Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Condividere il VPC con altri account
La condivisione di VPC consente Account AWS a più utenti di creare le proprie risorse applicative, come istanze Amazon EC2, database Amazon Relational Database Service (RDS), cluster AWS Lambda Amazon Redshift e funzioni, in cloud privati virtuali (VPC) condivisi e gestiti centralmente. In questo modello, l'account proprietario del VPC (proprietario) condivide una o più sottoreti con altri account (partecipanti) che appartengono alla stessa organizzazione di. AWS Organizations Una volta condivisa una sottorete, i partecipanti possono visualizzare, creare, modificare ed eliminare le proprie risorse delle applicazioni nelle sottoreti condivise. Non possono invece visualizzare, modificare o eliminare le risorse che appartengono ad altri partecipanti o al proprietario del VPC.
Puoi condividere i VPC per sfruttare il routing implicito all'interno di un VPC per le applicazioni che richiedono un elevato grado di interconnessione e che si trovano all'interno degli stessi limiti di affidabilità. Questo consente di ridurre il numero di VPC creati e gestiti, utilizzando al contempo account separati per la fatturazione e il controllo degli accessi. Puoi semplificare le topologie di rete interconnettendo Amazon VPC condivisi utilizzando funzionalità di connettività AWS PrivateLink, come gateway di transito e peering VPC. Per ulteriori informazioni sui vantaggi della condivisione VPC, consulta Condivisione di VPC: un nuovo approccio a più account e gestione dei VPC
Indice
- Prerequisiti dei VPC condivisi
- Condivisione di una sottorete
- Annullamento della condivisione di una sottorete condivisa
- Identificazione del proprietario di una sottorete condivisa
- Gestione delle risorse VPC
- Responsabilità e autorizzazioni per proprietari e partecipanti
- AWS risorse e sottoreti VPC condivise
- Quote di condivisione dei VPC
- Esempio della condivisione di sottoreti pubbliche e private
Prerequisiti dei VPC condivisi
-
Gli account del proprietario e del partecipante del VPC devono essere gestiti da. AWS Organizations
-
È necessario abilitare la condivisione delle risorse nella AWS RAM console dall'account di gestione dell'organizzazione. Per ulteriori informazioni, consulta Abilitare la condivisione delle risorse AWS Organizations nella Guida AWS RAM per l'utente.
-
È necessario creare una condivisione di risorse. È possibile specificare le sottoreti da condividere quando si crea la condivisione di risorse o aggiungere le sottoreti alla condivisione di risorse in un secondo momento utilizzando la procedura riportata nella sezione successiva. Per ulteriori informazioni, consulta l'argomento relativo alla creazione di una condivisione di risorse nella Guida per l'utente di AWS RAM .
Condivisione di una sottorete
È possibile condividere sottoreti non predefinite con altri account all'interno dell'organizzazione come segue.
Per condividere una sottorete utilizzando la console
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione, scegliere Subnets (Sottoreti).
-
Selezionare la sottorete e scegliere Actions (Operazioni), Share subnet (Condividi sottorete).
-
Selezionare la condivisione di risorse e scegliere Share subnet (Condividi sottorete).
Per condividere una sottorete utilizzando AWS CLI
Usare i associate-resource-sharecomandi create-resource-shareand.
Mappatura di sottoreti tra zone di disponibilità
Per garantire che le risorse vengano distribuite tra le zone di disponibilità di una regione, mappiamo in modo indipendente le zone di disponibilità ai nomi per ciascun account . Ad esempio, la zona us-east-1a di disponibilità del tuo AWS account potrebbe non avere la stessa posizione us-east-1a di un altro AWS account.
Per coordinare le zone di disponibilità tra gli account per la condivisione VPC, è necessario utilizzare un AZ ID, un identificatore unico e invariato per una zona di disponibilità. Ad esempio, use1-az1 è l'AZ ID per una delle zone di disponibilità della regione us-east-1. Utilizzare gli ID AZ per stabilire la posizione delle risorse in un account rispetto a un altro account. È possibile visualizzare l'ID AZ per ogni sottorete nella console Amazon VPC.
Il diagramma seguente illustra due account con diverse mappature del codice di zona di disponibilità per l'AZ ID.
Annullamento della condivisione di una sottorete condivisa
Il proprietario può annullare in qualsiasi momento la condivisione di una sottorete condivisa con i partecipanti. Dopo avere annullato la condivisione di una sottorete condivisa, si applicano le regole seguenti:
-
Le risorse esistenti dei partecipanti continuano a funzionare nella sottorete non condivisa. AWS i servizi gestiti (ad esempio, Elastic Load Balancing) con flussi di lavoro automatizzati/gestiti (come la scalabilità automatica o la sostituzione dei nodi) possono richiedere l'accesso continuo alla sottorete condivisa per alcune risorse.
