# Onboarding degli endpoint API piano dati AWS IoT Core per LoRaWAN
<a name="onboard-lns-cups-endpoints"></a>

Gli endpoint del piano dati AWS IoT Core per LoRaWAN sono costituiti dai seguenti endpoint. Questi endpoint si ottengono quando si aggiunge il gateway ad AWS IoT Core per LoRaWAN. Per ulteriori informazioni, consultare [Aggiungi un gateway a AWS IoT Core per LoRaWAN](lorawan-onboard-gateway-add.md).
+ 

**Endpoint LoRaWAN Network Server (LNS)**  
Gli endpoint LNS sono del formato `account-specific-prefix.lns.lorawan.region.amazonaws.com`. È possibile utilizzare questo endpoint per stabilire una connessione per lo scambio di messaggi uplink e downlink LoRa.
+ 

**Endpoint CUPS (Configuration and Update Server)**  
Gli endpoint CUPS sono del formato `account-specific-prefix.cups.lorawan.region.amazonaws.com`. È possibile utilizzare questo endpoint per la gestione delle credenziali, la configurazione remota e l'aggiornamento del firmware dei gateway.

Per ulteriori informazioni, consultare [Utilizzo di protocolli CUPS e LNS](lorawan-manage-gateways.md#lorawan-cups-lns-protocols).

Per trovare gli endpoint dell'API del piano dati per il tuo Account AWS e la tua Regione, utilizza il comando CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotwireless/get-service-endpoint.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotwireless/get-service-endpoint.html) mostrato qui, o il comando REST API [https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html](https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html). Per ulteriori informazioni, consulta [AWS IoT Core per LoRaWAN Endpoint API Piano Dati](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core.html#iot-wireless-data-plane-endpoints).

È possibile collegare il tuo gateway LoRaWAN on-premise per comunicare con gli endpoint AWS IoT Core per LoRaWAN. Per stabilire questa connessione, connetti innanzitutto il gateway locale all’account Account AWS nel VPC utilizzando una connessione VPN. È quindi possibile comunicare con gli endpoint dell'interfaccia del piano dati nel VPC AWS IoT Core per LoRaWAN che sono alimentati da privatelink.

**Topics**
+ [Crea endpoint di interfaccia VPC e zona ospitata privata](create-vpc-lns-cups.md)
+ [Utilizza VPN per connettere i gateway LoRa al tuo Account AWS](lorawan-vpc-vpn-connection.md)

# Crea endpoint di interfaccia VPC e zona ospitata privata
<a name="create-vpc-lns-cups"></a>

AWS IoT Core per LoRaWAN dispone di due endpoint del piano dati, l'endpoint Configuration and Update Server (CUPS) e l'endpoint LoRaWAN Network Server (LNS). Il processo di configurazione per stabilire una connessione privatelink a entrambi gli endpoint è lo stesso, quindi possiamo utilizzare l'endpoint LNS a scopo illustrativo.

Per gli endpoint del piano dati, i gateway LoRa si connettono innanzitutto al tuo Account AWS nel tuo Amazon VPC, che poi si connette all'endpoint VPC nel VPC AWS IoT Core per LoRaWAN.

Quando ci si connette agli endpoint, i nomi DNS possono essere risolti all'interno di un VPC ma non possono essere risolti su più VPC. Per disabilitare il DNS privato durante la creazione dell'endpoint, disabilita l’impostazione **Enable DNS name (Abilitare nome DNS)**. È possibile utilizzare una zona ospitata privata per fornire informazioni su come si desidera che Route 53 risponda alle query DNS per i VPC. Per condividere il VPC con un ambiente on-premise, è possibile utilizzare un Route 53 Resolver per facilitare il DNS ibrido.

