Indirizzamento IP per le istanze Amazon EC2 - Amazon Elastic Compute Cloud
Indirizzi IPv4 privatiIndirizzi IPv4 pubbliciOttimizzazione dell'indirizzo IPv4 pubblicoIndirizzi IPv6Nomi host per le istanze EC2Indirizzi link local

Indirizzamento IP per le istanze Amazon EC2

Amazon EC2 e Amazon VPC supportano entrambi i protocolli di indirizzamento IPv4 e IPv6. Per impostazione predefinita, Amazon VPC utilizza il protocollo di indirizzamento IPv4; tale comportamento non può essere disabilitato. Quando crei un VPC, devi specificare un blocco CIDR IPv4 (un intervallo di indirizzi IPv4 privati). Facoltativamente, è possibile decidere di assegnare un blocco CIDR IPv6 al VPC e alle sottoreti e di assegnare gli indirizzi IPv6 del blocco alle istanze presenti nelle sottoreti.

Indice

Indirizzi IPv4 privati

Un indirizzo IPv4 privato è un indirizzo IP non raggiungibile tramite Internet. Si possono utilizzare gli indirizzi IPv4 privati per la comunicazione tra istanze nello stesso VPC. Per ulteriori informazioni sugli standard e sulle specifiche degli indirizzi IPv4 privati, consulta RFC 1918. Gli indirizzi IPv4 privati vengono allocati sulle istanze tramite DHCP.

Nota

Puoi creare un VPC dotato di un blocco CIDR instradabile pubblicamente che non rientra negli intervalli di indirizzi IPv4 privati specificati in RFC 1918. Tuttavia, per gli scopi di questa documentazione, ci riferiamo agli indirizzi IPv4 privati (o "Indirizzi IP privati") come agli indirizzi IP compresi nell'intervallo CIDR IPv4 del tuo VPC.

Le sottoreti VPC possono essere dei seguenti tipi:

  • Sottoreti solo IPv4: è possibile creare risorse in queste sottoreti solo con indirizzi IPv4 assegnati.

  • Sottoreti solo IPv6: è possibile creare risorse in queste sottoreti solo con indirizzi IPv6 assegnati.

  • Sottoreti IPv4 e IPv6: è possibile creare risorse in queste sottoreti sia con gli indirizzi IPv4 che IPv6 assegnati.

Quando si avvia un'istanza EC2 in una sottorete solo IPv4 o dual stack (IPv4 e IPv6), l'istanza riceve un indirizzo IP privato primario dall'intervallo di indirizzi IPv4 della sottorete. Per ulteriori informazioni, consulta la sezione Assegnazione di indirizzi IP nella Guida per l'utente di Amazon VPC. Se quando avvii l'istanza non specifichi un indirizzo IP privato primario, saremo noi a selezionare per tuo conto un indirizzo IP disponibile nell'intervallo IPv4 della sottorete. Ogni istanza dispone di un'interfaccia di rete predefinita (index 0) a cui è assegnato l'indirizzo IPv4 privato primario. Si possono anche specificare ulteriori indirizzi IPv4 privati, i cosiddetti indirizzi IPv4 privati secondari. A differenza di quelli primari, gli indirizzi IP privati secondari possono essere riassegnati da un'istanza all'altra. Per ulteriori informazioni, consulta Più indirizzi IP per le tue istanze EC2.

Un indirizzo IPv4 privato, a prescindere che si tratti di un indirizzo primario o secondario, rimane associato all'interfaccia di rete quando l'istanza viene arrestata e riavviata o ibernata e avviata, e viene rilasciato quando l'istanza viene terminata.

Indirizzi IPv4 pubblici

Un indirizzo IP pubblico è un indirizzo IPv4 raggiungibile tramite Internet. Puoi utilizzare gli indirizzi pubblici per la comunicazione tra le istanze e Internet.

