Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Questa sezione contiene un esempio avanzato che ti aiuterà a capire come opera la funzionalità Blocco dell'accesso pubblico VPC in diversi scenari. Ogni scenario si basa sullo scenario precedente, quindi è importante completare i passaggi in ordine.
Importante
Non utilizzare questo esempio in un account di produzione. Ti consigliamo di esaminare attentamente i carichi di lavoro che richiedono l'accesso a Internet prima di abilitare VPC BPA nei tuoi account di produzione.
Nota
Per comprendere appieno la funzionalità VPC BPA, avrai bisogno di determinate risorse nel tuo account. In questa sezione, forniamo un AWS CloudFormation modello che puoi utilizzare per fornire le risorse necessarie per comprendere appieno come funziona questa funzionalità. Esistono costi associati alle risorse fornite con il CloudFormation modello e alle analisi eseguite con Network Access Analyzer e Reachability Analyzer. Se utilizzi il modello in questa sezione, assicurati di completare i passaggi di pulizia al termine di questo esempio.
Implementa il modello CloudFormation
Per dimostrare come funziona questa funzionalità, sono necessari un VPC, sottoreti, istanze e altre risorse. Per semplificare il completamento di questa dimostrazione, di seguito abbiamo fornito un AWS CloudFormation modello che puoi utilizzare per aumentare rapidamente le risorse necessarie per gli scenari di questa demo.
Nota
Ci sono dei costi associati alle risorse create in questa sezione con il CloudFormation modello, come il costo del gateway NAT e gli indirizzi pubblici IPv4 . Per evitare costi eccessivi, assicurati di completare i passaggi di pulizia per rimuovere tutte le risorse create ai fini di questo esempio.
Il modello crea le seguenti risorse nel tuo account:
-
Gateway Internet Egress-only
-
Internet Gateway
-
Gateway NAT
-
Due sottoreti pubbliche
-
Una sottorete privata
-
Due EC2 istanze con indirizzi pubblici e privati IPv4
-
Un' EC2 istanza con un IPv6 indirizzo e un indirizzo privato IPv4
-
Un' EC2 istanza con un solo IPv4 indirizzo privato
-
Gruppo di sicurezza con traffico SSH e ICMP in entrata consentito e TUTTO il traffico in uscita consentito
-
Log di flusso VPC
-
Endpoint One EC2 Instance Connect nella sottorete B
Copia il modello seguente e salvalo in un file .yaml.
AWSTemplateFormatVersion: '2010-09-09' Description: Creates a VPC with public and private subnets, NAT gateway, and EC2 instances for VPC BPA. Parameters: InstanceAMI: Description: ID of the Amazone Machine Image (AMI) to use with the instances launched by this template Type: AWS::EC2::Image::Id InstanceType: Description: EC2 Instance type to use with the instances launched by this template Type: String Default: t2.micro Resources: # VPC VPCBPA: Type: AWS::EC2::VPC Properties: CidrBlock: 10.0.0.0/16 EnableDnsHostnames: true EnableDnsSupport: true InstanceTenancy: default Tags: - Key: Name Value: VPC BPA # VPC IPv6 CIDR VPCBPAIpv6CidrBlock: Type: AWS::EC2::VPCCidrBlock Properties: VpcId: !Ref VPCBPA AmazonProvidedIpv6CidrBlock: true # EC2 Key Pair VPCBPAKeyPair: Type: AWS::EC2::KeyPair Properties: KeyName: vpc-bpa-key # Internet Gateway VPCBPAInternetGateway: Type: AWS::EC2::InternetGateway Properties: Tags: - Key: Name Value: VPC BPA Internet Gateway