Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Connessioni in peering di VPC
<a name="working-with-vpc-peering"></a>

Il peering VPC consente di connettere due VPC nella stessa Regione AWS o in Regioni diverse. Ciò consente alle istanze di un VPC di comunicare con le istanze dell'altro VPC come se si trovassero nella stessa rete.

Un peering VPC crea un instradamento di rete diretto tra i due VPC utilizzando indirizzi IPv4 o IPv6 privati. Il traffico inviato tra i VPC connessi non attraversa Internet, una connessione VPN o una connessione AWS Direct Connect. Ciò rende il peering VPC un modo sicuro per condividere risorse, come database o server Web, oltre i confini del VPC.

Per stabilire una connessione peering VPC, devi creare una richiesta di connessione peering da un VPC e il proprietario dell’altro VPC deve accettare la richiesta. Una volta stabilita la connessione, puoi aggiornare le tabelle di routing per indirizzare il traffico tra i VPC. Ciò consente alle istanze di un VPC di accedere alle risorse dell'altro VPC.

Il peering VPC è uno strumento importante per la creazione di architetture multi-VPC e la condivisione di risorse oltre i confini organizzativi in AWS. Fornisce un modo semplice e a bassa latenza per connettere i VPC senza la complessità della configurazione di un VPN o di altri servizi di rete.

Utilizza le seguenti procedure per creare e utilizzare connessioni peering VPC.

**Topics**
+ [

# Creazione di una connessione peering VPC
](create-vpc-peering-connection.md)
+ [

# Accetta o rifiuta una connessione peering VPC.
](accept-vpc-peering-connection.md)
+ [

# Aggiornamento delle tabelle di routing per una connessione peering VPC
](vpc-peering-routing.md)
+ [

# Aggiornamento dei gruppi di sicurezza per fare riferimento a gruppi di sicurezza peer di riferimento
](vpc-peering-security-groups.md)
+ [

# Abilitazione della risoluzione DNS per una connessione peering VPC
](vpc-peering-dns.md)
+ [

# Eliminazione di una connessione peering VPC
](delete-vpc-peering-connection.md)
+ [

# Risoluzione dei problemi di una connessione peering VPC
](troubleshoot-vpc-peering-connections.md)

# Creazione di una connessione peering VPC
<a name="create-vpc-peering-connection"></a>

Per creare una connessione peering VPC, crea dapprima una richiesta di peering con un altro VPC. Per attivare la richiesta, il proprietario del VPC accettante deve accettare la richiesta. Sono supportate le seguenti connessioni peering:
+ Tra VPC nello stesso account e nella stessa regione
+ Tra VPC nello stesso account e in regioni differenti
+ Tra VPC in account differenti e nella stessa regione
+ Tra VPC in account e regioni differenti

Per una connessione peering VPC interregionale, la richiesta deve essere effettuata dalla regione del VPC richiedente e deve essere accettata dalla regione del VPC accettante. Per ulteriori informazioni, consulta [Accetta o rifiuta una connessione peering VPC.](accept-vpc-peering-connection.md).

**Topics**
+ [

## Prerequisiti
](#vpc-peering-connection-prerequisites)
+ [

## Crea una connessione peering tramite la console
](#create-vpc-peering-connection-console)
+ [

## Creare una connessione peering tramite la riga di comando
](#create-vpc-peering-connection-command-line)

## Prerequisiti
<a name="vpc-peering-connection-prerequisites"></a>
+ Controlla le [limitazioni](vpc-peering-basics.md#vpc-peering-limitations) per le connessioni peering VPC.
+ Assicurati che i VPC non abbiano blocchi CIDR IPv4 che si sovrappongono. In caso contrario, lo stato della connessione peering VPC diventa immediatamente `failed`. Questa limitazione si applica anche se i VPC hanno blocchi CIDR IPv6 univoci.

## Crea una connessione peering tramite la console
<a name="create-vpc-peering-connection-console"></a>

Utilizza la seguente procedura per creare una connessione peering VPC.

**Creare una connessione peering tramite la console**

1. Apri la console Amazon VPC all’indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, seleziona **Connessioni peering**.

