VPC, aggiungi le regole in entrata al gruppo di sicurezza VPC. Queste consentono il traffico solo dall'istanza Amazon EC2.

Per creare un gruppo di sicurezza VPC

1. Aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Scegliere VPC Dashboard (Pannello di controllo VPC), Security Groups (Gruppi di sicurezza) e quindi Create security group (Crea gruppo di sicurezza).

3. Nella pagina Create security group (Crea gruppo di sicurezza) impostare questi valori:

   • Security group name: (Nome del gruppo di sicurezza: tutorial-dual-stack-db-securitygroup

   • Descrizione: Tutorial Dual-Stack DB Instance Security Group

   • VPC: scegli il VPC creato in precedenza, ad esempio vpc-identifier (tutorial-dual-stack-vpc)

4. Aggiungere regole in entrata al gruppo di sicurezza

   1. Nella sezione Regole in entrata, scegliere Aggiungi regola.

   2. Impostare i valori seguenti per la nuova regola in entrata per consentire il traffico MySQL sulla porta 3306 dall'istanza Amazon EC2. In tal modo, puoi eseguire la connessione dall'istanza EC2 all'istanza database ed Questa operazione consente di inviare dati dall'istanza EC2 al database.

      • Tipo: MySQL/Aurora

      • Source (Origine): l'identificatore del gruppo di sicurezza tutorial-dual-stack-securitygroup creato in precedenza in questo tutorial, ad esempio sg-9edd5cfb.

5. Per creare il gruppo di sicurezza, scegliere Crea gruppo di sicurezza.

Per creare un gruppo di sottoreti del database

Un gruppo di sottoreti DB è una raccolta di sottoreti creata in un VPC e che è possibile indicare per le istanze database. L'utilizzo di un gruppo di sottoreti DB consente di specificare un determinato VPC durante la creazione di istanze database. Per creare un gruppo di sottoreti database compatibile con DUAL, tutte le sottoreti devono essere compatibili con DUAL. Per essere compatibile con DUAL, a una sottorete deve essere associato un CIDR IPv6.

Creare un gruppo di sottoreti database

1. Identifica le sottoreti private per il database nel VPC.

   1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

   2. Scegli VPC Dashboard (Pannello di controllo VPC), quindi seleziona Subnets (Sottoreti).

   3. Prendi nota degli ID sottorete delle sottoreti denominati tutorial-dual-stack-subnet-private1-us-west-2a e tutorial-dual-stack-subnet-private2-us-west-2b.

      Gli ID sottorete saranno necessari quando si crea il gruppo di sottoreti DB.

2. Apri la console di Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

   Assicurarsi di connettersi alla console Amazon RDS e non alla console Amazon VPC.

3. Nel pannello di navigazione selezionare Subnet groups (Gruppi di sottoreti).

4. Scegli Create DB Subnet Group (Crea gruppo di sottoreti del database).

5. Nella pagina Create DB subnet group (Crea gruppo di sottoreti del database) impostare questi valori in Subnet group details (Dettagli gruppi di sottoreti):

   • Nome: tutorial-dual-stack-db-subnet-group

   • Descrizione: Tutorial Dual-Stack DB Subnet Group

   • VPC: tutorial-dual-stack-vpc (vpc-identifier)

6. Nella sezione Add subnets (Aggiungi sottoreti), scegli i valori desiderati per le opzioni Availability Zones (Zone di disponibilità) e Subnets (Sottoreti).

   Per questo tutorial, scegli us-east-2b e us-east-2c per l'opzione Availability Zones (Zone di disponibilità). In Subnets (Sottoreti), scegli le sottoreti private identificate nella fase precedente.

7. Seleziona Crea.

Il nuovo gruppo di sottoreti database viene visualizzato nell'elenco dei gruppi di sottoreti database sulla console RDS. È possibile scegliere il gruppo di sottoreti database per visualizzarne i dettagli. I dettagli includono i protocolli di indirizzamento supportati e tutte le sottoreti associate al gruppo e il tipo di rete supportato dal gruppo di sottoreti database.