VPCBPAInternetGatewayAttachment: Type: AWS::EC2::VPCGatewayAttachment Properties: VpcId: !Ref VPCBPA InternetGatewayId: !Ref VPCBPAInternetGateway # Egress-Only Internet Gateway VPCBPAEgressOnlyInternetGateway: Type: AWS::EC2::EgressOnlyInternetGateway Properties: VpcId: !Ref VPCBPA # Subnets VPCBPAPublicSubnetA: Type: AWS::EC2::Subnet Properties: VpcId: !Ref VPCBPA CidrBlock: 10.0.1.0/24 MapPublicIpOnLaunch: true Tags: - Key: Name Value: VPC BPA Public Subnet A VPCBPAPublicSubnetB: Type: AWS::EC2::Subnet Properties: VpcId: !Ref VPCBPA CidrBlock: 10.0.2.0/24 MapPublicIpOnLaunch: true Tags: - Key: Name Value: VPC BPA Public Subnet B VPCBPAPrivateSubnetC: Type: AWS::EC2::Subnet Properties: VpcId: !Ref VPCBPA CidrBlock: 10.0.3.0/24 MapPublicIpOnLaunch: false Ipv6CidrBlock: !Select [0, !GetAtt VPCBPA.Ipv6CidrBlocks] AssignIpv6AddressOnCreation: true Tags: - Key: Name Value: VPC BPA Private Subnet C # NAT Gateway VPCBPANATGateway: Type: AWS::EC2::NatGateway Properties: AllocationId: !GetAtt VPCBPANATGatewayEIP.AllocationId SubnetId: !Ref VPCBPAPublicSubnetB Tags: - Key: Name Value: VPC BPA NAT Gateway VPCBPANATGatewayEIP: Type: AWS::EC2::EIP Properties: Domain: vpc Tags: - Key: Name Value: VPC BPA NAT Gateway EIP # Route Tables VPCBPAPublicRouteTable: Type: AWS::EC2::RouteTable Properties: VpcId: !Ref VPCBPA Tags: - Key: Name Value: VPC BPA Public Route Table VPCBPAPublicRoute: Type: AWS::EC2::Route DependsOn: VPCBPAInternetGatewayAttachment Properties: RouteTableId: !Ref VPCBPAPublicRouteTable DestinationCidrBlock: 0.0.0.0/0 GatewayId: !Ref VPCBPAInternetGateway VPCBPAPublicSubnetARouteTableAssoc: Type: AWS::EC2::SubnetRouteTableAssociation Properties: SubnetId: !Ref VPCBPAPublicSubnetA RouteTableId: !Ref VPCBPAPublicRouteTable VPCBPAPublicSubnetBRouteTableAssoc: Type: AWS::EC2::SubnetRouteTableAssociation Properties: SubnetId: !Ref VPCBPAPublicSubnetB RouteTableId: !Ref VPCBPAPublicRouteTable VPCBPAPrivateRouteTable: Type: AWS::EC2::RouteTable Properties: VpcId: !Ref VPCBPA Tags: - Key: Name Value: VPC BPA Private Route Table VPCBPAPrivateRoute: Type: AWS::EC2::Route Properties: RouteTableId: !Ref VPCBPAPrivateRouteTable DestinationCidrBlock: 0.0.0.0/0 NatGatewayId: !Ref VPCBPANATGateway VPCBPAPrivateSubnetCRoute: Type: AWS::EC2::Route Properties: RouteTableId: !Ref VPCBPAPrivateRouteTable DestinationIpv6CidrBlock: ::/0 EgressOnlyInternetGatewayId: !Ref VPCBPAEgressOnlyInternetGateway VPCBPAPrivateSubnetCRouteTableAssociation: Type: AWS::EC2::SubnetRouteTableAssociation Properties: SubnetId: !Ref VPCBPAPrivateSubnetC RouteTableId: !Ref VPCBPAPrivateRouteTable # EC2 Instances Security Group VPCBPAInstancesSecurityGroup: Type: AWS::EC2::SecurityGroup Properties: GroupName: VPC BPA Instances Security Group GroupDescription: Allow SSH and ICMP access SecurityGroupIngress: - IpProtocol: tcp FromPort: 22 ToPort: 22 CidrIp: 0.0.0.0/0 - IpProtocol: icmp FromPort: -1 ToPort: -1 CidrIp: 0.0.0.0/0 VpcId: !Ref VPCBPA Tags: - Key: Name Value: VPC BPA Instances Security Group # EC2 Instances VPCBPAInstanceA: Type: AWS::EC2::Instance Properties: ImageId: !Ref InstanceAMI InstanceType: t2.micro KeyName: !Ref VPCBPAKeyPair SubnetId: !Ref VPCBPAPublicSubnetA SecurityGroupIds: - !Ref VPCBPAInstancesSecurityGroup Tags: - Key: Name Value: VPC BPA Instance A VPCBPAInstanceB: