View a markdown version of this page

Sottoreti per il VPC - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sottoreti per il VPC

una sottorete è un intervallo di indirizzi IP nel VPC; È possibile creare AWS risorse, come istanze EC2, in sottoreti specifiche.

Nozioni di base sulla sottorete

Ogni sottorete deve risiedere totalmente all'interno di una zona di disponibilità e non può estendersi in altre zone. Avviando AWS risorse in zone di disponibilità separate, è possibile proteggere le applicazioni dal guasto di una singola zona di disponibilità.

Intervallo di indirizzi IP di sottorete

Quando crei una sottorete, devi specificare i relativi indirizzi IP, a seconda della configurazione del VPC:

  • Solo IPv4: la sottorete ha un blocco CIDR IPv4 ma non un blocco CIDR IPv6. Le risorse in una IPv4-only sottorete devono comunicare tramite IPv4.

  • Dual-stack: la sottorete ha sia un blocco CIDR IPv4 che un blocco CIDR IPv6. Il VPC deve avere sia un blocco CIDR IPv4 che un blocco CIDR IPv6. Le risorse in una sottorete dual-stack possono comunicare tramite IPv4 e IPv6.

  • Solo IPv6: la sottorete ha un blocco CIDR IPv6 ma non un blocco CIDR IPv4. Il VPC deve disporre di un blocco CIDR IPv6. Le risorse in una IPv6-only sottorete devono comunicare tramite IPv6.

    Nota

    Alle risorse nelle IPv6-only sottoreti vengono assegnati indirizzi locali di collegamento IPv4 dal blocco CIDR. 169.254.0.0/16 Questi indirizzi vengono utilizzati per comunicare con servizi disponibili solo nel VPC. Per esempi, Link-local consulta gli indirizzi nella Guida per l'utente di Amazon EC2.

Per ulteriori informazioni, consulta Indirizzi IP per i tuoi VPC e sottoreti.

Tipi di sottorete

Il tipo di sottorete è determinato dalla modalità di configurazione del routing per le sottoreti. Ad esempio:

  • Sottorete pubblica: la sottorete ha un percorso diretto a un gateway Internet. Le risorse di una sottorete pubblica possono accedere alla rete Internet pubblica.

  • Sottorete privata: la sottorete non ha un instradamento diretto a un gateway Internet. Le risorse in una sottorete privata richiedono un dispositivo NAT per accedere alla rete Internet pubblica.

  • VPN-only subnet: la sottorete ha un percorso verso una connessione Site-to-Site VPN tramite un gateway privato virtuale. La sottorete pubblica non ha una route a un gateway Internet.

  • Sottorete isolata: la sottorete non ha percorsi verso destinazioni esterne al suo VPC. Le risorse in una sottorete isolata possono accedere o essere accessibili solo da altre risorse nello stesso VPC.

  • Sottorete EVS: questo tipo di sottorete viene creato utilizzando Amazon EVS. Per ulteriori informazioni, consulta VLAN subnet nella Guida per l’utente di Amazon EVS.

Diagramma sottorete

Il seguente diagramma mostra un VPC con sottoreti in due zone di disponibilità e un gateway Internet. Ogni zona di disponibilità ha una sottorete pubblica e una privata.

Un VPC con sottoreti in due zone di disponibilità.

Per i diagrammi che mostrano le sottoreti in Local Zones e Wavelength Zones, vedere How AWS Local Zones work e How works. AWS Wavelength

Routing della sottorete

Ogni sottorete deve Essere associata a una tabella di instradamento, che specifica le route consentite per il traffico in uscita che lascia la sottorete. Ogni sottorete creata viene automaticamente associata alla tabella di instradamento principale per il VPC. Puoi modificare l'associazione E modificare il contenuto della tabella di instradamento principale. Per ulteriori informazioni, consulta Configurare le tabelle di routing.

Impostazioni sottorete

Tutte le sottoreti hanno un attributo modificabile che determina se all'interfaccia di rete creata nella sottorete viene assegnato un indirizzo IPv4 pubblico e, se possibile, un indirizzo IPv6. Questo include l’interfaccia di rete primaria (ad esempio, eth0) creata per l’istanza quando questa viene avviata nella sottorete. Indipendentemente dall'attributo della sottorete, puoi comunque sostituire questa impostazione per un'istanza specifica durante il suo avvio.

Una volta creata, la sottorete può essere modificata nelle seguenti impostazioni:

  • Auto-assign Impostazioni IP: consente di configurare le impostazioni IP di assegnazione automatica per richiedere automaticamente un indirizzo IPv4 o IPv6 pubblico per una nuova interfaccia di rete in questa sottorete.

  • Resource-based Impostazioni del nome (RBN): consente di specificare il tipo di nome host per le istanze EC2 in questa sottorete e di configurare il modo in cui vengono gestite le query dei record DNS A e AAAA. Per ulteriori informazioni, consulta Tipi di nomi host delle istanze Amazon EC2 nella Guida per l'utente di Amazon EC2.

Sicurezza della sottorete

Per proteggere le tue AWS risorse, ti consigliamo di utilizzare sottoreti private. Utilizza un host bastione o un dispositivo NAT per fornire l'accesso Internet per l'accesso Internet, ad esempio istanze EC2, in una sottorete privata.

AWS offre funzionalità che puoi utilizzare per aumentare la sicurezza delle risorse nel tuo VPC. I gruppi di sicurezza consentono il traffico in entrata e in uscita delle risorse associate, ad esempio le istanze EC2. Le ACL di rete consentono o rifiutano il traffico in entrata e in uscita a livello di sottorete. Nella maggior parte dei casi, i gruppi di sicurezza possono soddisfare le tue esigenze. Se desideri un livello di sicurezza aggiuntivo per il tuo VPC, puoi utilizzare le ACL di rete. Per ulteriori informazioni, consulta Confronto dei gruppi di sicurezza e delle liste di controllo accessi di rete.

Per impostazione predefinita, ogni sottorete deve Essere associata a una lista di controllo accessi di rete. Ogni sottorete creata viene automaticamente associata alla lista di controllo accessi di rete predefinita del VPC. L'ACL di rete predefinita consente tutto il traffico in entrata e in uscita. È possibile aggiornare l'ACL di rete predefinita o creare ACL di rete personalizzate e associarle alle sottoreti. Per ulteriori informazioni, consulta Controllo del traffico della sottorete con le liste di controllo degli accessi alla rete.

Puoi creare un log di flusso sul VPC o sulla sottorete per acquisire il flusso di traffico per e dalle interfacce di rete nel VPC o nella sottorete. Puoi anche creare un log di flusso su un'interfaccia di rete singola. Per ulteriori informazioni, consulta Registrazione del traffico IP utilizzando log di flusso VPC.