Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Eseguire la connessione a Internet o ad altri VPC utilizzando dispositivi NAT
<a name="vpc-nat"></a>

È possibile utilizzare un dispositivo NAT per consentire alle risorse di sottoreti private di connettersi a Internet, ad altri VPC o a reti On-Premise. Queste istanze possono comunicare con servizi esterni al VPC, ma non possono ricevere richieste di connessione non richieste.

Ad esempio, lo schema seguente mostra un dispositivo NAT in una sottorete pubblica che consente alle istanze EC2 in una sottorete privata di connettersi a Internet tramite un gateway Internet. Il dispositivo NAT sostituisce l'indirizzo IPv4 di origine delle istanze con l'indirizzo del dispositivo NAT. Quando si invia il traffico di risposta alle istanze, il dispositivo NAT converte gli indirizzi negli indirizzi IPv4 di origine iniziali.

![\[Un dispositivo NAT che consente alle istanze EC2 in una sottorete privata di connettersi a Internet.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/nat-device-overview.png)


**Importante**  
Il termine *NAT* è utilizzato in questa documentazione per seguire la terminologia IT comune, sebbene la funzione effettiva di un dispositivo NAT sia la conversione degli indirizzi e la conversione degli indirizzi delle porte (PAT).
Puoi utilizzare un dispositivo NAT gestito fornito da AWS, chiamato *gateway NAT* oppure creare un tuo dispositivo NAT in un'istanza EC2, detta appunto *istanza NAT*. Si consiglia di utilizzare i gateway NAT perché offrono una maggiore disponibilità e larghezza di banda e richiedono meno sforzi di amministrazione per l'utente.

**Topics**
+ [Gateway NAT](vpc-nat-gateway.md)
+ [Istanze NAT](VPC_NAT_Instance.md)
+ [Confronto delle istanze NAT e i gateway NAT](vpc-nat-comparison.md)

# Gateway NAT
<a name="vpc-nat-gateway"></a>

Un gateway NAT è un servizio Network Address Translation (NAT). È possibile utilizzare un gateway NAT in modo che le istanze di una sottorete privata possano connettersi a servizi esterni al VPC, ma i servizi esterni non possono avviare una connessione con tali istanze.

Quando crei un gateway NAT, devi specificare uno dei seguenti tipi di connettività:
+ **Pubblico**: (impostazione predefinita) le istanze nelle sottoreti private possono connettersi a Internet tramite un gateway NAT pubblico, ma le istanze non possono ricevere connessioni in ingresso non richieste da Internet. Puoi creare un gateway NAT pubblico in una sottorete pubblica e associare un indirizzo IP elastico al gateway NAT al momento della creazione. Puoi instradare il traffico dal gateway NAT al gateway Internet per il VPC. In alternativa, puoi utilizzare un gateway NAT pubblico per connetterti a un'altra rete VPCs o alla tua rete locale. In questo caso, il traffico viene instradato dal gateway NAT attraverso un gateway di transito o un gateway virtuale privato.
+ **Privato**: le istanze in sottoreti private possono connettersi a un'altra rete VPCs o alla rete locale tramite un gateway NAT privato, ma le istanze non possono ricevere connessioni in entrata non richieste dall'altra rete o dalla rete locale. VPCs Puoi instradare il traffico dal gateway NAT attraverso un gateway di transito o un gateway virtuale privato. Non puoi associare un indirizzo IP elastico a un gateway NAT privato. Puoi collegare un gateway Internet a un VPC con un gateway NAT privato, ma se instradi il traffico dal gateway NAT privato al gateway Internet, il gateway Internet interrompe il traffico.

Un gateway NAT può essere utilizzato con o con traffico (utilizzo). IPv4 IPv6 [DNS64 e NAT64](nat-gateway-nat64-dns64.md) [Un'altra opzione per abilitare la comunicazione Internet solo in uscita IPv6 è l'utilizzo di un gateway Internet solo in uscita.](egress-only-internet-gateway.md)

Sia i gateway NAT privati che quelli pubblici mappano l' IPv4 indirizzo privato di origine delle istanze all' IPv4 indirizzo privato del gateway NAT, ma nel caso di un gateway NAT pubblico, il gateway Internet associa quindi l' IPv4 indirizzo privato del gateway NAT pubblico all'indirizzo IP elastico associato al gateway NAT. Quando invia traffico di risposta alle istanze, il gateway NAT converte l’indirizzo nell’indirizzo IP iniziale dell’origine, a prescindere dal fatto che il gateway NAT sia pubblico o privato. 

**Considerazioni**
+ Le connessioni devono sempre essere avviate dall’interno del VPC contenente il gateway NAT.
+ È possibile utilizzare un gateway NAT pubblico o privato per indirizzare il traffico verso i gateway di transito e i gateway privati virtuali.
+ Se utilizzi un gateway NAT privato per connetterti a un gateway di transito o a un gateway privato virtuale, il traffico verso la destinazione proverrà dall’indirizzo IP privato del gateway NAT privato.
+ Se utilizzi un gateway NAT pubblico per connetterti a un gateway di transito o a un gateway privato virtuale, il traffico verso la destinazione proverrà dall’indirizzo IP privato del gateway NAT pubblico. Il gateway NAT pubblico utilizza il suo indirizzo IP elastico di origine solo se usato insieme a un gateway Internet nello stesso VPC.

**Topics**
+ [Nozioni di base sul gateway NAT](nat-gateway-basics.md)
+ [Utilizzo dei gateway NAT](nat-gateway-working-with.md)
+ [Gateway NAT regionali per l'espansione automatica Multi-AZ](nat-gateways-regional.md)
+ [Casi d’uso](nat-gateway-scenarios.md)
+ [DNS64 e NAT64](nat-gateway-nat64-dns64.md)
+ [Ispeziona il traffico proveniente dai gateway NAT](nat-gateway-inspect-traffic.md)
+ [Metriche CloudWatch](vpc-nat-gateway-cloudwatch.md)
+ [Risoluzione dei problemi](nat-gateway-troubleshooting.md)
+ [Prezzi](nat-gateway-pricing.md)

# Nozioni di base sul gateway NAT
<a name="nat-gateway-basics"></a>

Ogni gateway NAT viene creato in una zona di disponibilità specifica e implementato con ridondanza in tale zona. Esiste una quota per il numero di gateway NAT che possono essere creati in una zona di disponibilità. Per ulteriori informazioni, consulta [Gateway](amazon-vpc-limits.md#vpc-limits-gateways).

Se disponi di risorse in più zone di disponibilità che condividono un gateway NAT e la zona di disponibilità del gateway NAT non è disponibile, le risorse nelle altre zone di disponibilità perdono l’accesso a Internet. Per migliorare la resilienza, crea un gateway NAT in ogni zona di disponibilità e configura l’instradamento per garantire che le risorse utilizzino il gateway NAT nella stessa zona di disponibilità.

