Crea un VPC - Amazon Virtual Private Cloud
Creazione di un VPC e di altre risorse VPCCreare solo un VPCCreazione di un VPC tramite AWS CLI

Crea un VPC

Usa le procedure seguenti per creare un cloud privato virtuale (VPC). Un VPC deve disporre di risorse aggiuntive, ad esempio sottoreti, tabelle di instradamento e gateway, per poter creare risorse AWS nel VPC.

Per informazioni sulla visualizzazione o la modifica di un VPC, consultare Aggiungere o rimuovere un blocco CIDR dal VPC.

Creazione di un VPC e di altre risorse VPC

Usa la procedura seguente per creare un VPC con risorse VPC aggiuntive necessarie all’esecuzione di un’applicazione, ad esempio sottoreti, tabelle di instradamento, gateway Internet e gateway NAT. Per degli esempi di configurazione del VPC, consulta la pagina Esempi di VPC.

Come creare un VPC, sottoreti e altre risorse VPC tramite la console

  1. Apri alla console Amazon VPC all’indirizzo https://console.aws.amazon.com/vpc/.

  2. Nella scheda VPC, scegli Create VPC (Crea modulo VPC).

  3. Per Resources to create (Risorse da creare), scegli VPC and more (VPC e altro).

  4. Per creare tag dei nomi per le risorse VPC, mantieni selezionata Generazione automatica dei tag dei nomi altrimenti deselezionala per scegliere autonomamente tag dei nomi per le risorse VPC.

  5. Per il blocco CIDR IPv4 inserisci un intervallo di indirizzi IPv4 del VPC. Un VPC deve disporre di un intervallo di indirizzi IPv4.

  6. (Facoltativo) Per il Blocco CIDR IPv6, scegli Blocco CIDR IPv6 fornito da Amazon.

  7. Scegli un’opzione di tenancy. Questa opzione definisce se le istanze EC2 avviate nel VPC verranno eseguite su hardware condiviso con altri Account AWS o su hardware dedicato esclusivamente all’uso personale. Se scegli che la tenancy del VPC sia Default, le istanze EC2 avviate in questo VPC utilizzeranno l’attributo di tenancy specificato all’avvio dell’istanza. Per ulteriori informazioni, consulta Avvio di un’istanza utilizzando parametri definiti nella Guida per l’utente di Amazon EC2. Se scegli che la tenancy del VPC sia Dedicated, le istanze verranno sempre eseguite come Istanze dedicate su un hardware dedicato per il tuo utilizzo. Se utilizzi AWS Outposts, il tuo Outpost richiede una connettività privata; è necessario utilizzare la tenancy di Default.

  8. Per quanto riguarda il Numero di zone di disponibilità (AZ), è preferibile eseguire il provisioning delle sottoreti in almeno due zone di disponibilità per un ambiente di produzione. Per scegliere le zone di disponibilità delle sottoreti, espandi Personalizza le zone di disponibilità. In alternativa, la scelta viene effettuata automaticamente da AWS.

  9. Per configurare le sottoreti, scegli i valori per Numero di sottoreti pubbliche e Numero di sottoreti private. Per scegliere gli intervalli di indirizzi IP delle sottoreti, espandi Personalizza i blocchi CIDR delle sottoreti. In alternativa, la scelta viene effettuata automaticamente da AWS.

  10. (Facoltativo) Se le risorse di una sottorete privata richiedono l’accesso alla rete Internet pubblica tramite IPv4, per Gateway NAT scegli il numero di zone di disponibilità in cui creare i gateway NAT. In fase di produzione, è preferibile implementare un gateway NAT in ogni zona di disponibilità con risorse che richiedono l’accesso alla rete Internet pubblica. Tieni presente che esiste un costo associato ai gateway NAT. Per ulteriori informazioni, consulta Prezzi per i gateway NAT.

  11. (Facoltativo) Se le risorse di una sottorete privata devono accedere alla rete Internet pubblica tramite IPv6, per Gateway Internet solo in uscita scegli .

  12. (Facoltativo) Se devi accedere ad Amazon S3 direttamente dal tuo VPC, scegli Endpoint VPC e Gateway S3. Questa operazione crea un endpoint VPC del gateway per Amazon S3. Per ulteriori informazioni, consulta Endpoint gateway nella Guida di AWS PrivateLink.

