Eseguire la connessione a Internet utilizzando un gateway Internet

Un gateway Internet è un componente VPC scalato orizzontalmente, ridondante e ad alta disponibilità che consente la comunicazione tra il VPC e Internet. Supporta traffico IPv4 e IPv6. Non causa rischi di disponibilità o vincoli di larghezza di banda nel traffico di rete.

Un gateway Internet consente alle risorse nelle sottoreti pubbliche (ad es. istanze EC2) di collegarsi a Internet se la risorsa ha un indirizzo IPv4 pubblico o un indirizzo IPv6. Analogamente, le risorse su Internet possono avviare una connessione alle risorse nella sottorete utilizzando l'indirizzo IPv4 pubblico o IPv6 pubblico. Ad esempio, un gateway Internet consente di connettersi a un'istanza EC2 in AWS utilizzando il computer locale.

Un gateway Internet fornisce una destinazione nelle tabelle di instradamento del VPC per il traffico instradabile su Internet. Per le comunicazioni tramite IPv4, il gateway Internet esegue anche Network Address Translation (NAT). Per la comunicazione tramite IPv6, NAT non è necessario perché gli indirizzi IPv6 sono pubblici. Per ulteriori informazioni, consulta Indirizzi IP e NAT.

Configurazione per l'accesso a Internet

Per consentire alle istanze di ricevere o inviare traffico da Internet, effettua le seguenti operazioni:

• Crea un gateway Internet e collegalo al tuo VPC.

• Aggiungi un instradamento alla tabella di routing per la sottorete che indirizza il traffico di Internet al gateway Internet.

• Accertati che le istanze nella sottorete hanno un indirizzo IPv4 pubblico o un indirizzo IPv6. Per ulteriori informazioni, consulta Indirizzamento IP di un’istanza nella Guida per l'utente di Amazon EC2 per le istanze Linux.

• Accertati che i gruppi di sicurezza e le liste di controllo accessi alla rete consentano il flusso del traffico Internet desiderato da/verso le tue istanze.

Per fornire alle istanze l'accesso a Internet senza assegnare indirizzi IP pubblici a tali istanze, utilizza un dispositivo NAT. Un dispositivo NAT consente alle istanze di una sottorete privata di connettersi a Internet, ma impedisce agli host su Internet di avviare connessioni con le istanze. Per ulteriori informazioni, consulta Dispositivi NAT.

Sottoreti pubbliche e private

Se la sottorete è associata a una tabella di routing che ha una route a un Internet Gateway, è nota come una sottorete pubblica. Se una sottorete è associata a una tabella di routing che non dispone di una route a un Internet Gateway, è nota come una sottorete privata.

Nella tabella di routing della sottorete, puoi specificare una route per il gateway Internet a tutte le destinazioni non esplicitamente note alla tabella di routing (0.0.0.0/0 per IPv4 o ::/0 per IPv6). In alternativa, puoi definire l'ambito della route a un intervallo di indirizzi IP più ristretto; ad esempio gli indirizzi IPv4 pubblici degli endpoint pubblici dell'azienda all'esterno di AWS o gli indirizzi IP elastici di altre istanze Amazon EC2 esterne al VPC.

Indirizzi IP e NAT

Per abilitare la comunicazione via Internet per IPv4, l'istanza deve avere un indirizzo IPv4 pubblico. Puoi configurare il VPC per l'assegnazione automatica degli indirizzi IPv4 pubblici alle istanze o puoi assegnare indirizzi IP elastici alle istanze. L'istanza conosce soltanto lo spazio degli indirizzi IP (interni) privati definito nel VPC e nella sottorete. L'Internet Gateway fornisce logicamente la conversione NAT uno-a-uno per l'istanza, di modo che quando il traffico lascia la sottorete VPC e arriva a Internet, il campo dell'indirizzo di risposta è impostato sull'indirizzo IPv4 pubblico o sull'indirizzo IP elastico dell'istanza e non sull'indirizzo IP privato. Inversamente, l'indirizzo di destinazione del traffico destinato all'indirizzo IPv4 pubblico o all'indirizzo IP elastico dell'istanza viene convertito nell'indirizzo IPv4 privato dell'istanza prima che il traffico sia distribuito al VPC.

Per abilitare la comunicazione via Internet per IPv6, il VPC e la sottorete devono avere un blocco CIDR IPv6 associato e all'istanza deve Essere assegnato un indirizzo IPv6 dell'intervallo della sottorete. Gli indirizzi IPv6 sono globalmente univoci e sono pertanto pubblici per impostazione predefinita.

Nel diagramma seguente, la sottorete situata in zona di disponibilità A è una sottorete pubblica. La tabella di routing per questa sottorete ha una route che instrada tutto il traffico IPv4 legato a Internet al gateway Internet. Le istanze nella sottorete pubblica devono avere indirizzi IP pubblici o indirizzi IP elastici per consentire la comunicazione con Internet tramite il gateway Internet. Per fare un confronto, la sottorete nella zona di disponibilità B è una sottorete privata perché la tabella di routing non dispone di un routing al gateway Internet. Le istanze nella sottorete privata non possono comunicare con Internet tramite il gateway Internet, anche se hanno indirizzi IP pubblici.

