VPCimpostazioni per gli ambienti di AWS Cloud9 sviluppo - AWS Cloud9
VPCRequisiti Amazon per AWS Cloud9Crea VPC più altre VPC risorseCrea un solo VPCCrea una sottorete per AWS Cloud9Configurazione di una sottorete come pubblica o privata

AWS Cloud9 non è più disponibile per i nuovi clienti. I clienti esistenti di AWS Cloud9 possono continuare a utilizzare il servizio normalmente. Ulteriori informazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

VPCimpostazioni per gli ambienti di AWS Cloud9 sviluppo

Ogni ambiente di AWS Cloud9 sviluppo associato a un Amazon Virtual Private Cloud (AmazonVPC) deve soddisfare VPC requisiti specifici. Questi ambienti includono EC2 ambienti e SSH ambienti associati a istanze di Cloud AWS calcolo eseguite all'interno di un. VPC Gli esempi includono le istanze Amazon EC2 e Amazon Lightsail.

VPCRequisiti Amazon per AWS Cloud9

L'Amazon VPC che AWS Cloud9 utilizza richiede le seguenti impostazioni. Se conosci già questi requisiti e desideri solo crearne uno compatibileVPC, passa subito aCrea VPC più altre VPC risorse.

Utilizza la seguente lista di controllo per confermare che VPC soddisfa tutti i seguenti requisiti:

  • VPCPuò trovarsi nello stesso Account AWS ambiente di AWS Cloud9 sviluppo oppure VPC può essere condiviso VPC in un ambiente Account AWS diverso da quello in cui si trova. Regione AWS Tuttavia, VPC devono trovarsi nello Regione AWS stesso ambiente. Per ulteriori informazioni su Amazon VPCs for an Regione AWS, consultaVisualizza un elenco di VPCs per un Regione AWS. Per ulteriori istruzioni sulla creazione di un Amazon VPC per AWS Cloud9, consultaCrea VPC più altre VPC risorse. Per informazioni su come lavorare con Amazon condivisoVPCs, consulta Working with shared VPCs nella Amazon VPC User Guide.

  • Un VPC deve avere una sottorete pubblica. Una sottorete è pubblica se il suo traffico viene indirizzato a un gateway Internet. Per un elenco di sottoreti per un AmazonVPC, consulta. Visualizza un elenco di sottoreti per un VPC

  • Tuttavia, se il tuo ambiente accede direttamente alla sua EC2 istanzaSSH, l'istanza può essere avviata solo in una sottorete pubblica. Per informazioni sulla conferma che una sottorete sia pubblica, consulta. Confermare che la sottorete sia pubblica

  • Se accedi a un'EC2istanza Amazon senza ingresso utilizzando Systems Manager, l'istanza può essere avviata in una sottorete pubblica o privata.

  • Se utilizzi una sottorete pubblica, collega un gateway Internet a. VPC Questo è così il AWS Systems Manager Agent (SSM Agent) per esempio può connettersi a Systems Manager.

  • Se utilizzi una sottorete privata, consenti all'istanza della sottorete di comunicare con Internet ospitando un NAT gateway in una sottorete pubblica. Per ulteriori informazioni sulla visualizzazione o la modifica delle impostazioni per un gateway Internet, consulta Visualizzazione o modifica delle impostazioni di un Gateway Internet

  • La sottorete pubblica deve avere una tabella di routing con un insieme minimo di route. Per informazioni su come confermare se una sottorete ha una tabella di routing, vedereConferma che la sottorete abbia una tabella di routing. Per informazioni su come creare una tabella di rotte, vedereCreazione di una tabella di routing.

  • I gruppi di sicurezza associati per VPC (o per l'istanza di Cloud AWS calcolo, a seconda dell'architettura) devono consentire un set minimo di traffico in entrata e in uscita. Per un elenco dei gruppi di sicurezza per AmazonVPC, consultaVisualizza un elenco di gruppi di sicurezza per un VPC. Per ulteriori informazioni sulla creazione di un gruppo di sicurezza in AmazonVPC, consultaCrea un gruppo di sicurezza in un VPC.

  • Per un ulteriore livello di sicurezza, se VPC dispone di una reteACL, la rete ACL deve consentire un set minimo di traffico in entrata e in uscita. Per confermare se Amazon VPC dispone di almeno una reteACL, consultaConferma se a VPC dispone di almeno una rete ACL. Per informazioni sulla creazione di una reteACL, consultaCreare una rete ACL.

  • Se il tuo ambiente di sviluppo utilizza l'accesso SSM a un'EC2istanza, assicurati che all'istanza venga assegnato un indirizzo IP pubblico dalla sottorete pubblica in cui viene avviata. A tale scopo, devi abilitare l'assegnazione automatica di un'opzione di indirizzo IP pubblico per la sottorete pubblica e impostarla su. Yes È possibile abilitarla nella sottorete pubblica prima di creare un AWS Cloud9 ambiente all'interno della pagina delle impostazioni della sottorete. Per i passaggi necessari alla modifica delle impostazioni IP di assegnazione automatica in una sottorete pubblica, consulta Modificare l'attributo di IPv4 indirizzamento pubblico per la sottorete nella Amazon User Guide. VPC Per ulteriori informazioni sulla configurazione di una sottorete pubblica e privata, consulta Configurazione di una sottorete come pubblica o privata

Nota

Per le seguenti procedure, accedi AWS Management Console e utilizza le credenziali di amministratore per aprire la VPC console Amazon (https://console.aws.amazon.com/vpc) o la EC2 console Amazon (/ec2)https://console.aws.amazon.com.

