Impostazioni VPC per AWS Cloud9 ambienti di sviluppo - AWS Cloud9
Requisiti Amazon VPC per AWS Cloud9Creazione di un VPC e di altre risorse VPCCreare solo un VPCCrea una sottorete per AWS Cloud9Configurazione di una sottorete come pubblica o privata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazioni VPC per AWS Cloud9 ambienti di sviluppo

Ogni ambiente di AWS Cloud9 sviluppo associato a un Amazon Virtual Private Cloud (Amazon VPC) deve soddisfare requisiti VPC specifici. Questi ambienti includono ambienti EC2 e ambienti SSH associati a istanze di Cloud AWS calcolo eseguite all'interno di un VPC. Gli esempi includono istanze Amazon EC2 e Amazon Lightsail.

Requisiti Amazon VPC per AWS Cloud9

L'Amazon VPC che AWS Cloud9 utilizza richiede le seguenti impostazioni. Se hai già familiarità con questi requisiti e vuoi solo creare un VPC compatibile, passa Creazione di un VPC e di altre risorse VPC.

Utilizza la seguente lista di controllo per confermare che il VPC soddisfi tutti i seguenti requisiti:

Nota

Per le seguenti procedure, accedi AWS Management Console e utilizza le credenziali di amministratore per aprire la console Amazon VPC (https://console.aws.amazon.com/vpc) o la console Amazon EC2 (https://console.aws.amazon.com/ec2).

Se utilizzi il AWS CLI o il AWS CloudShell, ti consigliamo di configurarlo AWS CLI o il AWS CloudShell con le credenziali di un amministratore del tuo. Account AWS Se non riesci a farlo, rivolgiti al tuo Account AWS amministratore.

Visualizzazione di un elenco di VPC per una Regione AWS

Per utilizzare la console Amazon VPC, nella barra di AWS navigazione, scegli l'ambiente in Regione AWS cui AWS Cloud9 viene creato l'ambiente. Scegli quindi Your VPCs (I tuoi VPC) nel pannello di navigazione.

Per utilizzare AWS CLI o il AWS CloudShell, esegui il describe-vpcscomando Amazon EC2, ad esempio, come segue.

aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello in cui AWS Cloud9 viene creato l'ambiente. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene l'elenco di ID VPC.

Visualizzazione di un elenco di sottoreti per un VPC

Per utilizzare la console di Amazon VPC, scegli Your VPCs (I tuoi VPC) nel pannello di navigazione. Annota l'ID del VPC nella colonna VPC ID. Seleziona quindi Subnets (Sottoreti) nel riquadro di navigazione e cerca le sottoreti che contengono quell'ID nella colonna VPC.

Per utilizzare AWS CLI o ilaws-shell, esegui il describe-subnetscomando Amazon EC2, ad esempio, come segue.

aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene le sottoreti. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Nell'output, cerca le sottoreti corrispondenti all'ID VPC.

Confermare che la sottorete sia pubblica

Importante

Supponi di avviare l'istanza EC2 del tuo ambiente in una sottorete privata. Assicurati che per l'istanza sia consentito il traffico in uscita in modo da potersi connettere al servizio SSM. Per le sottoreti private, di norma il traffico in uscita viene configurato tramite un gateway NAT o endpoint VPC. Un gateway NAT richiede una sottorete pubblica.

Supponi di scegliere gli endpoint VPC invece di un gateway NAT per l'accesso a SSM. Gli aggiornamenti automatici e le patch di sicurezza per l'istanza potrebbero non funzionare se dipendono dall'accesso a Internet. È possibile utilizzare altre applicazioni, come AWS Systems Manager Patch Manager, per gestire eventuali aggiornamenti software che l'ambiente potrebbe richiedere. AWS Cloud9 il software verrà aggiornato normalmente.

Per utilizzare la console di Amazon VPC, scegli Subnets (Sottoreti) nel pannello di navigazione. Seleziona la casella accanto alla sottorete che desideri AWS Cloud9 utilizzare. Nella scheda Route Table (Tabella di routing), se nella colonna Target (Destinazione) è presente una voce che inizia con igw-, la sottorete è pubblica.

Per utilizzare AWS CLI oaws-shell, esegui il comando Amazon EC2 describe-route-tables.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene la sottorete e sostituiscilo subnet-12a3456b con l'ID della sottorete. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Se nell'output è presente almeno un risultato che inizia con igw-, la sottorete è pubblica.

