Cloud privati virtuali (VPC) - Amazon Virtual Private Cloud

Cloud privati virtuali (VPC)

Un cloud privato virtuale (VPC) è una rete virtuale dedicata al tuo account AWS. Il VPC è isolato a livello logico dalle altre reti virtuali del cloud AWS. Puoi avviare le risorse AWS, ad esempio le istanze Amazon EC2, nel VPC.

Nozioni di base sui VPC

Quando crei un VPC, devi specificare un intervallo di indirizzi IPv4 per il VPC sotto forma di un blocco Classless Inter-Domain Routing (CIDR). Ad esempio, 10.0.0.0/16. Si tratta del blocco CIDR principale per il VPC. Per ulteriori informazioni, consultare Assegnazione di indirizzi IP.

Un VPC interessa tutte le zone di disponibilità nella regione. Il seguente diagramma mostra un nuovo VPC. Dopo aver creato un VPC, puoi aggiungere una o più sottoreti in ciascuna zona di disponibilità. Per ulteriori informazioni, consultare Sottoreti per il VPC.


                Un VPC che copre le zone di disponibilità per la relativa regione.

Blocchi CIDR del VPC

Amazon VPC supporta l'indirizzamento IPv4 e IPv6. Un VPC deve avere un blocco CIDR IPv4 associato. Facoltativamente, puoi associare più blocchi CIDR IPv4 e molteplici blocchi CIDR IPv6 al tuo VPC. Per ulteriori informazioni sull'indirizzamento IP, consulta Assegnazione di indirizzi IP.

Blocchi CIDR del VPC IPv4

Quando crei un VPC, devi specificare un blocco CIDR IPv4 per il VPC. Le dimensioni del blocco consentite sono comprese tra una netmask /16 (65.536 indirizzi IP) e una netmask /28 (16 indirizzi IP). Dopo aver creato il VPC, potrai associare blocchi CIDR IPv4 aggiuntivi al VPC. Per ulteriori informazioni, consultare Associazione di blocchi CIDR IPv4 aggiuntivi al VPC.

Quando crei un VPC, ti consigliamo di specificare un blocco CIDR dagli intervalli di indirizzi IPv4 privati, come specificato in RFC 1918.

Intervallo RFC 1918 Esempio di blocco CIDR
10.0.0.0 - 10.255.255.255 (prefisso 10/8) 10.0.0.0/16
172.16.0.0 - 172.31.255.255 (prefisso 172.16/12) 172.31.0.0/16
192.168.0.0 - 192.168.255.255 (prefisso 192.168/16) 192.168.0.0/16

Puoi creare un VPC dotato di un blocco CIDR instradabile pubblicamente che non rientra negli intervalli di indirizzi IPv4 privati specificati in RFC 1918. Tuttavia, per gli scopi di questa documentazione, per indirizzi IP privati intendiamo indirizzi IPv4 compresi nell'intervallo CIDR del tuo VPC.

Quando crei un VPC da utilizzare come servizio AWS, controlla la documentazione di servizio per verificare se esistono requisiti specifici per la relativa configurazione.

Se si crea un VPC mediante uno strumento a riga di comando o con l'API Amazon EC2, il blocco CIDR viene modificato automaticamente nel suo formato canonico. Ad esempio, se si specifica 100.68.0.18/18 per il blocco CIDR, viene creato un blocco CIDR di 100.68.0.0/18.

Gestione dei blocchi CIDR IPv4 per un VPC

Puoi associare blocchi CIDR IPv4 secondari al VPC. Quando associ un blocco CIDR al VPC, una route viene aggiunta automaticamente alle tabelle di routing VPC per abilitare il routing all'interno del VPC (la destinazione è il blocco CIDR e il target è local).

Nell'esempio seguente, il VPC dispone sia di un blocco CIDR primario che secondario. I blocchi CIDR per la sottorete A e la sottorete B provengono dal blocco CIDR VPC primario. Il blocco CIDR per la sottorete C proviene dal blocco CIDR VPC secondario.


       					VPC con blocchi CIDR singoli e multipli

La tabella di routing seguente mostra i route per il VPC.

Destinazione Target
10.0.0.0/16 Locale
10.2.0.0/16 Locale

Per aggiungere un blocco CIDR al VPC, si applicano le seguenti regole:

  • Le dimensioni di blocco consentite devono essere comprese tra una netmask /28 e una netmask /16.

