Gateway di transito - Amazon VPC
Creazione di un gateway di transitoVisualizzazione dei gateway di transitoAggiungere o modificare i tag per un gateway di transitoModificare un gateway di transitoCondividere un gateway di transitoAccettare una condivisione di risorseAccettare un allegato condivisoEliminare un gateway di transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gateway di transito

Un Transit Gateway consente di collegare VPC e connessioni VPN e routing di traffico tra loro. Un gateway di transito funziona trasversalmente Account AWS e puoi usarlo AWS RAM per condividere il tuo gateway di transito con altri account. Dopo aver condiviso un gateway di transito con un altro Account AWS, il proprietario dell'account può collegare i propri VPC al gateway di transito. Un utente di uno qualsiasi degli account può eliminare il collegamento in qualsiasi momento.

È possibile abilitare il multicast in un gateway di transito, quindi creare un dominio del gateway di transito multicast che consenta l'invio del traffico multicast dall'fonte multicast ai membri del gruppo multicast tramite allegati VPC associati al dominio.

Ogni collegamento di VPC o VPN è associato a una singola tabella di instradamento. La tabella di routing definisce il successivo segmento di rete su cui inoltrare il traffico proveniente dallo specifico collegamento della risorsa. Una tabella di routing all'interno del gateway di transito abilita CIDR e destinazioni sia per IPv4 che per IPv6. Le destinazioni sono VPC e connessioni VPN. Quando colleghi un VPC o crei una connessione VPN verso un gateway di transito, il collegamento viene associato alla tabella di routing predefinita del gateway di transito.

Puoi creare tabelle di routing aggiuntive all'interno del gateway di transito e modificare l'associazione di VPC o VPN in queste tabelle di routing. Tale azione consente la segmentazione della rete. Ad esempio, è possibile associare i VPC di sviluppo a una tabella di routing e i VPC di produzione a una tabella di routing diversa. Questo consente di creare reti isolate all'interno di un gateway di transito con caratteristiche simili a quelle di un VRF (Virtual Routing and Forwarding, Routing e Inoltro Virtuali) nelle reti tradizionali.

I gateway di transito supportano il routing dinamico e statico tra VPC e connessioni VPN collegate. Per ogni collegamento puoi abilitare o disabilitare la propagazione delle route. Gli allegati di peering del gateway di transito supportano solo il routing statico. Tuttavia, non è possibile aggiungere un percorso statico che punti a un peering tra due gateway di transito nella stessa regione.

Facoltativamente, puoi associare uno o più blocchi CIDR IPv4 o IPv6 al gateway di transito. Specifica un indirizzo IP dal blocco CIDR quando stabilisci un peer di Transit Gateway Connect per un collegamento Connect del gateway di transito. Puoi associare qualsiasi intervallo di indirizzi IP pubblici o privati, ad eccezione degli indirizzi nell'intervallo 169.254.0.0/16 e gli intervalli che si sovrappongono agli indirizzi per gli allegati VPC e le reti locali. Per ulteriori informazioni sui blocchi CIDR IPv4 e IPv6, consulta VPC e sottoreti nella Guida per l'utente di Amazon VPC.

Creazione di un gateway di transito

Quando crei un gateway di transito, viene creata una tabella di routing predefinita per il gateway di transito e questa viene utilizzata come tabella di routing predefinita per le associazioni nonché come tabella di routing predefinita per la propagazione. Se scegli di non creare la tabella di routing del gateway di transito predefinita, è possibile crearne una in un secondo momento. Per ulteriori informazioni sui routing e sulle tabelle di routing, consulta Routing.

Per creare un gateway di transito utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Transit Gateways (Gateway di transito).

  3. Selezionare Create Transit Gateway (Crea gateway di transito).

  4. Per Tag nome, è possibile inserire un nome per il gateway di transito. Un tag nome può semplificare l'identificazione di uno specifico gateway nell'elenco dei gateway. Quando aggiungi un Name tag (Tag nome), viene creato un tag con chiave Name e il valore corrispondente a quello inserito.

  5. In Description (Descrizione), immettere una descrizione facoltativa per il gateway di transito.

  6. In Amazon side Autonomous System Numbr (ASN lato Amazon), non modificare il valore predefinito per utilizzare l'Autonomous System Number (ASN) predefinito, oppure inserire l'ASN privato del gateway di transito. Dovrebbe essere l'ASN per il AWS lato di una sessione BGP (Border Gateway Protocol).