Se nell'output non sono presenti risultati, la tabella di routing potrebbe essere associata al VPC anziché alla sottorete. Per la conferma, esegui il comando describe-route-tables di Amazon EC2 per il VPC correlato alla sottorete anziché alla sottorete stessa, ad esempio come descritto di seguito.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene il VPC e vpc-1234ab56 sostituisci con l'ID VPC. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Se nell'output è presente almeno un risultato che inizia con igw-, il VPC contiene un Gateway Internet.

Visualizzazione o modifica delle impostazioni di un Gateway Internet

Per utilizzare la console di Amazon VPC, scegli Internet Gateways (Gateway Internet) nel pannello di navigazione. Seleziona la casella accanto all'Internet gateway. Per visualizzare le impostazioni, esamina ciascuna delle schede. Per modificare un'impostazione in una scheda, seleziona Edit (Modifica), se applicabile, quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o aws-shell per visualizzare le impostazioni, esegui il comando Amazon EC2 describe-internet-gateways.

aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene il gateway Internet e sostituiscilo igw-1234ab5c con l'ID del gateway Internet. Per eseguire il comando precedente con aws-shell, ometti aws.

Creazione di un Internet Gateway

Per utilizzare la console di Amazon VPC, scegli Internet Gateways (Gateway Internet) nel pannello di navigazione. Seleziona Create Internet Gateway (Crea Internet Gateway), quindi segui le istruzioni a video.

Per utilizzare AWS CLI oaws-shell, esegui il comando Amazon EC2 create-internet-gateway.

aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene il nuovo gateway Internet. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene l'ID del nuovo Internet gateway.

Collegamento di un Internet Gateway a un VPC

Per utilizzare la console di Amazon VPC, scegli Internet Gateways (Gateway Internet) nel pannello di navigazione. Seleziona la casella accanto all'Internet gateway. Seleziona Actions Attach to VPC (Operazioni, Collega a VPC), quindi segui le istruzioni a video.

Per utilizzare AWS CLI o ilaws-shell, esegui il attach-internet-gatewaycomando Amazon EC2, ad esempio, come segue.

aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene il gateway Internet. Sostituisci igw-a1b2cdef con l'ID del gateway Internet e vpc-1234ab56 con l'ID del VPC. Per eseguire il comando precedente con aws-shell, ometti aws.

Conferma che la sottorete abbia una tabella di routing

Per utilizzare la console di Amazon VPC, scegli Subnets (Sottoreti) nel pannello di navigazione. Seleziona la casella accanto alla sottorete pubblica per il VPC che AWS Cloud9 desideri utilizzare. Nella scheda Route table (Tabella di routing), se in Route Table (Tabella di routing) è presente un valore, la sottorete pubblica ha una tabella di routing.

Per utilizzare AWS CLI oaws-shell, esegui il comando Amazon EC2 describe-route-tables.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene la sottorete pubblica e sostituiscilo subnet-12a3456b con l'ID di sottorete pubblico. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Se l'output contiene valori, la sottorete pubblica dispone almeno una tabella di routing.

Se nell'output non sono presenti risultati, la tabella di routing potrebbe essere associata al VPC anziché alla sottorete. Per la conferma, esegui il comando describe-route-tables di Amazon EC2 per il VPC correlato alla sottorete anziché alla sottorete stessa, ad esempio come descritto di seguito.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene il VPC e vpc-1234ab56 sostituisci con l'ID VPC. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Nell'output, se esiste almeno un risultato, il VPC dispone di almeno una tabella di routing.

Allegare una tabella di routing a una sottorete

Per utilizzare la console di Amazon VPC, scegli Route Tables ((Tabelle di routing) nel pannello di navigazione. Seleziona la casella accanto alla tabella di routing che desideri allegare. Nella scheda Subnet Associations (Associazioni sottorete), scegli Edit (Modifica), seleziona la casella accanto alla sottorete che desideri allegare, quindi scegli Save (Salva).

Per utilizzare AWS CLI o ilaws-shell, esegui il associate-route-tablecomando Amazon EC2, ad esempio, come segue.

aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene la tabella delle rotte. Sostituisci subnet-12a3456b con l'ID della sottorete e sostituisci rtb-ab12cde3 con l'ID della tabella di instradamento. Per eseguire il comando precedente con aws-shell, ometti aws.

Creazione di una tabella di routing

Per utilizzare la console di Amazon VPC, scegli Route Tables ((Tabelle di routing) nel pannello di navigazione. Seleziona Create Route Table (Crea tabella di routing) e poi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o ilaws-shell, esegui il create-route-tablecomando Amazon EC2, ad esempio, come segue.

aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene la nuova tabella di routing e sostituiscilo vpc-1234ab56 con l'ID VPC. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene l'ID della nuova tabella di routing.

