Configurazione per l'accesso a Internet

Per consentire alle istanze di ricevere o inviare traffico da Internet, effettua le seguenti operazioni:

Per fornire alle istanze l'accesso a Internet senza assegnare indirizzi IP pubblici a tali istanze, utilizza un dispositivo NAT. Un dispositivo NAT consente alle istanze di una sottorete privata di connettersi a Internet, ma impedisce agli host su Internet di avviare connessioni con le istanze. Per ulteriori informazioni, consulta Dispositivi NAT.

Sottoreti pubbliche e private

Se la sottorete è associata a una tabella di routing che ha una route a un Internet Gateway, è nota come una sottorete pubblica. Se una sottorete è associata a una tabella di routing che non dispone di una route a un Internet Gateway, è nota come una sottorete privata.

Nella tabella di routing della sottorete pubblica, puoi specificare una route per il gateway Internet verso tutte le destinazioni non esplicitamente note alla tabella delle rotte (0.0.0.0/0per IPv4 o ::/0 per IPv6). In alternativa, puoi definire il percorso fino a un intervallo più ristretto di indirizzi IP, ad esempio gli indirizzi pubblici degli endpoint pubblici della tua azienda esterni al tuo VPC o IPv4 gli indirizzi IP elastici di AWS altre EC2 istanze Amazon al di fuori del tuo VPC.

Indirizzi IP e NAT

Per abilitare la comunicazione su Internet per IPv4, l'istanza deve avere un indirizzo pubblico. IPv4 Puoi configurare il tuo VPC per assegnare automaticamente IPv4 indirizzi pubblici alle tue istanze oppure puoi assegnare indirizzi IP elastici alle tue istanze. L'istanza conosce soltanto lo spazio degli indirizzi IP (interni) privati definito nel VPC e nella sottorete. Il gateway Internet fornisce logicamente il one-to-one NAT per conto dell'istanza, in modo che quando il traffico lascia la sottorete VPC e va a Internet, il campo dell'indirizzo di risposta viene impostato sull'indirizzo pubblico o sull' IPv4 indirizzo IP elastico dell'istanza e non sul suo indirizzo IP privato. Al contrario, il traffico destinato all' IPv4 indirizzo pubblico o all'indirizzo IP elastico dell'istanza ha l'indirizzo di destinazione tradotto nell' IPv4 indirizzo privato dell'istanza prima che il traffico venga consegnato al VPC.

Per abilitare la comunicazione su Internet IPv6, il VPC e la sottorete devono avere un blocco IPv6 CIDR associato e all'istanza deve essere assegnato un IPv6 indirizzo compreso nell'intervallo della sottorete. IPv6 gli indirizzi sono unici a livello globale e quindi pubblici per impostazione predefinita.

Nel diagramma seguente, la sottorete situata in zona di disponibilità A è una sottorete pubblica. La tabella di routing per questa sottorete ha una route che invia tutto il IPv4 traffico collegato a Internet al gateway Internet. Le istanze nella sottorete pubblica devono avere indirizzi IP pubblici o indirizzi IP elastici per consentire la comunicazione con Internet tramite il gateway Internet. Per fare un confronto, la sottorete nella zona di disponibilità B è una sottorete privata perché la tabella di routing non dispone di un routing al gateway Internet. Poiché non esiste un percorso verso il gateway Internet, le istanze nella sottorete privata non possono comunicare con Internet anche se hanno indirizzi IP pubblici.

Accesso a Internet predefinito e non predefinito VPCs

La tabella seguente fornisce una panoramica del fatto che il VPC venga fornito automaticamente con i componenti necessari per l'accesso a Internet tramite o. IPv4 IPv6

Per ulteriori informazioni sulle impostazioni predefinite VPCs, vederePredefinito VPCs. Per ulteriori informazioni sulla creazione di un VPC, consulta Crea un VPC.