Type: AWS::EC2::Instance Properties: ImageId: !Ref InstanceAMI InstanceType: !Ref InstanceType KeyName: !Ref VPCBPAKeyPair SubnetId: !Ref VPCBPAPublicSubnetB SecurityGroupIds: - !Ref VPCBPAInstancesSecurityGroup Tags: - Key: Name Value: VPC BPA Instance B VPCBPAInstanceC: Type: AWS::EC2::Instance Properties: ImageId: !Ref InstanceAMI InstanceType: !Ref InstanceType KeyName: !Ref VPCBPAKeyPair SubnetId: !Ref VPCBPAPrivateSubnetC SecurityGroupIds: - !Ref VPCBPAInstancesSecurityGroup Tags: - Key: Name Value: VPC BPA Instance C VPCBPAInstanceD: Type: AWS::EC2::Instance Properties: ImageId: !Ref InstanceAMI InstanceType: !Ref InstanceType KeyName: !Ref VPCBPAKeyPair NetworkInterfaces: - DeviceIndex: '0' GroupSet: - !Ref VPCBPAInstancesSecurityGroup SubnetId: !Ref VPCBPAPrivateSubnetC Ipv6AddressCount: 1 Tags: - Key: Name Value: VPC BPA Instance D # Flow Logs IAM Role VPCBPAFlowLogRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: Service: vpc-flow-logs.amazonaws.com Action: 'sts:AssumeRole' Tags: - Key: Name Value: VPC BPA Flow Logs Role VPCBPAFlowLogPolicy: Type: AWS::IAM::Policy Properties: PolicyName: VPC-BPA-FlowLogsPolicy PolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Action: - 'logs:CreateLogGroup' - 'logs:CreateLogStream' - 'logs:PutLogEvents' - 'logs:DescribeLogGroups' - 'logs:DescribeLogStreams' Resource: '*' Roles: - !Ref VPCBPAFlowLogRole # Flow Logs VPCBPAFlowLog: Type: AWS::EC2::FlowLog Properties: ResourceId: !Ref VPCBPA ResourceType: VPC TrafficType: ALL LogDestinationType: cloud-watch-logs LogGroupName: /aws/vpc-flow-logs/VPC-BPA DeliverLogsPermissionArn: !GetAtt VPCBPAFlowLogRole.Arn LogFormat: '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr} ${region} ${az-id} ${sublocation-type} ${sublocation-id} ${pkt-src-aws-service} ${pkt-dst-aws-service} ${flow-direction} ${traffic-path} ${reject-reason}' Tags: - Key: Name Value: VPC BPA Flow Logs # EC2 Instance Connect Endpoint VPCBPAEC2InstanceConnectEndpoint: Type: AWS::EC2::InstanceConnectEndpoint Properties: SecurityGroupIds: - !Ref VPCBPAInstancesSecurityGroup SubnetId: !Ref VPCBPAPublicSubnetB Outputs: VPCBPAVPCId: Description: A reference to the created VPC Value: !Ref VPCBPA Export: Name: vpc-id VPCBPAPublicSubnetAId: Description: The ID of the public subnet A Value: !Ref VPCBPAPublicSubnetA VPCBPAPublicSubnetAName: Description: The name of the public subnet A Value: VPC BPA Public Subnet A VPCBPAPublicSubnetBId: Description: The ID of the public subnet B Value: !Ref VPCBPAPublicSubnetB VPCBPAPublicSubnetBName: Description: The name of the public subnet B Value: VPC BPA Public Subnet B VPCBPAPrivateSubnetCId: Description: The ID of the private subnet C Value: !Ref VPCBPAPrivateSubnetC VPCBPAPrivateSubnetCName: Description: The name of the private subnet C Value: VPC BPA Private Subnet C VPCBPAInstanceAId: Description: The ID of instance A Value: !Ref VPCBPAInstanceA VPCBPAInstanceBId: Description: The ID of instance B Value: !Ref VPCBPAInstanceB VPCBPAInstanceCId: Description: The ID of instance C Value: !Ref VPCBPAInstanceC VPCBPAInstanceDId: Description: The ID of instance D Value: !Ref VPCBPAInstanceD
-
Apri la AWS CloudFormation console all'indirizzo. https://console.aws.amazon.com/cloudformation/
-
Scegli Crea stack e carica il file modello .yaml.