1. Scegli **Create peering connection** (Crea connessione peering).

1. (Facoltativo) In **Nome**, indica un nome per la connessione peering VPC. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

1. In **ID VPC (Richiedente)**, seleziona un VPC dall’account corrente.

1. In **Seleziona un altro VPC con cui effettuare il peering**, procedi come segue:

   1. In **Account**, per effettuare il peering con un VPC in un altro account seleziona **Altro account** e inserisci l’ID dell’account. Altrimenti, mantieni l’**Account personale**.

   1. In **Regione**, per effettuare il peering con un VPC in un’altra regione seleziona **Altra regione** e scegli la regione. Altrimenti, mantieni la **Regione corrente**.

   1. In **ID VPC (Accettante)**, seleziona un VPC dall’account e dalla regione indicati.

1. (Facoltativo) Per aggiungere un tag, scegli **Add new tag** (Aggiungi nuovo tag) e inserisci la chiave e il valore del tag.

1. Scegli **Create peering connection** (Crea connessione peering).

1. Il proprietario dell’account accettante deve accettare la connessione peering. Per ulteriori informazioni, consulta [Accetta o rifiuta una connessione peering VPC.](accept-vpc-peering-connection.md).

1. Aggiorna le tabelle di routing per entrambi i VPC per consentire la comunicazione tra di loro. Per ulteriori informazioni, consulta [Aggiornamento delle tabelle di routing per una connessione peering VPC](vpc-peering-routing.md).

## Creare una connessione peering tramite la riga di comando
<a name="create-vpc-peering-connection-command-line"></a>

È possibile creare una connessione peering VPC utilizzando i seguenti comandi:
+ [create-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-peering-connection.html) (AWS CLI)
+ [New-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Accetta o rifiuta una connessione peering VPC.
<a name="accept-vpc-peering-connection"></a>

Una connessione peering VPC il cui stato è `pending-acceptance` deve Essere accettata dal proprietario del VPC accettante per essere attivata. Per ulteriori informazioni sullo stato della connessione peering `Deleted`, consulta [Ciclo di vita delle connessioni peering VPC](vpc-peering-basics.md#vpc-peering-lifecycle). Non puoi accettare una richiesta di connessione peering VPC che hai inviato a un altro account AWS. Per creare una connessione peering VPC tra diversi VPC nello stesso account AWS, potrai creare e accettare personalmente la richiesta.

Puoi rifiutare qualsiasi richiesta di connessione peering VPC che hai ricevuto e il cui stato è `pending-acceptance`. Devi accettare connessioni peering VPC solo da Account AWS che conosci e che ritieni affidabili; puoi rifiutare qualsiasi altra richiesta non desiderata. Per ulteriori informazioni sullo stato della connessione peering `Rejected`, consulta [Ciclo di vita delle connessioni peering VPC](vpc-peering-basics.md#vpc-peering-lifecycle).

**Importante**  
Non accettare connessioni peering VPC da account AWS sconosciuti. Un utente malintenzionato può averti inviato una richiesta di connessione peering VPC per ottenere un accesso di rete non autorizzato al tuo VPC. Questo tipo di azione è nota come "peer phishing". Puoi rifiutare senza problemi le richieste di connessione peering VPC non desiderate senza correre il rischio che il richiedente possa accedere alle informazioni sul tuo account AWS o VPC. Per ulteriori informazioni, consulta [Accetta o rifiuta una connessione peering VPC.](#accept-vpc-peering-connection). Puoi anche ignorare la richiesta e lasciarla scadere. Per impostazione predefinita, la richiesta scade dopo 7 giorni.

**Accettare o rifiutare una connessione peering tramite la console**

1. Apri la console Amazon VPC all’indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Utilizzare il selettore della regione per scegliere la regione del VPC accettante.

1. Nel riquadro di navigazione, seleziona **Connessioni peering**. 

1. Per rifiutare una connessione peering, seleziona la connessione peering VPC e scegli **Operazioni**, **Rifiuta richiesta**. Quando viene chiesta la conferma, seleziona **Rifiuta richiesta**.