Visualizzazione o modifica delle impostazioni di una tabella di routing

Per utilizzare la console di Amazon VPC, scegli Route Tables ((Tabelle di routing) nel pannello di navigazione. Seleziona la casella di controllo accanto alla tabella di routing. Per visualizzare le impostazioni, esamina ciascuna delle schede. Per modificare un'impostazione in una scheda, seleziona Edit (Modifica), quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o aws-shell per visualizzare le impostazioni, esegui il describe-route-tablescomando Amazon EC2, ad esempio, come segue.

aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene la tabella di routing e sostituiscilo rtb-ab12cde3 con l'ID della tabella di routing. Per eseguire il comando precedente con aws-shell, ometti aws.

Impostazioni minime consigliate della tabella delle rotte per AWS Cloud9

Destinazione Target Stato Propagata

Blocco CIDR

local

Attivo

No

0.0.0.0/0

igw-INTERNET-GATEWAY-ID

Attivo

No

In queste impostazioni, CIDR-BLOCK è la sottorete del blocco CIDR e igw-INTERNET-GATEWAY-ID è compatibile con l'ID di un Gateway Internet.

Visualizzazione di un elenco di gruppi di sicurezza per un VPC

Per utilizzare la console di Amazon VPC, scegli Security Groups (Gruppi di sicurezza) nel pannello di navigazione. Nella casella Search Security Groups (Cerca gruppi di sicurezza), inserisci l'ID o il nome del VPC e premi Enter. I gruppi di sicurezza per quel VPC appaiono nell'elenco dei risultati di ricerca.

Per utilizzare AWS CLI oaws-shell, esegui il comando Amazon EC2 describe-security-groups.

aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene il VPC e vpc-1234ab56 sostituisci con l'ID VPC. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene l'elenco degli ID gruppi di sicurezza per tale VPC.

Visualizza un elenco di gruppi di sicurezza per un'istanza di calcolo Cloud AWS

Per utilizzare la console di Amazon EC2, espandi Instances (Istanze) nel pannello di navigazione, quindi scegli Instances (Istanze). Nell'elenco delle istanze, scegli la casella accanto all'istanza. I gruppi di sicurezza dell'istanza vengono visualizzati nella scheda Description (Descrizione) accanto a Security groups (Gruppi di sicurezza).

Per utilizzare AWS CLI o ilaws-shell, esegui il describe-security-groupscomando Amazon EC2, ad esempio, come segue.

aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene l'istanza e sostituisci i-12a3c456d789e0123 con l'ID dell'istanza. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene l'elenco degli ID gruppi di sicurezza per tale istanza.

Visualizzazione o modifica delle impostazioni per un gruppo di sicurezza in un VPC

Per utilizzare la console di Amazon VPC, scegli Security Groups (Gruppi di sicurezza) nel pannello di navigazione. Seleziona la casella accanto al gruppo di sicurezza. Per visualizzare le impostazioni, esamina ciascuna delle schede. Per modificare un'impostazione in una scheda, seleziona Edit (Modifica), se applicabile, quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o aws-shell per visualizzare le impostazioni, esegui il describe-security-groupscomando Amazon EC2, ad esempio, come segue.

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene l'istanza e sostituiscilo sg-12a3b456 con l'ID del gruppo di sicurezza. Per eseguire il comando precedente con aws-shell, ometti aws.

Visualizza o modifica le impostazioni per un gruppo di sicurezza di istanze di Cloud AWS calcolo

Per utilizzare la console di Amazon EC2, espandi Instances (Istanze) nel pannello di navigazione, quindi scegli Instances (Istanze). Nell'elenco delle istanze, seleziona la casella accanto all'istanza. Nella scheda Description (Descrizione) per Security groups (Gruppi di sicurezza), seleziona il gruppo di sicurezza. Esamina tutte le schede. Per modificare un'impostazione in una scheda, seleziona Edit (Modifica), se applicabile, quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o aws-shell per visualizzare le impostazioni, esegui il describe-security-groupscomando Amazon EC2, ad esempio, come segue.

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene l'istanza e sostituiscilo sg-12a3b456 con l'ID del gruppo di sicurezza. Per eseguire il comando precedente con aws-shell, ometti aws.

Impostazioni minime del traffico in entrata e in uscita per AWS Cloud9

Importante

È possibile che il gruppo di sicurezza basato sull'intelligenza artificiale per un'istanza non disponga di una regola in entrata. In tal caso, non è consentito alcun traffico in entrata nell'istanza proveniente da un altro host. Per informazioni sull'utilizzo di istanze EC2 senza ingresso, consulta Accesso a istanze EC2 senza ingresso con AWS Systems Manager.