  13. (Facoltativo) Per quanto riguarda le Opzioni DNS, entrambe le opzioni per la risoluzione dei nomi di dominio sono abilitate per impostazione predefinita. Se l’impostazione predefinita non soddisfa le tue esigenze, puoi disabilitare queste opzioni.

  14. (Facoltativo) Per aggiungere un tag al VPC, espandi Altri tag, scegli Aggiungi nuovo tag e immetti una chiave e un valore di tag.

  15. Nel riquadro Anteprima puoi visualizzare le relazioni tra le risorse configurate nel VPC. Le linee continue rappresentano le relazioni tra le risorse. Le linee tratteggiate rappresentano il traffico di rete diretto ai gateway NAT, ai gateway Internet e agli endpoint dei gateway. Dopo la creazione del VPC, puoi visualizzare in qualunque momento le risorse del tuo VPC in questo formato tramite la scheda Mappa delle risorse. Per ulteriori informazioni, consulta Come visualizzare le risorse nel VPC.

  16. Al termine della configurazione del VPC, scegli Crea VPC

Creare solo un VPC

Utilizza la procedura seguente per creare un VPC senza risorse VPC aggiuntive tramite la console Amazon VPC.

Come creare un VPC senza risorse VPC aggiuntive tramite la console

  1. Apri alla console Amazon VPC all’indirizzo https://console.aws.amazon.com/vpc/.

  2. Nella scheda VPC, scegli Create VPC (Crea modulo VPC).

  3. Per Risorse da creare scegli Solo VPC.

  4. (Facoltativo) Per Tag dei nomi immetti un nome per il VPC. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

  5. Per IPv4 CIDR block (Blocco CIDR IPv4), effettua una delle seguenti operazioni:

    • Scegli Input manuale CIDR IPv4 e immetti un intervallo di indirizzi IPv4 per il VPC.

    • Scegli Blocco CIDR IPv4 allocato da IPAM, seleziona il pool di indirizzi IPv4 di Amazon VPC IP Address Manager (IPAM) e una maschera di rete. La dimensione del blocco CIDR è limitata dalle regole di allocazione sul pool IPAM. IPAM è una caratteristica del VPC che semplifica la pianificazione, il tracciamento e il monitoraggio degli indirizzi IP per i carichi di lavoro AWS. Per ulteriori informazioni, consultare la Guida per l’utente Amazon VPC IPAM.

      Se utilizzi IPAM per gestire gli indirizzi IP, è preferibile scegliere questa opzione. In caso contrario, il blocco CIDR specificato per il VPC potrebbe sovrapporsi a un’allocazione CIDR IPAM.

  6. (Facoltativo) Per creare un cloud privato virtuale a dual-stack, specifica un intervallo di indirizzi IPv6 per il VPC. Per IPv6 CIDR block (Blocco CIDR IPv6), effettua una delle seguenti operazioni:

    • Scegli IPAM-allocated IPv6 CIDR block (Blocco CIDR IPv5 allocato tramite IPAM) se utilizzi Gestione indirizzi IP di Amazon VPC e se desideri eseguire il provisioning di un CIDR IPv6 da un pool IPAM. Se utilizzi l’intervallo CIDR IPv6 allocato su IPAM per fornire i CIDR IPv6 ai VPC, ottieni il vantaggio dei CIDR IPv6 contigui per la creazione di VPC. I CIDR allocati in modo contiguo sono CIDR allocati in sequenza. Consentono di semplificare le regole di sicurezza e di rete; i CIDR IPv6 possono essere aggregati in un’unica voce attraverso costrutti di rete e sicurezza come elenchi di controllo degli accessi, tabelle di routing, gruppi di sicurezza e firewall.

