# AWS IoT Core per LoRaWAN ed endpoint VPC dell'interfaccia (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

Puoi connetterti direttamente ad AWS IoT Core per LoRaWAN utilizzando [ endpoint VPC di interfaccia (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) nel tuo Virtual Private Cloud (VPC) invece di connetterti tramite Internet pubblico. Quando utilizzi un endpoint VPC di interfaccia, la comunicazione tra il VPC e AWS IoT Core per LoRaWAN avviene in modo completo e sicuro all'interno della rete AWS.

AWS IoT Core per LoRaWAN supporta endpoint di interfaccia Amazon Virtual Private Cloud che sono supportati da AWS PrivateLink. Ogni endpoint VPC è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con indirizzi IP privati nelle sottoreti del tuo VPC. Per ulteriori informazioni, consultare [Endpoint VPC di interfaccia (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) nella *Guida per l'utente di Amazon VPC*.

Per ulteriori informazioni su VPC ed endpoint, consulta [Cos'è Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink).

Per ulteriori informazioni su AWS PrivateLink, consulta [AWS PrivateLink ed endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-services-overview.html). 

## Considerazioni sugli endpoint VPC di AWS IoT
<a name="vpc-endpoint-considerations"></a>

Prima di impostare un endpoint VPC dell'interfaccia per Wireless AWS IoT, assicurati di leggere [Interface endpoint properties and limitations](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) nella *Guida per l'utente Amazon VPC*.

Wireless AWS IoT supporta l'esecuzione di chiamate per tutte le sue operazioni API all'interno del VPC. Le policy endpoint VPC non sono supportate per Wireless AWS IoT. Per impostazione predefinita, l'accesso completo a Wireless AWS IoT è consentito attraverso l'endpoint. Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC.* 

## architettura privatelink AWS IoT Core per LoRaWAN
<a name="vpc-endpoint-architecture"></a>

Il seguente diagramma mostra l'architettura privatelink di AWS IoT Core per LoRaWAN. L'architettura utilizza un Transit Gateway e un Resolver Route 53 per condividere gli endpoint di interfaccia AWS PrivateLink tra il tuo VPC, il VPC AWS IoT Core per LoRaWAN e un ambiente On-premise. Quando imposti la connessione agli endpoint dell'interfaccia VPC, troverai un diagramma di architettura più dettagliato.

![\[Immagine che mostra come è possibile utilizzare AWS PrivateLink per connettersi agli endpoint AWS IoT Core per LoRaWAN.\]](http://docs.aws.amazon.com/it_it/iot-wireless/latest/developerguide/images/iot-lorawan-privatelink-architecture.png)


## Endpoint AWS IoT Core per LoRaWAN
<a name="vpc-lorawan-endpoints"></a>

AWS IoT Core per LoRaWAN ha tre endpoint pubblici. Ogni endpoint pubblico ha un endpoint dell'interfaccia VPC corrispondente. Gli endpoint pubblici possono essere classificati in endpoint del piano di controllo e del piano dati. Per informazioni su questi endpoint, consulta [AWS IoT Core per LoRaWAN endpoint API](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-wireless_region).
+ 

**Endpoint API del piano di controllo**  
 È possibile utilizzare gli endpoint API del piano di controllo per interagire con le API Wireless AWS IoT. È possibile accedere a questi endpoint da un client ospitato nell’Amazon VPC utilizzando AWS PrivateLink.
+ 

**Endpoint API del piano dati**  
Gli endpoint API del piano dati sono gli endpoint LoRaWAN Network Server (LNS) e Configuration and Update Server (CUPS) che è possibile utilizzare per interagire con gli endpoint AWS IoT Core per LoRaWAN LNS e CUPS. È possibile accedere a questi endpoint dai gateway LoRa On-premise utilizzando Site-to-Site VPN o AWS Direct Connect. Questi endpoint si ottengono quando si esegue l'onboarding del gateway per AWS IoT Core per LoRaWAN. Per ulteriori informazioni, consultare [Aggiungi un gateway a AWS IoT Core per LoRaWAN](lorawan-onboard-gateway-add.md).

