VPC che supporta l'indirizzamento IPv6 - Amazon Virtual Private Cloud

VPC che supporta l'indirizzamento IPv6

La procedura seguente descrive come creare un VPC non predefinito che supporti l'indirizzamento IPv6.

Per completare questo esercizio, esegui le seguenti operazioni:

  • Crea un VPC non predefinito con un blocco CIDR IPv6 e una sottorete pubblica singola. Le sottoreti consentono di raggruppare istanze in base alle Esigenze di sicurezza e operative. Una sottorete pubblica dispone dell'accesso a Internet tramite un gateway Internet.

  • Crea un gruppo di sicurezza per l'istanza che consente il traffico solo attraverso porte specifiche.

  • Avvia un'istanza Amazon EC2 nella sottorete e associa un indirizzo IPv6 all'istanza durante l'avvio. Un indirizzo IPv6 è globalmente univoco e consente all'istanza di comunicare con Internet.

  • È possibile richiedere un blocco CIDR IPv6 per il VPC. Quando selezioni questa opzione, è possibile impostare il gruppo di confine di rete, ovvero il percorso da cui pubblicizziamo il blocco CIDR IPV6. L'impostazione del gruppo di confine di rete limita il blocco CIDR a questo gruppo.

Per ulteriori informazioni sull'indirizzamento IPv4 e IPv6, consulta l'argomento relativo all'indirizzamento IP nel VPC.

Fase 1: creare l'VPC

Per creare un VPC, segui i passaggi descritti in questa sezione.

Per creare un VPC:

  1. Segui i passaggi riportati in Crea un VPC per creare il VPC e le risorse aggiuntive. Quando crei il VPC, procedi nel seguente modo:

    • Per Number of Availability Zones (AZs) (Numero di zone di disponibilità [AZ]), scegli 1.

    • Per Number of public subnets (Numero di sottoreti pubbliche), scegli 1.

    • Per Number of private subnets (Numero di sottoreti private), scegli 0.

    • Per NAT gateways (Gateway NAT), scegli None (Nessuno).

    • Per VPC endpoints (Endpoint VPC), scegli None (Nessuno).

    • Per DNS options (Opzioni DNS), scegli Enable DNS hostnames (Abilita nomi host DNS) e Enable DNS resolution (Abilita risoluzione DNS).

  2. Seleziona Create VPC (Crea VPC).

  3. La pagina Your VPCs (I tuoi VPC) visualizza il VPC predefinito e il VPC appena creato.

Visualizzazione delle informazioni sul VPC

Dopo aver creato il VPC, puoi visualizzare le informazioni relative alla sottorete, al gateway Internet e alle tabelle di routing. Il VPC creato dispone di due tabella di instradamento: una tabella di instradamento principale contenuta in tutti i VPC per impostazione predefinita e una tabella di instradamento personalizzata creata da Amazon VPC. La tabella di routing personalizzata è associata alla sottorete, ovvero le route nella tabella determinano il flusso del traffico per la sottorete. Se aggiungi una nuova sottorete al VPC, la tabella di routing principale viene utilizzata per impostazione predefinita.

Per visualizzare le informazioni sul VPC

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione scegliere Your VPCs (I tuoi VPC). Prendere nota del nome E dell'ID del VPC creato (cercare nelle colonne Name (Nome) e VPC ID (ID VPC)). Utilizzare queste informazioni per identificare i componenti che sono associati al VPC.

  3. Nel pannello di navigazione, scegli Subnets (Sottoreti). Nella console viene visualizzata la sottorete che è stata creata al momento della creazione del VPC. È possibile identificare la sottorete in base al relativo nome nella colonna Name (Nome) o utilizzare le informazioni VPC ottenute nella fase precedente E cercare nella colonna VPC.

  4. Nel riquadro di navigazione, scegliere Internet Gateways. È possibile trovare il gateway Internet collegato al VPC cercando nella colonna VPC, che contiene l'ID e il nome (se applicabile) del VPC.

  5. Nel riquadro di navigazione, selezionare Route Tables (Tabelle di routing). Esistono due tabelle di routing associate al VPC. Selezionare la tabella di routing personalizzata (nella colonna Main (Principale) viene visualizzato No), quindi selezionare la scheda Routes (Route) per visualizzare le informazioni sulla route nel riquadro dei dettagli:

    • Le prime due righe nella tabella sono le route locali, che abilitano la comunicazione delle istanze su IPv4 e IPv6 all'interno del VPC. Non è possibile rimuovere queste route.