**Topics**
+ [Crea un Amazon VPC e una sottorete](#lns-create-vpc)
+ [Crea un endpoint Amazon VPC dell'interfaccia](#lns-create-vpc-endpoint)
+ [Configura una zona ospitata privata](#create-phz-lns)
+ [Configura il resolver in ingresso Route 53](#configure-route53-resolver)
+ [Passaggi successivi](#lns-cups-next-steps)

## Crea un Amazon VPC e una sottorete
<a name="lns-create-vpc"></a>

Puoi riutilizzare l’Amazon VPC e la sottorete che hai creato durante l'onboarding dell'endpoint del piano di controllo. Per informazioni, consulta [Crea il tuo Amazon VPC e la sottorete](lorawan-onboard-control-endpoint.md#create-vpc).

## Crea un endpoint Amazon VPC dell'interfaccia
<a name="lns-create-vpc-endpoint"></a>

È possibile creare un endpoint VPC per il VPC, allo stesso modo in cui se ne creerebbe uno per l'endpoint del piano di controllo.

1. Passa alla console [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) **Endpoint** e scegli **Create Endpoint (Creazione endpoint)**.

1. Nella pagina **Create Endpoint (Crea endpoint)**, specifica le informazioni riportate di seguito.
   + Scegli **Servizio AWSs** per **Categoria di servizio**.
   + Per **Service Name (Nome servizio)**, esegui la ricerca inserendo la parola chiave **lns**. Nella lista dei servizi `lns`, scegli l'endpoint API del piano dati LNS per la propria regione. L'endpoint sarà del formato `com.amazonaws.region.lorawan.lns`.
**Nota**  
Se stai seguendo questa procedura per il tuo endpoint CUPS, cerca `cups`. L'endpoint sarà del formato `com.amazonaws.region.lorawan.cups`.
   + Per **VPC** e **Subnets (Sottoreti)** scegli il VPC in cui desideri creare l'endpoint e le zone di disponibilità in cui desideri creare la rete endpoint.
**Nota**  
Non tutte le zone di disponibilità possono essere supportate per il servizio `iotwireless`.
   + Per **Enable DNS name (Abilitare nome DNS)**, assicurati che **Enable for this endpoint (Abilita per questo endpoint)** non sia selezionata.

     Non selezionando questa opzione, è possibile disabilitare il DNS privato per l'endpoint VPC e utilizzare invece la zona ospitata privata.
   + In **Security group (Gruppo di sicurezza)**, scegli i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.
   + Facoltativamente, puoi aggiungere o rimuovere i tag. I tag sono coppie nome-valore utilizzate per l'associazione al tuo endpoint. 

1. Per creare l'endpoint VPC, scegli **Create endpoint (Crea endpoint)**.

## Configura una zona ospitata privata
<a name="create-phz-lns"></a>

Dopo aver creato l'endpoint privatelink, nella scheda **Details (Dettagli)** del tuo endpoint viene visualizzato un elenco di nomi DNS. È possibile utilizzare uno di questi nomi DNS per configurare la zona ospitata privata. Il nome DNS sarà nel formato `vpce-xxxx.lns.lorawan.region.vpce.amazonaws.com`.

**Creare la zona ospitata privata**  
Per creare una zona ospitata privata:

1. Passa alla console [Route 53](https://console.aws.amazon.com/route53/v2/hostedzones#/) **Hosted zone (Zone ospitate)** e scegli **Create hosted zone (Crea una zona ospitata)**.

1. Nella pagina **Create hosted zone (Crea una zona ospitata)**, specifica le informazioni riportate di seguito.
   + Per **Domain name (Nome dominio)**, inserisci il nome completo del servizio per l'endpoint LNS, **lns.lorawan.region.amazonaws.com**.
**Nota**  
Se stai seguendo questa procedura per il tuo endpoint CUPS, inserisci **cups.lorawan.region.amazonaws.com**.
   + Nell'elenco **Type (Tipo)**, scegli **Private Hosted Zone (Zona ospitata privata)**.
   + Facoltativamente, puoi aggiungere o rimuovere tag da associare alla tua zona ospitata.

1. Per creare la tua zona privata ospitata, scegli **Create hosted zone (Crea una zona ospitata)**.

Per ulteriori informazioni consulta [Creating a private hosted zone (Creazione di una zona ospitata privata)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html).