**Topics**
+ [Considerazioni sugli endpoint VPC di AWS IoT](#vpc-endpoint-considerations)
+ [architettura privatelink AWS IoT Core per LoRaWAN](#vpc-endpoint-architecture)
+ [Endpoint AWS IoT Core per LoRaWAN](#vpc-lorawan-endpoints)
+ [Onboarding per l'endpoint API del piano di controllo AWS IoT Core per LoRaWAN](lorawan-onboard-control-endpoint.md)
+ [Onboarding degli endpoint API piano dati AWS IoT Core per LoRaWAN](onboard-lns-cups-endpoints.md)

# Onboarding per l'endpoint API del piano di controllo AWS IoT Core per LoRaWAN
<a name="lorawan-onboard-control-endpoint"></a>

È possibile utilizzare gli endpoint API del piano di controllo AWS IoT Core per LoRaWAN per interagire con le API Wireless AWS IoT. Ad esempio, puoi utilizzare questo endpoint per eseguire l'API [SendDataToWirelessDevice](https://docs.aws.amazon.com/iot-wireless/2020-11-22/apireference/API_SendDataToWirelessDevice.html) per inviare i dati da AWS IoT al dispositivo LoRaWAN. Per ulteriori informazioni, consulta [AWS IoT Core per LoRaWAN Endpoint API del piano di controllo](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core.html#iot-wireless-control-plane-endpoints).

Puoi utilizzare il client ospitato nel tuo Amazon VPC per accedere agli endpoint del piano di controllo alimentati da AWS PrivateLink. Puoi utilizzare questi endpoint per connetterti all'API Wireless AWS IoT tramite un endpoint di interfaccia nel tuo Virtual Private Cloud (VPC) anziché connetterti tramite Internet pubblico.

**Topics**
+ [Crea il tuo Amazon VPC e la sottorete](#create-vpc)
+ [Avvia un'istanza Amazon EC2 nella sottorete](#launch-ec2-instance)
+ [Crea un endpoint dell'interfaccia Amazon VPC](#create-vpc-endpoint)
+ [Verifica la connessione all’endpoint dell’interfaccia](#connect-vpc-endpoint)

## Crea il tuo Amazon VPC e la sottorete
<a name="create-vpc"></a>

Prima di poterti connettere all'endpoint dell'interfaccia, devi creare un VPC e una sottorete. Verrà quindi avviata un'istanza EC2 nella sottorete, che puoi utilizzare per connetterti all'endpoint dell'interfaccia. 

Per creare il tuo VPC:

1. Passa alla pagina [VPC](https://console.aws.amazon.com/vpc/home#/vpcs) della console Amazon VPC e scegli **Crea VPC**.

1. Sulla pagina **Create VPC (Crea VPC)**:
   + Inserisci un nome per **VPC Name tag (Tag Nome VPC) - facoltativo** (ad esempio, **VPC-A**).
   + Inserisci un intervallo di indirizzi IPv4 per il VPC nel blocco CIDR IPv4 (ad esempio, **10.100.0.0/16**).

1. Mantieni i valori predefiniti per gli altri campi e scegli **Create VPC (Crea VPC)**.

Per creare la sottorete:

1. Passa alla pagina [Subnets (Sottoreti)](https://console.aws.amazon.com/vpc/home#/subnets) della console Amazon VPC e scegli **Create subnet (Crea una sottorete)**.

1. Sulla pagina **Create subnet (Crea sottorete)**:
   + Per **VPC ID**, scegli il VPC che hai creato in precedenza (ad esempio, `VPC-A`).
   + Inserisci un nome per **Subnet name (Nome sottorete)** (ad esempio, **Private subnet**).
   + Scegli la **Availability zone (Zona di disponibilità)** per la sottorete.
   + Inserisci il blocco di indirizzi IP della sottorete nella casella **IPv4 CIDR block (Blocco CIDR IPv4)** in formato CIDR (ad esempio, **10.100.0.0/24**).

1. Per creare la sottorete e aggiungerla al VPC, scegli **Create subnet (Creare una sottorete)**.

Per ulteriori informazioni, consulta [Work with VPCs and subnets (Uso di VPC e sottoreti)](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html).

## Avvia un'istanza Amazon EC2 nella sottorete
<a name="launch-ec2-instance"></a>

Avvia la tua istanza EC2:

1. Passa alla console [Amazon EC2](https://console.aws.amazon.com/ec2/home#/) e scegli **Launch Instance (Avvia istanza)**.