      Sono disponibili due opzioni per eseguire il provisioning di un intervallo di indirizzi IP al VPC in CIDR block (Blocco CIDR):

      • Netmask length (Lunghezza maschera di rete): scegli questa opzione per selezionare una lunghezza della maschera di rete per il CIDR. Esegui una di queste operazioni:

        • Se è selezionata una lunghezza della maschera di rete predefinita per il pool IPAM, puoi scegliere Default to IPAM netmask length (Lunghezza predefinita della maschera di rete IPAM) per utilizzare la lunghezza della maschera di rete predefinita impostata per il pool IPAM dall’amministratore IPAM. Per ulteriori informazioni sulla regola di allocazione della lunghezza della maschera di rete predefinita opzionale, consulta Creare un pool IPv6 regionale nella Guida per l’utente IPAM di Amazon VPC.

        • Se non è selezionata alcuna lunghezza della maschera di rete predefinita per il pool IPAM, scegli una lunghezza della maschera di rete più specifica della lunghezza della maschera di rete del CIDR del pool IPAM. Ad esempio, se il CIDR del pool IPAM è /50, puoi scegliere una lunghezza della maschera di rete compresa tra /52 e /60 per il VPC. Le lunghezze possibili delle maschere di rete sono comprese tra /44 e /60 con incrementi di /4.

      • Select a CIDR (Seleziona un CIDR): scegli questa opzione per inserire manualmente un indirizzo IPv6. Puoi scegliere solo una lunghezza della maschera di rete più specifica della lunghezza della maschera di rete del CIDR del pool IPAM. Ad esempio, se il CIDR del pool IPAM è /50, puoi scegliere una lunghezza della maschera di rete compresa tra /52 e /60 per il VPC. Le lunghezze possibili delle maschere di rete IPv6 sono comprese tra /44 e /60 con incrementi di /4.

    • Scegli Blocco CIDR IPv6 fornito da Amazon per richiedere un blocco CIDR IPv6 dal pool di indirizzi IPv6 di Amazon. Per Gruppo di confine di rete, selezionare il gruppo da cui AWS pubblicizza gli indirizzi IP. Amazon fornisce una dimensione fissa del blocco CIDR IPv /56.

    • Scegli IPv6 CIDR owned by me (CIDR IPv6 di mia proprietà) per eseguire il provisioning di un CIDR IPv6 già portato in AWS. Per ulteriori informazioni su come portare gli intervalli di indirizzi IP di tua proprietà in AWS, consulta Porta i tuoi indirizzi IP (BYOIP) nella Guida per l’utente di Amazon EC2 per istanze Linux. È possibile effettuare il provisioning di un intervallo di indirizzi IP per il VPC utilizzando le seguenti opzioni per il blocco CIDR:

      • No preference (Nessuna preferenza): scegli questa opzione per utilizzare la lunghezza della maschera di rete /56.

      • Select a CIDR (Seleziona un CIDR): scegli questa opzione per inserire manualmente un indirizzo IPv6, quindi scegli una lunghezza della maschera di rete più specifica della dimensione del CIDR BYOIP. Ad esempio, se il CIDR del pool BYOIP è /50, puoi scegliere una lunghezza della maschera di rete compresa tra /52 e /60 per il VPC. Le lunghezze possibili delle maschere di rete IPv6 sono comprese tra /44 e /60 con incrementi di /4.

  7. (Facoltativo) Scegli un’opzione di tenancy. Questa opzione definisce se le istanze EC2 avviate nel VPC verranno eseguite su hardware condiviso con altri Account AWS o su hardware dedicato esclusivamente all’uso personale. Se scegli che la tenancy del VPC sia Default, le istanze EC2 avviate in questo VPC utilizzeranno l’attributo di tenancy specificato quando avvii l’istanza. Per ulteriori informazioni, consulta Avvio di un’istanza utilizzando parametri definiti nella Guida per l’utente di Amazon EC2. Se scegli che la tenancy del VPC sia Dedicated, le istanze verranno sempre eseguite come Istanze dedicate su un hardware dedicato per il tuo utilizzo. Se utilizzi AWS Outposts, il tuo Outpost richiede una connettività privata; è necessario utilizzare la tenancy di Default.

  8. (Facoltativo) Per aggiungere un tag al VPC, scegli Aggiungi nuovo tag e immetti una chiave e un valore di tag.