-
I partecipanti non possono più creare nuove risorse nella sottorete la cui condivisione è stata annullata.
-
Possono modificare, descrivere ed eliminare le proprie risorse che si trovano nella sottorete.
-
Se i partecipanti hanno ancora risorse nella sottorete di cui è stata annullata la condivisione, il proprietario non può eliminare la sottorete condivisa o il relativo VPC. Il proprietario può eliminare la sottorete o il VPC della sottorete condivisa solo dopo che i partecipanti hanno eliminato tutte le risorse nella sottorete di cui è stata annullata la condivisione.
Per annullare la condivisione di una sottorete utilizzando la console
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione, scegliere Subnets (Sottoreti).
-
Selezionare la sottorete e scegliere Actions (Operazioni), Share subnet (Condividi sottorete).
-
Scegliere Actions (Operazioni), Stop sharing (Interrompi condivisione).
Per annullare la condivisione di una sottorete utilizzando AWS CLI
Utilizza il comando disassociate-resource-share.
Identificazione del proprietario di una sottorete condivisa
I partecipanti possono visualizzare le sottoreti che sono state condivise con loro utilizzando lo strumento a riga di comando o la console Amazon VPC.
Per identificare il proprietario di una sottorete tramite la console
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione, scegliere Subnets (Sottoreti). Nella colonna Owner (Proprietario) è visualizzato il proprietario della sottorete.
Per identificare il proprietario di una sottorete utilizzando il AWS CLI
Utilizzare i comandi describe-subnets e describe-vpcs, nel cui output è incluso l'ID del proprietario.
Gestione delle risorse VPC
Proprietari e partecipanti sono responsabili delle risorse VPC di loro proprietà.
Risorse del proprietario
I proprietari di VPC sono responsabili della creazione, della gestione e dell'eliminazione delle risorse associate a un VPC condiviso. Tali risorse includono: sottoreti, tabelle di routing, ACL di rete, connessioni peering, endpoint gateway, endpoint di interfaccia, endpoint Amazon Route 53 Resolver , gateway Internet, gateway NAT, gateway virtuali privati e collegamenti del gateway di transito.
Risorse dei partecipanti
I partecipanti possono creare un set limitato di risorse VPC in un VPC condiviso. Ad esempio, i partecipanti possono creare interfacce e gruppi di sicurezza di rete e abilitare flussi di log VPC per le interfacce di rete di cui sono proprietari. Le risorse VPC create da un partecipante vengono conteggiate con le quote VPC dell'account del partecipante, non dell'account del proprietario. Per ulteriori informazioni, consulta Condivisione VPC.
Fatturazione e misurazione per il proprietario e i partecipanti
In un VPC condiviso, ogni partecipante paga per le proprie risorse applicative, tra cui istanze Amazon EC2, database Amazon Relational Database Service, cluster Amazon Redshift e funzioni. AWS Lambda I partecipanti pagano anche i costi di trasferimento dei dati associati al trasferimento dei dati tra zone di disponibilità e al trasferimento dei dati tramite connessioni peering VPC, attraverso gateway Internet e tra gateway. AWS Direct Connect
I proprietari di VPC pagano le tariffe orarie (ove applicabile), i costi di elaborazione e trasferimento dei dati attraverso gateway NAT, gateway privati virtuali, gateway di transito ed endpoint VPC. AWS PrivateLink Inoltre, gli indirizzi IPv4 pubblici utilizzati nei VPC condivisi vengono fatturati ai proprietari di VPC. Per ulteriori informazioni sui prezzi degli indirizzi IPv4 pubblici, consulta la scheda Indirizzo IPv4 pubblico nella pagina dei prezzi di Amazon VPC
. Un trasferimento dati nella stessa zona di disponibilità (indicata in modo univoco da un ID AZ) è gratuito, indipendentemente dalla proprietà dell'account delle risorse di comunicazione.
Responsabilità e autorizzazioni per proprietari e partecipanti
Le seguenti responsabilità e autorizzazioni si applicano alle risorse VPC quando si lavora con sottoreti VPC condivise:
Log di flusso
I partecipanti non possono creare, eliminare o descrivere i log di flusso in una sottorete VPC condivisa di cui non sono i proprietari.
I partecipanti possono creare, eliminare o descrivere i log di flusso in una sottorete VPC condivisa di cui sono i proprietari.
I proprietari di VPC non possono descrivere o eliminare i log di flusso creati da un partecipante.