    • Nella riga successiva viene mostrata la route che consente il flusso del traffico destinato a un indirizzo IPv4 esterno al VPC (0.0.0.0/0) dalla sottorete al gateway Internet.

    • Nella riga successiva viene mostrata la route che consente il flusso del traffico destinato a un indirizzo IPv6 esterno al VPC (::/0) dalla sottorete al gateway Internet.

  6. Selezionare la tabella di routing principale. La tabella di routing principale dispone di una route locale, ma nessuna altra route.

Fase 2: creazione di un gruppo di sicurezza

Un gruppo di sicurezza controlla il traffico per le risorse associate, ad esempio le istanze EC2. Per utilizzare un gruppo di sicurezza, aggiungi le regole in entrata che controllano il traffico in entrata e le regole in uscita che controllano il traffico in uscita. Per associare un gruppo di sicurezza a un'istanza, specificalo all'avvio dell'istanza. È inoltre possibile associare e dissociare i gruppi di sicurezza alle istanze dopo averli avviati.

Il VPC include un gruppo di sicurezza predefinito. Eventuali istanze non associate a un altro gruppo di sicurezza durante l'avvio vengono associate al gruppo di sicurezza predefinito. In questo esercizio, viene creato un nuovo gruppo di sicurezza, WebServerSG, e specificato tale gruppo di sicurezza durante l'avvio di un'istanza nel VPC.

Creazione del gruppo di sicurezza WebServerSG

Puoi creare il gruppo di sicurezza tramite la console Amazon VPC.

Per creare il gruppo di sicurezza WebServerSG e aggiungere regole

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, scegli Gruppi di sicurezza, Crea gruppo di sicurezza.

  3. In Group name (Nome gruppo), immettere WebServerSG come il nome del gruppo di sicurezza e fornire una descrizione. Facoltativamente, è possibile utilizzare il campo Name tag (Nome tag) per creare un tag per il gruppo di sicurezza con una chiave di Name e un valore specificato.

  4. Selezionare l'ID del VPC dal menu VPC e scegliere Yes, Create (Sì, crea).

  5. Selezionare il gruppo di sicurezza WebServerSG appena creato (è possibile visualizzare il relativo nome nella colonna Group Name (Nome gruppo)).

  6. Nella scheda Inbound Rules (Regole in entrata) scegliere Edit (Modifica) e aggiungere regole per il traffico in entrata come segue:

    1. In Type (Tipo), scegliere HTTP, quindi inserire ::/0 nel campo Source (Origine).

    2. Selezionare Add another rule (Aggiungi un'altra regola), per Type (Tipo), scegliere HTTPS, quindi inserire ::/0 nel campo Source (Origine).

    3. Selezionare Add another rule (Aggiungi un'altra regola). Se si sta avviando un'istanza Linux, scegliere SSH per Type (Tipo), oppure se si sta avviando un'istanza Windows, scegliere RDP. Immettere l'intervallo di indirizzi IPv6 pubblici della rete nel campo Source (Origine). Se l'intervallo di indirizzi non è noto, è possibile utilizzare ::/0 per questo esercizio.

      Importante

      Se si utilizza ::/0, abilitare tutti gli indirizzi IPv6 per accedere all'istanza utilizzando SSH o RDP. L'opzione è accettabile per questo breve Esercizio, ma non è sicura per gli ambienti di produzione. In produzione, è preferibile autorizzare l'accesso a un'istanza solo di un determinato indirizzo IP o a di un intervallo di indirizzi.

    4. Selezionare Salva.

Fase 3. Avvio di un'istanza

Quando si avvia un'istanza EC2 in un VPC, occorre specificare la sottorete in cui avviare l'istanza. In questo caso, verrà avviata un'istanza nella sottorete pubblica del VPC creato. Utilizza la procedura guidata di avvio di Amazon EC2 nella console Amazon EC2 per avviare la tua istanza. Non tutte le opzioni del launch wizard di Amazon EC2 sono approfondite qui. Per ulteriori informazioni, consulta Avvio di un'istanza nella Guida per l'utente di Amazon EC2 per istanze Linux.

Per essere sicuro che l'istanza sia accessibile da Internet, assegna un indirizzo IPv6 dall'intervallo di sottoreti all'istanza durante l'avvio. In questo modo l'istanza può comunicare con Internet su IPv6.

Per avviare un'istanza EC2 in un VPC

Prima di avviare l'istanza EC2 nel VPC, configurare la sottorete del VPC in modo che assegni automaticamente gli indirizzi IP IPv6. Per ulteriori informazioni, consultare Modifica dell'attributo di assegnazione di indirizzi IPv6 pubblici per la sottorete.