Ai gateway NAT si applicano le seguenti caratteristiche e regole:
+ Un gateway NAT supporta i seguenti protocolli: TCP, UDP e ICMP.
+ I gateway NAT sono supportati per il nostro traffico. IPv4 IPv6 Per quanto riguarda il IPv6 traffico, il gateway NAT offre prestazioni elevate. NAT64 Utilizzandolo insieme a DNS64 (disponibile sul resolver Route 53), i IPv6 carichi di lavoro in una sottorete di Amazon VPC possono comunicare con le risorse. IPv4 Questi IPv4 servizi possono essere presenti nello stesso VPC (in una sottorete separata) o in un VPC diverso, nell'ambiente locale o su Internet.
+ Un gateway NAT supporta 5 Gbps di larghezza di banda e può aumentare automaticamente fino a 100 Gbps. Se è necessaria più larghezza di banda, puoi suddividere le tue risorse in più sottoreti e creare un gateway NAT in ogni sottorete.
+ Un gateway NAT può elaborare un milione di pacchetti al secondo e aumentare automaticamente fino a dieci milioni di pacchetti al secondo. Oltre questo limite, un gateway NAT rilascerà i pacchetti. Per evitare la perdita di pacchetti, suddividere le risorse in più sottoreti e creare un gateway NAT separato per ogni sottorete.
+ Ogni IPv4 indirizzo può supportare fino a 55.000 connessioni simultanee verso ogni destinazione unica. Una destinazione univoca è identificata da una combinazione unica di indirizzo IP di destinazione, porta di destinazione e protocollo ()TCP/UDP/ICMP. È possibile aumentare questo limite associando fino a 8 IPv4 indirizzi ai gateway NAT (1 IPv4 indirizzo primario e 7 indirizzi secondari IPv4 ). Per impostazione predefinita, puoi associare fino a 2 indirizzi IP elastici al tuo gateway NAT pubblico. Puoi aumentare questo limite chiedendo un adeguamento delle quote. Per ulteriori informazioni, consulta [Indirizzi IP elastici](amazon-vpc-limits.md#vpc-limits-eips).
+ Quando si crea un gateway NAT, è possibile selezionare l' IPv4 indirizzo privato principale da assegnare al gateway NAT. Altrimenti, ne selezioniamo uno per tuo conto dall'intervallo di IPv4 indirizzi della sottorete. Non puoi modificare o rimuovere l' IPv4 indirizzo privato principale. Se necessario, puoi aggiungere IPv4 indirizzi privati secondari.
+ Non puoi associare un gruppo di sicurezza a un gateway NAT. Puoi associare i gruppi di sicurezza alle tue istanze per controllare il traffico in entrata e in uscita.
+ Creiamo un’interfaccia di rete gestita dal richiedente per il tuo gateway NAT. Puoi visualizzare questa interfaccia utilizzando la console Amazon EC2. Cerca l’ID del gateway NAT nella descrizione. Puoi aggiungere tag all’interfaccia di rete, ma non puoi modificare altre proprietà di questa interfaccia di rete.
+ Puoi utilizzare una lista di controllo degli accessi di rete per controllare il traffico verso e dalla sottorete in cui si trova il gateway NAT. I gateway NAT utilizzano le porte 1024 - 65535. Per ulteriori informazioni, consulta [Rete ACLs](vpc-network-acls.md).
+ Non puoi instradare traffico a un gateway NAT tramite una connessione peering VPC. Tuttavia, il traffico proveniente da un gateway NAT tramite peering di VPC verso destinazioni in VPC con peering supporta il comportamento “Restituire al mittente”: il traffico di ritorno viene automaticamente reindirizzato al gateway NAT di origine anche senza che le rotte di ritorno siano configurate nel VPC di destinazione. Questo comportamento è specifico dei gateway NAT e non si applica alle istanze EC2 standard. Per evitare che ciò accada, usa NACLs per bloccare il traffico di ritorno.

  Non supportato:

  ```
  Client → Peering → NAT → Internet
  ```

  Supportato:

  ```
  Client → NAT → Peering → Destination
  ```
+ Non è possibile indirizzare il traffico verso un gateway NAT da Site-to-Site VPN o Direct Connect utilizzando un gateway privato virtuale. Puoi indirizzare il traffico verso un gateway NAT da Site-to-Site VPN o Direct Connect se utilizzi un gateway di transito anziché un gateway privato virtuale.
+ I gateway NAT supportano il traffico con un’unità di trasmissione massima (MTU) di 8500, ma è importante tenere presente quanto segue: 
  + L’unità massima di trasmissione (MTU) di una connessione di rete è la dimensione, in byte, del pacchetto più grande consentito trasferibile attraverso la connessione. Maggiore è la MTU di una connessione, maggiore è la quantità di dati trasferibili in un unico pacchetto.
  + I pacchetti con più di 8.500 byte che arrivano al gateway NAT vengono eliminati (o frammentati, se applicabile).
  + Per evitare la potenziale perdita di pacchetti durante la comunicazione con le risorse su Internet utilizzando un gateway NAT pubblico, l’impostazione MTU per le istanze EC2 non deve superare i 1.500 byte. Per ulteriori informazioni sul controllo e l’impostazione dell’MTU su un’istanza, consulta la [Rete MTU nella tua istanza EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#set_mtu) nella *Guida per l’utente di Amazon EC2*.
  + I gateway NAT supportano Path MTU Discovery (PMTUD) tramite pacchetti FRAG\$1NEEDED e pacchetti ICMPv4 Packet Too Big (PTB). ICMPv6 
  + I gateway NAT applicano il clamping MSS (Maximum Segment Size) a tutti i pacchetti. Per ulteriori informazioni, consulta [RFC879](https://datatracker.ietf.org/doc/html/rfc879). 

# Utilizzo dei gateway NAT
<a name="nat-gateway-working-with"></a>

Puoi utilizzare la console Amazon VPC per creare e gestire i gateway NAT.

**Topics**
+ [Controllo dell’uso dei gateway NAT](#nat-gateway-iam)
+ [Creazione di un gateway NAT](#nat-gateway-creating)
+ [Come modificare le associazioni di indirizzi IP secondari](#nat-gateway-edit-secondary)
+ [Tagging di un gateway NAT](#nat-gateway-tagging)
+ [Eliminazione di un gateway NAT](#nat-gateway-deleting)
+ [Panoramica della riga di comando](#nat-gateway-api-cli)

## Controllo dell’uso dei gateway NAT
<a name="nat-gateway-iam"></a>

Per impostazione predefinita, gli utenti non dispongono dell’autorizzazione per utilizzare gateway NAT. Puoi creare un ruolo IAM con una policy collegata che concede agli utenti le autorizzazioni per creare, descrivere ed eliminare gateway NAT. Per ulteriori informazioni, consulta [Identity and Access Management per Amazon VPC](security-iam.md).

## Creazione di un gateway NAT
<a name="nat-gateway-creating"></a>

Utilizza la procedura seguente per creare un gateway NAT.

