Crea un VPC - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un VPC

Usa le procedure seguenti per creare un cloud privato virtuale (VPC). Un VPC deve disporre di risorse aggiuntive, ad esempio sottoreti, tabelle di instradamento e gateway, per poter creare risorse AWS nel VPC.

Per informazioni sulla visualizzazione o la modifica di un VPC, consulta la pagina Configura il VPC.

Opzioni di configurazione del VPC

Puoi specificare le opzioni di configurazione seguenti durante la creazione di un VPC.

Zone di disponibilità

Data center separati con alimentazione, rete e connettività ridondanti in una regione AWS . Puoi utilizzare diverse zone di disponibilità per gestire applicazioni e database di produzione con maggiore disponibilità, tolleranza agli errori e scalabilità rispetto a un singolo data center. Il partizionamento delle applicazioni in esecuzione nelle sottoreti tra le zone di disponibilità comporterà un maggior grado di isolamento e protezione da problemi come interruzioni di corrente, fulmini, tornado, terremoti e altro ancora.

Blocchi CIDR

Devi specificare gli intervalli di indirizzi IP del VPC e delle sottoreti. Per ulteriori informazioni, consulta Indirizzi IP per i tuoi VPC e sottoreti.

Opzioni DNS

Se hai bisogno di nomi host DNS IPv4 pubblici per le istanze EC2 avviate nelle tue sottoreti, devi abilitare entrambe le opzioni DNS. Per ulteriori informazioni, consulta Attributi DNS per il VPC.

  • Abilita nomi host DNS: le istanze EC2 avviate nel VPC ricevono i nomi host DNS pubblici che corrispondono ai relativi indirizzi IPv4 pubblici.

  • Abilita risoluzione DNS: il server Amazon DNS, noto come Route 53 Resolver, fornisce una risoluzione DNS per i nomi host DNS privati del VPC.

Internet Gateway

Connette il VPC a Internet. Le istanze in una sottorete pubblica possono accedere a Internet poiché la tabella di instradamento della sottorete contiene un percorso che invia traffico destinato a Internet attraverso il gateway Internet. Se non è necessario che un server sia raggiungibile direttamente da Internet, non è necessario distribuirlo in una sottorete pubblica. Per ulteriori informazioni, consulta Gateway Internet

Nome

I nomi specificati per il VPC e le altre risorse VPC vengono utilizzati per creare tag dei nomi. Se nella console utilizzi la funzione di generazione automatica dei tag dei nomi, i valori dei tag hanno il formato nome-risorsa.

Gateway NAT

Consente alle istanze di una sottorete privata di inviare il traffico in uscita su Internet, tuttavia impedisce alle risorse su Internet di connettersi alle istanze. In produzione, è raccomandata l'implementazione di un gateway NAT in ogni zona di disponibilità attiva. Per ulteriori informazioni, consulta Gateway NAT.

Tabelle di instradamento

Contiene un insieme di regole, denominate instradamenti, che consentono di determinare la direzione del traffico di rete dalla sottorete o dal gateway. Per ulteriori informazioni, consulta Tabelle di instradamento

Sottoreti

Un intervallo di indirizzi IP nel VPC. Puoi avviare AWS risorse, come le istanze EC2, nelle tue sottoreti. Ogni sottorete risiede totalmente all'interno di una zona di disponibilità. Avviando le istanze in almeno due zone di disponibilità, puoi proteggere le applicazioni dagli errori di una singola zona di disponibilità.

Una sottorete pubblica ha un instradamento diretto a un gateway Internet. Le risorse di una sottorete pubblica possono accedere alla rete Internet pubblica. Una sottorete privata non ha un instradamento diretto a un gateway Internet. Le risorse in una sottorete privata richiedono un altro componente, ad esempio un dispositivo NAT, per accedere alla rete Internet pubblica.

Per ulteriori informazioni, consulta Sottoreti.

