Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Account di rete
L'account Networking funge da hub centrale per il routing di rete tra gli account di landing zone con più account AMS, la rete locale e il traffico in uscita verso Internet. Inoltre, questo account contiene bastioni DMZ pubblici che rappresentano il punto di ingresso per gli ingegneri AMS per accedere agli host nell'ambiente AMS. Per i dettagli, consultate il seguente diagramma di alto livello dell'account di rete riportato di seguito.
![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/malzNetworkAccount.png)
# Architettura degli account di rete
Il diagramma seguente illustra l'ambiente di landing zone multi-account AMS, mostra i flussi di traffico di rete tra gli account ed è un esempio di configurazione ad alta disponibilità.
![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW-2.png)
![\[Diagram showing network traffic flow between Account AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)
AMS configura per te tutti gli aspetti del networking in base ai nostri modelli standard e alle opzioni selezionate fornite durante l'onboarding. Al tuo account AWS viene applicato un design di rete AWS standard e viene creato un VPC per te e connesso ad AMS tramite VPN o Direct Connect. Per ulteriori informazioni su Direct Connect, consulta [AWS Direct Connect](https://aws.amazon.com/directconnect/). Lo standard VPCs include la DMZ, i servizi condivisi e una sottorete di applicazioni. Durante il processo di onboarding, VPCs potrebbero essere richiesti e creati altri dati in base alle esigenze dell'utente (ad esempio, divisioni clienti, partner). Dopo l'onboarding, viene fornito un diagramma di rete: un documento ambientale che spiega come è stata configurata la rete.
**Nota**
Per informazioni sui limiti e i vincoli di servizio predefiniti per tutti i servizi attivi, consulta la documentazione di [AWS Service Limits](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Il design della nostra rete si basa sul [«Principio del minimo privilegio»](https://en.wikipedia.org/wiki/Principle_of_least_privilege) di Amazon. A tal fine, indirizziamo tutto il traffico, in ingresso e in uscita, attraverso una DMZ, ad eccezione del traffico proveniente da una rete affidabile. L'unica rete affidabile è quella configurata tra l'ambiente locale e il VPC tramite l'uso di una and/or VPN e AWS Direct Connect (DX). L'accesso è garantito tramite l'uso di istanze bastion, impedendo così l'accesso diretto a qualsiasi risorsa di produzione. Tutte le applicazioni e le risorse risiedono all'interno di sottoreti private raggiungibili tramite sistemi di bilanciamento del carico pubblici. Il traffico pubblico in uscita attraversa i gateway NAT nel VPC in uscita (nell'account di rete) verso l'Internet Gateway e quindi verso Internet. In alternativa, il traffico può fluire attraverso la tua VPN o Direct Connect verso il tuo ambiente locale.
# Connettività di rete privata all'ambiente di landing zone multi-account AMS
AWS offre connettività privata tramite connettività di rete privata virtuale (VPN) o linee dedicate con AWS Direct Connect. La connettività privata nell'ambiente con più account viene configurata utilizzando uno dei metodi descritti di seguito:
+ Connettività Edge centralizzata tramite Transit Gateway
+ Connessione della and/or VPN Direct Connect (DX) agli account cloud privati virtuali () VPCs
# Connettività edge centralizzata tramite gateway di transito
AWS Transit Gateway è un servizio che ti consente di connettere le tue reti VPCs e quelle locali a un unico gateway. Transit gateway (TGW) può essere utilizzato per consolidare la connettività edge esistente e indirizzarla attraverso un unico punto. ingress/egress Il gateway di transito viene creato nell'account di rete dell'ambiente multi-account AMS. Per ulteriori dettagli sul gateway di transito, consulta [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Il gateway AWS Direct Connect (DX) viene utilizzato per connettere la connessione DX tramite un'interfaccia virtuale di transito a VPCs o VPNs che sono collegati al gateway di transito. È possibile associare un gateway Direct Connect al gateway di transito. Quindi, crea un'interfaccia virtuale di transito per la tua connessione AWS Direct Connect al gateway Direct Connect. Per informazioni sulle interfacce virtuali DX, consulta Interfacce [virtuali AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).
Questa configurazione offre i seguenti vantaggi. Puoi:
+ Gestisci una singola connessione per più connessioni VPCs o VPNs che si trovano nella stessa regione AWS.
+ Pubblicizza prefissi da locale ad AWS e da AWS a locale.
**Nota**
[Per informazioni sull'utilizzo di un DX con i servizi AWS, consulta la sezione Resiliency Toolkit Classic.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Per ulteriori informazioni, consulta [Associazioni Transit Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).
