Esempio: VPC con server in sottoreti private e NAT

Questo esempio spiega come creare un VPC da utilizzare per i server in un ambiente di produzione. Per migliorare la resilienza, implementerai i server in due zone di disponibilità, utilizzando un gruppo con scalabilità automatica e un Application Load Balancer. Per una maggiore sicurezza, implementerai i server in sottoreti private. I server ricevono le richieste tramite il sistema di bilanciamento del carico. I server possono connettersi a Internet utilizzando un gateway NAT. Per migliorare la resilienza, implementerai il gateway NAT in entrambe le zone di disponibilità.

Panoramica

Nel diagramma seguente viene fornita una panoramica delle risorse incluse in questo esempio. Il VPC dispone di sottoreti pubbliche e private in due zone di disponibilità. Ogni sottorete pubblica contiene un gateway NAT e un nodo del sistema di bilanciamento del carico. I server vengono eseguiti nelle sottoreti private, vengono avviati e terminati utilizzando un gruppo con scalabilità automatica e ricevono traffico dal sistema di bilanciamento del carico. I server possono connettersi a Internet utilizzando il gateway NAT. I server possono connettersi ad Amazon S3 utilizzando un endpoint VPC gateway.

Routing

Quando crei questo VPC utilizzando la console Amazon VPC, creiamo una tabella di routing per le sottoreti pubbliche con percorsi locali e percorsi verso il gateway Internet. Creiamo anche una tabella di instradamento per le sottoreti private con percorsi locali e percorsi verso il gateway NAT, il gateway Internet solo in uscita e l'endpoint VPC del gateway.

Di seguito è riportato un esempio di tabella di instradamento per le sottoreti pubbliche, con percorsi sia per IPv4 sia per IPv6. Se crei sottoreti solo IPv4 anziché sottoreti a doppio stack, la tabella di instradamento include solo i percorsi IPv4.

Destinazione	Target
10.0.0.0/16	locale
2001:db8:1234:1a00::/56	locale
0.0.0.0/0	igw-id
::/0	igw-id

Di seguito è riportato un esempio di tabella di instradamento per le sottoreti private, con percorsi sia per IPv4 sia per IPv6. Se hai creato sottoreti solo IPv4, la tabella di instradamento include solo i percorsi IPv4. L'ultimo percorso invia il traffico destinato ad Amazon S3 all'endpoint VPC del gateway.

Destinazione	Target
10.0.0.0/16	locale
2001:db8:1234:1a00::/56	locale
0.0.0.0/0	nat-gateway-id
::/0	eigw-id
s3-prefix-list-id	s3-gateway-id

Sicurezza

Di seguito è riportato un esempio delle regole che è possibile creare per il gruppo di sicurezza che si associa ai server. Il gruppo di sicurezza deve consentire il traffico dal sistema di bilanciamento del carico al protocollo e alla porta dell'ascoltatore. Deve inoltre consentire il controllo dell'integrità del traffico.

In entrata
Crea	Protocollo	Intervallo porte	Commenti
ID del gruppo di sicurezza del sistema di bilanciamento del carico	protocollo dell'ascoltatore	porta dell'ascoltatore	Consente il traffico in entrata dal sistema di bilanciamento del carico sulla porta dell'ascoltatore
ID del gruppo di sicurezza del sistema di bilanciamento del carico	protocollo di controllo dell'integrità	porta di controllo dell'integrità	Autorizza il traffico del controllo dell'integrità dal sistema di bilanciamento del carico

Creazione del VPC

Utilizza la procedura seguente per creare un VPC con una sottorete pubblica e una sottorete privata in due zone di disponibilità e un gateway NAT in ciascuna zona di disponibilità.

Per creare il VPC

1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di controllo, scegli Crea VPC.

3. Per Resources to create (Risorse da creare), scegli VPC and more (VPC e altro).

4. Configurazione del VPC

   1. Per Name tag auto-generation (Generazione automatica di tag nome), immetti un nome per il VPC.

   2. Per Blocco CIDR IPv4, mantieni il suggerimento predefinito o, in alternativa, inserisci il blocco CIDR richiesto dall'applicazione o dalla rete.