Accesso a Internet per VPC predefiniti e non predefiniti

La tabella seguente indica se il tuo VPC include dei componenti necessari per l'accesso a Internet via IPv4 o IPv6.

Componente	VPC predefinito	VPC non predefinito
Internet Gateway	Sì	No
Tabella di routing con route all'Internet Gateway per il traffico IPv4 (0.0.0.0/0)	Sì	No
Tabella di routing con route all'Internet Gateway per il traffico IPv6 (::/0)	No	No
Indirizzo IPv4 pubblico assegnato automaticamente all'istanza avviata nella sottorete	Sì (sottorete predefinita)	No (sottorete non predefinita)
Indirizzo IPv6 assegnato automaticamente all'istanza avviata nella sottorete	No (sottorete predefinita)	No (sottorete non predefinita)

Per ulteriori informazioni sui VPC predefiniti, consulta VPC di default. Per ulteriori informazioni sulla creazione di un VPC, consulta Crea un VPC.

Gestione dei gateway Internet

Di seguito viene descritto come supportare l'accesso a Internet da una sottorete nel proprio VPC utilizzando un gateway Internet. Per rimuovere l'accesso a Internet, è possibile distaccare il gateway Internet dal VPC e quindi eliminarlo.

Creazione di un Internet Gateway

Usa la procedura seguente per creare un gateway Internet.

Creare un gateway Internet

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione, scegli Internet gateways (Gateway Internet).

3. Scegliere Crea gateway Internet.

4. (Facoltativo) Inserisci un nome per il gateway Internet.

5. (Facoltativo) Per aggiungere un tag, scegli Add new tag (Aggiungi nuovo tag) e immetti la chiave e il valore del tag.

6. Scegliere Crea gateway Internet.

7. (Facoltativo) Per collegare immediatamente il gateway Internet a un VPC, scegli Attach to a VPC (Collega a un VPC) dal banner nella parte superiore dello schermo, seleziona un VPC disponibile e scegli Attach internet gateway (Collega un gateway Internet). In alternativa, puoi collegare il gateway Internet a un VPC in un altro momento.

Collegamento di un Internet Gateway a un VPC

Per utilizzare un gateway Internet, devi collegarlo a un VPC.

Collegamento di un gateway Internet a un VPC

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione, scegli Internet gateways (Gateway Internet).

3. Seleziona la casella di controllo accanto al gateway Internet.

4. Scegli Actions (Azioni), Attach to VPC (Collega a un VPC).

5. Seleziona un VPC disponibile.

6. Scegli Attach internet gateway (Collega un gateway Internet).

Scollegamento di un gateway Internet dal VPC

Se non hai più bisogno dell'accesso a Internet per le istanze che avvii in un VPC, puoi scollegare un Internet Gateway da un VPC. Non puoi scollegare un Internet Gateway se il VPC ha risorse con indirizzi IP pubblici o indirizzi IP elastici associati.

Per scollegare un Internet Gateway

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione, scegli Internet gateways (Gateway Internet).

3. Seleziona la casella di controllo accanto al gateway Internet.

4. Scegli Actions, Detach from VPC (Azioni, Scollega da VPC).

5. Quando viene chiesta la conferma, seleziona Detach internet gateway (Scollega gateway Internet).

Eliminazione di un Internet Gateway

Se non hai più bisogno di un Internet Gateway, puoi eliminarlo. Non puoi tuttavia svolgere questa operazione se un Internet Gateway è ancora collegato a un VPC.

Per eliminare un Internet Gateway

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione, scegli Internet gateways (Gateway Internet).

3. Seleziona la casella di controllo accanto al gateway Internet.

4. Scegli Actions (Azioni) Delete internet gateway (Elimina gateway Internet).

5. Quando viene richiesta la conferma, inserisci delete e scegli Delete internet gateway (Elimina gateway Internet).

Panoramica sulle API e sui comandi

Puoi eseguire le attività descritte in questa pagina tramite la riga di comando o un'API. Per ulteriori informazioni sulle interfacce a riga di comando e per un elenco delle operazioni API disponibili, consulta Uso di Amazon VPC.

Creazione di un Internet Gateway

• create-internet-gateway (AWS CLI)

• New-EC2InternetGateway (AWS Tools for Windows PowerShell)

Collegamento di un Internet Gateway a un VPC

• attach-internet-gateway (AWS CLI)

• Add-EC2InternetGateway (AWS Tools for Windows PowerShell)

Descrizione di un Internet Gateway

• describe-internet-gateways (AWS CLI)

• Get-EC2InternetGateway (AWS Tools for Windows PowerShell)

Scollegamento di un Internet Gateway da un VPC

• detach-internet-gateway (AWS CLI)

• Dismount-EC2InternetGateway (AWS Tools for Windows PowerShell)

Eliminazione di un Internet Gateway

• delete-internet-gateway (AWS CLI)

• Remove-EC2InternetGateway (AWS Tools for Windows PowerShell)

Prezzi

Non sono previsti costi per un gateway Internet ma sono previsti costi di trasferimento dati per le istanze EC2 che lo utilizzano. Per ulteriori informazioni, consulta Prezzi di Amazon EC2 on demand.