**Quote correlate**
+ Non potrai creare un gateway NAT pubblico se hai esaurito il numero di indirizzi IP elastici assegnati al tuo account. Per ulteriori informazioni, consulta [Indirizzi IP elastici](amazon-vpc-limits.md#vpc-limits-eips).
+ Puoi assegnare fino a 8 indirizzi privati al tuo gateway NAT privato. IPv4 Questo limite non è regolabile.
+ Per impostazione predefinita, puoi associare fino a 2 indirizzi IP elastici al tuo gateway NAT pubblico. Puoi aumentare questo limite chiedendo un adeguamento delle quote. Per ulteriori informazioni, consulta [Indirizzi IP elastici](amazon-vpc-limits.md#vpc-limits-eips).

**Per creare un gateway NAT**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, scegli **Gateway NAT**.

1. Scegli **Crea gateway NAT**.

1. (Facoltativo) Specifica un nome per il gateway NAT. In questo modo viene creato un tag dove si trova la chiave **Name** e il valore è il nome specificato.

1. Seleziona la sottorete in cui creare il gateway NAT.

1. Per **Tipo di connettività** lascia la selezione **Pubblico** predefinita per creare un gateway NAT pubblico oppure scegli **Privato** per creare un gateway NAT privato. Per ulteriori informazioni sulla differenza tra un gateway NAT pubblico e uno privato, consulta [Gateway NAT](vpc-nat-gateway.md).

1. Se hai scelto **Pubblico**, procedi come segue; in caso contrario, salta al passaggio 8:

   1. Scegli un **ID allocazione indirizzo IP elastico** per assegnare un indirizzo IP elastico al gateway NAT oppure scegli **Alloca IP elastico** per allocarne automaticamente uno per il gateway NAT pubblico. Per impostazione predefinita, puoi associare fino a 2 indirizzi IP elastici al tuo gateway NAT pubblico. Puoi aumentare questo limite chiedendo un adeguamento delle quote. Per ulteriori informazioni, consulta [Indirizzi IP elastici](amazon-vpc-limits.md#vpc-limits-eips).
**Importante**  
Quando assegni un indirizzo IP elastico a un gateway NAT pubblico, il gruppo di confini di rete dell’EIP deve corrispondere a quello della zona di disponibilità (AZ) in cui avvii il gateway NAT pubblico. Se non è lo stesso, non sarà possibile avviare il gateway NAT. Puoi visualizzare il gruppo di confini di rete per la AZ della sottorete visualizzando i dettagli della sottorete. Analogamente, puoi visualizzare il gruppo di confini di rete di un EIP visualizzando i dettagli dell’indirizzo EIP. Per ulteriori informazioni, consulta [1. Allocare un indirizzo IP elastico](WorkWithEIPs.md#allocate-eip). 

   1. (Facoltativo) Scegli **Impostazioni aggiuntive** e, in **Indirizzo IP privato - opzionale**, inserisci un IPv4 indirizzo privato per il gateway NAT. Se non inserisci un indirizzo, AWS assegnerà automaticamente un IPv4 indirizzo privato al tuo gateway NAT a caso dalla sottorete in cui si trova il gateway NAT.

   1. Passa alla fase 11.

1. Se hai scelto **Privato**, per **Impostazioni aggiuntive**, **Metodo di assegnazione IPv4 indirizzi privato**, scegli una delle seguenti opzioni:
   + **Assegnazione automatica**: AWS sceglie l' IPv4 indirizzo privato principale per il gateway NAT. Per **Numero di IPv4 indirizzi privati assegnati automaticamente**, puoi facoltativamente specificare il numero di IPv4 indirizzi privati secondari per il gateway NAT. AWS sceglie questi indirizzi IP a caso dalla sottorete per il gateway NAT.
   + **Personalizzato**: per ** IPv4Indirizzo privato principale, scegli l' IPv4 indirizzo** privato principale per il gateway NAT. Per ** IPv4 gli indirizzi privati secondari**, puoi facoltativamente specificare fino a 7 IPv4 indirizzi privati secondari per il gateway NAT.

1. Se nel passaggio 8 hai scelto **Personalizzato**, ignora questo passaggio. Se hai scelto **Assegnazione automatica**, in **Numero di indirizzi IP privati assegnati automaticamente, scegli il numero di IPv4 indirizzi** secondari che desideri AWS assegnare a questo gateway NAT privato. Puoi scegliere fino a 7 indirizzi. IPv4 
**Nota**  
 IPv4 Gli indirizzi secondari sono facoltativi e devono essere assegnati o allocati quando i carichi di lavoro che utilizzano un gateway NAT superano le 55.000 connessioni simultanee verso una singola destinazione (stesso IP di destinazione, porta e protocollo). IPv4Gli indirizzi secondari aumentano il numero di porte disponibili e quindi aumentano il limite al numero di connessioni simultanee che i carichi di lavoro possono stabilire utilizzando un gateway NAT.

1. Se nel passaggio 9 hai scelto **Assegnazione automatica**, ignora questo passaggio. Se hai scelto **Personalizzato**, procedi come segue:

   1. In ** IPv4 Indirizzo privato primario, inserisci un indirizzo privato**. IPv4

   1. In ** IPv4 Indirizzo privato secondario**, inserisci fino a 7 IPv4 indirizzi privati secondari.

1. (Facoltativo) Per aggiungere un tag al gateway NAT, scegli **Add new tag** (Aggiungi nuovo tag) e immetti la chiave e il valore del tag. Puoi aggiungere fino a 50 tag.

1. Scegli **Crea un gateway NAT**.

1. Lo stato iniziale del gateway NAT è `Pending`. Dopo che lo stato viene modificato in `Available`, il gateway NAT è pronto per l’utilizzo. Assicurati di aggiornare le tabelle di instradamento secondo necessità. Per alcuni esempi, consulta [Casi d’uso di API Gateway](nat-gateway-scenarios.md).

Se lo stato del gateway NAT cambia in `Failed`, significa che durante la creazione si è verificato un errore. Per ulteriori informazioni, consulta [Creazione gateway NAT non riuscita](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-failed).

## Come modificare le associazioni di indirizzi IP secondari
<a name="nat-gateway-edit-secondary"></a>

Ogni IPv4 indirizzo può supportare fino a 55.000 connessioni simultanee verso ogni destinazione unica. Una destinazione univoca è identificata da una combinazione unica di indirizzo IP di destinazione, porta di destinazione e protocollo ()TCP/UDP/ICMP. È possibile aumentare questo limite associando fino a 8 IPv4 indirizzi ai gateway NAT (1 IPv4 indirizzo primario e 7 indirizzi secondari IPv4 ). Per impostazione predefinita, puoi associare fino a 2 indirizzi IP elastici al tuo gateway NAT pubblico. Puoi aumentare questo limite chiedendo un adeguamento delle quote. Per ulteriori informazioni, consulta [Indirizzi IP elastici](amazon-vpc-limits.md#vpc-limits-eips).

È possibile utilizzare le [ CloudWatchmetriche *ErrorPortAllocation*del gateway NAT *PacketsDropCount*](metrics-dimensions-nat-gateway.md)per determinare se il gateway NAT genera errori di allocazione delle porte o elimina pacchetti. Per risolvere questo problema, aggiungi indirizzi secondari IPv4 al tuo gateway NAT.