Quando avvii un'istanza in un VPC predefinito, viene assegnato un indirizzo IP pubblico per impostazione predefinita. Quando avvii un'istanza in un VPC non predefinito, la sottorete ha un attributo che determina se le istanze avviate in quella sottorete ricevono un indirizzo IP pubblico dal pool di indirizzi IPv4 pubblici. Per impostazione predefinita, alle istanze avviate in una sottorete non predefinita non vengono assegnati indirizzi IP pubblici.

Puoi controllare se la tua istanza riceve un indirizzo IP pubblico come segue:

L'indirizzo IP pubblico viene assegnato alla tua istanza dal pool di Amazon di indirizzi IPv4 pubblici e non è associato al tuo account AWS. Quando un indirizzo IP pubblico viene disassociato dalla tua istanza, viene reinserito nel pool di indirizzi IPv4 pubblici e non potrai riutilizzarlo.

In alcuni casi, rilasciamo l'indirizzo IP pubblico dall'istanza o gliene assegniamo uno nuovo:

  • Rilasciamo l'indirizzo IP pubblico dell'istanza quando viene arrestata, ibernata o terminata. L'istanza arrestata o ibernata riceve un nuovo indirizzo IP pubblico all'avvio.

  • L'indirizzo IP pubblico dell'istanza viene rilasciato quando associ un indirizzo IP elastico alla tua istanza. Quando disassoci l'indirizzo IP elastico dall'istanza, questa riceve un nuovo indirizzo IP pubblico.

  • Se è stato rilasciato l'indirizzo IP pubblico dell'istanza in un VPC, l'istanza non ne riceverà uno nuovo se è collegata a più di una interfaccia di rete.

  • Se l'indirizzo IP pubblico dell'istanza viene rilasciato quando l'istanza ha un indirizzo IP privato secondario associato a un indirizzo IP elastico, l'istanza non riceve un nuovo indirizzo IP pubblico.

Se ti occorre un indirizzo IP pubblico persistente che puoi associare o dissociare in base alle tue esigenze, utilizza un indirizzo IP elastico.

Se utilizzi il DNS dinamico per mappare un nome DNS esistente a un indirizzo IP pubblico di una nuova istanza, potrebbero essere necessarie fino a 24 ore affinché l'indirizzo IP venga propagato in Internet. Come risultato, le nuove istanze potrebbero non ricevere traffico e quelle terminate continuerebbero a ricevere richieste. Per risolvere questo problema, utilizza un indirizzo IP elastico. Puoi allocare un tuo indirizzo IP elastico e associarlo all'istanza in uso. Per ulteriori informazioni, consulta Indirizzi IP elastici.

Se utilizzi il VPC Gestione indirizzi IP (IPAM) di Amazon, puoi ottenere un blocco contiguo di indirizzi IPv4 pubblici da AWS e utilizzarlo per allocare indirizzi IP elastici alle risorse AWS. L'utilizzo di blocchi di indirizzi IPv4 contigui può ridurre in modo significativo il sovraccarico di gestione degli elenchi di controllo degli accessi di sicurezza e semplificare l'allocazione e il tracciamento degli indirizzi IP per le aziende che scalano in AWS. Per ulteriori informazioni, consulta Allocare indirizzi IP elastici sequenziali da un pool IPAM nella Guida per l'utente di Amazon VPC IPAM.

Nota

  • AWS addebiterà tutti gli indirizzi IPv4 pubblici, inclusi quelli IPv4 associati alle istanze in esecuzione e gli indirizzi IP elastici. Per ulteriori informazioni, consulta la scheda Public IPv4 Address sulla pagina dei prezzi di Amazon VPC.

  • Alle istanze che accedono ad altre istanze tramite l'indirizzo IP NAT pubblico vengono addebitati i costi per il trasferimento di dati Internet o regionali, a seconda che le istanze si trovino nella stessa regione o meno.

Ottimizzazione dell'indirizzo IPv4 pubblico

AWS addebiterà tutti gli indirizzi IPv4 pubblici, inclusi quelli IPv4 associati alle istanze in esecuzione e gli indirizzi IP elastici. Per ulteriori informazioni, consulta la scheda Public IPv4 Address sulla pagina dei prezzi di Amazon VPC.

