Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Inizia con AWS PrivateLink
Questo tutorial dimostra come inviare una richiesta da un'istanza EC2 in una sottorete privata ad Amazon utilizzando. CloudWatch AWS PrivateLink
Il diagramma seguente fornisce una panoramica di questo scenario. Per connetterti dal tuo computer all'istanza nella sottorete privata, devi prima connetterti a un host bastione in una sottorete pubblica. Sia l'host bastione che l'istanza devono utilizzare la stessa coppia di chiavi. Poiché il file `.pem` per la chiave privata si trova sul computer e non sull'host bastione, utilizzerai l'inoltro delle chiavi SSH. Quindi, puoi connetterti all'istanza dall'host bastione senza specificare il file `.pem` nel comando **ssh**. Dopo aver configurato un endpoint VPC per CloudWatch, il traffico proveniente dall'istanza a cui è destinato CloudWatch viene risolto nell'interfaccia di rete dell'endpoint e quindi inviato all'utilizzo CloudWatch dell'endpoint VPC.
![\[Un'istanza in una sottorete privata accede CloudWatch utilizzando un endpoint VPC.\]](http://docs.aws.amazon.com/it_it/vpc/latest/privatelink/images/getting-started.png)
A scopo di test, puoi utilizzare una singola zona di disponibilità. In produzione, ti consigliamo di utilizzare almeno due zone di disponibilità per assicurare una bassa latenza e una disponibilità elevata.
**Topics**
+ [Fase 1: creazione di un VPC con sottoreti](#create-vpc-subnets)
+ [Fase 2: avvio delle istanze](#launch-instances)
+ [Fase 3: Verifica CloudWatch l'accesso](#test-cloudwatch-access)
+ [Fase 4: Creare un endpoint VPC a cui accedere CloudWatch](#create-vpc-endpoint-cloudwatch)
+ [Fase 5: test dell'endpoint VPC](#test-vpc-endpoint)
+ [Fase 6: pulizia](#clean-up)
## Fase 1: creazione di un VPC con sottoreti
Utilizza la procedura seguente per creare un VPC con una sottorete pubblica e una sottorete privata.
**Per creare il VPC**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleziona **Crea VPC**.
1. Per **Resources to create** (Risorse da creare), scegli **VPC and more** (VPC e altro).
1. Per **Name tag auto-generation** (Generazione automatica di tag nome), immetti un nome per il VPC.
1. Per configurare le sottoreti, procedi come segue:
1. Per **Number of Availability Zones** (Numero di zone di disponibilità), scegli **1** o **2**, a seconda delle tue esigenze.
1. Per **Number of public subnets** (Numero di sottoreti pubbliche), assicurati di avere una sottorete pubblica per zona di disponibilità.
1. Per **Number of private subnets** (Numero di sottoreti private), assicurati di avere una sottorete privata per ogni zona di disponibilità.
1. Seleziona **Crea VPC**.
## Fase 2: avvio delle istanze
Utilizzando il VPC creato nella fase precedente, avvia l'host bastione nella sottorete pubblica e l'istanza nella sottorete privata.
**Prerequisiti**
+ Crea una coppia di chiavi utilizzando il formato **.pem**. Quando avvii sia l'host bastione che l'istanza devi scegliere questa coppia di chiavi.
+ Crea un gruppo di sicurezza per l'host bastione che consenta il traffico SSH in entrata dal blocco CIDR per il tuo computer.
+ Crea un gruppo di sicurezza per l'istanza che consenta il traffico SSH in entrata dal gruppo di sicurezza per l'host bastione.
+ Crea un profilo di istanza IAM e allega la policy. **CloudWatchReadOnlyAccess**
**Per avviare l'host bastione**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Scegliere **Launch Instance (Avvia istanza)**.
1. Per **Name** (Nome) immetti un nome per l'host bastione.
1. Mantieni l'immagine e il tipo di istanza predefiniti.
1. In **Key pair** (Coppia di chiavi), seleziona quella desiderata.
1. In **Network settings** (Impostazioni di rete) effettua le seguenti operazioni:
1. In **VPC**, seleziona il VPC.
1. In **Subnet** (Sottorete), seleziona la sottorete pubblica.
1. Per **Auto-assign Public IP** (Assegna automaticamente IP pubblico), scegli **Enable** (Abilita).
1. Per **Firewall**, scegli **Select existing security group** (Seleziona gruppo di sicurezza esistente), quindi scegli il gruppo di sicurezza per l'host bastione.
1. Scegliere **Launch Instance (Avvia istanza)**.
**Per avviare l'istanza**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Scegliere **Launch Instance (Avvia istanza)**.
1. Per **Name** (Nome), inserisci un nome per l'istanza.
1. Mantieni l'immagine e il tipo di istanza predefiniti.
1. In **Key pair** (Coppia di chiavi), seleziona quella desiderata.
1. In **Network settings** (Impostazioni di rete) effettua le seguenti operazioni:
1. In **VPC**, seleziona il VPC.
1. In **Subnet** (Sottorete), scegli la sottorete privata.
1. Per **Auto-assign Public IP** (Assegna automaticamente IP pubblico), scegli **Disable** (Disabilita).
1. Per **Firewall**, scegli **Select existing security group** (Seleziona gruppo di sicurezza esistente), quindi scegli il gruppo di sicurezza per l'istanza.
