Esempio: VPC con server in sottoreti private e NAT - Amazon Virtual Private Cloud
Panoramica1. Crea il VPC2. Distribuzione dell'applicazione3. Test della configurazione4. Eliminazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempio: VPC con server in sottoreti private e NAT

Questo esempio dimostra come creare un file da utilizzare per VPC i server in un ambiente di produzione. Per migliorare la resilienza, implementerai i server in due zone di disponibilità, utilizzando un gruppo con scalabilità automatica e un Application Load Balancer. Per una maggiore sicurezza, implementerai i server in sottoreti private. I server ricevono le richieste tramite il sistema di bilanciamento del carico. I server possono connettersi a Internet utilizzando un NAT gateway. Per migliorare la resilienza, si implementa il NAT gateway in entrambe le zone di disponibilità.

Panoramica

Nel diagramma seguente viene fornita una panoramica delle risorse incluse in questo esempio. VPCDispone di sottoreti pubbliche e sottoreti private in due zone di disponibilità. Ogni sottorete pubblica contiene un NAT gateway e un nodo di bilanciamento del carico. I server vengono eseguiti nelle sottoreti private, vengono avviati e terminati utilizzando un gruppo con scalabilità automatica e ricevono traffico dal sistema di bilanciamento del carico. I server possono connettersi a Internet utilizzando il NAT gateway. I server possono connettersi ad Amazon S3 utilizzando un endpoint gatewayVPC.

A VPC con sottoreti in due zone di disponibilità.

Routing

Quando lo crei VPC utilizzando la VPC console Amazon, creiamo una tabella di routing per le sottoreti pubbliche con rotte locali e rotte verso il gateway Internet. Creiamo anche una tabella di routing per le sottoreti private con rotte locali e le rotte verso il gateway, il NAT gateway Internet solo in uscita e l'endpoint del gateway. VPC

Di seguito è riportato un esempio della tabella di routing per le sottoreti pubbliche, con percorsi per entrambi e. IPv4 IPv6 Se crei IPv4 solo sottoreti invece di sottoreti dual stack, la tabella delle rotte include solo le rotte. IPv4

Destinazione Target
10.0.0.0/16 local
2001:db8:1234:1a00::/56 locale
0.0.0.0/0 igw-id
::/0 igw-id

Di seguito è riportato un esempio di tabella di routing per una delle sottoreti private, con percorsi per entrambe e. IPv4 IPv6 Se hai creato sottoreti IPv4 -only, la tabella delle rotte include solo le rotte. IPv4 L'ultima route invia il traffico destinato ad Amazon S3 all'endpoint del VPC gateway.

Destinazione Target
10.0.0.0/16 local
2001:db8:1234:1a00::/56 locale
0.0.0.0/0 nat-gateway-id
::/0 eigw-id
s3-prefix-list-id s3-gateway-id

Sicurezza

Di seguito è riportato un esempio delle regole che è possibile creare per il gruppo di sicurezza che si associa ai server. Il gruppo di sicurezza deve consentire il traffico dal sistema di bilanciamento del carico al protocollo e alla porta dell'ascoltatore. Deve inoltre consentire il controllo dell'integrità del traffico.

Crea Protocollo Intervallo porte Commenti
ID of the load balancer security group listener protocol listener port Consente il traffico in entrata dal sistema di bilanciamento del carico sulla porta dell'ascoltatore
ID of the load balancer security group health check protocol health check port Autorizza il traffico del controllo dell'integrità dal sistema di bilanciamento del carico

1. Crea il VPC

Utilizzare la procedura seguente per creare una sottorete VPC con una sottorete pubblica e una privata in due zone di disponibilità e un NAT gateway in ciascuna zona di disponibilità.

Per creare VPC

  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nella dashboard, scegli Crea VPC.

  3. Per Risorse da creare, scegli VPCe altro ancora.

  4. Configura il VPC

    1. Per la generazione automatica del tag Nome, inserisci un nome per. VPC

    2. Per il IPv4CIDRblocco, puoi mantenere il suggerimento predefinito o, in alternativa, puoi inserire il CIDR blocco richiesto dall'applicazione o dalla rete.