Dopo aver creato una zona ospitata privata, è possibile creare un registro che indica al DNS come si desidera che il traffico venga instradato a quel dominio.

**Creazione di un record**  
Dopo aver creato una zona ospitata privata, è possibile creare un registro che indica al DNS come si desidera che il traffico venga instradato a quel dominio. Per creare un record:

1. Nell'elenco delle zone ospitate visualizzate, scegli la zona ospitata privata creata in precedenza e scegli **Create record (Crea un record)**.

1. Utilizza il metodo della procedura guidata per creare il record. Se la console presenta il metodo **Quick create (Creazione rapida)**, scegli **Switch to wizard (Passa alla procedura guidata)**.

1. Scegli **Simple Routing (Instradamento semplice)** per **Routing policy (Policy di instradamento)** e poi **Next (Successivo)**.

1. Nella pagina **Configure records (Configura record)**, scegli **Define simple record (Definisci record semplice)**.

1. Nella pagina **Define simple record (Definisci record semplice)**:
   + Per **Record name (Nome record)** inserisci l'alias del numero del tuo account Account AWS. È possibile ottenere questo valore quando si esegue l'onboarding del gateway o si utilizza il [https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html](https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html) REST API.
   + Per **Record type (Tipo di record)**, mantieni il valore come `A - Routes traffic to an IPv4 address and some AWS resources`.
   + In **Value/Route traffic to (Valore/Instradamento del traffico a)**, seleziona **Alias to VPC endpoint (Alias all’endpoint VPC)**. Scegli la tua **Regione** quindi scegli l'endpoint creato in precedenza, come descritto in [Crea un endpoint Amazon VPC dell'interfaccia](#lns-create-vpc-endpoint) dall'elenco degli endpoint visualizzati.

1. Scegli **Define simple record (Definizione del record semplice)** per creare il record.

## Configura il resolver in ingresso Route 53
<a name="configure-route53-resolver"></a>

Per condividere un endpoint VPC in un ambiente on-premise, è possibile utilizzare un Resolver Route 53 per facilitare il DNS ibrido. Il resolver in ingresso consente di instradare il traffico dalla rete on-premise agli endpoint del piano dati senza passare attraverso Internet pubblico. Per restituire i valori dell'indirizzo IP privato per il servizio, crea il Resolver Route 53 nello stesso VPC dell'endpoint VPC.

Quando si crea il resolver in entrata, è sufficiente specificare il VPC e le sottoreti create in precedenza nelle zone di disponibilità. Il Resolver Route 53 utilizza queste informazioni per assegnare automaticamente un indirizzo IP per instradare il traffico a ciascuna sottorete.

Per creare il resolver in entrata:

1. Passa alla console [Route 53](https://console.aws.amazon.com/route53/v2/inbound-endpoints#/) **Inbound endpoints (Endpoint in entrata)** e scegli **Create inbound endpoint (Crea endpoint in entrata)**.
**Nota**  
Assicurati di utilizzare lo stesso Regione AWS utilizzato durante la creazione dell'endpoint e della zona ospitata privata.

1. Nella pagina **Create inbound endpoint (Crea endpoint in entrata)**, specifica le informazioni riportate di seguito.
   + Inserisci un nome per **Endpoint name (Nome endpoint)** (ad esempio, **VPC\$1A\$1Test**).
   + Per **VPC in the region (VPC nella regione)**, scegli lo stesso VPC utilizzato durante la creazione dell'endpoint VPC.
   + Configura il **Gruppo di sicurezza per questo endpoint** per permettere il traffico in ingresso dalla rete locale.
   + Per l'indirizzo IP, scegli **Use an IP address that is selected automatically, (Utilizza un indirizzo IP selezionato automaticamente).**

1. Scegli **Submit (Invia)** per creare il resolver in entrata.

Per questo, supponiamo che gli indirizzi IP `10.100.0.145` e `10.100.192.10` siano stati assegnati per il Resolver Route 53 in ingresso per il traffico di routing.