  • Il blocco CIDR non deve sovrapporsi a qualsiasi blocco CIDR esistente associato al VPC.

  • Esistono limitazioni agli intervalli di indirizzi IPv4 che puoi utilizzare. Per ulteriori informazioni, consulta Limitazioni dell'associazione blocco CIDR IPv4.

  • Non puoi incrementare o decrementare la dimensione di un blocco CIDR esistente.

  • Esiste una quota per il numero di blocchi CIDR che puoi associare a un VPC e al numero di route che puoi aggiungere a una tabella di routing. Non puoi associare un blocco CIDR se comporta il superamento delle quote. Per ulteriori informazioni, consulta Quote Amazon VPC.

  • Il blocco CIDR non deve essere identico o più grande dell'intervallo CIDR di un routing in una qualsiasi delle tabelle di routing VPC. Ad esempio, in un VPC in cui si trova il blocco CIDR primario 10.2.0.0/16, si dispone di un routing esistente in una tabella di routing con una destinazione di 10.0.0.0/24 a un gateway virtuale privato. Si desidera associare un blocco CIDR secondario nell'intervallo 10.0.0.0/16. A causa del routing esistente, non è possibile associare un blocco CIDR di 10.0.0.0/24 o di dimensioni maggiori. Tuttavia, puoi associare un blocco CIDR secondario di 10.0.0.0/25 o più piccolo.

  • Se hai abilitato il VPC per ClassicLink, puoi associare blocchi CIDR dagli intervalli 10.0.0.0/16 e 10.1.0.0/16, ma non puoi associare nessun altro blocco CIDR dall'intervallo 10.0.0.0/8.

  • Le seguenti regole si applicano quando aggiungi blocchi CIDR IPv4 a un VPC che fa parte di una connessione peering VPC:

    • Se la connessione peering VPC è active, puoi aggiungere blocchi CIDR a un VPC a condizione che non si sovrappongano a un blocco CIDR del VPC in peering.

    • Se la connessione peering VPC è pending-acceptance, il proprietario del VPC richiedente non può aggiungere Eventuali blocchi CIDR al VPC, a prescindere che si sovrappongano al blocco CIDR del VPC accettante. Il proprietario del VPC accettante deve accettare la connessione peering o il proprietario del VPC richiedente deve Eliminare la richiesta di connessione peering VPC, aggiungere il blocco CIDR, quindi richiedere una nuova connessione peering VPC.

    • Se la connessione peering VPC è pending-acceptance, il proprietario del VPC accettante può aggiungere blocchi CIDR al VPC. Se il bocco CIDR secondario si sovrappone a un blocco CIDR del VPC richiedente, la richiesta di connessione peering VPC non va a buon fine E non può essere accettata.

  • Se stai utilizzando AWS Direct Connect per connetterti a più VPC tramite un gateway Direct Connect, i VPC che sono associati al gateway Direct Connect non devono avere blocchi CIDR che si sovrappongono. Se aggiungi un blocco CIDR a uno dei VPC associati al gateway Direct Connect, accertati che il nuovo blocco CIDR non si sovrapponga a un blocco CIDR esistente di qualsiasi altro VPC associato. Per ulteriori informazioni, consulta Gateway Direct Connect nella Guida per l'utente di AWS Direct Connect.

  • Quando aggiungi o rimuovi un blocco CIDR, può passare attraverso vari stati: associating | associated | disassociating | disassociated | failing | failed. Il blocco CIDR è pronto per l'uso quando è nello stato associated.

Puoi disassociare un blocco CIDR associato al VPC; tuttavia, non puoi disassociare il blocco CIDR con cui il VPC è stato originariamente creato (il blocco CIDR principale). Per visualizzare il CIDR principale per il VPC nella console Amazon VPC, seleziona Your VPCs (I tuoi VPC), scegli la casella di controllo relativa al VPC e scegli la scheda CIDRs (CIDR). Per visualizzare il CIDR primario utilizzando la AWS CLI, usare il comando describe-vpcs come riportato di seguito. Il CIDR primario viene restituito nell'CidrBlock element di livello superiore.

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d --query Vpcs[*].CidrBlock

Di seguito è riportato un output di esempio.

[ "10.0.0.0/16", ]

Limitazioni dell'associazione blocco CIDR IPv4

La tabella seguente fornisce una panoramica delle associazioni di blocchi CIDR VPC consentite e limitate.

