Come funziona Amazon VPC - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona Amazon VPC

Con Amazon Virtual Private Cloud (Amazon VPC), puoi avviare AWS risorse in una rete virtuale logicamente isolata che hai definito. Questa rete virtuale è simile a una comune rete da gestire all'interno del proprio data center, ma con i vantaggi dell'infrastruttura scalabile di AWS.

Di seguito è riportata una rappresentazione visiva di un VPC e delle relative risorse mostrate nel riquadro di Anteprima quando crei un VPC tramite AWS Management Console. Per un VPC esistente, puoi accedere a questa visualizzazione nella scheda Mappa delle risorse. Questo esempio mostra le risorse inizialmente selezionate nella pagina Crea VPC quando scegli di creare il VPC e altre risorse di rete. Questo VPC è configurato con un CIDR IPv4 e un CIDR IPv6 fornito da Amazon in due zone di disponibilità, tre tabelle di instradamento, un gateway Internet e un endpoint del gateway. Poiché è stato selezionato il gateway Internet, la visualizzazione mostra che il traffico proveniente dalle sottoreti pubbliche viene indirizzato verso Internet perché la tabella di instradamento corrispondente invia il traffico verso il gateway Internet.

VPC con sottoreti in 2 AZ, 3 tabelle di routing, gateway Internet ed endpoint gateway

VPC e sottoreti

Un cloud privato virtuale (VPC) è una rete virtuale dedicata al tuo account AWS . È logicamente isolato dalle altre reti virtuali nel cloud. AWS Puoi specificare un intervallo di indirizzi IP per il VPC, aggiungere sottoreti e associare gruppi di sicurezza.

una sottorete è un intervallo di indirizzi IP nel VPC; Le risorse AWS , ad esempio le istanze Amazon EC2, vengono avviate nelle sottoreti. È possibile connettere una sottorete a Internet, ad altri VPC e ai propri data center e instradare il traffico da e verso le sottoreti utilizzando le tabelle di instradamento.

VPC predefiniti e non predefiniti

Se è stato creato dopo il 4 dicembre 2013, il tuo account dispone di un VPC predefinito in ogni Regione. Un VPC predefinito è già configurato e pronto all'uso. Ad esempio, ha una sottorete predefinita in ciascuna Zona di disponibilità della Regione, un gateway Internet allegato, un instradamento nella tabella di instradamento principale che invia tutto il traffico al Gateway Internet e impostazioni DNS che forniscono alle istanze indirizzi IP pubblici e nomi host DNS e consentono la risoluzione DNS tramite il server DNS fornito da Amazon (consulta DNSattributi nel tuo VPC). Pertanto, un'istanza EC2 avviata in una sottorete predefinita ha automaticamente accesso a Internet. Se disponi di un VPC predefinito in una Regione e non specifichi una sottorete all'avvio dell'istanza EC2 in quella Regione, sceglieremo una delle sottoreti predefinite e avvieremo l'istanza in quella sottorete.

Puoi inoltre creare il tuo VPC e configurarlo in base alle esigenze. Questo è il cosiddetto VPC non predefinito. Le sottoreti create nel VPC non predefinito e le altre sottoreti create nel VPC predefinito vengono chiamate sottoreti non predefinite.

Ulteriori informazioni

Tabelle di routing

Una tabella di instradamento contiene un insieme di regole, denominate route, che consentono di determinare la direzione del traffico di rete proveniente dal VPC. Puoi associare esplicitamente una sottorete a una particolare tabella di instradamento. In caso contrario, la sottorete è implicitamente associata alla tabella di instradamento principale.

Ogni route in una tabella di instradamento specifica l'intervallo di indirizzi IP in cui si desidera instradare il traffico (la destinazione) e il gateway, l'interfaccia di rete o la connessione attraverso cui inviare il traffico (il target).

Ulteriori informazioni

Accesso a Internet

Puoi controllare il modo in cui le istanze che avvii in un VPC accedono alle risorse Esterne al VPC.

Un VPC predefinito include un Internet gateway e ogni sottorete predefinita è una sottorete pubblica. Ciascuna istanza avviata in una sottorete predefinita ha un indirizzo IPv4 privato e uno pubblico. Queste istanze possono comunicare con Internet tramite l'Internet gateway. Un Internet gateway permette alle istanze di connettersi a Internet tramite l'edge della rete Amazon EC2.

