Abilitazione dell’accesso di un VPC tramite gateway Internet
Un gateway Internet è un componente VPC scalato orizzontalmente, ridondante e ad alta disponibilità che consente la comunicazione tra il VPC e Internet. Supporta traffico IPv4 e IPv6. Non causa rischi di disponibilità o vincoli di larghezza di banda nel traffico di rete.
Un gateway Internet consente alle risorse nelle sottoreti pubbliche (ad es. istanze EC2) di collegarsi a Internet se la risorsa ha un indirizzo IPv4 pubblico o un indirizzo IPv6. Analogamente, le risorse su Internet possono avviare una connessione alle risorse nella sottorete utilizzando l'indirizzo IPv4 pubblico o IPv6 pubblico. Ad esempio, un gateway Internet consente di connettersi a un'istanza EC2 in AWS utilizzando il computer locale.
Un gateway Internet fornisce una destinazione nelle tabelle di instradamento del VPC per il traffico instradabile su Internet. Per le comunicazioni tramite IPv4, il gateway Internet esegue anche Network Address Translation (NAT). Per ulteriori informazioni, consulta Indirizzi IP e NAT.
Prezzi
Non sono previsti costi per un gateway Internet ma sono previsti costi di trasferimento dati per le istanze EC2 che lo utilizzano. Per ulteriori informazioni, consulta Prezzi di Amazon EC2 on demand
Indice
Nozioni di base sui gateway Internet
Per utilizzare un gateway Internet, devi collegarlo a un VPC e configurare il routing.
Configurazione dell'instradamento
Se la sottorete è associata a una tabella di routing che ha una route a un Internet Gateway, è nota come una sottorete pubblica. Se una sottorete è associata a una tabella di routing che non dispone di una route a un Internet Gateway, è nota come una sottorete privata.
Nella tabella di routing della sottorete, puoi specificare una route per il gateway Internet verso tutte le destinazioni non esplicitamente note alla tabella di routing (0.0.0.0/0 per IPv4 o ::/0 per IPv6). In alternativa, puoi definire l'ambito della route a un intervallo di indirizzi IP più ristretto; ad esempio gli indirizzi IPv4 pubblici degli endpoint pubblici dell'azienda all'esterno di AWS o gli indirizzi IP elastici di altre istanze Amazon EC2 esterne al VPC.
Diagramma del gateway Internet
Nel diagramma seguente, la sottorete nella zona di disponibilità A è una sottorete pubblica perché la tabella di routing contiene una route che indirizza tutto il traffico IPv4 associato a Internet verso il gateway Internet. Le istanze nella sottorete pubblica devono avere indirizzi IP pubblici o indirizzi IP elastici per consentire la comunicazione con Internet tramite il gateway Internet. Per fare un confronto, la sottorete nella zona di disponibilità B è una sottorete privata perché la tabella di routing non dispone di un routing al gateway Internet. Poiché non esiste una route verso il gateway Internet, le istanze nella sottorete privata non possono comunicare con Internet anche se hanno indirizzi IP pubblici.
Indirizzi IP e NAT
Per abilitare la comunicazione via Internet per IPv4, l'istanza deve avere un indirizzo IPv4 pubblico. Puoi configurare il VPC per l'assegnazione automatica degli indirizzi IPv4 pubblici alle istanze o puoi assegnare indirizzi IP elastici alle istanze. L'istanza conosce soltanto lo spazio degli indirizzi IP (interni) privati definito nel VPC e nella sottorete. L'Internet Gateway fornisce logicamente la conversione NAT uno-a-uno per l'istanza, di modo che quando il traffico lascia la sottorete VPC e arriva a Internet, il campo dell'indirizzo di risposta è impostato sull'indirizzo IPv4 pubblico o sull'indirizzo IP elastico dell'istanza e non sull'indirizzo IP privato. Inversamente, l'indirizzo di destinazione del traffico destinato all'indirizzo IPv4 pubblico o all'indirizzo IP elastico dell'istanza viene convertito nell'indirizzo IPv4 privato dell'istanza prima che il traffico sia distribuito al VPC.
Per abilitare la comunicazione via Internet per IPv6, il VPC e la sottorete devono avere un blocco CIDR IPv6 associato e all'istanza deve Essere assegnato un indirizzo IPv6 dell'intervallo della sottorete. Gli indirizzi IPv6 sono globalmente univoci e sono pertanto pubblici per impostazione predefinita.
Accesso a Internet per VPC predefiniti e non predefiniti
La tabella seguente indica se il tuo VPC include dei componenti necessari per l'accesso a Internet via IPv4 o IPv6.
| Componente | VPC predefinito | VPC non predefinito |
|---|---|---|
| Internet Gateway | Sì | No |
| Tabella di routing con route all'Internet Gateway per il traffico IPv4 (0.0.0.0/0) | Sì | No |
| Tabella di routing con route all'Internet Gateway per il traffico IPv6 (::/0) | No | No |
| Indirizzo IPv4 pubblico assegnato automaticamente all'istanza avviata nella sottorete | Sì (sottorete predefinita) | No (sottorete non predefinita) |
| Indirizzo IPv6 assegnato automaticamente all'istanza avviata nella sottorete | No (sottorete predefinita) | No (sottorete non predefinita) |