  • In entrata: tutti gli indirizzi IP che utilizzano SSH tramite la porta 22. Tuttavia, puoi limitare questi indirizzi IP solo a quelli che AWS Cloud9 utilizza. Per ulteriori informazioni, consulta Intervalli di indirizzi IP SSH in entrata per AWS Cloud9.

    Nota

    Per gli ambienti EC2 creati a partire dal 31 luglio 2018, AWS Cloud9 utilizza i gruppi di sicurezza per limitare gli indirizzi IP in entrata utilizzando SSH sulla porta 22. Questi indirizzi IP in entrata sono specificamente solo gli indirizzi che utilizza. AWS Cloud9 Per ulteriori informazioni, consulta Intervalli di indirizzi IP SSH in entrata per AWS Cloud9.

  • In entrata (solo liste di controllo degli accessi di rete): per gli ambienti EC2 e gli ambienti SSH associati alle istanze Amazon EC2 che eseguono Amazon Linux o Ubuntu Server, tutti gli indirizzi IP che utilizzano TCP sulle porte 32768-61000. Per ulteriori informazioni e per gli intervalli di porte per altri tipi di istanze Amazon EC2, consulta Porte effimere nella Guida per l'utente di Amazon VPC.

  • In uscita: tutte le origini di traffico che utilizzano qualsiasi protocollo e porta.

Puoi impostare questo comportamento a livello di gruppo di sicurezza. Per un ulteriore livello di sicurezza, puoi anche usare una lista di controllo degli accessi di rete. Per ulteriori informazioni, consulta le sezioni relative alle differenze tra gruppi di sicurezza e alle liste di controllo degli accessi di rete nella Guida per l'utente di Amazon VPC.

Ad esempio, per aggiungere regole in entrata e in uscita a un gruppo di sicurezza, puoi impostare tali regole come segue.

Regole in entrata
Type Protocollo Intervallo porte Origine

SSH (22)

TCP (6)

22

0.0.0.0 (ma consulta la nota seguente e Intervalli di indirizzi IP SSH in entrata per AWS Cloud9)
Nota

Per gli ambienti EC2 creati a partire dal 31 luglio 2018, AWS Cloud9 aggiunge una regola in entrata per limitare gli indirizzi IP in entrata utilizzando SSH sulla porta 22. Ciò si limita specificamente solo agli indirizzi che utilizza. AWS Cloud9 Per ulteriori informazioni, consulta Intervalli di indirizzi IP SSH in entrata per AWS Cloud9.

Regole in uscita
Type Protocollo Intervallo porte Origine

Tutto il traffico

ALL

ALL

0.0.0.0/0

Se decidi di aggiungere le regole in entrata e in uscita a una lista di controllo degli accessi di rete, puoi impostare tali regole come segue.

Regole in entrata
Rule # Type Protocollo Intervallo porte Origine Consenti/Nega

100

SSH (22)

TCP (6)

22

0.0.0.0 (ma consulta Intervalli di indirizzi IP SSH in entrata per AWS Cloud9)

PERMETTI

200

Regola TCP personalizzata

TCP (6)

32768-61000 (per istanze di Amazon Linux e Ubuntu Server. Per altri tipi di istanze, consulta Porte effimere).

0.0.0.0/0

PERMETTI

*

Tutto il traffico

ALL

ALL

0.0.0.0/0

DENY

Regole in uscita
Rule # Type Protocollo Intervallo porte Origine Consenti/Nega

100

Tutto il traffico

ALL

ALL

0.0.0.0/0

PERMETTI

*

Tutto il traffico

ALL

ALL

0.0.0.0/0

DENY

Per ulteriori informazioni sui gruppi di sicurezza e sulle liste di controllo degli accessi di rete, consulta quanto segue nella Guida per l'utente di Amazon VPC.

Creazione di un gruppo di sicurezza in un VPC

Per usare le console di Amazon VPC o Amazon EC2, esegui una delle seguenti operazioni:

  • Nel pannello di navigazione della console di Amazon VPC, scegli Security Groups (Gruppi di sicurezza). Seleziona Create Security Group (Crea gruppo di sicurezza), quindi segui le istruzioni sullo schermo.

  • Nel pannello di navigazione della console di Amazon EC2, espandi Network & Security (Rete e sicurezza), quindi scegli Security Groups (Gruppi di sicurezza). Seleziona Create Security Group (Crea gruppo di sicurezza), quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o ilaws-shell, esegui il create-security-groupcomando Amazon EC2, ad esempio, come segue.

aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene il VPC e vpc-1234ab56 sostituisci con l'ID VPC. Per eseguire il comando precedente con aws-shell, ometti aws.