1. Per AMI, scegli **Amazon Linux 2 AMI (HVM), SSD Volume Type** e quindi scegli il tipo di istanza **t2 micro**. Per configurare i dettagli dell’istanza scegli **Next (Successivo)**.

1. Nella pagina **Configure Instance Details (Configura i dettagli dell'istanza)**:
   + Per **Network (Rete)**, scegli il VPC che hai creato in precedenza (per esempio, `VPC-A`).
   + Per **Subnet (Sottorete)**, scegli la sottorete che hai creato in precedenza (ad esempio, **Private subnet**).
   + Per **Ruolo IAM**, scegli il ruolo **AWSIoTWirelessFullAccess** per garantire a AWS IoT Core per LoRaWAN la policy di accesso completo. Per ulteriori informazioni, consulta la sezione [Riepilogo delle policy `AWSIoTWirelessFullAccess`](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessFullAccess$serviceLevelSummary).
   + Per **Assume Private IP (Assumere IP privato)** utilizza un indirizzo IP, ad esempio, **10.100.0.42**.

1. Scegli **Next: Add Storage (Successivo: Aggiungi storage)** e poi **Next: Add tags (Successivo: Aggiungi tag)**. È possibile aggiungere qualsiasi tag da associare all'istanza EC2. Scegliere **Next: Configure Security Group (Fase successiva: configurazione del gruppo di sicurezza)**.

1. Nella pagina **Configure Security Group (Configura il gruppo di sicurezza)**, configura il gruppo di sicurezza per permettere:
   + Apri **All TCP (Tutte le regole TCP)** per fonti come `10.200.0.0/16`.
   + Apri **All ICMP - IPV4 (Tutti i parametri ICMP - IPV4)** per fonti come `10.200.0.0/16`.

1. Per esaminare i dettagli dell'istanza e avviare l'istanza EC2, scegli **Review and Launch (Rivedi e avvia)**.

Per ulteriori informazioni, consulta [Nozioni di base sulle istanze Amazon EC2 Linux](https://docs.aws.amazon.com/AWSEC2/latest/userguide/EC2_GetStarted.html).

## Crea un endpoint dell'interfaccia Amazon VPC
<a name="create-vpc-endpoint"></a>

È possibile creare un endpoint VPC per il tuo VPC, a cui è possibile accedere tramite l'API EC2. Per creare l'endpoint:

1. Passa alla console [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) **Endpoint** e scegli **Create Endpoint (Creazione endpoint)**.

1. Nella pagina **Create Endpoint (Crea endpoint)**, specifica le informazioni riportate di seguito.
   + Scegli **Servizio AWSs** per **Categoria di servizio**.
   + Per **Service Name (Nome servizio)**, esegui la ricerca inserendo la parola chiave **iotwireless**. Nella lista di servizi `iotwireless`, scegli l'endpoint API del piano di controllo per la regione. L'endpoint sarà nel formato `com.amazonaws.region.iotwireless.api`.
   + Per **VPC** e **Subnets (Sottoreti)** scegli il VPC in cui desideri creare l'endpoint e le zone di disponibilità in cui desideri creare la rete endpoint.
**Nota**  
Non tutte le zone di disponibilità possono essere supportate dal servizio `iotwireless`.
   + Per **Enable DNS Name (Abilita nome DNS)**, scegli **Enable for this endpoint (Abilita per questo endpoint)**. 

     La scelta di questa opzione risolverà automaticamente il DNS e creerà un routing in Amazon Route 53 Public Data Plane, in modo che le API utilizzate in seguito per testare la connessione passino attraverso gli endpoint privatelink.
   + In **Security group (Gruppo di sicurezza)**, scegli i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.
   + Facoltativamente, puoi aggiungere o rimuovere i tag. I tag sono coppie nome-valore utilizzate per l'associazione al tuo endpoint. 

1. Per creare l'endpoint VPC, scegli **Create endpoint (Crea endpoint)**.

## Verifica la connessione all’endpoint dell’interfaccia
<a name="connect-vpc-endpoint"></a>

Puoi utilizzare un SSH per accedere all'istanza di Amazon EC2 e quindi utilizzare AWS CLI per connetterti agli endpoint dell'interfaccia privatelink.