-
Segui i passaggi per avviare il modello. Dovrai inserire un ID immagine e un tipo di istanza
(come t2.micro). Dovrai inoltre consentire la creazione CloudFormation di un ruolo IAM per la creazione del log di flusso e l'autorizzazione per l'accesso Amazon CloudWatch. -
Una volta avviato lo stack, apri la scheda Eventi per visualizzare lo stato di avanzamento e assicurati che lo stack sia completato prima di continuare.
Visualizza l'impatto di VPC BPA con Strumento di analisi degli accessi alla rete
In questa sezione, userai Strumento di analisi degli accessi alla rete per visualizzare le risorse del tuo account che utilizzano il gateway Internet. Utilizza questa analisi per comprendere l'impatto dell'attivazione di VPC BPA nel tuo account e del blocco del traffico.
Per informazioni sulla disponibilità regionale dello Strumento di analisi degli accessi alla rete, consulta Limitazioni nella Guida dello Strumento di analisi degli accessi alla rete.
-
Apri la console AWS di Network Insights all'indirizzohttps://console.aws.amazon.com/networkinsights/
. -
Scegli Strumento di analisi degli accessi alla rete.
-
Scegli Crea ambito di accesso alla rete.
-
Scegli Valuta l'impatto di Blocco dell'accesso pubblico VPC e scegli Avanti.
-
Il modello è già configurato per analizzare il traffico da e verso i gateway Internet del tuo account. Puoi visualizzarlo in Origine e Destinazione.
-
Scegli Next (Successivo).
-
Scegli Crea ambito di accesso alla rete.
-
Scegli l'ambito che hai appena creato e scegli Analizza.
-
Attendi il completamento del processo.
-
Visualizza gli esiti dell'analisi. Ogni riga in Esiti mostra un percorso di rete che un pacchetto può percorrere in una rete da o verso un gateway Internet del tuo account. In questo caso, se attivi VPC BPA e nessuna delle e/o o sottoreti che appaiono in questi risultati è configurata come esclusione BPA, il traffico verso quelle VPCs e le sottoreti sarà limitato. VPCs
-
Analizza ogni risultato per comprendere l'impatto del BPA sulle risorse del tuo. VPCs
L'analisi dell'impatto è completa.
Scenario 1: Connessione a istanze senza BPA attivato
In questa sezione, per impostare una linea di base e garantire che, prima di abilitare BPA, tutte le istanze possano essere raggiunte, dovrai connetterti a tutte le istanze e inviare il ping a un indirizzo IP pubblico.
Diagramma di un VPC senza VPC BPA attivato:
1.1 Connessione alle istanze
Completa questa sezione per connetterti alle tue istanze con VPC BPA disattivato per avere la certezza di poterti connettere senza problemi. Tutte le istanze create con questo CloudFormation esempio hanno nomi come «VPC BPA Instance A».
-
Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/
. -
Apri i dettagli dell'istanza A.
-
Connettiti all'istanza A utilizzando l'opzione EC2 Instance Connect > Connect using EC2 Instance Connect Endpoint.
-
Scegli Connetti. Una volta stabilita la connessione all'istanza, invia il ping a www.amazon.com per verificare che sia possibile inviare richieste in uscita a Internet.
-
Usa lo stesso metodo utilizzato per connetterti all'istanza A per connetterti a B, C e D. Da ciascuna istanza, esegui il ping a www.amazon.com per verificare di poter inviare le richieste in uscita su Internet.
Scenario 2: Attivazione di BPA
In questa sezione attiverai VPC BPA e bloccherai il traffico da e verso i gateway Internet del tuo account.
Diagramma della modalità bidirezionale VPC BPA attivata:
2.1 Abilitazione della modalità bidirezionale a blocchi VPC BPA
Completa questa sezione per abilitare VPC BPA.
-
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione a sinistra, scegli Impostazioni.
-
Scegli Modifica impostazioni di accesso pubblico.
-
Scegli Attiva il blocco dell'accesso pubblico e Bidirezionale, quindi scegli Salva modifiche.