## Passaggi successivi
<a name="lns-cups-next-steps"></a>

Hai creato la zona ospitata privata e un risolutore in entrata per instradare il traffico per le voci DNS. Ora puoi utilizzare una Site-to-Site VPN o un endpoint Client VPN. Per ulteriori informazioni, consultare [Utilizza VPN per connettere i gateway LoRa al tuo Account AWS](lorawan-vpc-vpn-connection.md). 

# Utilizza VPN per connettere i gateway LoRa al tuo Account AWS
<a name="lorawan-vpc-vpn-connection"></a>

Per connettere i gateway on-premise al tuo Account AWS puoi utilizzare una connessione Site-to-Site VPN o un endpoint Client VPN.

Prima di poter connettere i gateway on-premise, è necessario aver creato l'endpoint VPC e configurato una zona ospitata privata e un resolver in ingresso in modo che il traffico proveniente dai gateway non passi attraverso Internet pubblico. Per ulteriori informazioni, consultare [Crea endpoint di interfaccia VPC e zona ospitata privata](create-vpc-lns-cups.md).

## endpoint Site-to-Site VPN
<a name="vpc-site-vpn"></a>

Se non disponi dell'hardware del gateway o desideri testare la connessione VPN utilizzando un Account AWS, puoi usare una connessione Site-to-Site VPN. Puoi utilizzare Site-to-Site VPN per connetterti agli endpoint VPC dallo stesso Account AWS o da un altro Account AWS che potresti usare in un altro Regione AWS.

**Nota**  
Se disponi dell'hardware del gateway e desideri configurare una connessione VPN, ti consigliamo di utilizzare invece il Client VPN. Per istruzioni, consulta [Endpoint Client VPN](#vpc-client-vpn).

Per configurare un Site-to-Site VPN:

1. Crea un altro VPC nel sito da cui desideri impostare la connessione. Per `VPC-A` puoi riutilizzare il VPC creato in precedenza. Per creare un altro VPC (ad esempio, `VPC-B`), utilizza un blocco CIDR che non si sovrappone al blocco CIDR del VPC creato in precedenza.

   Per informazioni sulla configurazione dei VPC, segui le istruzioni descritte in [AWS configurazione della connessione Site-to-Site VPN](samples/Setup_Site_to_Site_VPN.zip).
**Nota**  
Il metodo Site-to-Site VPN descritto nel documento utilizza OpenSWAN per la connessione VPN, che supporta un solo tunnel VPN. Se utilizzi un altro software commerciale per la VPN, potresti essere in grado di impostare due tunnel tra i siti.

1. Dopo aver configurato la connessione VPN, aggiorna il file `/etc/resolv.conf` aggiungendo l'indirizzo IP del resolver in entrata dal tuo account Account AWS. Utilizza questo indirizzo IP per il nameserver. Per informazioni su come ottenere questo indirizzo IP, consulta [Configura il resolver in ingresso Route 53](create-vpc-lns-cups.md#configure-route53-resolver). Per questo esempio, possiamo usare l'indirizzo IP `10.100.0.145` assegnato al momento della creazione del Resolver Route 53.

   ```
   options timeout:2 attempts:5
   ; generated by /usr/sbin/dhclient-script
   search region.compute.internal
   nameserver 10.100.0.145
   ```

1. Ora possiamo verificare se la connessione VPN utilizza l'endpoint AWS PrivateLink invece di passare attraverso Internet pubblico utilizzando un comando `nslookup`. Di seguito viene illustrato un esempio dell’esecuzione del comando.

   ```
   nslookup account-specific-prefix.lns.lorawan.region.amazonaws.com
   ```

   Di seguito viene illustrato un esempio di output dell'esecuzione del comando, che mostra un indirizzo IP privato che indica che la connessione è stata stabilita all’endpoint LNS AWS PrivateLink.

   ```
   Server: 10.100.0.145
   Address: 10.100.0.145
   
   Non-authoritative answer:
   Name: https://xxxxx.lns.lorawan.region.amazonaws.com
   Address: 10.100.0.204
   ```

Per informazioni sull'utilizzo di una connessione Site-to-Site VPN, consulta [Funzionamento di Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html).