1. Espandi **Advanced details** (Dettagli avanzati). Per **IAM instance profile** (Profilo dell'istanza IAM), scegli il profilo dell'istanza IAM.
1. Scegliere **Launch Instance (Avvia istanza)**.
## Fase 3: Verifica CloudWatch l'accesso
Utilizza la procedura seguente per confermare che l'istanza non può accedere CloudWatch. Lo farai utilizzando un AWS CLI comando di sola lettura per. CloudWatch
**Per testare l'accesso CloudWatch**
1. Dal tuo computer, aggiungi la key pair all'agente SSH usando il seguente comando, dove *key.pem* è il nome del tuo file.pem.
```
ssh-add ./key.pem
```
Se ricevi un messaggio di errore che indica che le autorizzazioni per la coppia di chiavi sono troppo aperte, esegui il comando seguente e quindi riprova il comando precedente.
```
chmod 400 ./key.pem
```
1. Connettiti all'host bastione dal computer. Devi specificare l'opzione `-A`, il nome utente dell'istanza (ad esempio `ec2-user`) e l'indirizzo IP pubblico dell'host bastione.
```
ssh -A ec2-user@bastion-public-ip-address
```
1. Connettiti all'istanza dall'host bastione. È necessario specificare il nome utente dell'istanza (ad esempio `ec2-user`) e l'indirizzo IP privato dell'istanza.
```
ssh ec2-user@instance-private-ip-address
```
1. Esegui il comando CloudWatch [list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) sull'istanza come segue. Per l'opzione `--region`, specifica la regione in cui hai creato il VPC.
```
aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
```
1. Dopo alcuni minuti, il comando scade. Ciò dimostra che non è possibile accedere CloudWatch dall'istanza con la configurazione VPC corrente.
```
Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/
```
1. Mantieni la connessione all'istanza. Dopo aver creato l'endpoint VPC, prova di nuovo questo comando **list-metrics**.
## Fase 4: Creare un endpoint VPC a cui accedere CloudWatch
Utilizzare la procedura seguente per creare un endpoint VPC a cui connettersi. CloudWatch
**Prerequisito**
Crea un gruppo di sicurezza per l'endpoint VPC che consenta il traffico di. CloudWatch Ad esempio, aggiungi una regola che consenta il traffico HTTPS dal blocco CIDR del VPC.
**Per creare un endpoint VPC per CloudWatch**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione, seleziona **Endpoints (Endpoint)**.
1. Seleziona **Crea endpoint**.
1. Per **Name tag** (Tag nome) immetti un nome per l'endpoint.
1. Per **Service category** (Categoria servizio), scegli **Servizi AWS**.
1. **Per **Assistenza**, seleziona com.amazonaws. *region*.monitoraggio.**
1. In **VPC**, seleziona il tuo VPC.
1. In **Subnets** (Sottoreti), seleziona la zona di disponibilità e quindi seleziona la sottorete privata.
1. In **Security group** (Gruppo di sicurezza), seleziona il gruppo di sicurezza per l'endpoint VPC.
1. Per **Policy**, seleziona **Full access** (Accesso completo) per consentire tutte le operazioni da parte di tutti i principali su tutte le risorse dell'endpoint VPC.
1. (Facoltativo) Per aggiungere un tag, scegliere **Add new tag (Aggiungi nuovo tag)** e immettere la chiave e il valore del tag.
1. Seleziona **Crea endpoint**. Lo stato iniziale è **Pending** (In sospeso). Prima di passare alla fase successiva, attendi che lo stato sia **Available** (Disponibile). Ciò può richiedere alcuni minuti.
## Fase 5: test dell'endpoint VPC
Verifica che l'endpoint VPC stia inviando richieste dalla tua istanza a. CloudWatch
**Per testare l'endpoint VPC**
Eseguire il seguente comando sull'istanza. Per l'opzione `--region`, specifica la regione in cui hai creato l'endpoint VPC.
```
aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
```
Se ricevi una risposta, anche una risposta con risultati vuoti, sei connesso all' CloudWatch utilizzo. AWS PrivateLink
Se ricevi un `UnauthorizedOperation` errore, assicurati che l'istanza abbia un ruolo IAM che consenta l'accesso a CloudWatch.
Se la richiesta scade, verifica quanto segue:
+ Il gruppo di sicurezza per l'endpoint consente al CloudWatch traffico di.
+ L'opzione `--region` specifica la regione in cui è stato creato l'endpoint VPC.
## Fase 6: pulizia
Se non hai più bisogno dell'host bastione e dell'istanza creati per questo tutorial, puoi terminarli.
**Per terminare le istanze**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.
1. Seleziona l'istanza e scegli **Instance state** (Stato istanza), **Terminate instance** (Termina istanza).
1. Quando viene richiesta la conferma, seleziona **Terminate (Termina)**.
Se un endpoint VPC non è più necessario, puoi eliminarlo.
**Per eliminare l'endpoint VPC**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione, seleziona **Endpoint**.
1. Seleziona l'endpoint VPC.
1. Seleziona **Actions** (Operazioni), **Delete VPC endpoints** (Eliminazione di endpoint VPC).
1. Quando viene richiesta la conferma, immettere **delete** e quindi scegliere **Elimina**.