-
Attendi che lo stato passi su Abilitato. Potrebbero essere necessari alcuni minuti prima che le impostazioni BPA abbiano effetto e lo stato venga aggiornato.
VPC BPA è ora attivo.
2.2 Connessione alle istanze
Completa questa sezione per connetterti alle tue istanze.
-
Esegui il ping dell' IPv4 indirizzo pubblico dell'istanza A e dell'istanza B come hai fatto nello Scenario 1. Tieni presente che il traffico è bloccato.
-
Connettiti all'istanza A utilizzando l'opzione EC2 Instance Connect > Connect using EC2 Instance Connect Endpoint come hai fatto nello Scenario 1. Assicurati di utilizzare l'opzione endpoint.
-
Scegli Connetti. Dopo aver eseguito la connessione all'istanza, esegui il ping su www.amazon.com. Nota che tutto il traffico in uscita è bloccato.
-
Usa lo stesso metodo che hai usato per connetterti all'istanza A per connetterti alle istanze B, C e D e verifica le richieste in uscita su Internet. Nota che tutto il traffico in uscita è bloccato.
2.3 Opzionale: Verifica del blocco della connettività con Reachability Analyzer
VPC Reachability Analyzer può essere utilizzato per comprendere se determinati percorsi di rete possono essere raggiunti o meno in base alla configurazione di rete, incluse le impostazioni VPC BPA. In questo esempio analizzerai lo stesso percorso di rete che è stato tentato in precedenza per confermare che VPC BPA è il motivo del fallimento della connettività.
-
Vai alla console Network Insights all'indirizzo https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer
. -
Fai clic su Crea e analizza il percorso.
-
Per Tipo di origine, scegli Gateway Internet e seleziona il gateway Internet etichettato Gateway Internet VPC BPA dal menu a discesa Origine.
-
Per Tipo di destinazione, scegli Istanze e seleziona l'istanza contrassegnata con Istanza VPC BPA A dal menu a discesa Destinazione.
-
Fai clic su Crea e analizza il percorso.
-
Attendi il completamento del processo. Il processo può richiedere alcuni minuti.
-
Una volta completato, dovresti vedere che lo stato di raggiungibilità è non raggiungibile e che i dettagli del percorso indicano che
VPC_BLOCK_PUBLIC_ACCESS_ENABLEDè la causa.
Scenario 3: Modifica della modalità BPA
In questa sezione cambierai la direzione del traffico VPC BPA e consentirai solo il traffico che utilizza un gateway NAT o un gateway Internet egress-only.
Diagramma della modalità VPC BPA Ingress-only attivata:
3.1 Modifica della modalità in ingress-only
Completa questa sezione per cambiare la modalità.
-
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione a sinistra, scegli Impostazioni.
-
Nella scheda Blocca accesso pubblico, scegli Modifica impostazioni di accesso pubblico.
-
Modifica le impostazioni di accesso pubblico nella console VPC e cambia la direzione in Ingress-only.
-
Salva le modifiche e attendi che lo stato venga aggiornato. Potrebbero essere necessari alcuni minuti prima che le impostazioni BPA abbiano effetto e lo stato venga aggiornato.
3.2 Connessione alle istanze
Completa questa sezione per connetterti alle istanze.
-
Esegui il ping dell' IPv4 indirizzo pubblico dell'istanza A e dell'istanza B come hai fatto nello Scenario 1. Tieni presente che il traffico è bloccato.
-
Connettiti alle istanze A e B utilizzando EC2 instance connect come hai fatto nello Scenario 1 e invia il ping a www.amazon.com da esse. Tieni presente che non puoi inviare il ping a un sito pubblico su Internet dall'istanza A o B e che il traffico è bloccato.
-
Connettiti alle istanze C e D utilizzando EC2 instance connect come hai fatto nello Scenario 1 e invia il ping a www.amazon.com da esse. Tieni presente che puoi inviare il ping a un sito pubblico su Internet dall'istanza C o D e che il traffico è consentito.
Scenario 4: Creazione di un'esclusione
In questa sezione creerai un'esclusione e bloccherai solo il traffico da e verso la sottorete che non è esclusa da VPC BPA. Un'esclusione VPC BPA è una modalità che può essere applicata a un singolo VPC o a una singola sottorete che lo esenta dalla modalità BPA dell'account e consentirà l'accesso bidirezionale o egress-only. Puoi creare esclusioni BPA per VPCs e sottoreti anche quando BPA non è abilitato sull'account per garantire che non vi siano interruzioni del traffico delle esclusioni quando VPC BPA è attivato.