    3. Se la tua applicazione comunica utilizzando IPv6 indirizzi, scegli IPv6CIDRblocca, blocco fornito da Amazon IPv6 CIDR.

  5. Configurazione delle sottoreti

    1. Per Numero di zone di disponibilità, scegli 2, in modo da poter avviare le istanze in più zone di disponibilità per migliorare la resilienza.

    2. Per Number of public subnets (Numero di sottoreti pubbliche), scegli 2.

    3. Per Number of private subnets (Numero di sottoreti private), scegli 2.

    4. Puoi mantenere il CIDR blocco predefinito per la sottorete pubblica o, in alternativa, puoi espandere Personalizza i CIDR blocchi di sottorete e inserire un blocco. CIDR Per ulteriori informazioni, consulta Blocchi di sottorete CIDR.

  6. Per i NATgateway, scegli 1 per AZ per migliorare la resilienza.

  7. Se l'applicazione comunica utilizzando IPv6 indirizzi, per il gateway Internet solo Egress, scegli Sì.

  8. Per gli VPCendpoint, se le istanze devono accedere a un bucket S3, mantieni il gateway S3 predefinito. Altrimenti, le istanze nella tua sottorete privata non possono accedere ad Amazon S3. Questa opzione è gratuita, quindi puoi mantenere l'impostazione predefinita se in futuro prevedi di utilizzare un bucket S3. Se scegli Nessuno, puoi sempre aggiungere un endpoint gateway in un secondo momento. VPC

  9. Per DNSle opzioni, deseleziona Abilita nomi DNS host.

  10. Scegli Crea VPC.

2. Distribuzione dell'applicazione

Idealmente, hai finito di testare i tuoi server in un ambiente di sviluppo o test e creato gli script o le immagini che utilizzerai per implementare l'applicazione in produzione.

Puoi utilizzare Amazon EC2 Auto Scaling per distribuire server in più zone di disponibilità e mantenere la capacità server minima richiesta dalla tua applicazione.

Avvio di istanze utilizzando un gruppo con scalabilità automatica

  1. Crea un modello di avvio per specificare le informazioni di configurazione necessarie per avviare le tue EC2 istanze utilizzando Amazon EC2 Auto Scaling. Per step-by-step istruzioni, consulta Creare un modello di lancio per il tuo gruppo Auto Scaling nella Amazon Auto EC2 Scaling User Guide.

  2. Crea un gruppo Auto Scaling, ovvero una raccolta di EC2 istanze con una dimensione minima, massima e desiderata. Per step-by-step istruzioni, consulta Creare un gruppo Auto Scaling utilizzando un modello di avvio nella Amazon Auto EC2 Scaling User Guide.

  3. Crea un sistema di bilanciamento del carico, che distribuisce il traffico in modo uniforme nel gruppo con scalabilità automatica, e collega il sistema di bilanciamento del carico al gruppo con scalabilità automatica. Per ulteriori informazioni, consulta la Elastic Load Balancing User Guide e Use Elastic Load Balancing nella Amazon Auto EC2 Scaling User Guide.

3. Test della configurazione

Dopo aver completato l'implementazione dell'applicazione, potrai testarla. Se l'applicazione non è in grado di inviare o ricevere il traffico previsto, puoi utilizzare Sistema di analisi della reperibilità per risolvere i problemi. Ad esempio, Sistema di analisi della reperibilità può identificare i problemi di configurazione relativi alle tabelle di instradamento o ai gruppi di sicurezza. Per ulteriori informazioni, consulta la Guida di Reachability Analyzer.

4. Eliminazione

Quando la configurazione non è più necessaria, è possibile eliminarla. Prima di poter eliminare ilVPC, è necessario eliminare il gruppo Auto Scaling, terminare le istanze, eliminare i NAT gateway ed eliminare il load balancer. Per ulteriori informazioni, consulta Elimina il tuo VPC.