## Endpoint Client VPN
<a name="vpc-client-vpn"></a>

AWS Client VPN è un servizio VPN gestito, basato su cloud, che consente di controllare in modo sicuro l'accesso alle risorse AWS nella tua rete locale. Di seguito viene illustrata l'architettura per il servizio Client VPN.

![\[Immagine che mostra come è possibile utilizzare AWS Client VPN per connettere il gateway LoRa on-premise.\]](http://docs.aws.amazon.com/it_it/iot-wireless/latest/developerguide/images/lorawan-privatelink-client-vpn.png)


Per stabilire una connessione VPN a un endpoint Client VPN:

1. Crea un endpoint Client VPN seguendo le istruzioni descritte in [ Nozioni di base su AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html).

1. Accedi alla rete on-premise (ad esempio, un router Wi-Fi) utilizzando l'URL di accesso per tale router (ad esempio, `192.168.1.1`), e individua nome e password di root.

1. Configura il gateway LoRaWAN seguendo le istruzioni contenute nella documentazione del gateway e quindi aggiungi il gateway ad AWS IoT Core per LoRaWAN. Per informazioni su come aggiungere un gateway, consulta [Integrare i gateway per AWS IoT Core per LoRaWAN](lorawan-onboard-gateways.md).

1. Controlla che il firmware del gateway sia aggiornato. Se il firmware non è aggiornato, è possibile seguire le istruzioni fornite nella rete On-premise per aggiornare il firmware del gateway. Per ulteriori informazioni, consultare [Aggiornare il firmware del gateway utilizzando il servizio CUPS con AWS IoT Core per LoRaWAN](lorawan-update-firmware.md).

1. Verifica se OpenVPN è stato abilitato. Se è stato abilitato, passa al passaggio successivo per configurare il client OpenVPN all'interno della rete on-premise. Se non è stato abilitato, segui le istruzioni in [Guida all'installazione di OpenVPN per OpenWrt](https://www.ovpn.com/en/guides/openwrt).
**Nota**  
In questo esempio viene utilizzato OpenVPN. È possibile utilizzare altri client VPN come Site-to-Site VPN o AWS Direct Connect per configurare la connessione Client VPN.

1. Configura il client OpenVPN in base alle informazioni dalla configurazione del client e alle modalità di utilizzo [Client OpenVPN che utilizza LuCi](https://openwrt.org/docs/guide-user/services/vpn/openvpn/client-luci).

1. SSH alla rete on-premise e aggiorna il file `/etc/resolv.conf` aggiungendo l'indirizzo IP del resolver in entrata nel tuo account Account AWS (`10.100.0.145`).

1. Per il traffico del gateway utilizza AWS PrivateLink per connetterti all'endpoint, sostituisci la prima voce DNS del gateway all'indirizzo IP del resolver in ingresso.

Per informazioni sull'utilizzo di una connessione Site-to-Site VPN, consulta [Nozioni di base su Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html).

## Connessione agli endpoint LNS e CUPS VPC
<a name="vpc-vpn-connect"></a>

Di seguito viene illustrato come testare la connessione agli endpoint LNS e CUPS VPC.

**Test dell'endpoint CUPS**  
Per testare la connessione AWS PrivateLink all'endpoint CUPS dal gateway LoRa, esegui il comando seguente:

```
curl -k -v -X POST https://xxxx.cups.region.iotwireless.iot:443/update-info 
     --cacert cups.trust --cert cups.crt --key cups.key --header "Content-Type: application/json" 
     --data '{ 
              "router": "xxxxxxxxxxxxx", 
              "cupsUri": "https://xxxx.cups.lorawan.region.amazonaws.com:443",
              "cupsCredCrc":1234, "tcCredCrc":552384314
             }' 
      —output cups.out
```

**Test dell'endpoint LNS**  
Per testare l'endpoint LNS, effettua prima il provisioning di un dispositivo LoRaWAN che funzionerà con il gateway wireless. Puoi quindi aggiungere il dispositivo ed eseguire la procedura *join* dopo la quale è possibile iniziare a inviare messaggi di uplink.