Gateway Internet e gateway Internet solo in uscita
I partecipanti non possono creare, collegare o eliminare gateway Internet e gateway Internet di sola uscita in una sottorete VPC condivisa. I partecipanti possono descrivere i gateway Internet in una sottorete VPC condivisa. I partecipanti non possono descrivere i gateway Internet di sola uscita in una sottorete VPC condivisa.
Gateway NAT
I partecipanti non possono creare, eliminare o descrivere i gateway NAT in una sottorete VPC condivisa.
Liste di controllo degli accessi di rete (NACL)
I partecipanti non possono creare, eliminare o descrivere le NACL in una sottorete VPC condivisa. I partecipanti possono descrivere le NACL create dai proprietari di VPC in una sottorete VPC condivisa.
Interfacce di rete
I partecipanti possono creare interfacce di rete in una sottorete VPC condivisa. I partecipanti non possono utilizzare in altro modo le interfacce di rete create dai proprietari di VPC in una sottorete VPC condivisa, ad esempio collegando, scollegando o modificando le interfacce. I partecipanti possono modificare o eliminare le risorse in un VPC condiviso che hanno creato. Ad esempio, i partecipanti possono associare o dissociare gli indirizzi IP alle interfacce di rete create.
I proprietari di VPC possono descrivere le interfacce di rete di proprietà dei partecipanti in una sottorete VPC condivisa. I proprietari di VPC non possono lavorare con le interfacce di rete di proprietà dei partecipanti in nessun altro modo, ad esempio collegando, scollegando o modificando le interfacce di rete di proprietà dei partecipanti in una sottorete VPC condivisa.
Tabelle di instradamento
I partecipanti non possono utilizzare (creare, eliminare o associare) le tabelle di routing in una sottorete VPC condivisa. I partecipanti possono descrivere le tabelle di routing in una sottorete VPC condivisa.
Gruppi di sicurezza
I partecipanti possono lavorare con (creare, eliminare, descrivere, modificare o creare regole di ingresso e uscita per) i gruppi di sicurezza di loro proprietà in una sottorete VPC condivisa. I partecipanti non possono lavorare in alcun modo con i gruppi di sicurezza creati dai proprietari di VPC.
I partecipanti possono creare regole nei gruppi di sicurezza di loro proprietà che fanno riferimento ai gruppi di sicurezza che appartengono ad altri partecipanti o al proprietario del VPC come segue: account-number/ security-group-id
I partecipanti non possono avviare le istanze utilizzando i gruppi di sicurezza di proprietà di altri partecipanti o del proprietario del VPC. I partecipanti non possono avviare le istanze utilizzando il gruppo di sicurezza predefinito per il VPC, in quanto questo appartiene al proprietario.
I partecipanti possono descrivere i gruppi di sicurezza creati dai partecipanti in una sottorete VPC condivisa. I proprietari di VPC non possono lavorare con i gruppi di sicurezza creati dai partecipanti in nessun altro modo. Ad esempio, i proprietari di VPC non possono avviare istanze utilizzando i gruppi di sicurezza creati dai partecipanti.
Sottoreti
I partecipanti non possono modificare le sottoreti condivise o i relativi attributi. Solo il proprietario del VPC può farlo. I partecipanti possono descrivere le sottoreti in una sottorete VPC condivisa.
I proprietari di VPC possono condividere le sottoreti solo con altri account o unità organizzative appartenenti alla stessa organizzazione di Organizations. AWS I proprietari dei VPC non possono condividere le sottoreti che si trovano in un VPC predefinito.
Gateway di transito
Solo il proprietario del VPC può collegare un gateway di transito a una sottorete condivisa del VPC. I partecipanti non possono.
VPC
I partecipanti non possono modificare i VPC o i relativi attributi. Solo il proprietario del VPC può farlo. I partecipanti possono descrivere i VPC, i loro attributi e i set di opzioni DHCP.
I tag VPC e i tag per le risorse all'interno del VPC condiviso non vengono condivisi con i partecipanti.
AWS risorse e sottoreti VPC condivise
Le seguenti risorse di Servizi AWS supporto nelle sottoreti VPC condivise. Per ulteriori informazioni su come il servizio supporta le sottoreti VPC condivise, segui i collegamenti alla documentazione del servizio corrispondente.
-
Sistema di bilanciamento del carico elastico
-
AWS Network Manager
-
Amazon VPC
† È possibile connettersi a tutti i AWS servizi che supportano PrivateLink l'utilizzo di un endpoint VPC in un VPC condiviso. Per un elenco dei servizi che supportano PrivateLink, consulta AWS i servizi che si integrano con AWS PrivateLink nella Guida.AWS PrivateLink
Quote di condivisione dei VPC
Esistono quote relative alla condivisione di VPC. Per ulteriori informazioni, consulta Condivisione VPC.