Confermare se un VPC dispone di almeno di una lista di controllo degli accessi di rete

Per utilizzare la console di Amazon VPC, scegli Your VPCs (I tuoi VPC) nel pannello di navigazione. Scegli la casella accanto al VPC che desideri AWS Cloud9 utilizzare. Nella scheda Summary (Riepilogo), se non è presente un valore per Network ACL (Lista di controllo degli accessi di rete), il VPC dispone di almeno una lista di controllo degli accessi di rete.

Per utilizzare AWS CLI oaws-shell, esegui il comando Amazon EC2 describe-network-acls.

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene il VPC e vpc-1234ab56 sostituisci con l'ID VPC. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Se l'output contiene almeno una voce nell'elenco, il VPC dispone di almeno una lista di controllo degli accessi di rete.

Visualizzazione delle liste di controllo degli accessi di rete per un VPC

Per utilizzare la console di Amazon VPC, scegli Network ACLs (Liste di controllo degli accessi di rete) nel pannello di navigazione. Nella casella Search Network ACLs (Cerca liste di controllo degli accessi di rete), inserisci l'ID o il nome del VPC e premi Enter. Le liste di controllo degli accessi di rete per quel VPC appaiono nell'elenco dei risultati di ricerca.

Per utilizzare AWS CLI oaws-shell, esegui il comando Amazon EC2 describe-network-acls.

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene il VPC e vpc-1234ab56 sostituisci con l'ID VPC. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene un elenco di liste di controllo degli accessi di rete per tale VPC.

Visualizzazione o modifica delle impostazioni di una lista di controllo degli accessi di rete

Per utilizzare la console di Amazon VPC, scegli Network ACLs (Liste di controllo degli accessi di rete) nel pannello di navigazione. Scegli la casella accanto alla lista di controllo degli accessi di rete. Per visualizzare le impostazioni, esamina ciascuna delle schede. Per modificare un'impostazione in una scheda, scegli Edit (Modifica), se applicabile, quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o aws-shell per visualizzare le impostazioni, esegui il comando Amazon EC2 describe-network-acls.

aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene l'ACL di rete e sostituiscilo acl-1234ab56 con l'ID ACL di rete. Per eseguire il comando precedente con aws-shell, ometti aws.

Creazione di una lista di controllo degli accessi di rete

Per utilizzare la console di Amazon VPC, scegli Network ACLs (Liste di controllo degli accessi di rete) nel pannello di navigazione. Seleziona Create Network ACL (Crea lista di controllo degli accessi di rete), quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI oaws-shell, esegui il comando Amazon EC2 create-network-acl.

aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene il VPC a cui desideri collegare il nuovo ACL di rete. Inoltre, sostituisci vpc-1234ab56 con l'ID del VPC. Per eseguire il comando precedente con aws-shell, ometti aws.

Creazione di un VPC e di altre risorse VPC

Utilizza la procedura seguente per creare un VPC e le risorse VPC aggiuntive necessarie per eseguire l'applicazione. Le risorse VPC includono sottoreti, tabelle di routing, gateway Internet e gateway NAT.

Come creare un VPC, sottoreti e altre risorse VPC tramite la console

  1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nella scheda VPC, scegli Create VPC (Crea modulo VPC).

  3. Per Risorse da creare, scegli VPC e altro.

  4. Per creare tag nome per le risorse VPC, mantieni selezionata l'opzione Generazione automatica dei tag nome. Per fornire le tue targhette per le risorse VPC, cancellale.

  5. Per il blocco CIDR IPv4, è necessario inserire un intervallo di indirizzi IPv4 per il VPC. L'intervallo IPv4 consigliato per è. AWS Cloud9 10.0.0.0/16

  6. (Facoltativo) Per il Blocco CIDR IPv6, scegli Blocco CIDR IPv6 fornito da Amazon.

  7. Scegli un'opzione di tenancy. Questa opzione definisce se le istanze EC2 avviate nel VPC verranno eseguite su hardware condiviso con altri Account AWS o su hardware dedicato esclusivamente all'uso personale. Se scegli la tenancy del VPC, le istanze EC2 Default avviate in questo VPC utilizzeranno l'attributo di tenancy specificato all'avvio dell'istanza. Per ulteriori informazioni, consulta Launch an instance using defined parameters nella Amazon EC2 User Guide.

    Se scegli che la tenancy del VPC sia Dedicated, le istanze verranno sempre eseguite come Istanze dedicate su un hardware dedicato per il tuo utilizzo. Se lo utilizzi AWS Outposts, è Outpost necessaria una connettività privata e devi utilizzare la Default locazione.