Se utilizzi il AWS CLI o il AWS CloudShell, ti consigliamo di configurarlo AWS CLI o il AWS CloudShell con le credenziali di un amministratore del tuo. Account AWS Se non riesci a farlo, rivolgiti al tuo Account AWS amministratore.

Visualizza un elenco di VPCs per un Regione AWS

Per utilizzare la VPC console Amazon, nella barra di AWS navigazione, scegli l'ambiente in Regione AWS cui AWS Cloud9 viene creato l'ambiente. Quindi, scegli Your VPCs nel pannello di navigazione.

Per utilizzare AWS CLI o the AWS CloudShell, esegui il EC2 describe-vpcscomando Amazon, ad esempio, come segue.

aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello in cui AWS Cloud9 viene creato l'ambiente. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene l'elenco di. VPC IDs

Visualizza un elenco di sottoreti per un VPC

Per utilizzare la VPC console Amazon, scegli Your VPCs nel pannello di navigazione. Annota l'ID di VPC nella colonna VPCID. Quindi scegli Sottoreti nel riquadro di navigazione e cerca le sottoreti che contengono quell'ID nella colonna. VPC

Per utilizzare AWS CLI o theaws-shell, esegui il EC2 describe-subnetscomando Amazon, ad esempio, come segue.

aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene le sottoreti. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Nell'output, cerca le sottoreti che corrispondono all'ID. VPC

Confermare che la sottorete sia pubblica

Importante

Supponiamo che stiate lanciando l'EC2istanza del vostro ambiente in una sottorete privata. Assicurati che il traffico in uscita sia consentito per quell'istanza in modo che possa connettersi al servizio. SSM Per le sottoreti private, il traffico in uscita viene in genere configurato tramite un gateway o endpoint di traduzione degli indirizzi di rete (NAT). VPC (Un NAT gateway richiede una sottorete pubblica).

Supponiamo di scegliere gli VPC endpoint anziché un NAT gateway per l'accesso. SSM Gli aggiornamenti automatici e le patch di sicurezza per l'istanza potrebbero non funzionare se dipendono dall'accesso a Internet. È possibile utilizzare altre applicazioni, come AWS Systems Manager Patch Manager, per gestire gli aggiornamenti software che l'ambiente potrebbe richiedere. AWS Cloud9 il software verrà aggiornato normalmente.

Per utilizzare la VPC console Amazon, scegli Subnet nel pannello di navigazione. Seleziona la casella accanto alla sottorete che desideri AWS Cloud9 utilizzare. Nella scheda Route Table (Tabella di routing), se nella colonna Target (Destinazione) è presente una voce che inizia con igw-, la sottorete è pubblica.

Per usare AWS CLI o theaws-shell, esegui il EC2 describe-route-tablescomando Amazon.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene la sottorete e sostituiscilo subnet-12a3456b con l'ID della sottorete. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Se nell'output è presente almeno un risultato che inizia con igw-, la sottorete è pubblica.

Nell'output, se non ci sono risultati, la tabella di routing potrebbe essere associata alla sottorete VPC anziché alla sottorete. Per confermare ciò, esegui il EC2 describe-route-tablescomando Amazon VPC relativo alla sottorete anziché alla sottorete stessa, ad esempio, come segue.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene l'VPCe sostituisci vpc-1234ab56 con l'ID. VPC Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Nell'output, se c'è almeno un risultato che inizia conigw-, VPC contiene un gateway Internet.

Visualizzazione o modifica delle impostazioni di un Gateway Internet

Per utilizzare la VPC console Amazon, scegli Internet Gateways nel pannello di navigazione. Seleziona la casella accanto all'Internet gateway. Per visualizzare le impostazioni, esamina ciascuna delle schede. Per modificare un'impostazione in una scheda, seleziona Edit (Modifica), se applicabile, quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o aws-shell per visualizzare le impostazioni, esegui il EC2 describe-internet-gatewayscomando Amazon.

aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene il gateway Internet e sostituiscilo igw-1234ab5c con l'ID del gateway Internet. Per eseguire il comando precedente con aws-shell, ometti aws.

Creazione di un Internet Gateway

Per utilizzare la VPC console Amazon, scegli Internet Gateways nel pannello di navigazione. Seleziona Create Internet Gateway (Crea Internet Gateway), quindi segui le istruzioni a video.

Per usare AWS CLI o theaws-shell, esegui il EC2 create-internet-gatewaycomando Amazon.

aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene il nuovo gateway Internet. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene l'ID del nuovo Internet gateway.