In questo esempio, creeremo un'esclusione per la sottorete A per mostrare come il traffico verso le esclusioni viene influenzato da VPC BPA.
Diagramma della modalità VPC BPA Ingress-only attivata e dell'esclusione Sottorete A con modalità bidirezionale attivata:
4.1 Creazione di un'esclusione per la sottorete A
Completa questa sezione per creare un'esclusione. Un'esclusione VPC BPA è una modalità che può essere applicata a un singolo VPC o a una singola sottorete che lo esenta dalla modalità BPA dell'account e consentirà l'accesso bidirezionale o egress-only. Puoi creare esclusioni BPA per VPCs e sottoreti anche quando BPA non è abilitato sull'account per garantire che non vi siano interruzioni del traffico delle esclusioni quando VPC BPA è attivato.
-
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione a sinistra, scegli Impostazioni.
-
Nella scheda Blocca accesso pubblico, in Esclusioni, scegli Crea esclusioni.
-
Scegli VPC BPA Public Subnet A, assicurati che sia selezionata l'opzione Consenti direzione Bidirezionale e scegli Crea esclusioni.
-
Attendi che lo Stato dell'esclusione passi su Attivo. Potrebbe essere necessario aggiornare la tabella di esclusione per visualizzare la modifica.
L'esclusione è stata creata.
4.2 Connessione alle istanze
Completa questa sezione per connetterti alle istanze.
-
Esegui il ping dell' IPv4 indirizzo pubblico dell'istanza A. Tieni presente che il traffico è consentito.
-
Esegui il ping dell' IPv4 indirizzo pubblico dell'istanza B. Tieni presente che il traffico è bloccato.
-
Connettiti all'istanza A utilizzando EC2 instance connect come hai fatto nello Scenario 1 e fai ping su www.amazon.com. Tieni presente che puoi inviare il ping a un sito pubblico su Internet dall'istanza A e che il traffico è consentito.
-
Connettiti all'istanza B utilizzando EC2 instance connect come hai fatto nello Scenario 1 e invia il ping a www.amazon.com da essa. Tieni presente che non puoi inviare il ping a un sito pubblico su Internet dall'istanza B e che il traffico è bloccato.
-
Connettiti alle istanze C e D utilizzando EC2 instance connect come hai fatto nello Scenario 1 e invia il ping a www.amazon.com da esse. Tieni presente che puoi inviare il ping a un sito pubblico su Internet dall'istanza C o D. Il traffico è consentito.
4.3 Opzionale: verifica della connettività con Reachability Analyzer
Utilizzando lo stesso percorso di rete creato in Reachability Analyzer nello Scenario 2, è possibile eseguire una nuova analisi e confermare che il percorso è raggiungibile ora che è stata creata un'esclusione per la sottorete pubblica A.
Per informazioni sulla disponibilità regionale di Reachability Analyzer, consulta Considerazioni nella Guida di Reachability Analyzer.
-
Dal percorso di rete creato in precedenza nella console di Network Insights, fai clic su Esegui nuovamente l'analisi.
-
Attendi il completamento del processo. L'operazione potrebbe richiedere alcuni minuti.
-
Verifica che il percorso sia ora raggiungibile.
Scenario 5: modifica della modalità di esclusione
In questa sezione modificherai la direzione del traffico consentita sull'esclusione per vedere in che modo influisce su VPC BPA. Tieni presente che la modalità egress-only per un'esclusione non è realmente significativa con VPC BPA abilitato nella modalità ingress-only a blocchi. Questo è lo stesso comportamento dello Scenario 3.
Diagramma della modalità VPC BPA Ingress-only attivata e dell'esclusione della sottorete A con modalità egress-only attivata:
5.1 Modifica della direzione di esclusione consentita in egress-only
Completa questa sezione per modificare la direzione di esclusione consentita.
-
Modifica l'esclusione creata nello Scenario 4 e modifica la direzione consentita in Egress-only.
-
Scegli Save changes (Salva modifiche).