  8. Per quanto riguarda il numero di zone di disponibilità (AZ), consigliamo di effettuare il provisioning di sottoreti in almeno due Availability Zones per un ambiente di produzione. Per scegliere le zone di disponibilità delle sottoreti, espandi Personalizza le zone di disponibilità. Altrimenti, puoi AWS scegliere le AZ per te.

  9. Per configurare le sottoreti, scegli i valori per Numero di sottoreti pubbliche e Numero di sottoreti private. Per scegliere gli intervalli di indirizzi IP delle sottoreti, espandi Personalizza i blocchi CIDR delle sottoreti. Altrimenti, lascia che li AWS scelga per te.

  10. (Facoltativo) Se le risorse di una sottorete privata devono accedere alla rete Internet pubblica tramite IPv4: per i gateway NAT, scegli il numero di AZ in cui creare i gateway NAT. In fase di produzione, è preferibile implementare un gateway NAT in ogni zona di disponibilità con risorse che richiedono l'accesso alla rete Internet pubblica.

  11. (Facoltativo) Se le risorse di una sottorete privata devono accedere alla rete Internet pubblica tramite IPv6: per il gateway Internet solo Egress, scegli Sì.

  12. (Facoltativo) Per accedere ad Amazon S3 direttamente dal tuo VPC, scegli gli endpoint VPC, S3 Gateway. Questa operazione crea un endpoint VPC del gateway per Amazon S3. Per ulteriori informazioni, consulta la sezione Endpoint VPC del gateway nella Guida di AWS PrivateLink .

  13. (Facoltativo) Per quanto riguarda le Opzioni DNS, entrambe le opzioni per la risoluzione dei nomi di dominio sono abilitate per impostazione predefinita. Se l'impostazione predefinita non soddisfa le tue esigenze, puoi disattivare queste opzioni.

  14. (Facoltativo) Per aggiungere un tag al VPC, espandi Altri tag, scegli Aggiungi nuovo tag e immetti una chiave e un valore di tag.

  15. Nel riquadro di anteprima, puoi visualizzare le relazioni tra le risorse VPC che hai configurato. Le linee continue rappresentano le relazioni tra le risorse. Le linee tratteggiate rappresentano il traffico di rete diretto ai gateway NAT, ai gateway Internet e agli endpoint dei gateway. Dopo la creazione del VPC, puoi visualizzare in qualunque momento le risorse del tuo VPC in questo formato tramite la scheda Mappa delle risorse.

  16. Dopo aver completato la configurazione del tuo VPC, scegli Crea VPC.

Creare solo un VPC

Utilizza la seguente procedura per creare un VPC senza risorse VPC aggiuntive utilizzando la console Amazon VPC.

Come creare un VPC senza risorse VPC aggiuntive tramite la console

  1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nella scheda VPC, scegli Create VPC (Crea modulo VPC).

  3. Per Risorse da creare scegli Solo VPC.

  4. (Facoltativo) Per Tag dei nomi immetti un nome per il VPC. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

  5. Per IPv4 CIDR block (Blocco CIDR IPv4), effettua una delle seguenti operazioni:

    • Scegli Input manuale CIDR IPv4 e immetti un intervallo di indirizzi IPv4 per il VPC. L'intervallo IPv4 consigliato per è. AWS Cloud9 10.0.0.0/16

    • Scegli il blocco CIDR IPv4 allocato su IPAM, seleziona un pool di indirizzi IPv4 di Amazon VPC IP Address Manager (IPAM) e una maschera di rete. La dimensione del blocco CIDR è limitata dalle regole di allocazione sul pool IPAM. IPAM è una funzionalità VPC che ti aiuta a pianificare, tracciare e monitorare gli indirizzi IP per AWS i tuoi carichi di lavoro. Per ulteriori informazioni, consulta Cos'è l'IPAM? nella Guida per l'amministratore di Amazon Virtual Private Cloud.

      Se utilizzi IPAM per gestire i tuoi indirizzi IP, ti consigliamo di scegliere questa opzione. In caso contrario, il blocco CIDR specificato per il VPC potrebbe sovrapporsi a un'allocazione CIDR IPAM.

  6. (Facoltativo) Per creare un cloud privato virtuale a dual-stack, specifica un intervallo di indirizzi IPv6 per il VPC. Per IPv6 CIDR block (Blocco CIDR IPv6), effettua una delle seguenti operazioni:

    • Scegli Blocco CIDR IPv6 allocato da IPAM e seleziona il pool di indirizzi IPv6 IPAM. La dimensione del blocco CIDR è limitata dalle regole di allocazione sul pool IPAM.