1. Per accettare una connessione peering, seleziona la connessione peering VPC in attesa (lo stato è `pending-acceptance`) e scegli **Operazioni**, **Accetta richiesta**. Per ulteriori informazioni sugli stati del ciclo di vita di una connessione peering, consulta [Ciclo di vita delle connessioni peering VPC](vpc-peering-basics.md#vpc-peering-lifecycle).

   Se non è presente una connessione peering VPC in sospeso, verifica di aver selezionato la regione del VPC accettante.

1. Quando viene chiesta la conferma, seleziona **Accetta richiesta**.

1. Scegli **Modifica subito le tabelle di instradamento** per aggiungere un instradamento alla tabella di instradamento del VPC in modo da poter inviare e ricevere traffico attraverso la connessione peering. Per ulteriori informazioni, consulta [Aggiornamento delle tabelle di routing per una connessione peering VPC](vpc-peering-routing.md).

**Accettare una connessione peering tramite la riga di comando**
+ [accept-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-peering-connection.html) (AWS CLI)
+ [Approve-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

**Rifiutare una connessione peering tramite la riga di comando**
+ [reject-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-peering-connection.html) (AWS CLI)
+ [Deny-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Aggiornamento delle tabelle di routing per una connessione peering VPC
<a name="vpc-peering-routing"></a>

Per abilitare il traffico IPv4 privato tra istanze in VPC con peering, devi aggiungere una route alle tabelle di instradamento associate alle sottoreti per entrambe le istanze. La destinazione della route è il blocco CIDR (o una sua parte) del VPC peer e la destinazione è l'ID della connessione peering VPC. Per maggiori informazioni, consulta [Configurazione delle tabelle di instradamento](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) nella *Guida per l'utente di Amazon VPC*.

Di seguito è riportato un esempio delle tabelle di instradamento che consentono la comunicazione tra istanze in due VPC con peering, VPC A e VPC B. Ogni tabella ha una route locale e una route che invia il traffico per il VPC peer alla connessione peering VPC.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc/latest/peering/vpc-peering-routing.html)

Analogamente, se i VPC nella connessione peering VPC hanno blocchi CIDR IPv6 associati, potrai aggiungere route che consentono la comunicazione con il VPC peer via IPv6.

Per ulteriori informazioni sulle configurazioni di tabelle di routing supportate per le connessioni peering VPC, consulta [Configurazioni di connessioni peering VPC comuni](peering-configurations.md).

**Considerazioni**
+ Se si dispone di un VPC collegato in peering a molti VPC che hanno blocchi CIDR IPv4 sovrapposti o corrispondenti, assicurarsi che le tabelle di routing siano configurate in modo da non inviare traffico di risposta dal proprio VPC al VPC sbagliato. Al momento AWS non supporta la funzionalità RPF (reverse path forwarding) unicast tra connessioni in peering VPC che controlla l'IP di origine di pacchetti e re-instrada i pacchetti di risposta all'origine. Per ulteriori informazioni, consulta [Routing per traffico di risposta](peering-configurations-partial-access.md#peering-incorrect-response-routing).
+ Il tuo account ha una [quota](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) per il numero di voci che puoi aggiungere per tabella di instradamento. Se il numero di connessioni peering VPC nel tuo VPC supera la quota di voci per una singola tabella di instradamento, prendi in considerazione l'utilizzo di più sottoreti, ognuna associata a una tabella di instradamento personalizzata.
+ Puoi aggiungere una route per una connessione peering VPC il cui stato è `pending-acceptance`. Tuttavia, la route avrà lo stato `blackhole` e non avrà effetto fino a che lo stato della connessione peering VPC non diventerà `active`.

**Per aggiungere una route IPv4 per una connessione peering VPC**

1. Accedere alla console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, seleziona **Tabelle di routing**.

1. Seleziona la casella di controllo accanto alla tabella di instradamento associata alla sottorete in cui si trova la tua istanza.