Collega un gateway Internet a un VPC

Per utilizzare la VPC console Amazon, scegli Internet Gateways nel pannello di navigazione. Seleziona la casella accanto all'Internet gateway. Scegli Azioni, Allega a VPC se disponibile, quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o theaws-shell, esegui il EC2 attach-internet-gatewaycomando Amazon, ad esempio, come segue.

aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene il gateway Internet. Sostituisci igw-a1b2cdef con l'ID del gateway Internet E sostituiscilo vpc-1234ab56 con l'VPCID. Per eseguire il comando precedente con aws-shell, ometti aws.

Conferma che la sottorete abbia una tabella di routing

Per utilizzare la VPC console Amazon, scegli Subnet nel pannello di navigazione. Seleziona la casella accanto alla sottorete pubblica VPC che desideri AWS Cloud9 utilizzare. Nella scheda Route table (Tabella di routing), se in Route Table (Tabella di routing) è presente un valore, la sottorete pubblica ha una tabella di routing.

Per usare AWS CLI o theaws-shell, esegui il EC2 describe-route-tablescomando Amazon.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene la sottorete pubblica e sostituiscilo subnet-12a3456b con l'ID di sottorete pubblico. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Se l'output contiene valori, la sottorete pubblica dispone almeno una tabella di routing.

Nell'output, se non ci sono risultati, la tabella delle rotte potrebbe essere associata alla sottorete VPC anziché alla sottorete. Per confermare ciò, esegui il EC2 describe-route-tablescomando Amazon per la sottorete relativa alla sottorete VPC anziché la sottorete stessa, ad esempio, come segue.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene l'VPCe sostituisci vpc-1234ab56 con l'ID. VPC Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Nell'output, se c'è almeno un risultato, VPC ha almeno una tabella di routing.

Allegare una tabella di routing a una sottorete

Per utilizzare la VPC console Amazon, scegli Route Tables nel pannello di navigazione. Seleziona la casella accanto alla tabella di routing che desideri allegare. Nella scheda Subnet Associations (Associazioni sottorete), scegli Edit (Modifica), seleziona la casella accanto alla sottorete che desideri allegare, quindi scegli Save (Salva).

Per utilizzare AWS CLI o theaws-shell, esegui il EC2 associate-route-tablecomando Amazon, ad esempio, come segue.

aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene la tabella delle rotte. Sostituisci subnet-12a3456b con l'ID della sottorete e sostituisci rtb-ab12cde3 con l'ID della tabella di instradamento. Per eseguire il comando precedente con aws-shell, ometti aws.

Creazione di una tabella di routing

Per utilizzare la VPC console Amazon, scegli Route Tables nel pannello di navigazione. Seleziona Create Route Table (Crea tabella di routing) e poi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o theaws-shell, esegui il EC2 create-route-tablecomando Amazon, ad esempio, come segue.

aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene la nuova tabella di routing e sostituiscilo vpc-1234ab56 con l'VPCID. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene l'ID della nuova tabella di routing.

Visualizzazione o modifica delle impostazioni di una tabella di routing

Per utilizzare la VPC console Amazon, scegli Route Tables nel pannello di navigazione. Seleziona la casella di controllo accanto alla tabella di routing. Per visualizzare le impostazioni, esamina ciascuna delle schede. Per modificare un'impostazione in una scheda, seleziona Edit (Modifica), quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o aws-shell per visualizzare le impostazioni, esegui il EC2 describe-route-tablescomando Amazon, ad esempio, come segue.

aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene la tabella di routing e sostituiscilo rtb-ab12cde3 con l'ID della tabella di routing. Per eseguire il comando precedente con aws-shell, ometti aws.

Impostazioni minime consigliate della tabella delle rotte per AWS Cloud9

Destinazione Target Stato Propagata

CIDR-BLOCK

local

Attivo

No

0.0.0.0/0

igw-INTERNET-GATEWAY-ID

Attivo

No

In queste impostazioni, CIDR-BLOCK è il CIDR blocco per la sottorete e igw-INTERNET-GATEWAY-ID l'ID di un gateway Internet compatibile.

Visualizza un elenco di gruppi di sicurezza per un VPC

Per utilizzare la VPC console Amazon, scegli Security Groups nel pannello di navigazione. Nella casella Cerca gruppi di sicurezza, inserisci l'VPCID o il nome, quindi premiEnter. I relativi gruppi di sicurezza VPC vengono visualizzati nell'elenco dei risultati della ricerca.

Per usare AWS CLI o theaws-shell, esegui il EC2 describe-security-groupscomando Amazon.

aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene e sostituisci vpc-1234ab56 con l'VPCID. VPC Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene l'elenco dei gruppi IDs di sicurezza corrispondenti. VPC

Visualizza un elenco di gruppi di sicurezza per un'istanza di Cloud AWS calcolo

Per utilizzare la EC2 console Amazon, espandi Istanze nel riquadro di navigazione, quindi scegli Istanze. Nell'elenco delle istanze, scegli la casella accanto all'istanza. I gruppi di sicurezza dell'istanza vengono visualizzati nella scheda Description (Descrizione) accanto a Security groups (Gruppi di sicurezza).