Intervallo di indirizzo IP Associazioni limitate Associazioni consentite

10.0.0.0/8

Blocchi CIDR da altri intervalli RFC 1918* (172.16.0.0/12 e 192.168.0.0/16).

Se uno qualsiasi dei blocchi CIDR associati al VPC è compreso nell'intervallo 10.0.0.0/15 (da 10.0.0.0 a 10.1.255.255), non potrai aggiungere un blocco CIDR dall'intervallo 10.0.0.0/16 (da 10.0.0.0 a 10.0.255.255).

Blocchi CIDR dall'intervallo 198.19.0.0/16.

Qualsiasi altro blocco CIDR dall'intervallo 10.0.0.0/8 che non è soggetto a limitazioni.

Qualsiasi blocco CIDR IPv4 indirizzabile pubblicamente (non RFC 1918) o un blocco CIDR dall'intervallo 100.64.0.0/10.

172.16.0.0/12

Blocchi CIDR da altri intervalli RFC 1918* (10.0.0.0/8 e 192.168.0.0/16).

Blocchi CIDR dall'intervallo 172.31.0.0/16.

Blocchi CIDR dall'intervallo 198.19.0.0/16.

Qualsiasi altro blocco CIDR dall'intervallo 172.16.0.0/12 che non è soggetto a limitazioni.

Qualsiasi blocco CIDR IPv4 indirizzabile pubblicamente (non RFC 1918) o un blocco CIDR dall'intervallo 100.64.0.0/10.

192.168.0.0/16

Blocchi CIDR da altri intervalli RFC 1918* (10.0.0.0/8 e 172.16.0.0/12).

Blocchi CIDR dall'intervallo 198.19.0.0/16.

Qualsiasi altro blocco CIDR dall'intervallo 192.168.0.0/16.

Qualsiasi blocco CIDR IPv4 indirizzabile pubblicamente (non RFC 1918) o un blocco CIDR dall'intervallo 100.64.0.0/10.

198.19.0.0/16

Blocchi CIDR dagli intervalli RFC 1918*.

Qualsiasi blocco CIDR IPv4 indirizzabile pubblicamente (non RFC 1918) o un blocco CIDR dall'intervallo 100.64.0.0/10.

Blocco CIDR indirizzabile pubblicamente (non RFC 1918) o un blocco CIDR dall'intervallo 100.64.0.0/10

Blocchi CIDR dagli intervalli RFC 1918*.

Blocchi CIDR dall'intervallo 198.19.0.0/16.

Qualsiasi altro blocco CIDR IPv4 indirizzabile pubblicamente (non RFC 1918) o un blocco CIDR dall'intervallo 100.64.0.0/10.

* Intervalli RFC 1918 sono gli intervalli di indirizzi IPv4 privati specificati in RFC 1918.

Blocchi CIDR del VPC IPv6

Puoi associare un singolo blocco CIDR IPv6 quando crei un nuovo VPC con un VPC esistente nell'account oppure puoi associarne un massimo di cinque modificando un VPC esistente. Il blocco CIDR utilizza una lunghezza del prefisso rigida di /56. Puoi richiedere un blocco CIDR IPv6 dal pool di indirizzi IPv6 di Amazon. Per ulteriori informazioni, consultare Associazione di blocchi CIDR IPv6 al VPC.

Se hai associato un blocco CIDR IPv6 al VPC, potrai associare un blocco CIDR IPv6 a una sottorete esistente nel VPC o alla creazione di una nuova sottorete. Per ulteriori informazioni, consultare Dimensionamento delle sottoreti in IPv6.

Ad esempio, crea un VPC e specifica che desideri associare al VPC un blocco CIDR IPv6 fornito da Amazon. Amazon assegna il seguente blocco CIDR IPv6 al VPC: 2001:db8:1234:1a00::/56. Non puoi scegliere autonomamente l'intervallo di indirizzi IP. Puoi creare una sottorete E associare un blocco CIDR IPv6 da questo intervallo; ad esempio, 2001:db8:1234:1a00::/64.

Puoi disassociare un blocco CIDR IPv6 da un VPC. Dopo aver annullato l'associazione di un blocco CIDR IPv6 a un VPC, non puoi aspettarti di ricevere lo stesso CIDR se associ nuovamente un blocco CIDR IPv6 al VPC in seguito.