   Se non associ in maniera esplicita una tabella di instradamento a tale sottorete, alla sottorete sarà implicitamente associata la tabella di instradamento principale per il VPC.

1. Selezionare **Actions (Operazioni)**, **Edit routes (Modifica route)**.

1. Selezionare **Add route (Aggiungi route)**.

1. In **Destination (Destinazione)**, immettere l'intervallo di indirizzi IPv4 verso il quale il traffico di rete nella connessione peering VPC deve Essere diretto. È possibile specificare l'intero blocco CIDR IPv4 del VPC in peering, uno specifico intervallo o un singolo indirizzo IPv4, come l'indirizzo IP dell'istanza con la quale comunicare. Ad esempio, se il blocco CIDR del VPC in peering è `10.0.0.0/16`, è possibile specificare una parte `10.0.0.0/24` o uno specifico indirizzo IP `10.0.0.7/32`.

1. Per **Destinazione** seleziona la connessione peering VPC.

1. Scegli **Save changes** (Salva modifiche).

Il proprietario del VPC peer deve inoltre completare questi passaggi per aggiungere un routing per indirizzare il traffico al VPC tramite la connessione peering VPC.

Se disponi di risorse in Regioni AWS diverse che utilizzano indirizzi IPv6, puoi creare una connessione peering tra Regioni. Puoi quindi aggiungere un routing IPv6 per la comunicazione tra le risorse.

**Per aggiungere una route IPv6 per una connessione peering VPC**

1. Accedere alla console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, seleziona **Tabelle di routing**.

1. Seleziona la casella di controllo accanto alla tabella di instradamento associata alla sottorete in cui si trova la tua istanza.
**Nota**  
Se non si dispone di una tabella di instradamento associata a tale sottorete, selezionare la tabella di instradamento principale per il VPC, in quanto, per impostazione predefinita, la sottorete utilizza la tabella di instradamento. 

1. Selezionare **Actions (Operazioni)**, **Edit routes (Modifica route)**.

1. Selezionare **Add route (Aggiungi route)**.

1. In **Destination (Destinazione)**, immettere l'intervallo di indirizzi IPv6 per il VPC in peering. È possibile specificare l'intero blocco CIDR IPv6 del VPC in peering, uno specifico intervallo o un singolo indirizzo IPv6. Ad esempio, se il blocco CIDR del VPC in peering è `2001:db8:1234:1a00::/56`, è possibile specificare una parte `2001:db8:1234:1a00::/64` o uno specifico indirizzo IP `2001:db8:1234:1a00::123/128`.

1. Per **Destinazione** seleziona la connessione peering VPC.

1. Scegli **Save changes** (Salva modifiche).

Per ulteriori informazioni, consulta le [tabelle di routing](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) nella *Guida per l'utente di Amazon VPC*.

**Aggiungere o sostituire una route tramite la riga di comando**
+ [create-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html) e [replace-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html)(AWS CLI)
+ [New-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html) e [Set-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html)(AWS Tools for Windows PowerShell)

# Aggiornamento dei gruppi di sicurezza per fare riferimento a gruppi di sicurezza peer di riferimento
<a name="vpc-peering-security-groups"></a>

Puoi aggiornare le regole in entrata o in uscita per i gruppi di sicurezza VPC per fare riferimento a gruppi di sicurezza nel VPC collegato in peering. In questo modo, si consente il traffico verso e da istanze associate al gruppo di sicurezza a cui si fa riferimento nel VPC collegato in peering.

**Nota**  
I gruppi di sicurezza in un VPC in peering non sono visualizzati nella console e possono essere selezionati dall'utente.

**Requisiti**
+ Per fare riferimento a un gruppo di sicurezza in un VPC in peering, lo stato della connessione peering VPC deve Essere `active`.
+ Il VPC in peering può essere un VPC nel tuo account o un VPC in un altro account AWS. Per fare riferimento a un gruppo di sicurezza che si trova in un altro account AWS ma nella stessa Regione, includi il numero di account con l'ID del gruppo di sicurezza. Ad esempio, `123456789012/sg-1a2b3c4d`.
+ Non puoi fare riferimento al gruppo di sicurezza di un VPC in peering che si trova in una Regione differente. Puoi invece utilizzare il blocco CIDR del VPC in peering.
+ Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza per ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'intervallo CIDR della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell'altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.