Per utilizzare AWS CLI o theaws-shell, esegui il EC2 describe-security-groupscomando Amazon, ad esempio, come segue.

aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene l'istanza e sostituisci i-12a3c456d789e0123 con l'ID dell'istanza. Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene l'elenco dei gruppi di sicurezza IDs per quell'istanza.

Visualizza o modifica le impostazioni per un gruppo di sicurezza in un VPC

Per utilizzare la VPC console Amazon, scegli Security Groups nel pannello di navigazione. Seleziona la casella accanto al gruppo di sicurezza. Per visualizzare le impostazioni, esamina ciascuna delle schede. Per modificare un'impostazione in una scheda, seleziona Edit (Modifica), se applicabile, quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o aws-shell per visualizzare le impostazioni, esegui il EC2 describe-security-groupscomando Amazon, ad esempio, come segue.

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene l'istanza e sostituiscilo sg-12a3b456 con l'ID del gruppo di sicurezza. Per eseguire il comando precedente con aws-shell, ometti aws.

Visualizza o modifica le impostazioni per un gruppo di sicurezza di istanze di Cloud AWS calcolo

Per utilizzare la EC2 console Amazon, espandi Istanze nel riquadro di navigazione, quindi scegli Istanze. Nell'elenco delle istanze, seleziona la casella accanto all'istanza. Nella scheda Description (Descrizione) per Security groups (Gruppi di sicurezza), seleziona il gruppo di sicurezza. Esamina tutte le schede. Per modificare un'impostazione in una scheda, seleziona Edit (Modifica), se applicabile, quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o aws-shell per visualizzare le impostazioni, esegui il EC2 describe-security-groupscomando Amazon, ad esempio, come segue.

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene l'istanza e sostituiscilo sg-12a3b456 con l'ID del gruppo di sicurezza. Per eseguire il comando precedente con aws-shell, ometti aws.

Impostazioni minime del traffico in entrata e in uscita per AWS Cloud9

Importante

È possibile che il gruppo di sicurezza basato sull'intelligenza artificiale per un'istanza non disponga di una regola in entrata. In tal caso, non è consentito alcun traffico in entrata nell'istanza proveniente da un altro host. Per informazioni sull'utilizzo delle istanze senza ingressoEC2, consulta. Accesso alle istanze senza ingresso con EC2 AWS Systems Manager

  • In entrata: tutti gli indirizzi IP utilizzano SSH la porta 22. Tuttavia, puoi limitare questi indirizzi IP solo a quelli che AWS Cloud9 utilizza. Per ulteriori informazioni, consulta Intervalli di indirizzi SSH IP in entrata per AWS Cloud9.

    Nota

    Per EC2 gli ambienti creati a partire dal 31 luglio 2018, AWS Cloud9 utilizza i gruppi di sicurezza per limitare l'utilizzo degli indirizzi IP in entrata SSH oltre la porta 22. Questi indirizzi IP in entrata sono specificamente solo gli indirizzi che AWS Cloud9 utilizza. Per ulteriori informazioni, consulta Intervalli di indirizzi SSH IP in entrata per AWS Cloud9.

  • In entrata (ACLssolo rete): per gli EC2 ambienti e gli SSH ambienti associati alle EC2 istanze Amazon che eseguono Amazon Linux o Ubuntu Server, tutti gli indirizzi IP utilizzano le porte TCP 32768-61000. Per ulteriori informazioni e per gli intervalli di porte per altri tipi di EC2 istanze Amazon, consulta Ephemeral ports nella Amazon VPC User Guide.

  • In uscita: tutte le origini di traffico che utilizzano qualsiasi protocollo e porta.

Puoi impostare questo comportamento a livello di gruppo di sicurezza. Per un ulteriore livello di sicurezza, puoi anche utilizzare una rete. ACL Per ulteriori informazioni, consulta la sezione Confronto tra gruppi di sicurezza e rete ACLs nella Amazon VPC User Guide.

Ad esempio, per aggiungere regole in entrata e in uscita a un gruppo di sicurezza, puoi impostare tali regole come segue.

Regole in entrata
Tipo Protocollo Intervallo porte Origine

SSH(22)

TCP(6)

22

0.0.0.0 (ma consulta la nota seguente e Intervalli di indirizzi SSH IP in entrata per AWS Cloud9)
Nota

Per EC2 gli ambienti creati a partire dal 31 luglio 2018, AWS Cloud9 aggiunge una regola in entrata per limitare l'utilizzo degli indirizzi IP in entrata SSH tramite la porta 22. Ciò si limita specificamente solo agli indirizzi utilizzati. AWS Cloud9 Per ulteriori informazioni, consulta Intervalli di indirizzi SSH IP in entrata per AWS Cloud9.

Regole in uscita
Tipo Protocollo Intervallo porte Origine

Tutto il traffico

ALL

ALL

0.0.0.0/0

Se scegli anche di aggiungere regole in entrata e in uscita a una reteACL, puoi configurare tali regole come segue.