Tenancy

Questa opzione definisce se le istanze EC2 avviate nel VPC verranno eseguite su hardware condiviso con altri Account AWS o su hardware dedicato esclusivamente all'uso personale. Se scegli che la tenancy del VPC sia Default, le istanze EC2 avviate in questo VPC utilizzeranno l'attributo di tenancy specificato quando avvii l'istanza. Per ulteriori informazioni, consulta Avvio di un'istanza utilizzando parametri definiti nella Guida per l'utente di Amazon EC2 per le istanze Linux. Se scegli che la tenancy del VPC sia Dedicated, le istanze verranno sempre eseguite come Istanze dedicate su un hardware dedicato per il tuo utilizzo. Se utilizzi AWS Outposts, il tuo Outpost richiede una connettività privata; devi usare la locazione. Default

Creazione di un VPC e di altre risorse VPC

Usa la procedura seguente per creare un VPC con risorse VPC aggiuntive necessarie all'esecuzione di un'applicazione, ad eesmpio sottoreti, tabelle di instradamento, gateway Internet e gateway NAT. Per degli esempi di configurazione del VPC, consulta la pagina Esempi di VPC.

Come creare un VPC, sottoreti e altre risorse VPC tramite la console
  1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nella scheda VPC, scegli Create VPC (Crea modulo VPC).

  3. Per Risorse da creare, scegli VPC e altro.

  4. Per creare tag dei nomi per le risorse VPC, tieni selezionata Generazione automatica dei tag dei nomi altrimenti deselezionala per scegliere autonomamente tag dei nomi per le risorse VPC.

  5. Per il blocco CIDR IPv4 inserisci un intervallo di indirizzi IPv4 del VPC. Un VPC deve disporre di un intervallo di indirizzi IPv4.

  6. (Facoltativo) Per il Blocco CIDR IPv6, scegli Blocco CIDR IPv6 fornito da Amazon.

  7. Scegli un'opzione di tenancy. Questa opzione definisce se le istanze EC2 avviate nel VPC verranno eseguite su hardware condiviso con altri Account AWS o su hardware dedicato esclusivamente all'uso personale. Se scegli che la tenancy del VPC sia Default, le istanze EC2 avviate in questo VPC utilizzeranno l'attributo di tenancy specificato quando avvii l'istanza. Per ulteriori informazioni, consulta Avvio di un'istanza utilizzando parametri definiti nella Guida per l'utente di Amazon EC2 per le istanze Linux. Se scegli che la tenancy del VPC sia Dedicated, le istanze verranno sempre eseguite come Istanze dedicate su un hardware dedicato per il tuo utilizzo. Se utilizzi AWS Outposts, il tuo Outpost richiede una connettività privata; devi usare la locazione. Default

  8. Per quanto riguarda il Numero di zone di disponibilità (AZ), è preferibile eseguire il provisioning delle sottoreti in almeno due zone di disponibilità per un ambiente di produzione. Per scegliere le zone di disponibilità delle sottoreti, espandi Personalizza le zone di disponibilità. Altrimenti, lascia che li AWS scelga per te.

  9. Per configurare le sottoreti, scegli i valori per Numero di sottoreti pubbliche e Numero di sottoreti private. Per scegliere gli intervalli di indirizzi IP delle sottoreti, espandi Personalizza i blocchi CIDR delle sottoreti. Altrimenti, lasciate che li AWS scelga per voi.

  10. (Opszionale) Se le risorse di una sottorete privata richiedono l'accesso alla rete Internet pubblica, per Gateway NAT scegli il numero di zone di disponibilità in cui creare i gateway NAT. In fase di produzione, è preferibile implementare un gateway NAT in ogni zona di disponibilità con risorse che richiedono l'accesso alla rete Internet pubblica. Tieni presente che esiste un costo associato ai gateway NAT. Per ulteriori informazioni, consulta Prezzi.

  11. (Facoltativo) Se le risorse di una sottorete privata devono accedere alla rete Internet pubblica tramite IPv6, per Gateway Internet solo in uscita scegli .

  12. (Facoltativo) Se devi accedere ad Amazon S3 direttamente dal tuo VPC, scegli Endpoint VPC e Gateway S3. Questa operazione crea un endpoint VPC del gateway per Amazon S3. Per ulteriori informazioni, consulta la sezione Endpoint VPC del gateway nella Guida di AWS PrivateLink .