    Per ASN a 16 bit l'intervallo va da 64512 a 65534.

    Per ASN a 32 bit l'intervallo va da 4200000000 a 4294967294.

    Se si dispone di una distribuzione tra regioni, si consiglia di utilizzare un ASN univoco per ognuno dei propri gateway di transito.

  7. In DNS support (supporto DNS), selezionare abilita se è necessario che il VPC risolva i nomi di host DNS IPv4 pubblici in indirizzi IPv4 privati quando richiesto da istanze in un altro VPC collegato al gateway di transito.

  8. In supporto VPN ECMP, selezionare abilita se è necessario disporre del supporto per l'instradamento Equal Cost Multipath (ECMP) tra i tunnel VPN. Se le connessioni pubblicano gli stessi CIDR, il traffico viene distribuito uniformemente tra di esse.

    Quando selezioni questa opzione, l'ASN GBP annunciato, gli attributi BGP quali il percorso AS e le community per le preferenze devono essere uguali.

    Nota

    Per utilizzare ECMP, è necessario creare una connessione VPN che utilizzi il routing dinamico. Le connessioni VPN che utilizzano il routing statico non supportano ECMP.

  9. In Default route table association (Associazione tabella di routing predefinita), selezionare abilita per associare automaticamente gli allegati del gateway di transito alla tabella di routing predefinita per il gateway di transito.

  10. In Default route table propagation (Propagazione tabella di routing predefinita), selezionare abilita per propagare automaticamente gli allegati del gateway di transito alla tabella di routing predefinita per il gateway di transito.

  11. (Facoltativo) Per utilizzare il gateway di transito come router per il traffico multicast, selezionare Multicast support (Supporto multicast).

  12. In Auto accept shared attachments (Accetta automaticamente i collegamenti condivisi), selezionare abilita per accettare automaticamente i collegamenti multi-account.

  13. (Facoltativo) In blocchi CIDR del gateway di transito, specifica uno o più blocchi CIDR IPv4 o IPv6 per il gateway di transito.

    Puoi specificare un blocco CIDR di dimensione /24 o superiore (ad esempio /23 o /22) per IPv4 o un blocco CIDR di dimensione /64 o superiore (ad esempio /63 o /62) per IPv6. Puoi quindi associare qualsiasi intervallo di indirizzi IP pubblici o privati, ad eccezione degli indirizzi nell'intervallo 169.254.0.0/16, e gli intervalli che si sovrappongono agli indirizzi degli allegati VPC e delle reti locali.

  14. Selezionare Create transit gateway (Crea gateway di transito).

Per creare un gateway di transito utilizzando il AWS CLI

Utilizza il comando create-transit-gateway.

Visualizzazione dei gateway di transito

Per visualizzare i gateway di transito utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Transit Gateways (Gateway di transito). I dettagli del gateway di transito sono visualizzati sotto l'elenco dei gateway nella pagina.

Per visualizzare i gateway di transito utilizzando il AWS CLI

Utilizza il comando describe-transit-gateways.

Aggiungere o modificare i tag per un gateway di transito

Aggiungi tag alle risorse per aiutarti a organizzarle e identificarle, differenziandole ad esempio per scopo, proprietario o ambiente. È possibile aggiungere più tag a ogni gateway di transito. Le chiavi di tag devono essere univoche per ogni gateway di transito. Se aggiungi un tag con una chiave già associata al gateway di transito, il valore del tag viene aggiornato. Per ulteriori informazioni, consultare Tagging delle risorse Amazon EC2.

Aggiungere tag a un gateway di transito utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Transit Gateways (Gateway di transito).

  3. Scegliere il gateway di transito per il quale aggiungere o modificare i tag.

  4. Selezionare la scheda Tags (Tag) nella parte inferiore della pagina.

  5. Scegliere Gestisci tag.

  6. Scegliere Aggiungi nuovo tag.

  7. Digitare una Key (Chiave) e un Value (Valore) per il tag.

  8. Selezionare Salva.

Modificare un gateway di transito

È possibile modificare le opzioni di configurazione per il gateway di transito. Quando si modifica un gateway di transito, le opzioni modificate vengono applicate solo ai nuovi allegati del gateway di transito. I collegamenti del gateway di transito alla VPN esistenti non vengono modificati e non rilevano alcuna interruzione del servizio.