Regole in entrata
Rule # Tipo Protocollo Intervallo porte Origine Consenti/Nega

100

SSH(22)

TCP(6)

22

0.0.0.0 (ma consulta Intervalli di indirizzi SSH IP in entrata per AWS Cloud9)

ALLOW

200

TCPRegola personalizzata

TCP(6)

32768-61000 (per istanze di Amazon Linux e Ubuntu Server. Per altri tipi di istanze, consulta Porte effimere).

0.0.0.0/0

ALLOW

*

Tutto il traffico

ALL

ALL

0.0.0.0/0

DENY

Regole in uscita
Rule # Tipo Protocollo Intervallo porte Origine Consenti/Nega

100

Tutto il traffico

ALL

ALL

0.0.0.0/0

ALLOW

*

Tutto il traffico

ALL

ALL

0.0.0.0/0

DENY

Per ulteriori informazioni sui gruppi di sicurezza e sulla reteACLs, consulta quanto segue nella Amazon VPC User Guide.

Crea un gruppo di sicurezza in un VPC

Per utilizzare le EC2 console Amazon VPC o Amazon, esegui una delle seguenti azioni:

  • Nella VPC console Amazon, scegli Security Groups nel pannello di navigazione. Seleziona Create Security Group (Crea gruppo di sicurezza), quindi segui le istruzioni sullo schermo.

  • Nella EC2 console Amazon, espandi Rete e sicurezza nel riquadro di navigazione, quindi scegli Gruppi di sicurezza. Seleziona Create Security Group (Crea gruppo di sicurezza), quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o theaws-shell, esegui il EC2 create-security-groupcomando Amazon, ad esempio, come segue.

aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene e sostituisci vpc-1234ab56 con l'VPCID. VPC Per eseguire il comando precedente con aws-shell, ometti aws.

Conferma se a VPC dispone di almeno una rete ACL

Per utilizzare la VPC console Amazon, scegli Your VPCs nel pannello di navigazione. Scegli la casella accanto a VPC quella che desideri AWS Cloud9 utilizzare. Nella scheda Riepilogo, se è presente un valore per Rete ACL, VPC significa che ha almeno una reteACL.

Per usare AWS CLI o theaws-shell, esegui il EC2 describe-network-aclscomando Amazon.

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene e sostituisci vpc-1234ab56 con l'VPCID. VPC Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

Se l'output contiene almeno una voce nell'elenco, VPC ha almeno una reteACL.

Visualizza un elenco di reti ACLs per un VPC

Per utilizzare la VPC console Amazon, scegli Rete ACLs nel pannello di navigazione. Nella ACLs casella Rete di ricerca, inserisci l'VPCID o il nome, quindi premiEnter. La rete ACLs corrispondente VPC viene visualizzata nell'elenco dei risultati della ricerca.

Per usare AWS CLI o theaws-shell, esegui il EC2 describe-network-aclscomando Amazon.

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene e sostituisci vpc-1234ab56 con l'VPCID. VPC Per eseguire il comando precedente in Windows, sostituisci le virgolette singole (' ') con virgolette doppie (" "). Per eseguire il comando precedente con aws-shell, ometti aws.

L'output contiene un elenco di reti a tale ACLs VPC scopo.

Visualizza o modifica le impostazioni di una rete ACL

Per utilizzare la VPC console Amazon, scegli Rete ACLs nel pannello di navigazione. Scegli la casella accanto alla reteACL. Per visualizzare le impostazioni, esamina ciascuna delle schede. Per modificare un'impostazione in una scheda, scegli Edit (Modifica), se applicabile, quindi segui le istruzioni sullo schermo.

Per utilizzare AWS CLI o aws-shell per visualizzare le impostazioni, esegui il EC2 describe-network-aclscomando Amazon.

aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56

Nel comando precedente, sostituiscilo us-east-2 con Regione AWS quello che contiene la rete ACL e sostituiscilo acl-1234ab56 con l'ACLID di rete. Per eseguire il comando precedente con aws-shell, ometti aws.

Creare una rete ACL

Per utilizzare la VPC console Amazon, scegli Rete ACLs nel pannello di navigazione. Scegli Crea rete ACL, quindi segui le istruzioni sullo schermo.

Per usare AWS CLI o theaws-shell, esegui il EC2 create-network-aclcomando Amazon.

aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56

Nel comando precedente, sostituisci us-east-2 con Regione AWS quello che contiene VPC quello a cui desideri collegare la nuova reteACL. Inoltre, sostituiscilo vpc-1234ab56 con l'VPCID. Per eseguire il comando precedente con aws-shell, ometti aws.

Crea VPC più altre VPC risorse

Utilizzate la procedura seguente per creare un file VPC e le VPC risorse aggiuntive necessarie per eseguire l'applicazione. VPCle risorse includono sottoreti, tabelle di routing, gateway Internet e gateway. NAT

Per creare unaVPC, sottoreti e altre risorse utilizzando la console VPC

  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nella VPC dashboard, scegli Crea VPC.