**Per aggiornare le regole di gruppo di sicurezza tramite la console**

1. Accedere alla console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel pannello di navigazione, seleziona **Gruppi di sicurezza**.

1. Seleziona il gruppo di sicurezza ed esegui una delle seguenti operazioni:
   + Per modificare le regole in entrata, scegli **Operazioni**, **Modifica regole in entrata**.
   + Per modificare le regole in uscita, scegli **Operazioni**, **Modifica regole in uscita**.

1. Per aggiungere una regola, scegli **Aggiungi regola** e specifica il tipo, il protocollo e l'intervallo di porte. Per **Origine** (regole in entrata) o **Destinazione** (regole in uscita), effettua una delle seguenti operazioni:
   + Per un VPC in peering nello stesso account e nella stessa Regione, inserisci l'ID del gruppo di sicurezza.
   + Per un VPC in peering in un account diverso ma nella stessa Regione, inserisci l'ID dell'account e l'ID del gruppo di sicurezza, separati da una barra (ad esempio, `123456789012/sg-1a2b3c4d`).
   + Per un VPC in peering in un'altra regione, inserisci il blocco CIDR del VPC in peering.

1. Per modificare una regola esistente, cambia i relativi valori (ad esempio, l'origine o la descrizione).

1. Per eliminare una regola, seleziona il pulsante **Elimina** accanto alla regola corrispondente.

1. Scegliere **Salva regole**.

**Per aggiornare le regole in entrata tramite la riga di comando**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) e [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) e [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)

Ad esempio, per aggiornare il gruppo di sicurezza `sg-aaaa1111` allo scopo di consentire l'accesso in entrata su HTTP da `sg-bbbb2222` per un VPC in peering, utilizza il seguente comando. Se il VPC in peering si trova nella stessa Regione ma ha un account diverso, aggiungi `--group-owner` *aws-account-id*.

```
aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
```

**Per aggiornare le regole in uscita tramite la riga di comando**
+ [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) e [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) e [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) (AWS Tools for Windows PowerShell)

Dopo aver aggiornato le regole di gruppo di sicurezza, utilizza il comando [describe-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html) per visualizzare il gruppo di sicurezza a cui si fa riferimento nelle regole di gruppo di sicurezza. 

## Identificazione dei gruppi di sicurezza a cui si fa riferimento
<a name="vpc-peering-referenced-groups"></a>

Per determinare se si fa riferimento al tuo gruppo di sicurezza nelle regole di un gruppo di sicurezza in un VPC in peering, utilizza uno dei seguenti comandi per uno o più gruppi di sicurezza nel tuo account.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)

Nell'esempio seguente, la risposta indica che un gruppo di sicurezza nel VPC `sg-bbbb2222` fa riferimento al gruppo di sicurezza `vpc-aaaaaaaa`:

```
aws ec2 describe-security-group-references --group-id sg-bbbb2222
```

```
{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}
```

Se la connessione peering VPC viene Eliminata o se il proprietario del VPC in peering elimina il gruppo di sicurezza a cui si fa riferimento, la regola di gruppo di sicurezza diventa obsoleta. 

## Visualizzazione ed eliminazione di regole del gruppo di sicurezza
<a name="vpc-peering-stale-groups"></a>

Una regola di gruppo di sicurezza obsoleta è una regola che fa riferimento a un gruppo di sicurezza eliminato nello stesso VPC o in un VPC simile, o che fa riferimento a un gruppo di sicurezza in un VPC simile per il quale la connessione peering VPC è stata eliminata. Quando una regola di gruppo di sicurezza diventa obsoleta, non viene automaticamente rimossa dal gruppo di sicurezza, ma deve essere eliminata manualmente. Se una regola di gruppo di sicurezza è obsoleta perché la connessione peering VPC è stata eliminata, la regola non sarà più considerata obsoleta se crei una nuova connessione peering VPC con gli stessi VPC.