  9. Seleziona Crea VPC.

  10. Dopo aver creato un VPC, puoi aggiungere sottoreti. Per ulteriori informazioni, consulta Creazione di una sottorete.

Creazione di un VPC tramite AWS CLI

La procedura seguente contiene esempi di comandi AWS CLI per la creazione di un VPC con risorse VPC aggiuntive necessarie per l’esecuzione di un’applicazione. Se esegui tutti i comandi di questa procedura, creerai un VPC, una sottorete pubblica, una sottorete privata, una tabella di routing per ogni sottorete, un gateway Internet, un gateway Internet egress-only e un gateway NAT pubblico. Se non hai bisogno di tutte queste risorse, puoi utilizzare solo gli esempi di comandi necessari.

Prerequisiti

Prima di iniziare, installa e configura la AWS CLI. Quando configuri la AWS CLI, ti vengono chieste le credenziali di AWS. Gli esempi in questa procedura presuppongono che tu abbia configurato una regione predefinita. In caso contrario, aggiungi l’opzione --region a ogni comando. Per ulteriori informazioni, consulta Installazione o aggiornamento della AWS CLI e Configurazione della AWS CLI.

Tagging

Dopo averla creata, puoi aggiungere tag a una risorsa utilizzando il comando create-tags. In alternativa, puoi aggiungere l’opzione --tag-specification al comando di creazione della risorsa, come riportato di seguito.

--tag-specifications ResourceType=vpc,Tags=[{Key=Name,Value=my-project}]
Creazione di un VPC e di altre risorse VPC tramite la AWS CLI

  1. Usa il comando create-vpc seguente per creare un VPC con il blocco CIDR IPv4 specificato.

    aws ec2 create-vpc --cidr-block 10.0.0.0/24 --query Vpc.VpcId --output text

    In alternativa, per creare un cloud privato VPC a dual-stack, aggiungi l’opzione --amazon-provided-ipv6-cidr-block per aggiungere un blocco CIDR IPv6 fornito da Amazon, come mostrato nell’esempio seguente.

    aws ec2 create-vpc --cidr-block 10.0.0.0/24 --amazon-provided-ipv6-cidr-block --query Vpc.VpcId --output text

    Questi comandi restituiscono l’ID del nuovo VPC. Di seguito è riportato un esempio.

    vpc-1a2b3c4d5e6f1a2b3

  2. [VPC dual-stack] Ottieni il blocco CIDR IPv6 associato al VPC tramite il comando describe-vpcs seguente.

    aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query Vpcs[].Ipv6CidrBlockAssociationSet[].Ipv6CidrBlock --output text

    Di seguito è riportato un output di esempio.

    2600:1f13:cfe:3600::/56

  3. Crea una o più sottoreti, a seconda del caso d’uso. In fase produzione, è preferibile avviare le risorse in almeno due zone di disponibilità. Usa uno dei seguenti comandi per creare le sottoreti.

    • Sottorete solo IPv4: per creare una sottorete con un blocco CIDR IPv4 specifico, usa il comando create-subnet seguente.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --cidr-block 10.0.1.0/20 --availability-zone us-east-2a --query Subnet.SubnetId --output text

    • Sottorete dual stack: se hai creato un VPC dual stack, puoi utilizzare l’opzione --ipv6-cidr-block per creare una sottorete dual stack, come mostrato nel comando seguente.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --cidr-block 10.0.1.0/20 --ipv6-cidr-block 2600:1f13:cfe:3600::/64 --availability-zone us-east-2a --query Subnet.SubnetId --output text

    • Sottorete solo IPv6: se hai creato un VPC dual stack, puoi utilizzare l’opzione --ipv6-native per creare una sottorete solo IPv6, come mostrato nel comando seguente.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --ipv6-native --ipv6-cidr-block 2600:1f13:cfe:3600::/64 --availability-zone us-east-2a --query Subnet.SubnetId --output text

    Questi comandi restituiscono l’ID della nuova sottorete. Di seguito è riportato un esempio.

    subnet-1a2b3c4d5e6f1a2b3

  4. Se hai bisogno di una sottorete pubblica per i tuoi server Web o per un gateway NAT, procedi come segue:

    1. Crea un gateway Internet utilizzando il seguente comando create-internet-gateway. Il comando restituisce l’ID del nuovo gateway Internet.

      aws ec2 create-internet-gateway --query InternetGateway.InternetGatewayId --output text