![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/malz-cent-edge.png)
Per aumentare la resilienza della tua connettività, ti consigliamo di collegare almeno due interfacce virtuali di transito da diverse postazioni AWS Direct Connect al gateway Direct Connect. Per ulteriori informazioni, consulta la [raccomandazione sulla resilienza di AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/).
# Connessione di DX o VPN all'account VPCs
Con questa opzione, gli ambienti VPCs di landing zone con più account AMS sono collegati direttamente a Direct Connect o VPN. Il traffico fluisce direttamente VPCs da Direct Connect o VPN senza attraversare il gateway di transito.
# Risorse nell'account di rete
Come illustrato nello schema degli account di rete, i seguenti componenti vengono creati nell'account e richiedono l'input dell'utente.
**L'account Networking ne contiene due VPCs: **Egress VPC** e **DMZ VPC, noto anche come VPC** perimetrale.**
# Gestore di rete AWS
AWS Network Manager è un servizio che consente di visualizzare le reti di gateway di transito (TGW) senza costi aggiuntivi per AMS. Fornisce il monitoraggio centralizzato della rete sia sulle risorse AWS che sulle reti locali, un'unica visione globale della rete privata in un diagramma topologico e in una mappa geografica e metriche di utilizzo, come lo stato della connessione in byte. in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down Per informazioni, consulta [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).
Utilizza uno dei seguenti ruoli per accedere a questa risorsa:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole
# VPC in uscita
L'Egress VPC viene utilizzato principalmente per il traffico in uscita verso Internet ed è composto da sottoreti in un massimo public/private di tre zone di disponibilità (). AZs I gateway NAT (Network Address Translation) vengono forniti nelle sottoreti pubbliche e gli allegati VPC del gateway di transito (TGW) vengono creati nelle sottoreti private. Il traffico Internet in uscita, o in uscita, proveniente da tutte le reti entra attraverso la sottorete privata tramite TGW, dove viene quindi indirizzato a un NAT tramite le tabelle di routing VPC.
Per i tuoi VPCs che contengono applicazioni rivolte al pubblico in una sottorete pubblica, il traffico proveniente da Internet è contenuto all'interno di quel VPC. Il traffico di ritorno non viene instradato al VPC TGW o Egress, ma reindirizzato attraverso il gateway Internet (IGW) nel VPC.
**Nota**
Intervallo CIDR VPC di rete: quando si crea un VPC, è necessario specificare un intervallo di indirizzi IPv4 per il VPC sotto forma di blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.16.0/24. Si tratta del blocco CIDR principale per il VPC.
Il team di AMS multi-account landing zone consiglia l'intervallo di 24 (con più indirizzi IP) per fornire un certo margine nel caso in cui altre risorse/apparecchiature vengano utilizzate in futuro.
# VPC perimetrale (DMZ)
Il VPC Perimeter, o DMZ, contiene le risorse necessarie ai tecnici operativi AMS per accedere alle reti AMS. Contiene sottoreti pubbliche su 2-3 file AZs, con host SSH Bastions in un gruppo di Auto Scaling (ASG) a cui gli ingegneri di AMS Operations possono accedere o effettuare il tunneling. **I gruppi di sicurezza collegati ai bastioni DMZ contengono regole in entrata sulla porta 22 di Amazon Corp Networks.**
*Intervallo CIDR VPC DMZ:* quando si crea un VPC, è necessario specificare un intervallo di indirizzi IPv4 per il VPC sotto forma di blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.16.0/24. Si tratta del blocco CIDR principale per il VPC.
**Nota**
Il team AMS consiglia l'intervallo di 24 (con più indirizzi IP) per fornire un buffer nel caso in cui altre risorse, come un firewall, vengano implementate in futuro.
# AWS Transit Gateway
AWS Transit Gateway (TGW) è un servizio che consente di connettere Amazon Virtual Private Clouds (VPCs) e le reti locali a un unico gateway. Transit gateway è la spina dorsale di rete che gestisce il routing tra reti di account AMS e reti esterne. Per informazioni su Transit Gateway, consulta [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Fornisci il seguente input per creare questa risorsa:
+ *Numero ASN del Transit Gateway* \$1: Fornisci l'Autonomous System Number (ASN) privato per il tuo gateway di transito. Dovrebbe essere l'ASN del lato AWS di una sessione Border Gateway Protocol (BGP). L'intervallo è compreso tra 64512 e 65534 per 16 bit. ASNs