Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sottoreti nelle zone locali AWS
Le zone locali AWS consentono di posizionare le risorse più vicine agli utenti finali e di connettersi senza problemi all’intera gamma di servizi nella regione AWS che utilizza API e set di strumenti familiari. Quando si crea una sottorete in una zona locale, il VPC viene esteso anche a tale zona.
Per utilizzare una zona locale, è necessario attenersi alla seguente procedura:
-
Scegli la zona locale.
-
Creare una sottorete nella zona locale.
-
Avvia le risorse nella sottorete della zona locale, in modo che le applicazioni siano più vicine ai tuoi utenti.
Il diagramma seguente mostra un VPC nella regione Stati Uniti occidentali (Oregon) (us-west-2) che comprende diverse zone di disponibilità e una zona locale.
Quando si crea un VPC, è possibile scegliere di assegnare un set di indirizzi IP pubblici forniti da Amazon al VPC. È anche possibile impostare un gruppo di confine di rete per gli indirizzi che limiti gli indirizzi al gruppo. Quando si imposta un gruppo di confine di rete, gli indirizzi IP non possono spostarsi tra i gruppi di confine di rete. Il traffico di rete della zona locale andrà direttamente a Internet o ai punti di presenza (PoP) senza attraversare la Regione madre della Zona locale, consentendo l’accesso al calcolo a bassa latenza. Per l’elenco completo delle zone locali e delle Regioni madri corrispondenti, consulta Zone locali disponibili sulla AWS Guida per l’utente delle zone locali.
Le seguenti regole si applicano alle zone locali:
-
Le sottoreti della zona locale seguono le stesse regole di routing delle sottoreti della zona di disponibilità, incluse le tabelle di routing, i gruppi di sicurezza, le liste di controllo degli accessi di rete.
-
Il traffico Internet in uscita lascia una zona locale dalla zona locale.
-
È necessario effettuare il provisioning di indirizzi IP pubblici da utilizzare in una zona locale. Quando si allocano gli indirizzi, è possibile specificare la posizione da cui viene pubblicizzato l’indirizzo IP. Vi si fa riferimento come gruppo di confine di rete ed è possibile impostare questo parametro per limitare l’indirizzo a questa posizione. Dopo aver effettuato il provisioning degli indirizzi IP, non è possibile spostarli tra la zona locale e la Regione padre (ad esempio, da
us-west-2-lax-1aaus-west-2). -
Se la zona locale supporta IPv6, puoi richiedere gli indirizzi IP forniti da Amazon IPv6 e associarli al gruppo di confine di rete per un VPC nuovo o esistente. Per l’elenco delle zone locali che supportano IPv6, consulta Considerazioni nella AWS Guida per l’utente delle zone locali
-
Non puoi creare i endpoint VPC all’interno delle sottoreti della zona locale.
Per altre informazioni sull’utilizzo delle zone locali, consulta la Guida per l’utente delle zone locali AWS.
Considerazioni per i gateway Internet
Tieni conto di quanto segue quando utilizzi i gateway Internet (nella regione padre) nelle zone locali:
-
Puoi utilizzare i gateway Internet nelle zone locali con indirizzi IP elastici o indirizzi IP pubblici assegnati automaticamente da Amazon. Gli indirizzi IP elastici associati devono includere il gruppo di confine di rete della zona locale. Per ulteriori informazioni, consulta Associare gli indirizzi IP elastici alle risorse nel VPC.
Non è possibile associare un indirizzo IP elastico impostato per la regione.
-
Gli indirizzi IP elastici utilizzati nelle zone locali hanno le stesse quote degli indirizzi IP elastici in una regione. Per ulteriori informazioni, consulta Indirizzi IP elastici.
-
Puoi utilizzare gateway Internet nelle tabelle di routing associate alle risorse della zona locale. Per ulteriori informazioni, consulta Routing a un Internet gateway.
Accesso alle zone locali mediante un gateway Direct Connect
Considerare lo scenario in cui si desidera un data center locale per accedere alle risorse che si trovano in una zona locale. Si utilizza un gateway virtuale privato per il VPC associato alla zona locale per connettersi a un gateway Direct Connect. Il gateway Direct Connect si connette a una posizione Direct Connect in una regione. Il data center locale dispone di una connessione Direct Connect alla posizione Direct Connect.