    • Per richiedere un blocco CIDR IPv6 da un pool Amazon di indirizzi IPv6, scegli il blocco CIDR IPv6 fornito da Amazon. Per Network Border Group, seleziona il gruppo da cui pubblicizza gli indirizzi IP. AWS Amazon fornisce una dimensione fissa del blocco CIDR IPv6 /56.

    • Scegli IPv6 CIDR di mia proprietà per utilizzare un blocco CIDR IPv6 che hai creato AWS utilizzando Bring your own IP address (BYOIP). Per Pool, scegliere il pool di indirizzi IPv6 da cui allocare il blocco CIDR IPv6.

  7. (Facoltativo) Scegli un'opzione di tenancy. Questa opzione definisce se le istanze EC2 che avvii nel VPC verranno eseguite su hardware condiviso con altri Account AWS o su hardware dedicato esclusivamente al tuo utilizzo. Se scegli la tenancy del VPC, le istanze EC2 che vengono Default avviate in questo VPC utilizzeranno l'attributo di tenancy specificato all'avvio dell'istanza. Per ulteriori informazioni, consulta Launch an instance using defined parameters nella Amazon EC2 User Guide.

    Se scegli che la tenancy del VPC sia Dedicated, le istanze verranno sempre eseguite come Istanze dedicate su un hardware dedicato per il tuo utilizzo. Se lo utilizzi AWS Outposts, è Outpost necessaria una connettività privata e devi utilizzare la Default locazione.

  8. (Facoltativo) Per aggiungere un tag al VPC, scegli Aggiungi nuovo tag e immetti una chiave e un valore di tag.

  9. Seleziona Crea VPC.

  10. Dopo aver creato un VPC, puoi aggiungere sottoreti.

Crea una sottorete per AWS Cloud9

Puoi utilizzare la console Amazon VPC per creare una sottorete per un VPC compatibile con. AWS Cloud9 La possibilità di creare una sottorete pubblica o privata per l'istanza EC2 dipende dal modo in cui l'ambiente si connette ad essa:

  • Accesso diretto tramite SSH: solo sottorete pubblica

  • Accesso tramite Systems Manager: sottorete pubblica o privata

L'opzione per avviare l'ambiente EC2 in una sottorete privata è disponibile solo se crei un ambiente EC2 "senza ingresso" utilizzando la console, la riga di comando o AWS CloudFormation.

Segui la stessa procedura per creare una sottorete pubblica o privata. Se la sottorete viene quindi associata a una tabella di routing con un routing a un Gateway Internet, tale sottorete diventa pubblica. Se una sottorete è associata a una tabella di routing che non dispone di un routing a un Gateway Internet, tale sottorete diventa privata. Per ulteriori informazioni, consulta Configurazione di una sottorete come pubblica o privata.

Se hai seguito la procedura precedente per creare un VPC AWS Cloud9, non devi seguire anche questa procedura. perché la procedura guidata per Create new VPC (Crea nuovo VPC) crea una nuova sottorete per te automaticamente.

Importante

  • Account AWS È necessario disporre già di un VPC compatibile nello stesso Regione AWS ambiente. Per ulteriori informazioni, consulta i requisiti di VPC in Requisiti Amazon VPC per AWS Cloud9.

  • Per questa procedura, ti consigliamo di accedere AWS Management Console e aprire la console Amazon VPC utilizzando le credenziali di un amministratore IAM del tuo. Account AWS Se non riesci a farlo, rivolgiti al tuo Account AWS amministratore.

  • Alcune organizzazioni potrebbero impedirti di creare sottoreti da solo. Se non riesci a creare una sottorete, rivolgiti Account AWS all'amministratore o all'amministratore di rete.

Per creare una sottorete

  1. Se la console Amazon VPC non è già aperta, accedi AWS Management Console e apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc.

  2. Nella barra di navigazione, se la regione Regione AWS non è la stessa dell'ambiente, scegli la regione corretta.

  3. Seleziona Subnets (Sottoreti) nel riquadro di navigazione, se Subnets (Sottoreti) non è già visualizzato.

  4. Seleziona Create Subnet (Crea sottorete).

  5. Nella finestra di dialogo Create Subnet (Crea sottorete), in Name tag (Nome tag) inserisci un nome per la sottorete.

  6. Per VPC, seleziona il VPC al quale associare la sottorete.

  7. Per Zona di disponibilità, scegli la zona di disponibilità all' Regione AWS interno della sottorete da utilizzare oppure scegli Nessuna preferenza per AWS scegliere una zona di disponibilità per te.