  13. (Facoltativo) Per quanto riguarda le Opzioni DNS, entrambe le opzioni per la risoluzione dei nomi di dominio sono abilitate per impostazione predefinita. Se l'impostazione predefinita non soddisfa le tue esigenze, puoi disabilitare queste opzioni.

  14. (Facoltativo) Per aggiungere un tag al VPC, espandi Altri tag, scegli Aggiungi nuovo tag e immetti una chiave e un valore di tag.

  15. Nel riquadro Anteprima puoi visualizzare le relazioni tra le risorse configurate nel VPC. Le linee continue rappresentano le relazioni tra le risorse. Le linee tratteggiate rappresentano il traffico di rete diretto ai gateway NAT, ai gateway Internet e agli endpoint dei gateway. Dopo la creazione del VPC, puoi visualizzare in qualunque momento le risorse del tuo VPC in questo formato tramite la scheda Mappa delle risorse. Per ulteriori informazioni, consulta Come visualizzare le risorse nel VPC.

  16. Al termine della configurazione del VPC, scegli Crea VPC

Creare solo un VPC

Utilizza la procedura seguente per creare un VPC senza risorse VPC aggiuntive tramite la console Amazon VPC.

Come creare un VPC senza risorse VPC aggiuntive tramite la console
  1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nella scheda VPC, scegli Create VPC (Crea modulo VPC).

  3. Per Risorse da creare scegli Solo VPC.

  4. (Facoltativo) Per Tag dei nomi immetti un nome per il VPC. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

  5. Per IPv4 CIDR block (Blocco CIDR IPv4), effettua una delle seguenti operazioni:

    • Scegli Input manuale CIDR IPv4 e immetti un intervallo di indirizzi IPv4 per il VPC.

    • Scegli Blocco CIDR IPv4 allocato da IPAM, seleziona il pool di indirizzi IPv4 di Amazon VPC IP Address Manager (IPAM) e una maschera di rete. La dimensione del blocco CIDR è limitata dalle regole di allocazione sul pool IPAM. IPAM è una funzionalità VPC che semplifica la pianificazione, il monitoraggio e il monitoraggio degli indirizzi IP per AWS i carichi di lavoro. Per ulteriori informazioni, consulta la Amazon VPC IPAM User Guide.

      Se utilizzi IPAM per gestire gli indirizzi IP, è preferibile scegliere questa opzione. In caso contrario, il blocco CIDR specificato per il VPC potrebbe sovrapporsi a un'allocazione CIDR IPAM.

  6. (Facoltativo) Per creare un cloud privato virtuale a dual-stack, specifica un intervallo di indirizzi IPv6 per il VPC. Per IPv6 CIDR block (Blocco CIDR IPv6), effettua una delle seguenti operazioni:

    • Scegli IPAM-allocated IPv6 CIDR block (Blocco CIDR IPv5 allocato tramite IPAM) se utilizzi Gestione indirizzi IP di Amazon VPC e se desideri eseguire il provisioning di un CIDR IPv6 da un pool IPAM. Sono disponibili due opzioni per eseguire il provisioning di un intervallo di indirizzi IP al VPC in CIDR block (Blocco CIDR):

      • Netmask length (Lunghezza maschera di rete): scegli questa opzione per selezionare una lunghezza della maschera di rete per il CIDR. Esegui una di queste operazioni:

        • Se è selezionata una lunghezza della maschera di rete predefinita per il pool IPAM, puoi scegliere Default to IPAM netmask length (Lunghezza predefinita della maschera di rete IPAM) per utilizzare la lunghezza della maschera di rete predefinita impostata per il pool IPAM dall'amministratore IPAM. Per ulteriori informazioni sulla regola di allocazione della lunghezza della maschera di rete predefinita opzionale, consulta Creare un pool IPv6 regionale nella Guida per l’utente IPAM di Amazon VPC.