Puoi visualizzare ed eliminare le regole di gruppo di sicurezza obsolete per un VPC tramite la console Amazon VPC.

**Per visualizzare Ed eliminare regole di gruppo di sicurezza obsolete**

1. Accedere alla console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel pannello di navigazione, fai clic su **Security groups** (Gruppi di sicurezza).

1. Seleziona **Actions (Operazioni)**, **Manage stale rules (Gestisci regole obsolete)**.

1. Per **VPC**, seleziona il VPC con le regole obsolete.

1. Seleziona **Edit** (Modifica).

1. Scegliere il pulsante **Delete (Elimina)** a destra della regola da eliminare. Scegliere **Preview changes (Anteprima modifiche)**, **Save rules (Salva regole)**.

**Descrivere regole di un gruppo di sicurezza obsolete tramite la riga di comando**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)

Nell'esempio seguente, VPC A `(vpc-aaaaaaaa`) e VPC B erano collegati in peering e la connessione peering VPC è stata eliminata. Il gruppo di sicurezza `sg-aaaa1111` in VPC A fa riferimento a `sg-bbbb2222` in VPC B. Quando esegui il comando `describe-stale-security-groups` per il tuo VPC, la risposta indica che il gruppo di sicurezza `sg-aaaa1111` ha una regola SSH obsoleta che fa riferimento a `sg-bbbb2222`.

```
aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
```

```
{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}
```

Dopo aver identificato le regole di gruppo di sicurezza obsolete, puoi eliminarle utilizzando i comandi [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) or [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).

# Abilitazione della risoluzione DNS per una connessione peering VPC
<a name="vpc-peering-dns"></a>

Le impostazioni DNS per una connessione peering VPC determinano in che modo vengono risolti i nomi host DNS pubblici per le richieste che attraversano la connessione peering VPC. Se un’istanza EC2 da un lato di una connessione peering VPC invia una richiesta a un’istanza EC2 dall’altro lato utilizzando il nome host DNS IPv4 pubblico dell’istanza, il nome host DNS viene risolto come indicato di seguito.

**Risoluzione DNS disabilitata (impostazione predefinita)**  
Il nome host DNS IPv4 pubblico si risolve nell’indirizzo IPv4 pubblico dell’istanza.

**Risoluzione DNS abilitata**  
Il nome host DNS IPv4 pubblico si risolve nell’indirizzo IPv4 privato dell’istanza.

**Requisiti**
+ Entrambi i VPC devono essere abilitati per i nomi host DNS e la risoluzione DNS. Per ulteriori informazioni, consulta [Attributi DNS per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/AmazonDNS-concepts.html#vpc-dns-support) nella *Guida per l'utente di Amazon VPC*.
+ La connessione peering deve essere nello stato `active`. Non è possibile abilitare la risoluzione DNS quando si crea una connessione peering.
+ Il proprietario del VPC richiedente deve modificarne le opzioni di peering, mentre il proprietario del VPC accettante deve, a sua volta, modificarne le opzioni di peering. Se i VPC sono nello stesso account, potrai abilitare contemporaneamente la risoluzione DNS per il VPC richiedente e per il VPC accettante. Questo metodo funziona sia con le connessioni peering VPC nella stessa regione che per quelle interregionali.

**Abilitare la risoluzione DNS per una connessione peering tramite la console**

1. Apri la console Amazon VPC all’indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, seleziona **Connessioni peering**.

1. Seleziona la connessione peering VPC.

1. Seleziona **Operazioni**, **Modifica impostazioni DNS**.

1. Per abilitare la risoluzione DNS per le richieste ricevute dal VPC richiedente, seleziona **Risoluzione DNS richiedente**, **Consenti al VPC accettante di risolvere il DNS del VPC richiedente**.

1. Per garantire la risoluzione DNS per le richieste ricevute dal VPC accettante, seleziona **Risoluzione DNS accettante**, **Consenti al VPC richiedente di risolvere il DNS del VPC accettante**.