Non è possibile modificare un gateway di transito condiviso con l'utente.

Non puoi rimuovere un blocco CIDR per il gateway di transito se uno qualsiasi degli indirizzi IP è correntemente utilizzato per un peer Connect.

Modificare un gateway di transito

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Transit Gateways (Gateway di transito).

  3. Scegliere il gateway di transito da modificare.

  4. Scegliere Azioni, Modifica gateway di transito.

  5. Modificare le opzioni in base alle esigenze e scegliere Modifica gateway di transito.

Per modificare il gateway di transito utilizzando il AWS CLI

Utilizza il comando modify-transit-gateway.

Condividere un gateway di transito

Puoi utilizzarlo AWS RAM per condividere un gateway di transito tra account o tra tutta l'organizzazione in AWS Organizations. Per condividere un gateway di transito di proprietà, attenersi alla procedura descritta di seguito.

Devi abilitare la condivisione delle risorse dall'account di gestione della tua organizzazione. Per informazioni sull'attivazione della condivisione delle risorse, consulta Enable Sharing with AWS Organizations nella AWS RAM User Guide.

Condividere un gateway di transito

  1. Apri la AWS RAM console all'indirizzo https://console.aws.amazon.com/ram/.

  2. Selezionare Create a resource share (Crea una condivisione di risorse).

  3. Sotto Name (Nome), digitare un nome descrittivo della risorsa da condividere.

  4. In Select resource type (Seleziona tipo risorsa), selezionare Transit Gateways (Gateway di transito). Selezionare il gateway di transito.

  5. (Facoltativo) In Principals (Responsabile), aggiungere i responsabili della condivisione di risorse. Per ogni Account AWS unità organizzativa o organizzazione, specifica il relativo ID e scegli Aggiungi.

    In Consenti account esterni, scegli se consentire la condivisione di questa risorsa con Account AWS utenti esterni all'organizzazione.

  6. (Facoltativo) In Tags (Tag) digitare una chiave e un valore per ogni tag. Questi tag sono applicati alla condivisione di risorse ma non al gateway di transito.

  7. Selezionare Create resource share (Crea condivisione di risorse).

Accettare una condivisione di risorse

Se sei stato aggiunto a una condivisione di risorse, riceverai un invito a partecipare alla condivisione stessa. Prima di poter accedere alle risorse condivise dovrai accettare la condivisione di risorse.

Per accettare una condivisione di risorse

  1. Apri la AWS RAM console all'indirizzo https://console.aws.amazon.com/ram/.

  2. Nel riquadro di navigazione, selezionare Shared with me (Condivise con me), Resource shares (Condivisioni di risorse).

  3. Selezionare la condivisione di risorse.

  4. Selezionare Accept resource share (Accetta condivisione di risorse).

  5. Per visualizzare il gateway di transito condiviso, apri la pagina Gateway di transito nella console Amazon VPC.

Accettare un allegato condiviso

Se non è stata abilitata la funzionalità Auto accept shared attachments (Accetta automaticamente allegati condivisi) al momento della creazione del gateway di transito, è necessario accettare manualmente gli allegati multiaccount (condivisi).

Per accettare manualmente un allegato condiviso

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Transit Gateway Attachments (Collegamenti del gateway di transito).

  3. Selezionare l'allegato del gateway di transito in attesa di accettazione.

  4. Scegli Actions (Operazioni), Accept transit gateway attachment (Accetta il collegamento del gateway di transito alla VPN).

Per accettare un allegato condiviso utilizzando il AWS CLI

Utilizzare il comando accept-transit-gateway-vpc-attachment.

Eliminare un gateway di transito

Non è possibile eliminare un gateway di transito con allegati esistenti. Prima di poter eliminare un gateway di transito è necessario eliminare tutti i collegamenti.

Per eliminare un gateway di transito utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Scegliere il gateway di transito da eliminare.

  3. Scegliere Azioni, Eliminare il gateway di transito. Immettere delete e quindi scegliere Delete (Elimina) per confermare l'eliminazione.

Per eliminare un gateway di transito utilizzando il AWS CLI

Utilizza il comando delete-transit-gateway.