        • Se non è selezionata alcuna lunghezza della maschera di rete predefinita per il pool IPAM, scegli una lunghezza della maschera di rete più specifica della lunghezza della maschera di rete del CIDR del pool IPAM. Ad esempio, se il CIDR del pool IPAM è /50, puoi scegliere una lunghezza della maschera di rete compresa tra /52 e /60 per il VPC. Le lunghezze possibili delle maschere di rete sono comprese tra /44 e /60 con incrementi di /4.

      • Select a CIDR (Seleziona un CIDR): scegli questa opzione per inserire manualmente un indirizzo IPv6. Puoi scegliere solo una lunghezza della maschera di rete più specifica della lunghezza della maschera di rete del CIDR del pool IPAM. Ad esempio, se il CIDR del pool IPAM è /50, puoi scegliere una lunghezza della maschera di rete compresa tra /52 e /60 per il VPC. Le lunghezze possibili delle maschere di rete IPv6 sono comprese tra /44 e /60 con incrementi di /4.

    • Scegli Blocco CIDR IPv6 fornito da Amazon per richiedere un blocco CIDR IPv6 dal pool di indirizzi IPv6 di Amazon. Per Network Border Group, seleziona il gruppo da cui AWS pubblicizza gli indirizzi IP. Amazon fornisce una dimensione fissa del blocco CIDR IPv6 /56.

    • Scegli IPv6 CIDR owned by me (CIDR IPv6 di mia proprietà) per eseguire il provisioning di un CIDR IPv6 già portato in AWS. Per ulteriori informazioni su come trasferire i propri intervalli di indirizzi IP su AWS, consulta Bring your own IP address (BYOIP) nella Amazon EC2 User Guide for Linux Instances. È possibile effettuare il provisioning di un intervallo di indirizzi IP per il VPC utilizzando le seguenti opzioni per il blocco CIDR:

      • No preference (Nessuna preferenza): scegli questa opzione per utilizzare la lunghezza della maschera di rete /56.

      • Select a CIDR (Seleziona un CIDR): scegli questa opzione per inserire manualmente un indirizzo IPv6, quindi scegli una lunghezza della maschera di rete più specifica della dimensione del CIDR BYOIP. Ad esempio, se il CIDR del pool BYOIP è /50, puoi scegliere una lunghezza della maschera di rete compresa tra /52 e /60 per il VPC. Le lunghezze possibili delle maschere di rete IPv6 sono comprese tra /44 e /60 con incrementi di /4.

  7. (Facoltativo) Scegli un'opzione di tenancy. Questa opzione definisce se le istanze EC2 avviate nel VPC verranno eseguite su hardware condiviso con altri Account AWS o su hardware dedicato esclusivamente all'uso personale. Se scegli che la tenancy del VPC sia Default, le istanze EC2 avviate in questo VPC utilizzeranno l'attributo di tenancy specificato quando avvii l'istanza. Per ulteriori informazioni, consulta Avvio di un'istanza utilizzando parametri definiti nella Guida per l'utente di Amazon EC2 per le istanze Linux. Se scegli che la tenancy del VPC sia Dedicated, le istanze verranno sempre eseguite come Istanze dedicate su un hardware dedicato per il tuo utilizzo. Se utilizzi AWS Outposts, il tuo Outpost richiede una connettività privata; devi usare la locazione. Default

  8. (Facoltativo) Per aggiungere un tag al VPC, scegli Aggiungi nuovo tag e immetti una chiave e un valore di tag.

  9. Seleziona Crea VPC.

  10. Dopo aver creato un VPC, puoi aggiungere sottoreti. Per ulteriori informazioni, consulta Creazione di una sottorete.

Crea un VPC utilizzando AWS CLI

La procedura seguente contiene AWS CLI comandi di esempio per creare un VPC più le risorse VPC aggiuntive necessarie per eseguire un'applicazione. Se esegui tutti i comandi di questa procedura, creerai un VPC, una sottorete pubblica, una sottorete privata, una tabella di routing per ogni sottorete, un gateway Internet, un gateway Internet egress-only e un gateway NAT pubblico. Se non hai bisogno di tutte queste risorse, puoi utilizzare solo gli esempi di comandi necessari.