Creare un'istanza Amazon EC2 in modalità dual-stack

Per creare un'istanza Amazon EC2, segui le istruzioni riportate in Avvio di un'istanza tramite la nuova procedura guidata di avvio dell'istanza nella Guida per l'utente per istanze Linux di Amazon EC2.

Nella pagina Configure Instance Details (Configura i dettagli dell'istanza), imposta questi valori e lascia gli altri valori come predefiniti:

• Rete: scegli un VPC esistente con sottoreti sia pubbliche che private, ad esempio tutorial-dual-stack-vpc (vpc-identifier) creato in Creazione di un VPC con sottoreti pubbliche e private.

• Subnet (Sottorete): scegli una sottorete pubblica esistente, ad esempio subnet-identifier | tutorial-dual-stack-subnet-public1-us-east-2a | us-east-2a creata in Per creare un gruppo di sicurezza VPC per un'istanza Amazon EC2 pubblica.

• Auto-assign Public IP (Assegna automaticamente IP pubblico): scegli Enable (Abilita).

• Auto-assign IPv6 IP (Assegna automaticamente IP IPv6): scegli Enable (Abilita).

• Firewall (security groups) (Firewall (gruppi di sicurezza)): scegli Select an existing security group (Seleziona un gruppo di sicurezza esistente).

• Gruppi di sicurezza comuni: scegli un gruppo di sicurezza esistente, ad esempio il tutorial-securitygroup creato in Per creare un gruppo di sicurezza VPC per un'istanza Amazon EC2 pubblica. Assicurarsi che il gruppo di sicurezza scelto includa regole in ingresso per Secure Shell (SSH) e l'accesso HTTP.

Creazione di un'istanza database in modalità dual-stack

In questo passaggio, viene creata un'istanza database che viene eseguito in modalità dual-stack.

Per creare un'istanza database.

1. Accedi alla AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

2. Nell'angolo in alto a destra della console, scegli la Regione AWS in cui desideri creare l'istanza database. Questo esempio utilizza la regione Stati Uniti orientali (Ohio).

3. Nel riquadro di navigazione, scegliere Databases (Database).

4. Scegliere Create database (Crea database).

5. Nella pagina Create database (Crea database), assicurati che l'opzione Standard create (Creazione standard) sia selezionata, quindi scegli il tipo di motore DB MySQL.

6. Nella sezione Connettività, imposta i seguenti valori:

   • Network type (Tipo di rete): scegli Dual-stack mode (Modalità dual-stack).

     

   • Virtual private cloud (VPC) Cloud privato virtuale (VPC): scegli un VPC esistente con sottoreti sia pubbliche che private, ad esempio tutorial-dual-stack-vpc (vpc-identifier) creato in Creazione di un VPC con sottoreti pubbliche e private.

     Il VPC deve avere sottoreti in diverse zone di disponibilità.

   • DB subnet group (Gruppo di sottoreti DB): scegli un gruppo di sottoreti DB per il VPC, ad esempio tutorial-dual-stack-db-subnet-group creato in Per creare un gruppo di sottoreti del database.

   • Public access (Accesso pubblico): scegli No.

   • VPC security group (firewall) (Gruppo di sicurezza VPC (firewall)): seleziona Choose existing (Sceglie esistente).

   • Gruppi di sicurezza VPC esistenti: scegli un gruppo di sicurezza VPC esistente che sia configurato per accesso privato, ad esempio tutorial-dual-stack-db-securitygroup creato in Creazione di un gruppo di sicurezza VPC per un'istanza database privata.

     Rimuovere gli altri gruppi di sicurezza, come quello predefinito, selezionando la X associata a esso.

   • Availability Zone (Zona di disponibilità): scegli us-west-2a.

     Per evitare il traffico tra AZ, assicurati che l'istanza database e l'istanza EC2 si trovino nella stessa zona di disponibilità.

7. Per le restanti sezioni, specifica le impostazioni dell'istanza database. Per informazioni su ciascuna impostazione, consulta Impostazioni per istanze database.