Prima di connetterti all'endpoint dell'interfaccia, scarica la versione più recente di AWS CLI seguendo le istruzioni descritte in [Installazione, aggiornamento e disinstallazione di AWS CLI versione 2 su Linux](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2-linux.html).

Di seguito sono riportati esempi che mostrano come testare la connessione all'endpoint di interfaccia utilizzando la CLI.

```
aws iotwireless create-service-profile \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com  \ 
    --name='test-privatelink'
```

L'esempio seguente mostra un esempio dell’esecuzione del comando.

```
Response:
{
 "Arn": "arn:aws:iotwireless:region:acct_number:ServiceProfile/1a2345ba-4c5d-67b0-ab67-e0c8342f2857",
 "Id": "1a2345ba-4c5d-67b0-ab67-e0c8342f2857"
}
```

Analogamente, puoi eseguire i seguenti comandi per ottenere le informazioni sul profilo del servizio o elencare tutti i profili di servizio.

```
aws iotwireless get-service-profile \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com  
    --id="1a2345ba-4c5d-67b0-ab67-e0c8342f2857"
```

Di seguito viene illustrato un esempio per il comando list-device-profiles.

```
aws iotwireless list-device-profiles \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com
```

# Onboarding degli endpoint API piano dati AWS IoT Core per LoRaWAN
<a name="onboard-lns-cups-endpoints"></a>

Gli endpoint del piano dati AWS IoT Core per LoRaWAN sono costituiti dai seguenti endpoint. Questi endpoint si ottengono quando si aggiunge il gateway ad AWS IoT Core per LoRaWAN. Per ulteriori informazioni, consultare [Aggiungi un gateway a AWS IoT Core per LoRaWAN](lorawan-onboard-gateway-add.md).
+ 

**Endpoint LoRaWAN Network Server (LNS)**  
Gli endpoint LNS sono del formato `account-specific-prefix.lns.lorawan.region.amazonaws.com`. È possibile utilizzare questo endpoint per stabilire una connessione per lo scambio di messaggi uplink e downlink LoRa.
+ 

**Endpoint CUPS (Configuration and Update Server)**  
Gli endpoint CUPS sono del formato `account-specific-prefix.cups.lorawan.region.amazonaws.com`. È possibile utilizzare questo endpoint per la gestione delle credenziali, la configurazione remota e l'aggiornamento del firmware dei gateway.

Per ulteriori informazioni, consultare [Utilizzo di protocolli CUPS e LNS](lorawan-manage-gateways.md#lorawan-cups-lns-protocols).

Per trovare gli endpoint dell'API del piano dati per il tuo Account AWS e la tua Regione, utilizza il comando CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotwireless/get-service-endpoint.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotwireless/get-service-endpoint.html) mostrato qui, o il comando REST API [https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html](https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html). Per ulteriori informazioni, consulta [AWS IoT Core per LoRaWAN Endpoint API Piano Dati](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core.html#iot-wireless-data-plane-endpoints).

È possibile collegare il tuo gateway LoRaWAN on-premise per comunicare con gli endpoint AWS IoT Core per LoRaWAN. Per stabilire questa connessione, connetti innanzitutto il gateway locale all’account Account AWS nel VPC utilizzando una connessione VPN. È quindi possibile comunicare con gli endpoint dell'interfaccia del piano dati nel VPC AWS IoT Core per LoRaWAN che sono alimentati da privatelink.

**Topics**
+ [Crea endpoint di interfaccia VPC e zona ospitata privata](create-vpc-lns-cups.md)
+ [Utilizza VPN per connettere i gateway LoRa al tuo Account AWS](lorawan-vpc-vpn-connection.md)

# Crea endpoint di interfaccia VPC e zona ospitata privata
<a name="create-vpc-lns-cups"></a>

AWS IoT Core per LoRaWAN dispone di due endpoint del piano dati, l'endpoint Configuration and Update Server (CUPS) e l'endpoint LoRaWAN Network Server (LNS). Il processo di configurazione per stabilire una connessione privatelink a entrambi gli endpoint è lo stesso, quindi possiamo utilizzare l'endpoint LNS a scopo illustrativo.

Per gli endpoint del piano dati, i gateway LoRa si connettono innanzitutto al tuo Account AWS nel tuo Amazon VPC, che poi si connette all'endpoint VPC nel VPC AWS IoT Core per LoRaWAN.