**Considerazioni**
+ È possibile aggiungere IPv4 indirizzi privati secondari quando si crea un gateway NAT privato o dopo averlo creato utilizzando la procedura descritta in questa sezione. Puoi aggiungere indirizzi IP elastici secondari ai gateway NAT pubblici solo dopo aver creato il gateway NAT seguendo la procedura descritta in questa sezione. 
+ Il gateway NAT può avere fino a 8 IPv4 indirizzi associati (1 IPv4 indirizzo primario e 7 indirizzi secondari IPv4 ). Puoi assegnare fino a 8 IPv4 indirizzi privati al tuo gateway NAT privato. Per impostazione predefinita, puoi associare fino a 2 indirizzi IP elastici al tuo gateway NAT pubblico. Puoi aumentare questo limite chiedendo un adeguamento delle quote. Per ulteriori informazioni, consulta [Indirizzi IP elastici](amazon-vpc-limits.md#vpc-limits-eips).

**Per modificare le associazioni di indirizzi secondari IPv4**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, scegli **Gateway NAT**.

1. Seleziona il gateway NAT di cui desideri modificare le associazioni di IPv4 indirizzi secondari.

1. Scegli **Operazioni**, quindi scegli **Modifica delle associazioni degli indirizzi IP secondari**.

1. Se stai modificando le associazioni di IPv4 indirizzi secondari di un gateway NAT privato, in **Azione**, scegli **Assegna nuovi IPv4 indirizzi o **Annulla** assegnazione indirizzi** esistenti. IPv4 **Se stai modificando le associazioni di IPv4 indirizzi secondari di un gateway NAT pubblico, in **Azione**, scegli **Associa nuovi IPv4 indirizzi o Dissocia indirizzi esistenti**. IPv4 **

1. Esegui una delle seguenti operazioni:
   + Se hai scelto di assegnare o associare nuovi IPv4 indirizzi, procedi come segue:

     1. Questo passaggio è obbligatorio. È necessario selezionare un IPv4 indirizzo privato. Scegli il **metodo di assegnazione IPv4 dell'indirizzo privato**:
        + **Assegnazione automatica**: sceglie AWS automaticamente un IPv4 indirizzo privato principale e scegli se vuoi assegnare fino AWS a 7 IPv4 indirizzi privati secondari da assegnare al gateway NAT. AWS li sceglie e li assegna automaticamente a caso dalla sottorete in cui si trova il gateway NAT.
        + **Personalizzato**: scegli l' IPv4indirizzo privato principale e fino a 7 IPv4 indirizzi privati secondari da assegnare al gateway NAT.

     1. In **Elastic IP allocation ID**, scegli un indirizzo IP elastico da aggiungere con un indirizzo secondario. IPv4 Questo passaggio è obbligatorio. È necessario selezionare un indirizzo IP elastico insieme a un IPv4 indirizzo privato. Se hai scelto **Personalizzato** per il **metodo di assegnazione dell'indirizzo IP privato**, devi anche inserire un IPv4 indirizzo privato per ogni indirizzo IP elastico che aggiungi.
**Importante**  
Quando assegni un EIP secondario a un gateway NAT pubblico, il gruppo di confini di rete dell’EIP deve corrispondere al gruppo di confini di rete della zona di disponibilità (AZ) in cui si trova il gateway NAT pubblico. Se non è lo stesso, non sarà possibile assegnare l’EIP. Puoi visualizzare il gruppo di confini di rete per la AZ della sottorete visualizzando i dettagli della sottorete. Analogamente, puoi visualizzare il gruppo di confini di rete di un EIP visualizzando i dettagli dell’indirizzo EIP. Per ulteriori informazioni, consulta [1. Allocare un indirizzo IP elastico](WorkWithEIPs.md#allocate-eip). 

     Al tuo gateway NAT puoi associare fino a 8 indirizzi IP. Se il gateway NAT è pubblico, gli indirizzi IP elastici sono soggetti a un limite di quota predefinito per ogni regione. Per ulteriori informazioni, consulta [Indirizzi IP elastici](amazon-vpc-limits.md#vpc-limits-eips).
   + Se hai scelto di annullare l'assegnazione o dissociare i nuovi IPv4 indirizzi, completa quanto segue:

     1. In **Indirizzo IP secondario esistente di cui annullare l’assegnazione**, seleziona gli indirizzi IP secondari per cui annullare l’assegnazione.

     1. (Facoltativo) In **Durata dello svuotamento della connessione**, inserisci il tempo massimo di attesa (in secondi) prima del rilascio forzato degli indirizzi IP se le connessioni sono ancora in corso. Se non inserisci un valore, il valore predefinito è 350 secondi.

1. Scegli **Save changes** (Salva modifiche).

Se lo stato del gateway NAT cambia in `Failed`, significa che durante la creazione si è verificato un errore. Per ulteriori informazioni, consulta [Creazione gateway NAT non riuscita](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-failed).

## Tagging di un gateway NAT
<a name="nat-gateway-tagging"></a>

Puoi contrassegnare il gateway NAT per identificarlo o classificarlo più facilmente in base alle Esigenze dell’organizzazione. Per informazioni sull’utilizzo dei tag, consulta [Applicazione di tag alle risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) nella *Guida dell’utente di Amazon EC2*.

I tag di allocazione dei costi sono supportati per i gateway NAT. Pertanto, puoi utilizzare i tag anche per organizzare la AWS fattura e rispecchiare la tua struttura dei costi. Per ulteriori informazioni, consulta [Utilizzo dei tag per l’allocazione dei costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) nella *Guida per l’utente di AWS Billing *. Per ulteriori informazioni sulla configurazione di un rapporto di allocazione dei costi con tag, consulta il rapporto [mensile sull'allocazione dei costi in Informazioni sulla fatturazione AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html) *dell'account*. 

**Come aggiungere tag a un gateway NAT**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, scegli **Gateway NAT**.

1. Seleziona il gateway NAT a cui aggiungere tag e scegli **Operazioni**. Scegli, quindi, **Gestisci tag**.

1. Scegli **Aggiungi nuovo tag** e definisci una **Chiave** e un **Valore** per il tag. Puoi aggiungere fino a 50 tag.

1. Scegli **Save** (Salva).

## Eliminazione di un gateway NAT
<a name="nat-gateway-deleting"></a>

Se un gateway NAT non è più necessario, puoi eliminarlo. Dopo aver eliminato un gateway NAT, la relativa voce rimane visibile nella console Amazon VPC per un breve periodo di tempo (in genere un’ora) prima di essere rimossa automaticamente. Non puoi rimuovere questa voce manualmente.

L’eliminazione di un gateway NAT annulla l’associazione al relativo indirizzo IP elastico, ma non rilascia l’indirizzo dall’account. Se Elimini un gateway NAT, le route del gateway NAT rimangono in uno stato `blackhole` finché le route non vengono eliminate o aggiornate.