  3. Per Risorse da creare, scegli VPCe altro ancora.

  4. Per creare etichette per VPC le risorse, mantieni selezionata l'opzione Generazione automatica dei tag nome. Per fornire etichette personalizzate per le VPC risorse, deselezionatele.

  5. Per IPv4CIDRblock, devi inserire un intervallo di IPv4 indirizzi perVPC. L'IPv4intervallo consigliato per AWS Cloud9 è10.0.0.0/16.

  6. (Facoltativo) Per supportare IPv6 il traffico, scegli IPv6CIDRblock, blocco fornito da Amazon IPv6 CIDR.

  7. Scegli un'opzione di tenancy. Questa opzione definisce se EC2 le istanze che avvii VPC verranno eseguite su hardware condiviso con altri Account AWS o su hardware dedicato esclusivamente al tuo utilizzo. Se scegli la locazione dell'istanza futura VPCDefault, EC2 le istanze avviate VPC utilizzeranno l'attributo tenancy specificato al momento dell'avvio dell'istanza. Per ulteriori informazioni, consulta Launch an instance using defined parameters nella Amazon EC2 User Guide.

    Se scegli la locazione della VPC futura istanzaDedicated, le istanze verranno sempre eseguite come istanze dedicate su hardware dedicato al tuo utilizzo. Se utilizzi, il tuo AWS OutpostsOutpost richiede una connettività privata ed è necessario utilizzare la Default locazione.

  8. Per Number of Availability Zones (AZs), si consiglia di effettuare il provisioning delle sottoreti in almeno due Availability Zones per un ambiente di produzione. Per scegliere le AZs sottoreti, espandi Personalizza. AZs Altrimenti, puoi lasciare che le AWS scelga AZs per te.

  9. Per configurare le sottoreti, scegli i valori per Numero di sottoreti pubbliche e Numero di sottoreti private. Per scegliere gli intervalli di indirizzi IP per le tue sottoreti, espandi Personalizza i blocchi di CIDR sottoreti. Altrimenti, lascia che li AWS scelga per te.

  10. (Facoltativo) Se le risorse di una sottorete privata devono accedere alla rete Internet pubblica tramiteIPv4: Per i NATgateway, scegli il numero di gateway AZs in cui creare NAT i gateway. In produzione, consigliamo di implementare un NAT gateway in ogni AZ con risorse che richiedono l'accesso alla rete Internet pubblica.

  11. (Facoltativo) Se le risorse di una sottorete privata devono accedere alla rete Internet pubblica tramiteIPv6: per il gateway Internet solo Egress, scegli Sì.

  12. (Facoltativo) Per accedere ad Amazon S3 direttamente dal tuoVPC, scegli gli VPCendpoint, S3 Gateway. Questo crea un VPC endpoint gateway per Amazon S3. Per ulteriori informazioni, consulta Gateway VPC endpoints nella Guida.AWS PrivateLink

  13. (Facoltativo) Per quanto riguarda DNSle opzioni, entrambe le opzioni per la risoluzione dei nomi di dominio sono abilitate per impostazione predefinita. Se l'impostazione predefinita non soddisfa le tue esigenze, puoi disattivare queste opzioni.

  14. (Facoltativo) Per aggiungere un tag al tuoVPC, espandi Tag aggiuntivi, scegli Aggiungi nuovo tag e inserisci una chiave per il tag e un valore per il tag.

  15. Nel riquadro di anteprima, puoi visualizzare le relazioni tra le VPC risorse che hai configurato. Le linee continue rappresentano le relazioni tra le risorse. Le linee tratteggiate rappresentano il traffico di rete verso i NAT gateway, i gateway Internet e gli endpoint del gateway. Dopo aver creato ilVPC, puoi visualizzare le risorse in questo formato in qualsiasi momento utilizzando la VPC scheda Mappa delle risorse.

  16. Dopo aver finito di configurare il tuoVPC, scegli Crea. VPC

Crea un solo VPC

Utilizza la seguente procedura per creare un VPC file senza VPC risorse aggiuntive utilizzando la VPC console Amazon.

Per creare un VPC file senza VPC risorse aggiuntive utilizzando la console

  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nella VPC dashboard, scegli Crea VPC.

  3. Per Risorse da creare, scegli VPCSolo.

  4. (Facoltativo) Per il tag Nome, inserisci un nome per il tuoVPC. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

  5. Per IPv4CIDRbloccare, esegui una delle seguenti operazioni:

    • Scegli IPv4CIDRl'immissione manuale e inserisci un intervallo di IPv4 indirizzi per il tuoVPC. L'IPv4intervallo consigliato per AWS Cloud9 è10.0.0.0/16.

    • Scegli IPAM-allocated IPv4 CIDR block, seleziona un pool di indirizzi Amazon VPC IP Address Manager (IPAM) IPv4 e una netmask. La dimensione del CIDR blocco è limitata dalle regole di allocazione del pool. IPAM IPAMè una VPC funzionalità che consente di pianificare, tracciare e monitorare gli indirizzi IP per i AWS carichi di lavoro. Per ulteriori informazioni, consulta Cos'èIPAM? nella Guida per l'amministratore di Amazon Virtual Private Cloud.