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione in alto a destra, accertarsi di selezionare la stessa regione in cui sono stati creati il VPC e il gruppo di sicurezza.

  3. Dal pannello di controllo, selezionare Launch Instance (Avvia istanza).

  4. Nella prima pagina della procedura guidata, scegliere l'AMI da utilizzare. Per questo esercizio, si consiglia di scegliere un'AMI Amazon Linux o un'AMI Windows.

  5. Nella pagina Choose an Instance Type (Scegli un tipo di istanza), è possibile selezionare la configurazione hardware E le dimensioni dell'istanza da avviare. Per impostazione predefinita, la procedura guidata seleziona il primo tipo di istanza disponibile in base all'AMI selezionata. È possibile lasciare la selezione predefinita e scegliere Next: Configure Instance Details (Successivo: configura dettagli dell'istanza).

  6. Nella pagina Configure Instance Details (Configura i dettagli dell'istanza), selezionare il VPC creato dall'elenco Network (Rete) e la sottorete dall'elenco Subnet (Sottorete).

  7. In Auto-assign IPv6 IP (Assegna automaticamente IP IPv6) selezionare Enable (Abilita).

  8. Lasciare il resto delle impostazioni predefinite E scorrere le pagine successive della procedura guidata fino alla pagina Add Tags (Aggiungi tag).

  9. Nella pagina Add Tags (Aggiungi tag), è possibile contrassegnare l'istanza con un tag Name; ad esempio Name=MyWebServer. Ciò consente di identificare l'istanza nella console Amazon EC2 dopo che è stata avviata. Scegliere Next: Configure Security Group (Successivo: Configura il gruppo di sicurezza).

  10. Nella pagina Configure Security Group (Configura gruppo di sicurezza), la procedura guidata definisce automaticamente il gruppo di sicurezza launch-wizard-x per consentire la connessione all'istanza. Invece, scegliere l'opzione Select an existing security group (Seleziona un gruppo di sicurezza esistente), selezionare il gruppo WebServerSG creato in precedenza, quindi selezionare Review and Launch (Analizza e avvia).

  11. Nella pagina Review Instance Launch (Verifica avvio istanza), controllare i dettagli dell'istanza e scegliere Launch (Avvia).

  12. Nella finestra di dialogo Select an existing key pair or create a new key pair (Seleziona una coppia di chiavi esistente o crea una nuova coppia di chiavi), è possibile scegliere una coppia di chiavi esistenti o crearne una nuova. Se si crea una nuova coppia di chiavi, accertarsi di scaricare il file E archiviarlo in una posizione sicura. Il contenuto della chiave privata deve connettersi all'istanza dopo che è stata avviata.

    Per avviare l'istanza, selezionare la casella di controllo di conferma e scegliere Launch Instances (Avvia istanze).

  13. Nella pagina di conferma, scegliere View Instances (Visualizza istanze) per visualizzare l'istanza nella pagina Instances (Istanze). Selezionare l'istanza e visualizzare i relativi dettagli nella scheda Description (Descrizione). Il campo Private IPs (IP privati) contiene l'indirizzo IPv4 privato assegnato all'istanza dall'intervallo di indirizzi IPv4 nella sottorete. Il campo IPv6 IPs (IP IPv6) contiene l'indirizzo IPv6 privato assegnato all'istanza dall'intervallo di indirizzi IPv6 nella sottorete.

Puoi connetterti all'istanza tramite il suo indirizzo IPv6 utilizzando SSH o desktop remoto dalla rete privata. Il tuo computer locale deve avere un indirizzo IPv6 ed essere configurato per utilizzare IPv6. Per ulteriori informazioni su come connettersi a un'istanza Linux, consulta Connessione a un'istanza Linux nella Guida per l'utente di Amazon EC2 per le istanze Linux. Per ulteriori informazioni su come connettersi a un'istanza di Windows, vedere Connettersi all'istanza di Windows utilizzando RDP nella Guida dell'utente di Amazon EC2 per le istanze di Windows.

Nota

Se l'istanza deve anche essere accessibile tramite un indirizzo IPv4 su Internet, SSH o RDP, occorre associare un indirizzo IP elastico (un indirizzo IPv4 pubblico statico) all'istanza e modificare le regole del gruppo di sicurezza per consentire l'accesso su IPv4. Per ulteriori informazioni, consultare Nozioni di base su Amazon VPC.