Quando ci si connette agli endpoint, i nomi DNS possono essere risolti all'interno di un VPC ma non possono essere risolti su più VPC. Per disabilitare il DNS privato durante la creazione dell'endpoint, disabilita l’impostazione **Enable DNS name (Abilitare nome DNS)**. È possibile utilizzare una zona ospitata privata per fornire informazioni su come si desidera che Route 53 risponda alle query DNS per i VPC. Per condividere il VPC con un ambiente on-premise, è possibile utilizzare un Route 53 Resolver per facilitare il DNS ibrido.

**Topics**
+ [Crea un Amazon VPC e una sottorete](#lns-create-vpc)
+ [Crea un endpoint Amazon VPC dell'interfaccia](#lns-create-vpc-endpoint)
+ [Configura una zona ospitata privata](#create-phz-lns)
+ [Configura il resolver in ingresso Route 53](#configure-route53-resolver)
+ [Passaggi successivi](#lns-cups-next-steps)

## Crea un Amazon VPC e una sottorete
<a name="lns-create-vpc"></a>

Puoi riutilizzare l’Amazon VPC e la sottorete che hai creato durante l'onboarding dell'endpoint del piano di controllo. Per informazioni, consulta [Crea il tuo Amazon VPC e la sottorete](lorawan-onboard-control-endpoint.md#create-vpc).

## Crea un endpoint Amazon VPC dell'interfaccia
<a name="lns-create-vpc-endpoint"></a>

È possibile creare un endpoint VPC per il VPC, allo stesso modo in cui se ne creerebbe uno per l'endpoint del piano di controllo.

1. Passa alla console [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) **Endpoint** e scegli **Create Endpoint (Creazione endpoint)**.

1. Nella pagina **Create Endpoint (Crea endpoint)**, specifica le informazioni riportate di seguito.
   + Scegli **Servizio AWSs** per **Categoria di servizio**.
   + Per **Service Name (Nome servizio)**, esegui la ricerca inserendo la parola chiave **lns**. Nella lista dei servizi `lns`, scegli l'endpoint API del piano dati LNS per la propria regione. L'endpoint sarà del formato `com.amazonaws.region.lorawan.lns`.
**Nota**  
Se stai seguendo questa procedura per il tuo endpoint CUPS, cerca `cups`. L'endpoint sarà del formato `com.amazonaws.region.lorawan.cups`.
   + Per **VPC** e **Subnets (Sottoreti)** scegli il VPC in cui desideri creare l'endpoint e le zone di disponibilità in cui desideri creare la rete endpoint.
**Nota**  
Non tutte le zone di disponibilità possono essere supportate per il servizio `iotwireless`.
   + Per **Enable DNS name (Abilitare nome DNS)**, assicurati che **Enable for this endpoint (Abilita per questo endpoint)** non sia selezionata.

     Non selezionando questa opzione, è possibile disabilitare il DNS privato per l'endpoint VPC e utilizzare invece la zona ospitata privata.
   + In **Security group (Gruppo di sicurezza)**, scegli i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.
   + Facoltativamente, puoi aggiungere o rimuovere i tag. I tag sono coppie nome-valore utilizzate per l'associazione al tuo endpoint. 

1. Per creare l'endpoint VPC, scegli **Create endpoint (Crea endpoint)**.

## Configura una zona ospitata privata
<a name="create-phz-lns"></a>

Dopo aver creato l'endpoint privatelink, nella scheda **Details (Dettagli)** del tuo endpoint viene visualizzato un elenco di nomi DNS. È possibile utilizzare uno di questi nomi DNS per configurare la zona ospitata privata. Il nome DNS sarà nel formato `vpce-xxxx.lns.lorawan.region.vpce.amazonaws.com`.

**Creare la zona ospitata privata**  
Per creare una zona ospitata privata:

1. Passa alla console [Route 53](https://console.aws.amazon.com/route53/v2/hostedzones#/) **Hosted zone (Zone ospitate)** e scegli **Create hosted zone (Crea una zona ospitata)**.