Prerequisiti

Prima di iniziare, installa e configura la AWS CLI. Quando si configura AWS CLI, vengono richieste le credenziali. AWS Gli esempi in questa procedura presuppongono che tu abbia configurato una regione predefinita. In caso contrario, aggiungi l'opzione --region a ogni comando. Per ulteriori informazioni, consulta Installazione o aggiornamento della AWS CLI e Configurazione della AWS CLI.

Assegnazione di tag

Dopo averla creata, puoi aggiungere tag a una risorsa utilizzando il comando create-tags. In alternativa, puoi aggiungere l'opzione --tag-specification al comando di creazione della risorsa, come riportato di seguito.

--tag-specifications ResourceType=vpc,Tags=[{Key=Name,Value=my-project}]
Per creare un VPC più risorse VPC utilizzando AWS CLI
  1. Usa il comando create-vpc seguente per creare un VPC con il blocco CIDR IPv4 specificato.

    aws ec2 create-vpc --cidr-block 10.0.0.0/24 --query Vpc.VpcId --output text

    In alternativa, per creare un cloud privato VPC a dual-stack, aggiungi l'opzione --amazon-provided-ipv6-cidr-block per aggiungere un blocco CIDR IPv6 fornito da Amazon, come mostrato nell'esempio seguente.

    aws ec2 create-vpc --cidr-block 10.0.0.0/24 --amazon-provided-ipv6-cidr-block --query Vpc.VpcId --output text

    Questi comandi restituiscono l'ID del nuovo VPC. Di seguito è riportato un esempio.

    vpc-1a2b3c4d5e6f1a2b3
  2. [VPC dual-stack] Ottieni il blocco CIDR IPv6 associato al VPC tramite il comando describe-vpcs seguente.

    aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query Vpcs[].Ipv6CidrBlockAssociationSet[].Ipv6CidrBlock --output text

    Di seguito è riportato un output di esempio.

    2600:1f13:cfe:3600::/56
  3. Crea una o più sottoreti, a seconda del caso d'uso. In fase produzione, è preferibile avviare le risorse in almeno due zone di disponibilità. Usa uno dei seguenti comandi per creare le sottoreti.

    • Sottorete solo IPv4: per creare una sottorete con un blocco CIDR IPv4 specifico, usa il comando create-subnet seguente.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --cidr-block 10.0.1.0/20 --availability-zone us-east-2a --query Subnet.SubnetId --output text
    • Sottorete dual stack: se hai creato un VPC dual stack, puoi utilizzare l'opzione --ipv6-cidr-block per creare una sottorete dual stack, come mostrato nel comando seguente.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --cidr-block 10.0.1.0/20 --ipv6-cidr-block 2600:1f13:cfe:3600::/64 --availability-zone us-east-2a --query Subnet.SubnetId --output text
    • Sottorete solo IPv6: se hai creato un VPC dual stack, puoi utilizzare l'opzione --ipv6-native per creare una sottorete solo IPv6, come mostrato nel comando seguente.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --ipv6-native --ipv6-cidr-block 2600:1f13:cfe:3600::/64 --availability-zone us-east-2a --query Subnet.SubnetId --output text

    Questi comandi restituiscono l'ID della nuova sottorete. Di seguito è riportato un esempio.

    subnet-1a2b3c4d5e6f1a2b3
  4. Se hai bisogno di una sottorete pubblica per i tuoi server Web o per un gateway NAT, procedi come segue:

    1. Creare un gateway Internet utilizzando il seguente create-internet-gatewaycomando. Il comando restituisce l'ID del nuovo gateway Internet.

      aws ec2 create-internet-gateway --query InternetGateway.InternetGatewayId --output text
    2. Collega il gateway Internet al tuo VPC utilizzando il seguente attach-internet-gatewaycomando. Utilizza l'ID gateway Internet restituito dalla fase precedente.