      Se lo utilizzi IPAM per gestire i tuoi indirizzi IP, ti consigliamo di scegliere questa opzione. In caso contrario, il CIDR blocco specificato per l'operazione VPC potrebbe sovrapporsi a un'IPAMCIDRallocazione.

  6. (Facoltativo) Per creare un dual stackVPC, specifica un intervallo di IPv6 indirizzi per il tuo. VPC Per IPv6CIDRbloccare, effettuate una delle seguenti operazioni:

    • Scegli IPAM-allocated IPv6 CIDR block e seleziona il tuo pool di IPAM IPv6 indirizzi. La dimensione del CIDR blocco è limitata dalle regole di allocazione del pool. IPAM

    • Per richiedere un IPv6 CIDR blocco da un pool di IPv6 indirizzi Amazon, scegli Blocco fornito da Amazon IPv6 CIDR. Per Network Border Group, seleziona il gruppo da cui AWS pubblicizza gli indirizzi IP. Amazon fornisce una dimensione fissa del IPv6 CIDR blocco di /56.

    • Scegli IPv6CIDROwned by me di utilizzare un IPv6 CIDR blocco che hai creato AWS utilizzando bring your own IP address () BYOIP. Per Pool, scegli il pool di IPv6 indirizzi da cui allocare il IPv6 CIDR blocco.

  7. (Facoltativo) Scegli un'opzione di tenancy. Questa opzione definisce se EC2 le istanze che avvii VPC verranno eseguite su hardware condiviso con altri Account AWS o su hardware dedicato esclusivamente al tuo utilizzo. Se scegli la locazione del futuroDefault, EC2 le istanze che verranno avviate VPC utilizzeranno l'attributo tenancy specificato al momento dell'avvio dell'istanza. VPC Per ulteriori informazioni, consulta Launch an instance using defined parameters nella Amazon EC2 User Guide.

    Se scegli la locazione della VPC futura istanzaDedicated, le istanze verranno sempre eseguite come istanze dedicate su hardware dedicato al tuo utilizzo. Se utilizzi, il tuo AWS OutpostsOutpost richiede una connettività privata ed è necessario utilizzare la Default locazione.

  8. (Facoltativo) Per aggiungere un tag al tuoVPC, scegli Aggiungi nuovo tag e inserisci una chiave per il tag e un valore per il tag.

  9. Scegli Crea VPC.

  10. Dopo aver creato unVPC, puoi aggiungere sottoreti.

Crea una sottorete per AWS Cloud9

Puoi utilizzare la VPC console Amazon per creare una sottorete per un VPC dispositivo compatibile con AWS Cloud9. La possibilità di creare una sottorete privata o pubblica per la vostra EC2 istanza dipende dal modo in cui l'ambiente vi si connette:

  • Accesso diretto tramiteSSH: solo sottorete pubblica

  • Accesso tramite Systems Manager: sottorete pubblica o privata

L'opzione per avviare l'ambiente EC2 in una sottorete privata è disponibile solo se si crea un EC2 ambiente «senza ingresso» utilizzando la console, la riga di comando o. AWS CloudFormation

Segui la stessa procedura per creare una sottorete pubblica o privata. Se la sottorete viene quindi associata a una tabella di routing con un routing a un Gateway Internet, tale sottorete diventa pubblica. Se una sottorete è associata a una tabella di routing che non dispone di un routing a un Gateway Internet, tale sottorete diventa privata. Per ulteriori informazioni, consulta Configurazione di una sottorete come pubblica o privata

Se hai seguito la procedura precedente per creare un VPC for AWS Cloud9, non è necessario seguire anche questa procedura. Questo perché la VPC procedura guidata Crea nuovo crea automaticamente una sottorete.

Importante

  • Account AWS Deve già avere una versione compatibile con VPC Regione AWS l'ambiente. Per ulteriori informazioni, consulta i VPC requisiti inVPCRequisiti Amazon per AWS Cloud9.

  • Per questa procedura, ti consigliamo di accedere AWS Management Console e aprire la VPC console Amazon utilizzando le credenziali di un IAM amministratore del tuo Account AWS. Se non riesci a farlo, rivolgiti al tuo Account AWS amministratore.

  • Alcune organizzazioni potrebbero impedirti di creare sottoreti da solo. Se non riesci a creare una sottorete, rivolgiti Account AWS all'amministratore o all'amministratore di rete.

Per creare una sottorete

  1. Se la VPC console Amazon non è già aperta, accedi AWS Management Console e apri la VPC console Amazon su https://console.aws.amazon.com/vpc.