1. Nella pagina **Create hosted zone (Crea una zona ospitata)**, specifica le informazioni riportate di seguito.
   + Per **Domain name (Nome dominio)**, inserisci il nome completo del servizio per l'endpoint LNS, **lns.lorawan.region.amazonaws.com**.
**Nota**  
Se stai seguendo questa procedura per il tuo endpoint CUPS, inserisci **cups.lorawan.region.amazonaws.com**.
   + Nell'elenco **Type (Tipo)**, scegli **Private Hosted Zone (Zona ospitata privata)**.
   + Facoltativamente, puoi aggiungere o rimuovere tag da associare alla tua zona ospitata.

1. Per creare la tua zona privata ospitata, scegli **Create hosted zone (Crea una zona ospitata)**.

Per ulteriori informazioni consulta [Creating a private hosted zone (Creazione di una zona ospitata privata)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html).

Dopo aver creato una zona ospitata privata, è possibile creare un registro che indica al DNS come si desidera che il traffico venga instradato a quel dominio.

**Creazione di un record**  
Dopo aver creato una zona ospitata privata, è possibile creare un registro che indica al DNS come si desidera che il traffico venga instradato a quel dominio. Per creare un record:

1. Nell'elenco delle zone ospitate visualizzate, scegli la zona ospitata privata creata in precedenza e scegli **Create record (Crea un record)**.

1. Utilizza il metodo della procedura guidata per creare il record. Se la console presenta il metodo **Quick create (Creazione rapida)**, scegli **Switch to wizard (Passa alla procedura guidata)**.

1. Scegli **Simple Routing (Instradamento semplice)** per **Routing policy (Policy di instradamento)** e poi **Next (Successivo)**.

1. Nella pagina **Configure records (Configura record)**, scegli **Define simple record (Definisci record semplice)**.

1. Nella pagina **Define simple record (Definisci record semplice)**:
   + Per **Record name (Nome record)** inserisci l'alias del numero del tuo account Account AWS. È possibile ottenere questo valore quando si esegue l'onboarding del gateway o si utilizza il [https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html](https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html) REST API.
   + Per **Record type (Tipo di record)**, mantieni il valore come `A - Routes traffic to an IPv4 address and some AWS resources`.
   + In **Value/Route traffic to (Valore/Instradamento del traffico a)**, seleziona **Alias to VPC endpoint (Alias all’endpoint VPC)**. Scegli la tua **Regione** quindi scegli l'endpoint creato in precedenza, come descritto in [Crea un endpoint Amazon VPC dell'interfaccia](#lns-create-vpc-endpoint) dall'elenco degli endpoint visualizzati.

1. Scegli **Define simple record (Definizione del record semplice)** per creare il record.

## Configura il resolver in ingresso Route 53
<a name="configure-route53-resolver"></a>

Per condividere un endpoint VPC in un ambiente on-premise, è possibile utilizzare un Resolver Route 53 per facilitare il DNS ibrido. Il resolver in ingresso consente di instradare il traffico dalla rete on-premise agli endpoint del piano dati senza passare attraverso Internet pubblico. Per restituire i valori dell'indirizzo IP privato per il servizio, crea il Resolver Route 53 nello stesso VPC dell'endpoint VPC.

Quando si crea il resolver in entrata, è sufficiente specificare il VPC e le sottoreti create in precedenza nelle zone di disponibilità. Il Resolver Route 53 utilizza queste informazioni per assegnare automaticamente un indirizzo IP per instradare il traffico a ciascuna sottorete.

Per creare il resolver in entrata:

1. Passa alla console [Route 53](https://console.aws.amazon.com/route53/v2/inbound-endpoints#/) **Inbound endpoints (Endpoint in entrata)** e scegli **Create inbound endpoint (Crea endpoint in entrata)**.
**Nota**  
Assicurati di utilizzare lo stesso Regione AWS utilizzato durante la creazione dell'endpoint e della zona ospitata privata.

1. Nella pagina **Create inbound endpoint (Crea endpoint in entrata)**, specifica le informazioni riportate di seguito.
   + Inserisci un nome per **Endpoint name (Nome endpoint)** (ad esempio, **VPC\$1A\$1Test**).
   + Per **VPC in the region (VPC nella regione)**, scegli lo stesso VPC utilizzato durante la creazione dell'endpoint VPC.
   + Configura il **Gruppo di sicurezza per questo endpoint** per permettere il traffico in ingresso dalla rete locale.
   + Per l'indirizzo IP, scegli **Use an IP address that is selected automatically, (Utilizza un indirizzo IP selezionato automaticamente).**

1. Scegli **Submit (Invia)** per creare il resolver in entrata.

Per questo, supponiamo che gli indirizzi IP `10.100.0.145` e `10.100.192.10` siano stati assegnati per il Resolver Route 53 in ingresso per il traffico di routing.