**Per eliminare un gateway NAT**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, scegli **Gateway NAT**.

1. Seleziona il pulsante di opzione per il gateway NAT, quindi scegli **Operazioni**, **Elimina gateway NAT**.

1. Quando viene richiesta la conferma, immetti **delete** e seleziona **Elimina**.

1. Se l’indirizzo IP elastico associato al gateway NAT non è più necessario, si consiglia di rilasciarlo. Per ulteriori informazioni, consulta [5. Rilascio di un indirizzo IP elastico](WorkWithEIPs.md#release-eip).

## Panoramica della riga di comando
<a name="nat-gateway-api-cli"></a>

Puoi eseguire le attività descritte in questa pagina tramite la riga di comando.

**Assegna un IPv4 indirizzo privato a un gateway NAT privato**
+ [assign-private-nat-gateway-indirizzo ()](https://docs.aws.amazon.com/cli/latest/reference/ec2/assign-private-nat-gateway-address.html)AWS CLI
+ [Register-EC2PrivateNatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2PrivateNatGatewayAddress.html) (AWS Tools for Windows PowerShell)

**Associa indirizzi IP elastici e IPv4 indirizzi privati a un gateway NAT pubblico**
+ [associate-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-nat-gateway-address.html) (AWS CLI)
+ [Register-EC2NatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2NatGatewayAddress.html) (AWS Tools for Windows PowerShell)

**Creazione di un gateway NAT**
+ [create-nat-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-nat-gateway.html) (AWS CLI)
+ [New-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NatGateway.html) (AWS Tools for Windows PowerShell)

**Eliminazione di un gateway NAT**
+ [delete-nat-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-nat-gateway.html) (AWS CLI)
+ [Remove-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NatGateway.html) (AWS Tools for Windows PowerShell)

**Descrizione di un gateway NAT**
+ [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html) (AWS CLI)
+ [Get-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NatGateway.html) (AWS Tools for Windows PowerShell)

**Come annullare l’associazione di indirizzi IP elastici secondari da un gateway NAT pubblico**
+ [disassociate-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-nat-gateway-address.html) (AWS CLI)
+ [Unregister-EC2NatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2NatGatewayAddress.html) (AWS Tools for Windows PowerShell)

**Tagging di un gateway NAT**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html) (AWS Tools for Windows PowerShell)

**Annulla l'assegnazione di IPv4 indirizzi secondari da un gateway NAT privato**
+ [unassign-private-nat-gateway-indirizzo ()](https://docs.aws.amazon.com/cli/latest/reference/ec2/unassign-private-nat-gateway-address.html)AWS CLI
+ [Unregister-EC2PrivateNatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2PrivateNatGatewayAddress.html) (AWS Tools for Windows PowerShell)

# Gateway NAT regionali per l'espansione automatica Multi-AZ
<a name="nat-gateways-regional"></a>

Utilizza i gateway NAT regionali quando desideri semplificare l'architettura di rete, migliorare il livello di sicurezza e configurare l'alta disponibilità per impostazione predefinita. Un gateway NAT regionale si espande automaticamente tra le zone di disponibilità in base alla presenza del carico di lavoro. A differenza dei gateway NAT standard (denominati gateway NAT zonali), che operano in un'unica zona di disponibilità, i gateway NAT regionali seguono i carichi di lavoro per fornire un'elevata disponibilità automatica.

![\[alt text not found\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/rnat.drawio.png)


Il diagramma A a sinistra rappresenta la configurazione corrente con il gateway NAT zonale. Innanzitutto si creano gateway NAT zonali per zona di disponibilità e si ospitano i propri in sottoreti pubbliche. NATs Quindi configuri percorsi separati per zona di disponibilità dalle sottoreti private al NAT in quella zona di disponibilità. Ripeti questo passaggio ogni volta che i carichi di lavoro si espandono in una nuova zona di disponibilità, per un'elevata disponibilità. Inoltre, è necessario aggiungere percorsi per il gateway Internet nella tabella di routing della sottorete NAT per zona di disponibilità.

D'altra parte, con un gateway NAT regionale, non è necessario creare una sottorete pubblica per ospitarlo. Inoltre, non è necessario creare ed eliminare i gateway NAT e modificare le tabelle di routing ogni volta che i carichi di lavoro si espandono verso nuove zone di disponibilità. Invece, devi semplicemente creare un gateway NAT con modalità regionale, scegliere il tuo VPC e questo si espande e si contrae automaticamente in AZs base alla presenza del carico di lavoro per offrire un'elevata disponibilità. Come illustrato nel diagramma B, è possibile indirizzare il traffico proveniente dalle risorse in una sottorete privata verso l'intero AZs ID del gateway NAT regionale, oppure utilizzare la stessa tabella di routing tra le sottoreti della zona di residenza per eseguire la traduzione degli indirizzi di rete. Una volta creato il gateway NAT regionale, AWS viene creata automaticamente una tabella di routing, che include un percorso preconfigurato verso il gateway Internet. Puoi usare questa tabella di rotte per aggiungere percorsi di ritorno ai tuoi middlebox.



## Vantaggi
<a name="benefits"></a>

I gateway NAT regionali offrono i seguenti vantaggi:
+ **Configurazione semplificata**: utilizza un unico ID NAT in tutte le zone di disponibilità dotate di interfacce di rete, in modo da poter utilizzare la stessa route di ingresso per sottoreti in zone di disponibilità diverse.
+ **Sicurezza avanzata**: non sono richieste sottoreti pubbliche. Un gateway NAT regionale è una risorsa autonoma con una propria tabella di routing e non è necessaria una sottorete pubblica nel VPC per ospitare un gateway NAT regionale, il che riduce le possibilità di configurazione errata delle risorse private nelle sottoreti con connettività pubblica.
+ **Alta disponibilità automatica**: si espande e si contrae automaticamente in base all'ingombro del carico di lavoro per mantenere l'affinità zonale che fornisce un'elevata disponibilità per impostazione predefinita.
+ **Limiti di porte e IP più elevati: i** gateway NAT regionali supportano fino a 32 indirizzi IP per zona di disponibilità (rispetto agli 8 dei gateway NAT zonali). Ogni indirizzo IP aumenta il limite di connessioni simultanee a una destinazione popolare (identificata da una combinazione unica di IP di destinazione, porta di destinazione e protocollo) di 55.000.

## Quando utilizzare i gateway NAT regionali
<a name="when-to-use-regional-nat-gateways"></a>

Prendi in considerazione l'utilizzo di gateway NAT regionali per tutti i casi d'uso ad eccezione di quelli che richiedono una connettività privata. I gateway NAT regionali non offrono connettività privata e consigliamo di utilizzare i gateway NAT in modalità di disponibilità zonale per i casi d'uso NAT privati.

## Come funzionano i gateway NAT regionali
<a name="how-regional-nat-gateways-work"></a>

Quando si lanciano risorse in una nuova zona di disponibilità, il gateway NAT regionale rileva la presenza di un'interfaccia di rete (ENI) in quella zona di disponibilità e si espande automaticamente in quella zona. Allo stesso modo, il gateway NAT stipula i contratti dalla zona di disponibilità che non ha carichi di lavoro attivi.