   3. Se l'applicazione comunica utilizzando indirizzi IPv6, scegli Blocco CIDR IPv6, Blocco CIDR IPv6 fornito da Amazon.

5. Configurazione delle sottoreti

   1. Per Numero di zone di disponibilità, scegli 2, in modo da poter avviare le istanze in più zone di disponibilità per migliorare la resilienza.

   2. Per Number of public subnets (Numero di sottoreti pubbliche), scegli 2.

   3. Per Number of private subnets (Numero di sottoreti private), scegli 2.

   4. Puoi mantenere il blocco CIDR predefinito per la sottorete pubblica o, in alternativa, espandere Personalizza blocchi CIDR della sottorete e inserire un blocco CIDR. Per ulteriori informazioni, consulta Blocchi CIDR di sottorete.

6. Per Gateway NAT, scegli 1 per AZ per migliorare la resilienza.

7. Se l'applicazione comunica utilizzando indirizzi IPv6, per Gateway Internet egress-only, scegli Sì.

8. Per Endpoint VPC, se le istanze devono accedere a un bucket S3, mantieni il Gateway S3 predefinito. Altrimenti, le istanze nella tua sottorete privata non possono accedere ad Amazon S3. Questa opzione è gratuita, quindi puoi mantenere l'impostazione predefinita se in futuro prevedi di utilizzare un bucket S3. Se scegli Nessuno, puoi sempre aggiungere un endpoint VPC gateway in un secondo momento.

9. Per Opzioni DNS, deseleziona Abilita i nomi host DNS.

10. Seleziona Create VPC (Crea VPC).

Distribuzione dell'applicazione

Idealmente, hai finito di testare i tuoi server in un ambiente di sviluppo o test e creato gli script o le immagini che utilizzerai per implementare l'applicazione in produzione.

Puoi utilizzare Dimensionamento automatico Amazon EC2 per distribuire server in più zone di disponibilità e mantenere la capacità minima del server richiesta dalla tua applicazione.

Avvio di istanze utilizzando un gruppo con scalabilità automatica

1. Crea un modello di avvio per specificare le informazioni di configurazione necessarie per avviare le istanze EC2 utilizzando Dimensionamento automatico Amazon EC2. Per ulteriori informazioni, consulta la pagina Creazione di un modello di avvio per un gruppo con scalabilità automatica nella Guida per l'utente di Dimensionamento automatico Amazon EC2.

2. Crea un gruppo con scalabilità automatica, ossia una raccolta di istanze EC2 con una dimensione minima, massima e desiderata. Per istruzioni dettagliate, consulta la pagina Creazione di un gruppo con scalabilità automatica utilizzando un modello di avvio nella Guida per l'utente di Dimensionamento automatico Amazon EC2.

3. Crea un sistema di bilanciamento del carico, che distribuisce il traffico in modo uniforme nel gruppo con scalabilità automatica, e collega il sistema di bilanciamento del carico al gruppo con scalabilità automatica. Per ulteriori informazioni, consulta la Guida per l'utente di Elastic Load Balancing e Utilizzo di Elastic Load Balancing nella Guida per l'utente di Dimensionamento automatico Amazon EC2.

Test della configurazione

Dopo aver completato l'implementazione dell'applicazione, potrai testarla. Se l'applicazione non è in grado di inviare o ricevere il traffico previsto, puoi utilizzare Sistema di analisi della reperibilità per risolvere i problemi. Ad esempio, Sistema di analisi della reperibilità può identificare i problemi di configurazione relativi alle tabelle di instradamento o ai gruppi di sicurezza. Per ulteriori informazioni, consulta la Guida di Reachability Analyzer.

Elimina

Quando la configurazione non è più necessaria, è possibile eliminarla. Prima di poter eliminare il VPC, è necessario eliminare il gruppo con scalabilità automatica, terminare le istanze, eliminare i gateway NAT ed eliminare il sistema di bilanciamento del carico. Per ulteriori informazioni, consulta Eliminazione del VPC.