Abilitazione del traffico in uscita IPv6 utilizzando un gateway Internet egress-only - Amazon Virtual Private Cloud

Abilitazione del traffico in uscita IPv6 utilizzando un gateway Internet egress-only

Un gateway Internet egress-only è un componente VPC aggiunto in parallelo, ridondante e ad alta disponibilità che permette la comunicazione in uscita su IPv6 da istanze nel VPC a Internet e impedisce a Internet di avviare una connessione IPv6 con le istanze.

Nota

Un gateway Internet egress-only è destinato all'utilizzo solo con traffico IPv6. Per abilitare la comunicazione Internet solo in uscita su IPv4, utilizza invece un gateway NAT. Per ulteriori informazioni, consult Gateway NAT.

Nozioni di base sull'Internet Gateway egress-only

Gli indirizzi IPv6 sono globalmente univoci e sono pertanto pubblici per impostazione predefinita. Se l'istanza deve essere in grado di accedere a Internet, ma desideri impedire a risorse su Internet di avviare una comunicazione con l'istanza, puoi utilizzare un Internet Gateway egress-only. Per farlo, crea un gateway Internet egress-only nel VPC, quindi aggiungi una route alla tabella di routing che punta tutto il traffico IPv6 (::/0) o un intervallo specifico di indirizzi IPv6 al gateway Internet egress-only. Il traffico IPv6 nella sottorete associata alla tabella di routing viene instradato al gateway Internet egress-only.

Un gateway Internet egress-only è stateful: inoltra il traffico dalle istanze nella sottorete a Internet o ad altri servizi AWS e rispedisce le risposte alle istanze.

Un gateway Internet egress-only dispone delle seguenti caratteristiche:

  • Non puoi associare un gruppo di sicurezza a un gateway Internet egress-only. Puoi utilizzare gruppi di sicurezza per istanze nella sottorete privata per controllare il traffico verso e da tale istanze.

  • Puoi utilizzare una lista di controllo degli accessi di rete per controllare il traffico verso e dalla sottorete per la quale il gateway Internet egress-only instrada il traffico.

Nel diagramma seguente, il VPC ha sia blocchi CIDR IPv4 che IPv6 e la sottorete sia blocchi CIDR IPv4 che IPv6. Il VPC ha un gateway Internet egress-only.


                Utilizzo di un gateway Internet egress-only

Di seguito è riportata la tabella di routing associata alla sottorete. Esiste una route che invia tutto il traffico IPv6 (::/0) che punta a un gateway Internet egress-only.

Destinazione Target
10.0.0.0/16 Locale
2001:db8:1234:1a00:/64 Locale
::/0 eigw-id

Utilizzo di gateway Internet egress-only

Nelle sezioni seguenti viene descritto come creare un gateway Internet egress-only per la sottorete privata e come configurare il routing per la sottorete.

Creazione di un gateway Internet egress-only

Puoi creare un Internet Gateway egress-only per il VPC utilizzando la console Amazon VPC.

Per creare un gateway internet egress-only

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Egress Only Internet Gateways (Internet Gateway Egress-Only).

  3. Selezionare Create Egress Only Internet Gateway (Crea Internet Gateway Egress-Only).

  4. (Facoltativo) Aggiungere o rimuovere un tag.

    [Aggiungere un tag] Scegliere Aggiungi nuovo tag e procedere come segue:

    • In Key (Chiave), immettere il nome della chiave.

    • In Value (Valore), immettere il valore della chiave.

    [Rimuovi un tag] Scegli Rimuovi a destra della Chiave e del Valore del tag.

  5. Selezionare il VPC nel quale creare l'Internet Gateway egress-only.

  6. Scegliere Create (Crea) .

Visualizzazione del gateway Internet egress-only

Puoi visualizzare informazioni sull'Internet Gateway egress-only nella console Amazon VPC.

Per visualizzare informazioni relative a un gateway Internet egress-only

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Egress Only Internet Gateways (Internet Gateway Egress-Only).

  3. Selezionare il gateway Internet egress-only per visualizzare le relative informazioni nel riquadro dei dettagli.

Creazione di una tabella di routing personalizzata

Per inviare traffico destinato all'esterno del VPC al gateway Internet egress-only, devi creare una tabella di routing personalizzata, aggiungere una route che invia il traffico al gateway, quindi associarla alla sottorete.

Per creare una tabella di routing personalizzata e aggiungere una route al gateway Internet egress-only

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Tabelle di routing, Crea tabella di routing.

  3. Nella finestra di dialogo Crea tabella di routing, assegna facoltativamente un nome alla tabella di routing, quindi seleziona il VPC e scegli Crea tabella di routing.

  4. Selezionare la tabella di routing personalizzata appena creata. Nel riquadro dei dettagli sono visualizzate le schede per utilizzare la route, le associazioni e la propagazione della route.

  5. Nella scheda Route, seleziona Modifica route, specifica ::/0 nella casella Destinazione, seleziona l'ID del gateway Internet egress-only nell'elenco Target, quindi seleziona Salva modifiche.

  6. Nella scheda Associazioni sottorete, scegli Modifica associazioni sottorete e seleziona la casella di controllo della sottorete. Selezionare Salva.

In alternativa, è possibile aggiungere una route a una tabella di routing esistente associata alla sottorete. Selezionare la tabella di routing esistente e seguire le fasi 5 e 6 precedenti per aggiungere una route per il gateway Internet egress-only.

Per ulteriori informazioni sulle tabelle di routing, consulta Configurare le tabelle di routing.

Eliminazione di un gateway Internet egress-only

Se non hai più bisogno di un gateway Internet egress-only, puoi eliminarlo. L'eventuale route in una tabella di routing che fa riferimento al gateway Internet egress-only eliminato rimane in uno stato blackhole finché la route non viene eliminata o aggiornata manualmente.

Per eliminare un gateway Internet egress-only

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Gateway Internet egress-only e selezionare il gateway Internet egress-only.

  3. Scegliere Delete (Elimina).

  4. Nella finestra di dialogo di conferma, scegliere Delete Egress Only Internet Gateway (Elimina Internet Gateway Egress-Only).

Panoramica su API e CLI

Puoi eseguire le attività descritte in questa pagina tramite la riga di comando o un'API. Per ulteriori informazioni sulle interfacce a riga di comando e per un elenco delle operazioni API disponibili, consulta Uso di Amazon VPC.

Creazione di un gateway Internet egress-only

Descrizione di un gateway Internet egress-only

Eliminazione di un gateway Internet egress-only