L'espansione del gateway NAT regionale in una nuova zona di disponibilità può richiedere fino a 60 minuti dopo che una risorsa è stata istanziata in quella zona. Fino al completamento di questa espansione, il traffico rilevante proveniente da questa risorsa viene elaborato tra le zone dal gateway NAT regionale in una delle zone di disponibilità esistenti.

I gateway NAT regionali supportano due modalità:
+ **Modalità automatica**: in questa modalità, gestisce AWS automaticamente gli indirizzi IP e l'espansione della zona di disponibilità (consigliata). Se desideri utilizzare i tuoi indirizzi IP in questa modalità e utilizzi Amazon VPC IPAM, consulta [Definire la strategia di IPv4 allocazione pubblica con le politiche IPAM nella Amazon *VPC* IPAM](https://docs.aws.amazon.com/ipam/define-public-ipv4-allocation-strategy-with-ipam-policies.xml) User Guide.
+ **Modalità manuale**: in questa modalità, gestisci manualmente gli indirizzi IP e controlli la traduzione degli indirizzi di rete per ogni zona di disponibilità. In modalità manuale, l'utente è responsabile dell'espansione e della contrazione del gateway NAT tra le zone di disponibilità.

## Prezzi
<a name="pricing"></a>

Per informazioni sui prezzi, consulta la pagina dei prezzi di [Amazon VPC.](https://aws.amazon.com/vpc/pricing/)

## Crea un gateway NAT regionale
<a name="create-a-regional-nat-gateway"></a>

### Utilizzo della console
<a name="using-the-console"></a>

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, scegli **Gateway NAT**.

1. Scegli **Crea gateway NAT**.

1. Per **la modalità Disponibilità**, scegli **Regionale**. Non è necessario specificare alcuna sottorete quando si sceglie la disponibilità regionale

1. Selezione di un VPC.

1. Completa la configurazione rimanente e scegli **Crea gateway NAT**.

### Utilizzo della AWS CLI
<a name="using-the-aws-cli"></a>

Crea un gateway NAT regionale

```
aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional
```

Visualizza i dettagli del gateway NAT

```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678
```

Aggiungi indirizzi IP (modalità manuale)

```
aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678
```

Rimuovere gli indirizzi IP

```
aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678
```

Eliminare un gateway NAT regionale

```
aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678
```

## Conversione da gateway NAT zonali a regionali
<a name="convert-from-zonal-to-regional-nat-gateways"></a>

**Importante**  
Questo ripristinerà le connessioni esistenti. Ti consigliamo di completare questi passaggi nella finestra di manutenzione.

È possibile convertire i gateway NAT zonali esistenti in un gateway NAT regionale utilizzando uno dei due approcci seguenti:

**Se sei d'accordo con l'utilizzo di gateway NAT regionali con nuovi indirizzi IP:**

1. Crea un nuovo gateway NAT regionale

1. Aggiorna le tabelle delle rotte in modo che puntino al gateway NAT regionale

1. Eliminare i vecchi gateway NAT zonali

Questo approccio utilizza nuovi indirizzi IP e ripristina le connessioni esistenti quando le route vengono aggiornate.

**Se desideri riutilizzare gli indirizzi IP esistenti con gateway NAT regionali:**

1. Eliminare i gateway NAT zonali esistenti per rilasciare i relativi indirizzi IP

1. Crea un gateway NAT regionale utilizzando gli indirizzi IP rilasciati

1. Aggiorna le tabelle di routing in modo che puntino al gateway NAT regionale

Questo approccio preserva gli indirizzi IP ma richiede una finestra di manutenzione in quanto il traffico viene interrotto durante la transizione.

# Casi d’uso di API Gateway
<a name="nat-gateway-scenarios"></a>

Di seguito sono riportati casi di utilizzo di esempio per gateway NAT pubblici e privati.

**Topics**
+ [Accesso a Internet da una sottorete privata](#public-nat-internet-access)
+ [Accedere alla rete utilizzando gli indirizzi IP consentiti riportati](#private-nat-allowed-range)
+ [Abilitare la comunicazione tra reti sovrapposte](#private-nat-overlapping-networks)

## Accesso a Internet da una sottorete privata
<a name="public-nat-internet-access"></a>

È possibile utilizzare un gateway NAT pubblico per consentire alle istanze in una sottorete privata di inviare il traffico in uscita a Internet, e, allo stesso tempo, impedire a Internet di stabilire connessioni alle istanze.

**Topics**
+ [Panoramica di](#public-nat-gateway-overview)
+ [Routing](#public-nat-gateway-routing)
+ [Test del gateway NAT pubblico](#public-nat-gateway-testing)

### Panoramica di
<a name="public-nat-gateway-overview"></a>

Il diagramma seguente illustra questo caso d’uso. Ci sono due zone di disponibilità, con due sottoreti in ciascuna di esse. La tabella di instradamento per ogni sottorete determina il modo in cui viene instradato il traffico. Nella zona di disponibilità A, le istanze nella sottorete pubblica possono connettersi a Internet attraverso un routing al gateway Internet, mentre le istanze nella sottorete privata non possiedono alcun routing verso Internet. Nella zona di disponibilità B, la sottorete pubblica contiene un gateway NAT. Le istanze nella sottorete privata possono raggiungere Internet attraverso un routing che le conduce al gateway NAT nella sottorete pubblica. Sia i gateway NAT privati che quelli pubblici mappano l' IPv4 indirizzo privato di origine delle istanze all' IPv4 indirizzo privato del gateway NAT privato, ma nel caso di un gateway NAT pubblico, il gateway Internet mappa quindi l' IPv4 indirizzo privato del gateway NAT pubblico all'indirizzo IP elastico associato al gateway NAT. Quando invia traffico di risposta alle istanze, il gateway NAT converte l’indirizzo nell’indirizzo IP iniziale dell’origine, a prescindere dal fatto che il gateway NAT sia pubblico o privato.

![\[Un VPC con sottoreti pubbliche e private, un gateway NAT e un gateway Internet.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/public-nat-gateway-diagram.png)


Tieni presente che se le istanze nella sottorete privata nella zona di disponibilità A devono raggiungere anche Internet, puoi creare un percorso da questa sottorete al gateway NAT nella zona di disponibilità B. In alternativa, puoi migliorare la resilienza creando un gateway NAT in ogni zona di disponibilità contenente le risorse che richiedono l’accesso a Internet. Per un diagramma di esempio, consulta la pagina [Esempio: VPC con server in sottoreti private e NAT](vpc-example-private-subnets-nat.md).