    2. Collega il gateway Internet al VPC usando il comando attach-internet-gateway seguente. Utilizza l’ID gateway Internet restituito dalla fase precedente.

      aws ec2 attach-internet-gateway --vpc-id vpc-1a2b3c4d5e6f1a2b3 --internet-gateway-id igw-id

    3. Crea una tabella di routing personalizzata per la sottorete pubblica usando il comando create-route-table seguente. Il comando restituisce l’ID della nuova tabella di instradamento.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text

    4. Crea un percorso nella tabella di routing che invia tutto il traffico IPv4 al gateway Internet usando il comando create-route seguente. Utilizza l’ID della tabella di instradamento per la sottorete pubblica.

      aws ec2 create-route --route-table-id rtb-id-public --destination-cidr-block 0.0.0.0/0 --gateway-id igw-id

    5. Associa la tabella di routing alla sottorete pubblica usando il comando associate-route-table seguente. Utilizza l’ID della tabella di instradamento per la sottorete pubblica e l’ID della sottorete pubblica.

      aws ec2 associate-route-table --route-table-id rtb-id-public --subnet-id subnet-id-public-subnet

  5. [IPv6] Puoi aggiungere un gateway Internet egress-only, in modo che le istanze di una sottorete privata possano accedere a Internet tramite IPv6 (ad esempio, per ottenere aggiornamenti software), senza che gli host su Internet possano accedere alle tue istanze.

    1. Crea un gateway Internet egress-only usando il comando create-egress-only-internet-gateway seguente. Il comando restituisce l’ID del nuovo gateway Internet.

      aws ec2 create-egress-only-internet-gateway --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query EgressOnlyInternetGateway.EgressOnlyInternetGatewayId --output text

    2. Crea una tabella di routing personalizzata per la sottorete privata usando il comando create-route-table seguente. Il comando restituisce l’ID della nuova tabella di instradamento.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text

    3. Crea un percorso nella tabella di routing della sottorete privata che invii tutto il traffico IPv6 al gateway Internet egress-only usando il comando create-route seguente. Utilizza l’ID della tabella di instradamento restituito nella fase precedente.

      aws ec2 create-route --route-table-id rtb-id-private --destination-cidr-block ::/0 --egress-only-internet-gateway eigw-id

    4. Associa la tabella di routing alla sottorete privata usando il comando associate-route-table seguente.

      aws ec2 associate-route-table --route-table-id rtb-id-private --subnet-id subnet-id-private-subnet

  6. Se hai bisogno di un gateway NAT per le risorse in una sottorete privata, procedi come segue:

    1. Crea un indirizzo IP elastico per il gateway NAT usando il comando allocate-address seguente.

      aws ec2 allocate-address --domain vpc --query AllocationId --output text

    2. Crea un gateway NAT nella sottorete pubblica usando il seguente comando create-nat-gateway. Utilizza l’ID di allocazione restituito nella fase precedente.

      aws ec2 create-nat-gateway --subnet-id subnet-id-public-subnet --allocation-id eipalloc-id

    3. (Facoltativo) Se hai già creato una tabella di instradamento per la sottorete privata nel passaggio 5, ignora questo passaggio. In caso contrario, usa il comando create-route-table seguente per creare una tabella di instradamento per la sottorete privata. Il comando restituisce l’ID della nuova tabella di instradamento.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text

    4. Crea un percorso nella tabella di routing della sottorete privata che invii tutto il traffico IPv4 al gateway NAT usando il comando create-route seguente. Utilizza l’ID della tabella di instradamento della sottorete privata creata in questo passaggio o nel passaggio 5.

      aws ec2 create-route --route-table-id rtb-id-private --destination-cidr-block 0.0.0.0/0 --gateway-id nat-id

    5. (Facoltativo) Se hai già associato una tabella di instradamento alla sottorete privata nel passaggio 5, ignora questo passaggio. In caso contrario, usa il comando associate-route-table seguente per associare la tabella di instradamento alla sottorete privata. Utilizza l’ID della tabella di instradamento della sottorete privata creata in questo passaggio o nel passaggio 5.

      aws ec2 associate-route-table --route-table-id rtb-id-private --subnet-id subnet-id-private-subnet