L'elenco seguente contiene le azioni che è puoi intraprendere per ottimizzare il numero di indirizzi IPv4 pubblici utilizzati:

  • Utilizza un bilanciatore del carico elastico per bilanciare il carico del traffico verso le tue istanze EC2 e disabilita l'assegnazione automatica dell'IP pubblico sull'ENI principale assegnato alle istanze. I bilanciatori del carico utilizzano un unico indirizzo IPv4 pubblico, in modo da ridurre il numero di indirizzi IPv4 pubblici. Potresti anche voler consolidare i bilanciatori del carico esistenti per ridurre ulteriormente il numero di indirizzi IPv4 pubblici.

  • Se l'unico motivo per utilizzare un gateway NAT è accedere tramite SSH a un'istanza EC2 in una sottorete privata per la manutenzione o le emergenze, prendi in considerazione l'utilizzo dell'endpoint EC2 Instance Connect. Con l'endpoint EC2 Instance Connect, puoi connetterti a un'istanza da Internet senza che quest'ultima disponga di un indirizzo IPv4 pubblico.

  • Se le istanze EC2 si trovano in una sottorete pubblica a cui sono assegnati indirizzi IP pubblici, valuta la possibilità di spostare le istanze in una sottorete privata, di rimuovere gli indirizzi IP pubblici e utilizzare un gateway NAT pubblico per consentire l'accesso da e verso le istanze EC2. Esistono considerazioni relative ai costi per l'utilizzo dei gateway NAT. Utilizza questo metodo di calcolo per decidere se i gateway NAT sono convenienti. È possibile ottenere i Number of public IPv4 addresses necessari per questo calcolo creando un rapporto sui costi di fatturazione e sull'utilizzo AWS.

    NAT gateway per hour + NAT gateway public IPs + NAT gateway transfer / Existing public IP cost

    Dove:

    • NAT gateway per hour = $0.045 * 730 hours in a month * Number of Availability Zones the NAT gateways are in

    • NAT gateway public IPs = $0.005 * 730 hours in a month * Number of IPs associated with your NAT gateways

    • NAT gateway transfer = $0.045 * Number of GBs that will go through the NAT gateway in a month

    • Existing public IP cost = $0.005 * 730 hours in a month * Number of public IPv4 addresses

    Se il totale è inferiore a 1, i gateway NAT sono più economici degli indirizzi IPv4 pubblici.

  • Utilizza AWS PrivateLinkper connetterti privatamente a servizi AWS o servizi ospitati da altri account AWS anziché utilizzare indirizzi IPv4 pubblici e gateway Internet.

  • Porta il tuo intervallo di indirizzi IP (BYOIP) AWS e utilizza l'intervallo per gli indirizzi IPv4 pubblici anziché utilizzare gli indirizzi IPv4 pubblici di proprietà di Amazon.

  • Disattiva l'assegnazione automatica di un indirizzo IPv4 pubblico aall'istanza avviata nelle sottoreti. Questa opzione è generalmente disabilitata per impostazione predefinita per i VPC quando crei una sottorete, ma dovresti controllare le sottoreti esistenti per assicurarti che sia disabilitata.

  • Se disponi di istanze EC2 che non richiedono indirizzi IPv4 pubblici, verifica che l'interfaccia di rete collegata alle tue istanze abbia l'assegnazione automatica degli IP pubblici disabilitata.

  • Configura gli endpoint di accelerazione in AWS Global Accelerator per le istanze EC2 in sottoreti private per consentire al traffico Internet di fluire direttamente verso gli endpoint nei tuoi VPC senza richiedere indirizzi IP pubblici. Puoi anche trasferire i tuoi indirizzi a AWS Global Accelerator e utilizzare i tuoi indirizzi IPv4 per gli indirizzi IP statici dell'acceleratore.