### Routing
<a name="public-nat-gateway-routing"></a>

Di seguito è riportata la tabella di instradamento associata alla sottorete pubblica nella zona di disponibilità A. La prima voce si riferisce al routing locale, che consente alle istanze nella sottorete di comunicare con altre istanze nel VPC utilizzando indirizzi IP privati. La seconda voce invia tutto il traffico rimanente della sottorete al gateway Internet. In questo modo le istanze della sottorete possono accedere a Internet.


| Destinazione | Target | 
| --- | --- | 
| VPC CIDR | locale | 
| 0.0.0.0/0 | internet-gateway-id | 

Di seguito è riportata la tabella di instradamento associata alla sottorete privata nella zona di disponibilità A. La voce è la route locale, che consente alle istanze nella sottorete di comunicare con altre istanze nel VPC utilizzando gli indirizzi IP privati. Le istanze in questa sottorete non hanno accesso a Internet.


| Destinazione | Target | 
| --- | --- | 
| VPC CIDR | local | 

Di seguito è riportata la tabella di instradamento associata alla sottorete pubblica nella zona di disponibilità B. La prima voce si riferisce alla route locale, che consente alle istanze nella sottorete di comunicare tra loro nel VPC utilizzando indirizzi IP privati. La seconda voce invia tutto il traffico rimanente della sottorete al gateway Internet. In questo modo il gateway NAT può accedere a Internet.


| Destinazione | Target | 
| --- | --- | 
| VPC CIDR | locale | 
| 0.0.0.0/0 | internet-gateway-id | 

Di seguito è riportata la tabella di instradamento associata alla sottorete privata nella zona di disponibilità B. La prima voce è quella predefinita per il routing locale, che consente alle istanze nella sottorete di comunicare tra loro nel VPC utilizzando indirizzi IP privati. La seconda voce invia tutto il traffico rimanente della sottorete al gateway NAT.


| Destinazione | Target | 
| --- | --- | 
| VPC CIDR | locale | 
| 0.0.0.0/0 | nat-gateway-id | 

Per ulteriori informazioni, consulta [Gestione delle tabelle di routing delle sottoreti](WorkWithRouteTables.md).

### Test del gateway NAT pubblico
<a name="public-nat-gateway-testing"></a>

Dopo aver creato il gateway NAT e aggiornato le tabelle di routing, puoi eseguire il ping di alcuni indirizzi remoti su Internet da un’istanza nella sottorete privata per verificare se può connettersi a Internet. Per un esempio su come Eseguire questa operazione, consulta [Test della connessione Internet](#nat-gateway-testing-example).

Se è disponibile una connessione a Internet, puoi anche verificare se il traffico Internet viene instradato attraverso il gateway NAT:
+ Puoi monitorare il routing del traffico da un’istanza nella sottorete privata. A questo scopo, esegui il comando `traceroute` da un’istanza Linux nella sottorete privata. Nell’output, l’indirizzo IP privato del gateway NAT dovrebbe essere visibile in uno degli hop (di solito il primo).
+ Quando esegui la connessione da un’istanza nella sottorete privata, utilizza un sito Web o uno strumento di terze parti che visualizza l’indirizzo IP di origine. L’indirizzo IP di origine deve essere l’indirizzo IP elastico del gateway NAT. 

Se questi test non vanno a buon fine, consulta [Risoluzione dei problemi relativi ai gateway NAT](nat-gateway-troubleshooting.md).

#### Test della connessione Internet
<a name="nat-gateway-testing-example"></a>

Nell’esempio seguente viene illustrato come eseguire il test se un’istanza in una sottorete privata può connettersi a Internet.

1. Avvia un’istanza nella sottorete pubblica (utilizzala come un host bastione). Nella procedura guidata di avvio, assicurati di selezionare un’AMI Amazon Linux e assegna un indirizzo IP pubblico all’istanza. Verifica che le regole del gruppo di sicurezza consentano il traffico SSH in entrata da un intervallo di indirizzi IP per la rete locale SSH in uscita all’intervallo di indirizzi IP della sottorete privata (puoi anche utilizzare `0.0.0.0/0` per il traffico SSH in entrata e in uscita di questo test)..

1. Avvia un’istanza nella sottorete privata. Nella procedura guidata di avvio, assicurati di selezionare un’AMI Amazon Linux. Non assegnare un indirizzo IP pubblico all’istanza. Verifica che le regole del gruppo di sicurezza consentano il traffico SSH in entrata dall’indirizzo IP privato all’istanza avviata nella sottorete pubblica e tutto il traffico ICMP in uscita. Devi scegliere la coppia di chiavi utilizzata per avviare l’istanza nella sottorete pubblica.

1. Configura l’inoltro agente SSH sul computer locale ed esegui la connessione all’host bastione nella sottorete pubblica. Per ulteriori informazioni, consulta [Per configurare l’inoltro agente SSH per Linux o macOS](#ssh-forwarding-linux) o [Per configurare l’inoltro agente SSH per Windows](#ssh-forwarding-windows).

1. Dall’host bastione, esegui la connessione all’istanza nella sottorete privata, quindi esegui il test della connessione Internet dall’istanza nella sottorete privata. Per ulteriori informazioni, consulta [Per eseguire il test della connessione Internet](#test-internet-connection).<a name="ssh-forwarding-linux"></a>

**Per configurare l’inoltro agente SSH per Linux o macOS**

1. Dal computer locale, aggiungere la chiave privata all’agente di autenticazione. 

   Per Linux, utilizzare il comando seguente:

   ```
   ssh-add -c mykeypair.pem
   ```

   Per macOS, utilizzare il comando seguente:

   ```
   ssh-add -K mykeypair.pem
   ```

1. Eseguire la connessione all’istanza nella sottorete pubblica utilizzando l’opzione `-A` per abilitare l’inoltro agente SSH e utilizzare l’indirizzo pubblico dell’istanza, come indicato nell’esempio seguente.

   ```
   ssh -A ec2-user@54.0.0.123
   ```<a name="ssh-forwarding-windows"></a>

**Per configurare l’inoltro agente SSH per Windows**  
È possibile utilizzare il client OpenSSH, disponibile in Windows, o installare il client SSH preferito (ad esempio PuTTY).

------
#### [ OpenSSH ]

Installa OpenSSH per Windows come descritto in questo articolo: [Guida introduttiva a OpenSSH per Windows](https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse). Quindi aggiungi la tua chiave all’agente di autenticazione. Per ulteriori informazioni, consulta [Autenticazione basata su chiavi in OpenSSH per Windows](https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_keymanagement).

------
#### [ PuTTY ]

1. Scaricare e installare Pageant dalla [pagina di download PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/), se non è già installato.

1. Convertire la chiave privata in formato .ppk. Per ulteriori informazioni, consulta [Convertire la chiave privata utilizzando Pu TTYgen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html#putty-private-key) nella Guida per l'*utente di Amazon EC2*.

1. Avviare Pageant, fare clic con il tasto destro del mouse sull’icona Pageant nella barra delle applicazioni (potrebbe Essere nascosta), quindi selezionare **Add Key (Aggiungi chiave)**. Selezionare il file .ppk creato, digitare la passphrase se necessario e scegliere **Open (Apri)**.

1. Avviare una sessione PuTTY e connettersi all’istanza nella sottorete pubblica utilizzando il suo indirizzo IP pubblico. Per ulteriori informazioni, consulta [Connect to your Linux instance using PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html). Nella categoria **Auth**, accertarsi di selezionare l’opzione **Allow agent forwarding (Consenti inoltro agente)** e lasciare vuota la casella **Private key file for authentication (File chiave privata per autenticazione)**.

------<a name="test-internet-connection"></a>

**Per eseguire il test della connessione Internet**

1. Dall’istanza nella sottorete pubblica, connettersi all’istanza nella sottorete privata utilizzando il relativo indirizzo IP privato, come indicato nell’esempio seguente.