  8. In IPv4 CIDR block (Blocco IPv4 CIDR), inserisci l'intervallo di indirizzi IP per la sottorete da utilizzare, in formato CIDR. Questo intervallo di indirizzi IP nella sottorete deve essere un sottoinsieme di indirizzi IP nel VPC.

    Per informazioni sui blocchi CIDR, consulta Dimensionamento di VPC e sottorete nella Guida per l'utente di Amazon VPC. Consulta anche 3.1. Concetti di base e notazione prefisso in RFC 4632 o Blocchi IPv4 CIDR in Wikipedia.

Dopo aver creato la sottorete, configurala come sottorete pubblica o privata.

Configurazione di una sottorete come pubblica o privata

Dopo aver creato una sottorete, è possibile renderla pubblica o privata specificando la modalità di comunicazione con Internet.

Una sottorete pubblica ha un indirizzo IP pubblico e un gateway Internet (IGW) collegato che permette la comunicazione tra l'istanza per la sottorete e Internet e altri Servizi AWS.

Un'istanza in una sottorete privata ha un indirizzo IP privato e viene utilizzato un gateway Network Address Translation (NAT) per inviare il traffico in entrata e in uscita tra l'istanza per la sottorete e Internet e altri Servizi AWS. Il gateway NAT deve essere ospitato in una sottorete pubblica.

Public subnets
Nota

Anche se l'istanza dell'ambiente viene avviata in una sottorete privata, il VPC deve avere almeno una sottorete pubblica. Questo perché il gateway NAT che inoltra il traffico da e verso l'istanza deve essere ospitato in una sottorete pubblica.

La configurazione di una sottorete come pubblica comporta l'associazione di un Gateway Internet (IGW) a essa, la configurazione di una tabella di routing per specificare un routing a tale IGW e la definizione delle impostazioni in un gruppo di sicurezza per controllare il traffico in entrata e in uscita.

Le linee guida per eseguire questi processi sono fornite in Creazione di un VPC e di altre risorse VPC.

Importante

Se l'ambiente di sviluppo utilizza SSM per accedere a un'istanza EC2, assicurati che all'istanza venga assegnato un indirizzo IP pubblico dalla sottorete pubblica in cui viene avviata. A tale scopo, è necessario abilitare l'assegnazione automatica di un'opzione di indirizzo IP pubblico per la sottorete pubblica e impostarla su. Yes È possibile abilitarla nella sottorete pubblica prima di creare un AWS Cloud9 ambiente all'interno della pagina delle impostazioni della sottorete. Per i passaggi necessari alla modifica delle impostazioni IP di assegnazione automatica in una sottorete pubblica, consulta Modificare l'attributo di indirizzamento IPv4 pubblico per la sottorete nella Amazon VPC User Guide. Per ulteriori informazioni sulla configurazione di una sottorete pubblica e privata, consulta. Configurazione di una sottorete come pubblica o privata

Private subnets

Se stai creando un'istanza senza ingresso a cui si accede tramite Systems Manager, puoi avviarla in una sottorete privata. Una sottorete privata non dispone di un indirizzo IP pubblico. È quindi necessario un gateway NAT per mappare l'indirizzo IP privato a un indirizzo pubblico per le richieste ed è necessario mappare di nuovo l'indirizzo IP pubblico all'indirizzo privato per la risposta.

avvertimento

Ti vengono addebitati solo i costi di creazione E di utilizzo di un gateway NAT nell'account. Si applicano le tariffe orarie di utilizzo ed elaborazione dati del gateway NAT. Vengono applicati anche i costi di trasferimento dei dati Amazon EC2. Per ulteriori informazioni, consulta la pagina dei Prezzi di Amazon VPC.

Prima di creare e configurare il gateway NAT, devi eseguire le seguenti operazioni:

  • Creare una sottorete VPC pubblica per ospitare il gateway NAT.

  • Provisioning di un indirizzo IP elastico che possa essere assegnato al gateway NAT.

  • Per la sottorete privata, deseleziona la casella di controllo Enable auto-assign public IPv4 address (Abilita assegnazione automatica indirizzo IPv4 pubblico) in modo che all'istanza avviata venga assegnato un indirizzo IP privato. Per ulteriori informazioni, consulta Assegnazione degli indirizzi IP nel VPC nella Guida per l'utente di Amazon VPC.

Per i passaggi necessari per eseguire questo processo, consulta Gateway NAT nella Guida per l'utente di Amazon VPC.

Importante

Attualmente, se l'istanza EC2 dell'ambiente viene lanciata in una sottorete privata, non è possibile utilizzare credenziali temporanee AWS gestite per consentire all'ambiente EC2 di accedere a un'istanza per Servizio AWS conto di un' AWS entità come un utente IAM.