1. Scegli **Save changes** (Salva modifiche).

**Abilitare la risoluzione DNS tramite la riga di comando**
+ [modify-vpc-peering-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-peering-connection-options.html) (AWS CLI)
+ [Edit-EC2VpcPeeringConnectionOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcPeeringConnectionOption.html) (AWS Tools for Windows PowerShell)

**Descrivere le opzioni di una connessione peering VPC tramite la riga di comando**
+ [describe-vpc-peering-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-peering-connections.html) (AWS CLI)
+ [Get-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Eliminazione di una connessione peering VPC
<a name="delete-vpc-peering-connection"></a>

Ogni proprietario di un VPC in una connessione peering può eliminare la connessione peering VPC in qualsiasi momento. Puoi anche Eliminare una connessione peering VPC che hai richiesto e il cui stato è ancora `pending-acceptance`.

Non è possibile eliminare la connessione peering VPC quando la connessione peering VPC è nello stato `rejected`. Cancelliamo automaticamente la connessione per te. 

L'eliminazione nella console Amazon VPC di un VPC che è parte di una connessione peering VPC attiva comporta anche l'eliminazione della connessione peering VPC. Se hai richiesto una connessione peering VPC con un VPC in un altro account ed elimini il tuo VPC prima che l'altra parte accetti la richiesta, anche la connessione peering VPC viene Eliminata. Non puoi eliminare un VPC per il quale Esiste una richiesta `pending-acceptance` da un VPC in un altro account. Devi dapprima rifiutare la richiesta di connessione peering VPC.

Quando elimini una connessione peering, lo stato viene impostato su `Deleting`, poi su `Deleted`. Una connessione eliminata non può essere accettata, rifiutata o modificata. Per ulteriori informazioni sulla durata della visibilità della connessione di peering, consulta [Ciclo di vita delle connessioni peering VPC](vpc-peering-basics.md#vpc-peering-lifecycle).

**Per eliminare una connessione peering VPC**

1. Accedere alla console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, seleziona **Connessioni peering**.

1. Seleziona la connessione peering VPC.

1. Scegli **Actions** (Operazioni), **Delete peering connection** (Elimina connessione peering).

1. Quando viene richiesta la conferma, immettere **delete** e quindi scegliere **Elimina**.

**Eliminare una connessione peering VPC tramite la riga di comando**
+ [delete-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-peering-connection.html) (AWS CLI)
+ [Remove-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Risoluzione dei problemi di una connessione peering VPC
<a name="troubleshoot-vpc-peering-connections"></a>

In caso di problemi di connessione a una risorsa in un VPC da una risorsa in un VPC peer, completa le seguenti operazioni:
+ Per ogni risorsa in ogni VPC, verifica che la tabella di instradamento per la relativa sottorete contenga una route che invii il traffico destinato al VPC peer alla connessione peering VPC. Ciò garantisce che il traffico di rete possa fluire correttamente tra i due VPC. Per ulteriori informazioni, consulta [Aggiorna le tabelle di routing](vpc-peering-routing.md).
+ Per le istanze EC2 coinvolte, verifica che i gruppi di sicurezza per queste istanze consentano il traffico in entrata e in uscita dal VPC in peering. Le regole dei gruppi di sicurezza controllano il traffico autorizzato ad accedere alle istanze EC2. Per ulteriori informazioni, consulta [Gruppi di sicurezza peer di riferimento](vpc-peering-security-groups.md).
+ Verifica che gli ACL di rete per le sottoreti contenenti le tue risorse consentano il traffico necessario dal VPC in peering. Gli ACL di rete sono un ulteriore livello di sicurezza che filtra il traffico a livello di sottorete.

Se i problemi persistono, puoi utilizzare Reachability Analyzer. Reachability Analyzer può aiutare a identificare il componente specifico, che si tratti di una tabella di routing, un gruppo di sicurezza o un ACL di rete, che sta causando il problema di connettività tra i due VPC. Per ulteriori informazioni, consulta la [Guida di Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/).

Una verifica approfondita delle configurazioni di rete VPC è fondamentale per la risoluzione dei problemi di connessione peering VPC che potresti riscontrare.