Componenti VPC predefiniti - Amazon Virtual Private Cloud

Componenti VPC predefiniti

Durante la creazione di un VPC predefinito, eseguiamo le seguenti operazioni per configuralo per conto dell'utente:

  • Creiamo un VPC con un blocco CIDR IPv4 di dimensione /16 (172.31.0.0/16). Ciò fornisce fino a 65.536 indirizzi IPv4 privati.

  • Creiamo una sottorete predefinita di dimensione /20 in ogni zona di disponibilità. Ciò fornisce fino a 4096 indirizzi per sottorete, alcuni dei quali sono riservati per il nostro utilizzo.

  • Creiamo un Internet Gateway e lo colleghiamo VPC predefinito.

  • Aggiungi una route alla tabella di instradamento principale che indirizza tutto il traffico (0.0.0.0/0) al gateway Internet.

  • Creiamo un gruppo di sicurezza predefinito e lo associamo al VPC predefinito.

  • Creiamo una lista di controllo accessi di rete predefinita e la associamo al VPC predefinito.

  • Associamo le opzioni DHCP predefinite impostate per l'account AWS al VPC predefinito.

Nota

  • Amazon crea le risorse di cui sopra per tuo conto. Le policy IAM non si applicano a queste operazioni perché non esegui tali operazioni. Ad esempio, se hai una policy IAM che impedisce di chiamare CreateInternetGateway, e quindi chiami CreateDefaultVpc, viene comunque creato il gateway Internet nel VPC predefinito. Per impedire ad Amazon di creare un gateway Internet, dovresti negare CreateDefaultVPC e CreateInternetGateway.

  • Per bloccare tutto il traffico da e verso i gateway Internet nel tuo account, consulta Blocco dell'accesso pubblico a VPC e sottoreti.

Nella figura seguente sono illustrati i componenti chiave impostati per un VPC predefinito.

Creiamo un VPC predefinito in ogni Regione con una sottorete predefinita in ogni zona di disponibilità.

La tabella seguente mostra le route nella tabella di instradamento principale per il VPC predefinito.

Destinazione Target
172.31.0.0/16 locale
0.0.0.0/0 internet_gateway_id

Puoi utilizzare un VPC predefinito come qualsiasi altro VPC per eseguire le operazioni sottostanti:

  • Aggiungere altre sottoreti non predefinite.

  • Modificare la tabella di instradamento principale.

  • Aggiungere altre tabelle di routing.

  • Associare altri gruppi di sicurezza.

  • Aggiornare le regole del gruppo di sicurezza predefinito.

  • Aggiungere connessioni AWS Site-to-Site VPN.

  • Aggiungere altri blocchi CIDR IPv4.

  • Accedere ai VPC in un'area remota utilizzando un gateway Direct Connect. Per informazioni sulle opzioni del gateway Direct Connect, vedere Gateway Direct Connect nel Manuale dell'utente di AWS Direct Connect.

Puoi utilizzare una sottorete predefinita come qualsiasi altra sottorete; aggiungere tabelle di routing personalizzate E impostare liste di controllo accessi di rete. Puoi anche specificare una sottorete predefinita specifica quando avvii un'istanza EC2.

Facoltativamente, puoi associare un blocco CIDR IPv6 al VPC predefinito.