-
Attendi che lo Stato dell'esclusione passi su Attivo. Potrebbero essere necessari alcuni minuti prima che le impostazioni BPA abbiano effetto e lo stato venga aggiornato. Potrebbe essere necessario aggiornare la tabella di esclusione per visualizzare la modifica.
5.2 Connessione alle istanze
Completa questa sezione per connetterti alle istanze.
-
Esegui il ping dell' IPv4 indirizzo pubblico delle istanze A e B. Tieni presente che il traffico è bloccato.
-
Connettiti all'istanza A e B utilizzando EC2 instance connect come hai fatto nello Scenario 1 e fai ping su www.amazon.com. Tieni presente che non puoi inviare il ping a un sito pubblico su Internet dall'istanza A o B. Il traffico è bloccato.
-
Connettiti alle istanze C e D utilizzando EC2 instance connect come hai fatto nello Scenario 1 e invia il ping a www.amazon.com da esse. Tieni presente che puoi inviare il ping a un sito pubblico su Internet dall'istanza C o D. Il traffico è consentito.
Scenario 6: Modifica della modalità BPA
In questa sezione modificherai la direzione del blocco VPC BPA per vedere in che modo influisce sul traffico. In questo scenario, VPC BPA abilitato in modalità bidirezionale blocca tutto il traffico proprio come nello Scenario 1. A meno che un'esclusione non abbia accesso a un gateway NAT o gateway Internet egress-only, il traffico viene bloccato.
Diagramma della modalità bidirezionale VPC BPA attivata e dell'esclusione della sottorete A con modalità egress-only attivata:
6.1 Modifica di VPC BPA in modalità bidirezionale
Completa questa sezione per modificare la modalità BPA.
-
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione a sinistra, scegli Impostazioni.
-
Scegli Modifica impostazioni di accesso pubblico.
-
Modifica la direzione del blocco in Bidirezionale, quindi scegli Salva modifiche.
-
Attendi che lo stato passi su Abilitato. Potrebbero essere necessari alcuni minuti prima che le impostazioni BPA abbiano effetto e lo stato venga aggiornato.
6.2 Connessione alle istanze
Completa questa sezione per connetterti alle istanze.
-
Esegui il ping dell' IPv4 indirizzo pubblico delle istanze A e B. Tieni presente che il traffico è bloccato.
-
Connettiti all'istanza A e B utilizzando EC2 instance connect come hai fatto nello Scenario 1 e fai ping su www.amazon.com. Tieni presente che non puoi inviare il ping a un sito pubblico su Internet dall'istanza A o B. Il traffico è bloccato.
-
Connettiti alle istanze C e D utilizzando EC2 instance connect come hai fatto nello Scenario 1 e invia il ping a www.amazon.com da esse. Tieni presente che non puoi inviare il ping a un sito pubblico su Internet dall'istanza C o D e che il traffico è bloccato.
Rimozione
In questa sezione eliminerai tutte le risorse che hai creato per questo esempio avanzato. È importante ripulire le risorse per evitare costi aggiuntivi eccessivi per le risorse create nel tuo account.
Elimina le risorse CloudFormation
Completa questa sezione per eliminare le risorse che hai creato con il AWS CloudFormation modello.
-
Apri la AWS CloudFormation console all'indirizzohttps://console.aws.amazon.com/cloudformation/
. -
Scegli lo stack VPC BPA.
-
Scegli Elimina.
-
Una volta che inizi a eliminare lo stack, visualizza la scheda Eventi per visualizzare lo stato di avanzamento e assicurarti che lo stack venga eliminato. Potrebbe essere necessario forzare l'eliminazione dello stack per eliminarlo completamente.
Tieni traccia dell'eliminazione delle esclusioni con AWS CloudTrail
Completa questa sezione per tenere traccia dell'eliminazione delle esclusioni con. AWS CloudTrail CloudTrail le voci vengono visualizzate quando si elimina un'esclusione.
Puoi visualizzare eventuali esclusioni eliminate nella cronologia degli CloudTrail eventi cercando Tipo di risorsa > AWS:::EC2: VPCBlock PublicAccessExclusion nella AWS CloudTrail console all'indirizzohttps://console.aws.amazon.com/cloudtrailv2/
L'esempio avanzato è completo.