Per impostazione predefinita, tutte le istanze avviate in una sottorete non predefinita hanno un indirizzo IPv4 privato ma non hanno indirizzi IPv4 pubblici, a meno che tu non gliene assegni uno in fase di avvio o non modifichi l'attributo dell'indirizzo IP pubblico. Queste istanze possono comunicare tra di loro, ma non possono accedere a Internet.

Puoi abilitare l'accesso Internet di un'istanza avviata in una sottorete non predefinita collegando un Internet gateway al VPC (se il VPC non è predefinito) e associando all'istanza un indirizzo IP elastico.

In alternativa, per consentire a un'istanza nel VPC di avviare connessioni in uscita a Internet ma impedire connessioni in entrata indesiderate da Internet, puoi utilizzare un dispositivo di network address translation (NAT). NAT associa più indirizzi IPv4 privati a un solo indirizzo IPv4 pubblico. Puoi configurare il dispositivo NAT con un indirizzo IP elastico e connetterlo a Internet tramite un gateway Internet. Ciò consente a un'istanza di una sottorete privata di connettersi a Internet tramite il dispositivo NAT, che instrada il traffico dall'istanza al gateway Internet e le risposte all'istanza.

Se associ un blocco CIDR IPv6 al VPC e assegni indirizzi IPv6 alle istanze, le istanze possono connettersi a Internet su IPv6 tramite un gateway Internet. In alternativa, le istanze possono avviare connessioni in uscita a Internet su IPv6 tramite un Internet gateway egress-only. Il traffico IPv6 è distinto dal traffico IPv4; le tue tabelle di routing devono includere percorsi separati per il traffico IPv6.

Accesso a una rete domestica o aziendale

Opzionalmente, puoi connettere il tuo VPC al tuo data center aziendale utilizzando una connessione AWS Site-to-Site VPN IPSec, rendendo AWS il Cloud un'estensione del tuo data center.

Una connessione VPN da sito a sito è costituita da due tunnel VPN tra un gateway privato virtuale o un gateway di transito laterale e un dispositivo gateway AWS del cliente situato nel data center. Un dispositivo gateway del cliente è un dispositivo fisico o un'appliance software che puoi configurare sul tuo lato della connessione Site-to-Site VPN.

Connessione di VPC e reti

Puoi creare una connessione peering VPC tra due VPC che consente di instradare il traffico tra gli stessi in modo privato. Le istanze in uno qualsiasi dei VPC possono comunicare tra loro come se fossero nella stessa rete.

Puoi inoltre creare un gateway di transito e utilizzarlo per interconnettere i VPC e le reti on-premise. Il gateway di transito funge da router virtuale regionale per il traffico che scorre tra i suoi allegati, che può includere VPC, connessioni VPN, gateway e connessioni peering con AWS Direct Connect gateway di transito.

AWS rete globale privata

AWS fornisce una rete globale privata ad alte prestazioni e bassa latenza che offre un ambiente di cloud computing sicuro per supportare le esigenze di rete. AWS Le regioni sono collegate a più provider di servizi Internet (ISP) e a una dorsale di rete globale privata che fornisce prestazioni di rete migliorate per il traffico interregionale inviato dai clienti.

Tieni presente le seguenti considerazioni:

  • Il traffico che si trova in una zona di disponibilità o tra zone di disponibilità in tutte le regioni viene AWS indirizzato sulla rete globale privata.

  • Il traffico tra le regioni viene sempre AWS indirizzato sulla rete globale privata, ad eccezione delle regioni cinesi.

La perdita di pacchetti di rete può essere causata da una serie di fattori, tra cui conflitti di flusso di rete, errori di livello inferiore (livello 2) e altri errori di rete. Progettiamo e gestiamo le nostre reti per ridurre al minimo la perdita di pacchetti. Misuriamo il tasso di perdita di pacchetti (PLR) sulla dorsale globale che collega le regioni. AWS Gestiamo la nostra rete backbone per raggiungere un p99 del PLR orario inferiore allo 0,0001%.