Sottoreti per il VPC - Amazon Virtual Private Cloud
Nozioni di base sulla sottoreteSicurezza della sottorete

Sottoreti per il VPC

una sottorete è un intervallo di indirizzi IP nel VPC; Puoi creare le risorse AWS, ad esempio le istanze EC2, in sottoreti specifiche.

Indice

Nozioni di base sulla sottorete

Ogni sottorete deve risiedere totalmente all'interno di una zona di disponibilità e non può estendersi in altre zone. Avviando le risorse AWS in zone di disponibilità separate, puoi proteggere le applicazioni dagli errori di una singola posizione.

Intervallo di indirizzi IP di sottorete

Quando crei una sottorete, devi specificare i relativi indirizzi IP, a seconda della configurazione del VPC:

  • Solo IPv4: la sottorete ha un blocco CIDR IPv4 ma non un blocco CIDR IPv6. Le risorse in una sottorete solo IPv4 devono comunicare tramite IPv4.

  • Dual-stack: la sottorete ha sia un blocco CIDR IPv4 che un blocco CIDR IPv6. Il VPC deve avere sia un blocco CIDR IPv4 che un blocco CIDR IPv6. Le risorse in una sottorete dual-stack possono comunicare tramite IPv4 e IPv6.

  • Solo IPv6: la sottorete ha un blocco CIDR IPv6 ma non un blocco CIDR IPv4. Il VPC deve disporre di un blocco CIDR IPv6. Le risorse in una sottorete solo IPv6 devono comunicare tramite IPv6.

    Nota

    Alle risorse nelle sottoreti solo IPv6 vengono assegnati indirizzi link-local IPv4 dal blocco CIDR 169.254.0.0/16. Questi indirizzi vengono utilizzati per comunicare con servizi disponibili solo nel VPC. Per alcuni esempi, consulta Link-local addresses nella Guida per l'utente di Amazon EC2.

Per ulteriori informazioni, consulta Indirizzi IP per i tuoi VPC e sottoreti.

Tipi di sottorete

Il tipo di sottorete è determinato dalla modalità di configurazione del routing per le sottoreti. Ad esempio:

  • Sottorete pubblica: la sottorete ha un percorso diretto a un gateway Internet. Le risorse di una sottorete pubblica possono accedere alla rete Internet pubblica.

  • Sottorete privata: la sottorete non ha un instradamento diretto a un gateway Internet. Le risorse in una sottorete privata richiedono un dispositivo NAT per accedere alla rete Internet pubblica.

  • Sottorete solo VPN: la sottorete ha un instradamento diretto a una connessione VPN Site-to-Site tramite un gateway privato virtuale. La sottorete pubblica non ha una route a un gateway Internet.

  • Sottorete isolata: la sottorete non ha percorsi verso destinazioni esterne al suo VPC. Le risorse in una sottorete isolata possono accedere o essere accessibili solo da altre risorse nello stesso VPC.

  • Sottorete EVS: questo tipo di sottorete viene creato utilizzando Amazon EVS. Per ulteriori informazioni, consulta VLAN subnet nella Guida per l’utente di Amazon EVS.

Diagramma sottorete

Il seguente diagramma mostra un VPC con sottoreti in due zone di disponibilità e un gateway Internet. Ogni zona di disponibilità ha una sottorete pubblica e una privata.

Un VPC con sottoreti in due zone di disponibilità.

Per i diagrammi che mostrano le sottoreti in Local Zones e zone Wavelength, consultare Come funzionano Local Zones AWS e Come funziona AWS Wavelength.

Routing della sottorete

Ogni sottorete deve Essere associata a una tabella di instradamento, che specifica le route consentite per il traffico in uscita che lascia la sottorete. Ogni sottorete creata viene automaticamente associata alla tabella di instradamento principale per il VPC. Puoi modificare l'associazione E modificare il contenuto della tabella di instradamento principale. Per ulteriori informazioni, consulta Configurare le tabelle di routing.

Impostazioni sottorete

Tutte le sottoreti hanno un attributo modificabile che determina se all'interfaccia di rete creata nella sottorete viene assegnato un indirizzo IPv4 pubblico e, se possibile, un indirizzo IPv6. Questo include l’interfaccia di rete primaria (ad esempio, eth0) creata per l’istanza quando questa viene avviata nella sottorete. Indipendentemente dall'attributo della sottorete, puoi comunque sostituire questa impostazione per un'istanza specifica durante il suo avvio.

Una volta creata, la sottorete può essere modificata nelle seguenti impostazioni:

  • Impostazioni di assegnazione automatica IP: consente di configurare le impostazioni di assegnazione automatica IP per richiedere automaticamente un indirizzo IPv4 o IPv6 pubblico per una nuova interfaccia di rete in questa sottorete.

  • Impostazioni RBN (Resource-based Name): consente di specificare il tipo di nome host per le istanze EC2 in questa sottorete e di configurare il modo in cui vengono gestite le query dei registri DNS A e AAAA. Per ulteriori informazioni, consulta Tipi di nomi host delle istanze Amazon EC2 nella Guida per l'utente di Amazon EC2.

Sicurezza della sottorete

Per proteggere le risorse AWS, è consigliabile utilizzare sottoreti private. Utilizza un host bastione o un dispositivo NAT per fornire l'accesso Internet per l'accesso Internet, ad esempio istanze EC2, in una sottorete privata.

AWS fornisce funzionalità che possono essere utilizzate per incrementare la sicurezza delle risorse del tuo VPC. I gruppi di sicurezza consentono il traffico in entrata e in uscita delle risorse associate, ad esempio le istanze EC2. Le ACL di rete consentono o rifiutano il traffico in entrata e in uscita a livello di sottorete. Nella maggior parte dei casi, i gruppi di sicurezza possono soddisfare le tue esigenze. Se desideri un livello di sicurezza aggiuntivo per il tuo VPC, puoi utilizzare le ACL di rete. Per ulteriori informazioni, consulta Confronto dei gruppi di sicurezza e delle liste di controllo accessi di rete.

Per impostazione predefinita, ogni sottorete deve Essere associata a una lista di controllo accessi di rete. Ogni sottorete creata viene automaticamente associata alla lista di controllo accessi di rete predefinita del VPC. L'ACL di rete predefinita consente tutto il traffico in entrata e in uscita. È possibile aggiornare l'ACL di rete predefinita o creare ACL di rete personalizzate e associarle alle sottoreti. Per ulteriori informazioni, consulta Controllo del traffico della sottorete con le liste di controllo degli accessi alla rete.

Puoi creare un log di flusso sul VPC o sulla sottorete per acquisire il flusso di traffico per e dalle interfacce di rete nel VPC o nella sottorete. Puoi anche creare un log di flusso su un'interfaccia di rete singola. Per ulteriori informazioni, consulta Registrazione del traffico IP utilizzando log di flusso VPC.