## Passaggi successivi
<a name="lns-cups-next-steps"></a>

Hai creato la zona ospitata privata e un risolutore in entrata per instradare il traffico per le voci DNS. Ora puoi utilizzare una Site-to-Site VPN o un endpoint Client VPN. Per ulteriori informazioni, consultare [Utilizza VPN per connettere i gateway LoRa al tuo Account AWS](lorawan-vpc-vpn-connection.md). 

# Utilizza VPN per connettere i gateway LoRa al tuo Account AWS
<a name="lorawan-vpc-vpn-connection"></a>

Per connettere i gateway on-premise al tuo Account AWS puoi utilizzare una connessione Site-to-Site VPN o un endpoint Client VPN.

Prima di poter connettere i gateway on-premise, è necessario aver creato l'endpoint VPC e configurato una zona ospitata privata e un resolver in ingresso in modo che il traffico proveniente dai gateway non passi attraverso Internet pubblico. Per ulteriori informazioni, consultare [Crea endpoint di interfaccia VPC e zona ospitata privata](create-vpc-lns-cups.md).

## endpoint Site-to-Site VPN
<a name="vpc-site-vpn"></a>

Se non disponi dell'hardware del gateway o desideri testare la connessione VPN utilizzando un Account AWS, puoi usare una connessione Site-to-Site VPN. Puoi utilizzare Site-to-Site VPN per connetterti agli endpoint VPC dallo stesso Account AWS o da un altro Account AWS che potresti usare in un altro Regione AWS.

**Nota**  
Se disponi dell'hardware del gateway e desideri configurare una connessione VPN, ti consigliamo di utilizzare invece il Client VPN. Per istruzioni, consulta [Endpoint Client VPN](#vpc-client-vpn).

Per configurare un Site-to-Site VPN:

1. Crea un altro VPC nel sito da cui desideri impostare la connessione. Per `VPC-A` puoi riutilizzare il VPC creato in precedenza. Per creare un altro VPC (ad esempio, `VPC-B`), utilizza un blocco CIDR che non si sovrappone al blocco CIDR del VPC creato in precedenza.

   Per informazioni sulla configurazione dei VPC, segui le istruzioni descritte in [AWS configurazione della connessione Site-to-Site VPN](samples/Setup_Site_to_Site_VPN.zip).
**Nota**  
Il metodo Site-to-Site VPN descritto nel documento utilizza OpenSWAN per la connessione VPN, che supporta un solo tunnel VPN. Se utilizzi un altro software commerciale per la VPN, potresti essere in grado di impostare due tunnel tra i siti.

1. Dopo aver configurato la connessione VPN, aggiorna il file `/etc/resolv.conf` aggiungendo l'indirizzo IP del resolver in entrata dal tuo account Account AWS. Utilizza questo indirizzo IP per il nameserver. Per informazioni su come ottenere questo indirizzo IP, consulta [Configura il resolver in ingresso Route 53](create-vpc-lns-cups.md#configure-route53-resolver). Per questo esempio, possiamo usare l'indirizzo IP `10.100.0.145` assegnato al momento della creazione del Resolver Route 53.

   ```
   options timeout:2 attempts:5
   ; generated by /usr/sbin/dhclient-script
   search region.compute.internal
   nameserver 10.100.0.145
   ```

1. Ora possiamo verificare se la connessione VPN utilizza l'endpoint AWS PrivateLink invece di passare attraverso Internet pubblico utilizzando un comando `nslookup`. Di seguito viene illustrato un esempio dell’esecuzione del comando.

   ```
   nslookup account-specific-prefix.lns.lorawan.region.amazonaws.com
   ```

   Di seguito viene illustrato un esempio di output dell'esecuzione del comando, che mostra un indirizzo IP privato che indica che la connessione è stata stabilita all’endpoint LNS AWS PrivateLink.