Indirizzi IPv6

Gli indirizzi IPv6 sono univoci a livello globale, e possono essere configurati per rimanere privati o essere raggiungibili via Internet. L'indirizzamento IPv6 pubblico e privato è disponibile in AWS:

  • IPv6 privato: AWS considera gli indirizzi IPv6 privati quelli che non sono pubblicizzati e non possono essere pubblicizzati su Internet da AWS.

  • IPv6 pubblico: AWS considera gli indirizzi IPv6 pubblici quelli da cui vengono pubblicizzati su Internet AWS.

Per ulteriori informazioni sugli indirizzi IPv6 pubblici e privati, consulta Indirizzi IPv6 nella Guida per l'utente di Amazon VPC.

Tutti i tipi di istanza supportano gli indirizzi IPv6, ad eccezione dei seguenti: C1, M1, M2, M3 e T1.

Le tue istanze EC2 ricevono un indirizzo IPv6 se al VPC e alla sottorete è associato un blocco CIDR IPv6 e se una delle seguenti condizioni è vera:

  • La tua sottorete è configurata per assegnare automaticamente un indirizzo IPv6 a un'istanza durante l'avvio. Per ulteriori informazioni, consulta la sezione Modifica dell'attributo di assegnazione degli indirizzi IP della sottorete.

  • Assegni un indirizzo IPv6 alla tua istanza durante l'avvio.

  • Assegni un indirizzo IPv6 all'interfaccia di rete primaria dell'istanza dopo l'avvio.

  • Assegni un indirizzo IPv6 a un'interfaccia di rete nella stessa sottorete e colleghi l'interfaccia di rete all'istanza dopo l'avvio.

Quando l'istanza riceve un indirizzo IPv6 durante l'avvio, l'indirizzo viene associato all'interfaccia di rete primaria (index 0) dell'istanza. Puoi gestire gli indirizzi IPv6 per l'interfaccia di rete primaria delle istanze come segue:

Un indirizzo IPv6 persiste quando arresti e avvii o iberni e avvii un'istanza e viene rilasciato quando la termini. Non è possibile riassegnare un indirizzo IPv6 mentre è già assegnato a un'altra interfaccia di rete: devi prima annullare l'assegnazione.

Puoi verificare se le istanze sono raggiungibili tramite i loro indirizzi IPv6 controllando il routing della sottorete o tramite le regole del gruppo di sicurezza e della lista di controllo accessi di rete. Per ulteriori informazioni, consulta Riservatezza del traffico Internet nella Guida per l'utente di Amazon VPC.

Per ulteriori informazioni sugli intervalli di indirizzi IPv6 riservati, consulta Registro degli indirizzi a scopi speciali IPv6 IANA e RFC4291.

Nomi host per le istanze EC2

Quando si crea un'istanza EC2, AWS crea un nome host per quell'istanza. Per ulteriori informazioni sui tipi di nomi host e su come vengono forniti da AWS, consultare Tipi di nomi host delle istanze Amazon EC2. Amazon offre un server DNS che risolve i nomi host forniti da Amazon in indirizzi IPv4 e IPv6. Il server DNS Amazon si trova alla base dell'intervallo di rete VPC più due. Per ulteriori informazioni, consulta Attributi DNS per il VPC nella Guida per l'utente di Amazon VPC.

Gli indirizzi link local sono indirizzi IP noti e non instradabili. Amazon EC2 utilizza gli indirizzi dello spazio degli indirizzi link local per fornire servizi accessibili solo da un'istanza EC2. Questi servizi non vengono eseguiti sull'istanza, ma sull'host sottostante. Quando accedi agli indirizzi link local per questi servizi, comunichi con l'hypervisor Xen o il controller Nitro.

Intervalli di indirizzi link local

  • IPv4: 169.254.0.0/16 (da 169.254.0.0 a 169.254.255.255)

  • IPv6: fe80::/10

Servizi a cui si accede utilizzando gli indirizzi link local