      aws ec2 attach-internet-gateway --vpc-id vpc-1a2b3c4d5e6f1a2b3 --internet-gateway-id igw-id
    3. Crea una tabella di routing personalizzata per la tua sottorete pubblica utilizzando il comando seguente create-route-table. Il comando restituisce l'ID della nuova tabella di instradamento.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text
    4. Crea un percorso nella tabella di routing che invia tutto il traffico IPv4 al gateway Internet usando il comando create-route seguente. Utilizza l'ID della tabella di instradamento per la sottorete pubblica.

      aws ec2 create-route --route-table-id rtb-id-public --destination-cidr-block 0.0.0.0/0 --gateway-id igw-id
    5. Associate la tabella di routing alla sottorete pubblica utilizzando il comando seguente associate-route-table. Utilizza l'ID della tabella di instradamento per la sottorete pubblica e l'ID della sottorete pubblica.

      aws ec2 associate-route-table --route-table-id rtb-id-public --subnet-id subnet-id-public-subnet
  5. [IPv6] Puoi aggiungere un gateway Internet egress-only, in modo che le istanze di una sottorete privata possano accedere a Internet tramite IPv6 (ad esempio, per ottenere aggiornamenti software), senza che gli host su Internet possano accedere alle tue istanze.

    1. Crea un gateway Internet solo in uscita utilizzando il seguente comando -gateway. create-egress-only-internet Il comando restituisce l'ID del nuovo gateway Internet.

      aws ec2 create-egress-only-internet-gateway --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query EgressOnlyInternetGateway.EgressOnlyInternetGatewayId --output text
    2. Crea una tabella di routing personalizzata per la tua sottorete privata utilizzando il comando seguente. create-route-table Il comando restituisce l'ID della nuova tabella di instradamento.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text
    3. Crea un percorso nella tabella di routing della sottorete privata che invii tutto il traffico IPv6 al gateway Internet egress-only usando il comando create-route seguente. Utilizza l'ID della tabella di instradamento restituito nella fase precedente.

      aws ec2 create-route --route-table-id rtb-id-private --destination-cidr-block ::/0 --egress-only-internet-gateway eigw-id
    4. Associate la tabella di routing alla sottorete privata utilizzando il comando seguente associate-route-table.

      aws ec2 associate-route-table --route-table-id rtb-id-private --subnet-id subnet-id-private-subnet
  6. Se hai bisogno di un gateway NAT per le risorse in una sottorete privata, procedi come segue:

    1. Crea un indirizzo IP elastico per il gateway NAT usando il comando allocate-address seguente.

      aws ec2 allocate-address --domain vpc --query AllocationId --output text
    2. Creare il gateway NAT nella sottorete pubblica utilizzando il comando seguente. create-nat-gateway Utilizza l'ID di allocazione restituito nella fase precedente.

      aws ec2 create-nat-gateway --subnet-id subnet-id-public-subnet --allocation-id eipalloc-id
    3. (Facoltativo) Se hai già creato una tabella di instradamento per la sottorete privata nel passaggio 5, ignora questo passaggio. Altrimenti, usa il seguente create-route-tablecomando per creare una tabella di routing per la tua sottorete privata. Il comando restituisce l'ID della nuova tabella di instradamento.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text
    4. Crea un percorso nella tabella di routing della sottorete privata che invii tutto il traffico IPv4 al gateway NAT usando il comando create-route seguente. Utilizza l'ID della tabella di instradamento della sottorete privata creata in questo passaggio o nel passaggio 5.

      aws ec2 create-route --route-table-id rtb-id-private --destination-cidr-block 0.0.0.0/0 --gateway-id nat-id
    5. (Facoltativo) Se hai già associato una tabella di instradamento alla sottorete privata nel passaggio 5, ignora questo passaggio. Altrimenti, usa il associate-route-tablecomando seguente per associare la tabella di routing alla sottorete privata. Utilizza l'ID della tabella di instradamento della sottorete privata creata in questo passaggio o nel passaggio 5.

      aws ec2 associate-route-table --route-table-id rtb-id-private --subnet-id subnet-id-private-subnet