   ```
   Server: 10.100.0.145
   Address: 10.100.0.145
   
   Non-authoritative answer:
   Name: https://xxxxx.lns.lorawan.region.amazonaws.com
   Address: 10.100.0.204
   ```

Per informazioni sull'utilizzo di una connessione Site-to-Site VPN, consulta [Funzionamento di Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html).

## Endpoint Client VPN
<a name="vpc-client-vpn"></a>

AWS Client VPN è un servizio VPN gestito, basato su cloud, che consente di controllare in modo sicuro l'accesso alle risorse AWS nella tua rete locale. Di seguito viene illustrata l'architettura per il servizio Client VPN.

![\[Immagine che mostra come è possibile utilizzare AWS Client VPN per connettere il gateway LoRa on-premise.\]](http://docs.aws.amazon.com/it_it/iot-wireless/latest/developerguide/images/lorawan-privatelink-client-vpn.png)


Per stabilire una connessione VPN a un endpoint Client VPN:

1. Crea un endpoint Client VPN seguendo le istruzioni descritte in [ Nozioni di base su AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html).

1. Accedi alla rete on-premise (ad esempio, un router Wi-Fi) utilizzando l'URL di accesso per tale router (ad esempio, `192.168.1.1`), e individua nome e password di root.

1. Configura il gateway LoRaWAN seguendo le istruzioni contenute nella documentazione del gateway e quindi aggiungi il gateway ad AWS IoT Core per LoRaWAN. Per informazioni su come aggiungere un gateway, consulta [Integrare i gateway per AWS IoT Core per LoRaWAN](lorawan-onboard-gateways.md).

1. Controlla che il firmware del gateway sia aggiornato. Se il firmware non è aggiornato, è possibile seguire le istruzioni fornite nella rete On-premise per aggiornare il firmware del gateway. Per ulteriori informazioni, consultare [Aggiornare il firmware del gateway utilizzando il servizio CUPS con AWS IoT Core per LoRaWAN](lorawan-update-firmware.md).

1. Verifica se OpenVPN è stato abilitato. Se è stato abilitato, passa al passaggio successivo per configurare il client OpenVPN all'interno della rete on-premise. Se non è stato abilitato, segui le istruzioni in [Guida all'installazione di OpenVPN per OpenWrt](https://www.ovpn.com/en/guides/openwrt).
**Nota**  
In questo esempio viene utilizzato OpenVPN. È possibile utilizzare altri client VPN come Site-to-Site VPN o AWS Direct Connect per configurare la connessione Client VPN.

1. Configura il client OpenVPN in base alle informazioni dalla configurazione del client e alle modalità di utilizzo [Client OpenVPN che utilizza LuCi](https://openwrt.org/docs/guide-user/services/vpn/openvpn/client-luci).

1. SSH alla rete on-premise e aggiorna il file `/etc/resolv.conf` aggiungendo l'indirizzo IP del resolver in entrata nel tuo account Account AWS (`10.100.0.145`).

1. Per il traffico del gateway utilizza AWS PrivateLink per connetterti all'endpoint, sostituisci la prima voce DNS del gateway all'indirizzo IP del resolver in ingresso.

Per informazioni sull'utilizzo di una connessione Site-to-Site VPN, consulta [Nozioni di base su Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html).

## Connessione agli endpoint LNS e CUPS VPC
<a name="vpc-vpn-connect"></a>

Di seguito viene illustrato come testare la connessione agli endpoint LNS e CUPS VPC.

**Test dell'endpoint CUPS**  
Per testare la connessione AWS PrivateLink all'endpoint CUPS dal gateway LoRa, esegui il comando seguente:

```
curl -k -v -X POST https://xxxx.cups.region.iotwireless.iot:443/update-info 
     --cacert cups.trust --cert cups.crt --key cups.key --header "Content-Type: application/json" 
     --data '{ 
              "router": "xxxxxxxxxxxxx", 
              "cupsUri": "https://xxxx.cups.lorawan.region.amazonaws.com:443",
              "cupsCredCrc":1234, "tcCredCrc":552384314
             }' 
      —output cups.out
```

**Test dell'endpoint LNS**  
Per testare l'endpoint LNS, effettua prima il provisioning di un dispositivo LoRaWAN che funzionerà con il gateway wireless. Puoi quindi aggiungere il dispositivo ed eseguire la procedura *join* dopo la quale è possibile iniziare a inviare messaggi di uplink.