Connessione all'istanza Amazon EC2 e all'istanza database

Dopo aver creato l'istanza Amazon EC2 e l'istanza database in modalità dual-stack, puoi eseguire la connessione utilizzando il protocollo IPv6. Per connetterti a un'istanza Amazon EC2 utilizzando il protocollo IPv6, segui le istruzioni riportate in Connessione all'istanza di Linux nella Guida per l'utente di Amazon EC2 per le istanze Linux.

Per connetterti alla tua istanza database RDS per MySQL dall'istanza Amazon EC2, segui le istruzioni in Connessione di un'istanza database MySQL.

Eliminazione del VPC

Dopo aver creato il VPC e altre risorse per questo tutorial, è possibile eliminarle se non sono più necessarie.

Se hai aggiunto risorse nel VPC creato per questo tutorial, potrebbe essere necessario eliminarle prima di poter eliminare il VPC. Esempi di risorse sono le istanze Amazon EC2 o le istanze database. Per ulteriori informazioni, consulta Eliminazione del VPC nella Guida per l'utente di Amazon VPC.

Per eliminare un VPC e le risorse correlate

1. Eliminare il gruppo di sottoreti database:

   1. Apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

   2. Nel pannello di navigazione selezionare Subnet groups (Gruppi di sottoreti).

   3. Seleziona il gruppo di sottoreti database da eliminare, ad esempio tutorial-db-subnet-group.

   4. Scegliere Delete (Elimina) e quindi scegliere Delete (Elimina) nella finestra di conferma.

2. Annotare l'ID VPC:

   1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

   2. ScegliereVPC Dashboard (Pannello di controllo VPC) e quindi scegliere VPC.

   3. Nell'elenco, individua il VPC creato, ad esempio tutorial-dual-stack-vpc.

   4. Annotare il valore ID VPC del VPC creato. Sarà necessario usare questo ID VPC nei passaggi successivi.

3. Eliminare i gruppi di sicurezza:

   1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

   2. Scegliere VPC Dashboard (Pannello di controllo VPC) e quindi scegliere Security Groups (Gruppi di sicurezza).

   3. Selezionare il gruppo di sicurezza per l'istanza database di Amazon RDS, ad esempio tutorial-dual-stack-db-securitygroup.

   4. In Actions (Operazioni), scegli Delete security groups (Elimina gruppi di sicurezza) e quindi scegli Delete (Elimina) nella pagina di conferma.

   5. Nella pagina Security Groups (Gruppi di sicurezza), seleziona il gruppo di sicurezza per l'istanza Amazon EC2, ad esempio tutorial-dual-stack-securitygroup..

   6. In Actions (Operazioni), scegli Delete security groups (Elimina gruppi di sicurezza) e quindi scegli Delete (Elimina) nella pagina di conferma.

4. Elliminare il gateway NAT:

   1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

   2. Scegliere VPC Dashboard (Pannello di controllo VPC) e quindi scegliere NAT Gateways (Gateway NAT).

   3. Seleziona il gateway NAT del VPC creato. Utilizzare l'ID VPC per identificare il gateway NAT corretto.

   4. In Actions (Operazioni), scegli Delete NAT gateway (Elimina gateway NAT).

   5. Nella pagina di conferma, immetti delete e scegliere Delete (Elimina).

5. Eliminare il VPC

   1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

   2. ScegliereVPC Dashboard (Pannello di controllo VPC) e quindi scegliere VPC.

   3. Seleziona il VPC da eliminare, ad esempio tutorial-dual-stack-vpc.

   4. In Actions (Operazioni), scegliere Delete VPC (Elimina VPC).

      Nella pagina di conferma vengono visualizzate altre risorse associate al VPC che verranno eliminate, incluse le subnet associate.

   5. Nella pagina di conferma, immetti delete e scegliere Delete (Elimina).

6. Rilasciare gli indirizzi IP elastici:

   1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

   2. Scegliere EC2 Dashboard (Pannello di controllo EC2) e quindi scegliere Elastic IPs (IP elastici).

   3. Seleziona l'indirizzo IP elastico da rilasciare.

   4. In Actions (Operazioni), scegli Release Elastic IP addresses (Rilascia indirizzi IP elastici).

   5. Nella pagina di conferma scegli Release (Rilasciare).