Nota
Il traffico che è destinato a una sottorete in una zona locale che utilizza Direct Connect non attraversa la regione principale della zona locale. Al contrario, il traffico segue il percorso più breve verso la zona locale. Questo riduce la latenza e rende le applicazioni più reattive.
È possibile configurare le seguenti risorse per questa configurazione:
-
Un gateway privato virtuale per il VPC associato alla sottorete della zona locale. Puoi visualizzare il VPC per la sottorete nella pagina dei dettagli della sottorete nella console Amazon VPC o utilizzare il comando describe-subnets.
Per informazioni su come creare un gateway virtuale privato, consulta Creazione di un gateway di destinazione nella Guida per l’utente di AWS Site-to-Site VPN.
-
Una connessione Direct Connect. Per le migliori prestazioni di latenza, AWS consiglia di utilizzare la Posizione Direct Connect più vicina alla Zona locale a cui estenderai la tua sottorete.
Per informazioni su come ordinare una connessione, consulta Interconnessioni nella Guida per l’utente di Direct Connect.
-
Un gateway Direct Connect. Per informazioni su come creare un gateway Direct Connect, consulta Creazione di un gateway Direct Connect nella Guida per l’utente di Direct Connect.
-
Un’associazione gateway privato virtuale per connettere il VPC al gateway Direct Connect. Per informazioni su come creare un’associazione a un gateway virtuale privato, consulta Associazione e annullamento dell’associazione di gateway virtuali privati nella Guida per l’utente di Direct Connect.
-
Una interfaccia virtuale privata sulla connessione dalla posizione Direct Connect al data center On-Premise. Per informazioni su come creare un gateway Direct Connect, consulta Creazione di un’interfaccia virtuale privata al gateway Direct Connect nella Guida per l’utente di Direct Connect.
Connessione delle sottoreti delle zone locali a un gateway di transito
Non è possibile creare un collegamento del gateway di transito per una sottorete in una zona locale. Nel diagramma seguente viene illustrato come configurare la rete in modo che le sottoreti nella zona locale si connettano a un gateway di transito attraverso la zona di disponibilità padre. Crea sottoreti nelle zone locali e nelle sottoreti delle zone di disponibilità padre. Connettere le sottoreti nelle zone di disponibilità padre al gateway di transito, quindi creare un percorso nella tabella di routing per ogni VPC che instrada il traffico destinato all’altro CIDR VPC all’interfaccia di rete per il collegamento del gateway di transito.
Nota
Il traffico destinato a una sottorete in una zona locale che ha origine da un gateway di transito attraverserà prima la regione principale.
Crea le seguenti risorse per questo scenario:
-
Una sottorete nella zona di disponibilità padre. Per ulteriori informazioni, consulta Creazione di una sottorete.
-
Un gateway di transito. Per ulteriori informazioni, consulta Creare un gateway di transito in Gateway di transito di Amazon VPC.
-
Un collegamento del gateway di transito per il VPC che utilizza la zona di disponibilità padre. Per ulteriori informazioni, consulta Creare un collegamento del gateway di transito a un VPC in Gateway di transito Amazon VPC.
-
Una tabella di routing del gateway di transito associata al collegamento del gateway di transito. Per ulteriori informazioni, consulta Tabelle di routing del gateway di transito in Gateway di transito di Amazon VPC.
-
Per ogni VPC, una voce nella tabella di routing delle sottoreti dell’area locale che hanno l’altro CIDR VPC come destinazione e l’ID dell’interfaccia di rete per il collegamento del gateway di transito alla VPN come destinazione. Per trovare l’interfaccia di rete per il collegamento del gateway di transito, cercare nelle descrizioni delle interfacce di rete l’ID del collegamento del gateway di transito. Per ulteriori informazioni, consulta Routing per un gateway di transito.
Di seguito è riportato un esempio di tabella di instradamento per VPC 1.
| Destinazione | Target |
|---|---|
|
|
|
|
|
|
Di seguito è riportato un esempio di tabella di instradamento per VPC 2.
| Destinazione | Target |
|---|---|
|
|
|
|
|
vpc2-attachment-network-interface-id |
Di seguito è riportato un esempio della tabella di instradamento del gateway di transito. I blocchi CIDR per ogni VPC si propagano alla tabella di instradamento del gateway di transito.
| CIDR | Collegamento | Tipo di routing |
|---|---|---|
|
|
|
propagata |
|
|
|
propagata |