  2. Nella barra di navigazione, se la regione Regione AWS non è la stessa dell'ambiente, scegli la regione corretta.

  3. Seleziona Subnets (Sottoreti) nel riquadro di navigazione, se Subnets (Sottoreti) non è già visualizzato.

  4. Seleziona Create Subnet (Crea sottorete).

  5. Nella finestra di dialogo Create Subnet (Crea sottorete), in Name tag (Nome tag) inserisci un nome per la sottorete.

  6. Per VPC, scegli VPC a cui associare la sottorete.

  7. Per Zona di disponibilità, scegli la zona di disponibilità all' Regione AWS interno della sottorete da utilizzare oppure scegli Nessuna preferenza per AWS scegliere una zona di disponibilità per te.

  8. Per IPv4CIDRbloccare, inserite l'intervallo di indirizzi IP da utilizzare per la sottorete, nel CIDR formato. Questo intervallo di indirizzi IP deve essere un sottoinsieme di indirizzi IP in. VPC

    Per informazioni sui CIDR blocchi, consulta VPCe dimensionamento delle sottoreti nella Amazon VPC User Guide. Consulta anche 3.1. Concetto di base e notazione del prefisso in RFC 4632 o blocchi in Wikipedia. IPv4 CIDR

Dopo aver creato la sottorete, configurala come sottorete pubblica o privata.

Configurazione di una sottorete come pubblica o privata

Dopo aver creato una sottorete, è possibile renderla pubblica o privata specificando la modalità di comunicazione con Internet.

Una sottorete pubblica ha un indirizzo IP pubblico a cui è collegato un gateway Internet (IGW) che consente la comunicazione tra l'istanza della sottorete e Internet e altro. Servizi AWS

Un'istanza in una sottorete privata ha un indirizzo IP privato e un gateway di traduzione degli indirizzi di rete (NAT) viene utilizzato per inviare il traffico avanti e indietro tra l'istanza della sottorete e Internet e altro. Servizi AWS Il NAT gateway deve essere ospitato in una sottorete pubblica.

Public subnets
Nota

Anche se l'istanza dell'ambiente viene avviata in una sottorete privata, è VPC necessario disporre di almeno una sottorete pubblica. Questo perché il NAT gateway che inoltra il traffico da e verso l'istanza deve essere ospitato in una sottorete pubblica.

La configurazione di una sottorete come pubblica implica il collegamento di un gateway Internet (IGW), la configurazione di una tabella di routing per specificare un percorso verso tale IGW sottorete e la definizione delle impostazioni in un gruppo di sicurezza per controllare il traffico in entrata e in uscita.

Le linee guida per eseguire questi processi sono fornite in Crea VPC più altre VPC risorse.

Importante

Se il tuo ambiente di sviluppo utilizza l'accesso SSM a un'EC2istanza, assicurati che all'istanza venga assegnato un indirizzo IP pubblico dalla sottorete pubblica in cui viene avviata. A tale scopo, devi abilitare l'assegnazione automatica di un'opzione di indirizzo IP pubblico per la sottorete pubblica e impostarla su. Yes È possibile abilitarla nella sottorete pubblica prima di creare un AWS Cloud9 ambiente all'interno della pagina delle impostazioni della sottorete. Per i passaggi necessari alla modifica delle impostazioni IP di assegnazione automatica in una sottorete pubblica, consulta Modificare l'attributo di IPv4 indirizzamento pubblico per la sottorete nella Amazon User Guide. VPC Per ulteriori informazioni sulla configurazione di una sottorete pubblica e privata, consulta. Configurazione di una sottorete come pubblica o privata

Private subnets

Se stai creando un'istanza senza ingresso a cui si accede tramite Systems Manager, puoi avviarla in una sottorete privata. Una sottorete privata non dispone di un indirizzo IP pubblico. Quindi è necessario un NAT gateway per mappare l'indirizzo IP privato a un indirizzo pubblico per le richieste e devi anche mappare l'indirizzo IP pubblico all'indirizzo privato per la risposta.

avvertimento

Ti viene addebitato un costo per la creazione e l'utilizzo di un NAT gateway nel tuo account. NATSi applicano le tariffe orarie di utilizzo e di elaborazione dei dati del gateway. Vengono inoltre applicati i EC2 costi di Amazon per il trasferimento dei dati. Per ulteriori informazioni, consulta la pagina VPCdei prezzi di Amazon.

Prima di creare e configurare il NAT gateway, devi fare quanto segue:

  • Crea una VPC sottorete pubblica per ospitare il NAT gateway.

  • Fornisci un indirizzo IP elastico che può essere assegnato al NAT gateway.

  • Per la sottorete privata, deselezionare la casella di controllo Abilita l'assegnazione automatica IPv4 dell'indirizzo pubblico in modo che all'istanza avviata venga assegnato un indirizzo IP privato. Per ulteriori informazioni, consulta la sezione Indirizzamento IP VPC nel tuo documento nella Amazon VPC User Guide.

Per i passaggi di questa attività, consulta Working with NAT gateway nella Amazon VPC User Guide.

Importante

Attualmente, se l'EC2istanza del tuo ambiente viene avviata in una sottorete privata, non puoi utilizzare credenziali temporanee AWS gestite per consentire all'EC2ambiente di accedere a un file per Servizio AWS conto di un' AWS entità come un utente. IAM