   ```
   ssh ec2-user@10.0.1.123
   ```

1. Dall’istanza privata, verificare che sia possibile connettersi a Internet eseguendo il comando `ping` per un sito Web con ICMP abilitato.

   ```
   ping ietf.org
   ```

   ```
   PING ietf.org (4.31.198.44) 56(84) bytes of data.
   64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms
   64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms
   ...
   ```

   Premere **Ctrl\$1C** sulla tastiera per annullare il comando `ping`. Se il comando `ping` non riesce, consulta [Le istanze non possono accedere a Internet](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-no-internet-connection).

1. (Facoltativo) Se le istanze non sono più richieste, terminarle. Per ulteriori informazioni, consulta la sezione relativa alla [terminazione dell’istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html) nella *Guida per l’utente di Amazon EC2*.

## Accedere alla rete utilizzando gli indirizzi IP consentiti riportati
<a name="private-nat-allowed-range"></a>

Puoi utilizzare un gateway NAT privato per abilitare la comunicazione dalla tua VPCs rete locale utilizzando un pool di indirizzi consentiti. Anziché assegnare a ciascuna istanza un indirizzo IP indipendente dall’intervallo di indirizzi IP consentito, è possibile instradare il traffico dalla sottorete destinata alla rete locale attraverso un gateway NAT privato con un indirizzo IP dall’intervallo di indirizzi IP consentito.

**Topics**
+ [Panoramica di](#private-nat-allowed-range-overview)
+ [Resources](#private-nat-allowed-range-resources)
+ [Routing](#private-nat-allowed-range-routing)

### Panoramica di
<a name="private-nat-allowed-range-overview"></a>

Il diagramma seguente mostra come le istanze possono accedere alle risorse locali tramite. Site-to-Site VPN Il traffico proveniente dalle istanze viene instradato verso un gateway virtuale privato, tramite la connessione VPN, al gateway del cliente e quindi alla destinazione nella rete locale. Tuttavia, supponiamo che la destinazione consenta il traffico solo da un intervallo di indirizzi IP specifico, ad esempio 100.64.1.0/28. Ciò impedirebbe al traffico proveniente da queste istanze di raggiungere la rete locale.

![\[Accesso a una rete locale tramite una connessione. Site-to-Site VPN\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/allowed-range.png)


Il seguente diagramma illustra i componenti principali della configurazione di questo scenario. Il VPC ha il proprio intervallo di indirizzi IP originale e l’intervallo di indirizzi IP consentito. Il VPC ha una sottorete dall’intervallo di indirizzi IP consentito con un gateway NAT privato. Il traffico proveniente dalle istanze destinate alla rete locale viene inviato al gateway NAT prima di essere instradato alla connessione VPN. La rete in locale riceve il traffico dalle istanze con l’indirizzo IP di origine del gateway NAT, che proviene dall’intervallo di indirizzi IP consentito.

![\[Traffico di sottorete VPC instradato tramite gateway NAT privato\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/private-nat-allowed-range.png)


### Resources
<a name="private-nat-allowed-range-resources"></a>

Creare o aggiornare le risorse come di seguito:
+ Associare l’intervallo di indirizzi IP consentito al VPC.
+ Creare una sottorete nel VPC dall’intervallo di indirizzi IP consentito.
+ Creare un gateway NAT privato nella nuova sottorete.
+ Aggiornare la tabella di instradamento per la sottorete con le istanze per inviare il traffico destinato alla rete locale al gateway NAT. Aggiungere una route alla tabella di instradamento per la sottorete con il gateway NAT privato che invia il traffico destinato alla rete locale al gateway virtuale privato.

### Routing
<a name="private-nat-allowed-range-routing"></a>

Di seguito è riportata la tabella di instradamento associata alla prima sottorete. Esiste un routing locale per ciascun CIDR VPC. Le route locali consentono alle risorse nella sottorete di comunicare con altre risorse nel VPC tramite gli indirizzi IP privati. La terza voce invia il traffico destinato alla rete locale al gateway NAT privato.


| Destinazione | Target | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.1.0/24 | local | 
| 192.168.0.0/16 | nat-gateway-id | 

Di seguito è riportata la tabella di instradamento associata alla seconda sottorete. Esiste un routing locale per ciascun CIDR VPC. Le route locali consentono alle risorse nella sottorete di comunicare con altre risorse nel VPC tramite gli indirizzi IP privati. La terza voce invia il traffico destinato alla rete locale al gateway virtuale privato.


| Destinazione | Target | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.1.0/24 | local | 
| 192.168.0.0/16 | vgw-id | 

## Abilitare la comunicazione tra reti sovrapposte
<a name="private-nat-overlapping-networks"></a>

È possibile utilizzare un gateway NAT privato per abilitare la comunicazione tra le reti anche se hanno intervalli CIDR sovrapposti. Ad esempio, supponiamo che le istanze in VPC A debbano accedere ai servizi forniti dalle istanze in VPC B.

![\[Due VPCs con intervalli CIDR sovrapposti.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/overlapping-networks.png)


**Topics**
+ [Panoramica di](#private-nat-overlapping-networks-overview)
+ [Resources](#private-nat-overlapping-networks-resources)
+ [Routing](#private-nat-overlapping-networks-routing)

### Panoramica di
<a name="private-nat-overlapping-networks-overview"></a>

Il seguente diagramma illustra i componenti principali della configurazione di questo scenario. Innanzitutto, il team di gestione IP determina quali intervalli di indirizzi possono sovrapporsi (intervalli di indirizzi non instradabili) e quali no (intervalli di indirizzi instradabili). Il team di gestione IP assegna intervalli di indirizzi dal pool di intervalli di indirizzi instradabili ai progetti su richiesta.

Ogni VPC ha il suo intervallo di indirizzi IP originale, che non è instradabile, oltre all’intervallo di indirizzi IP instradabili assegnato dal team di gestione IP. VPC A ha una sottorete dal suo intervallo instradabile con un gateway NAT privato. Il gateway NAT privato ottiene il suo indirizzo IP dalla sottorete. VPC B ha una sottorete dal suo intervallo instradabile tramite Application Load Balancer. Application Load Balancer ottiene gli indirizzi IP dalle sottoreti.

Il traffico proveniente da un’istanza nella sottorete non instradabile del VPC A destinata alle istanze nella sottorete non instradabile di VPC B viene inviato attraverso il gateway NAT privato e quindi instradato al gateway di transito. Il gateway di transito invia il traffico all’Application Load Balancer, che instrada il traffico verso una delle istanze di destinazione nella sottorete non instradabile di VPC B. Il traffico dal gateway di transito al sistema di bilanciamento del carico dell’applicazione ha l’indirizzo IP di origine del gateway NAT privato. Pertanto, il traffico di risposta proveniente dal load balancer utilizza l’indirizzo del gateway NAT privato come destinazione. Il traffico di risposta viene inviato al gateway di transito e quindi instradato al gateway NAT privato, che converte la destinazione nell’istanza nella sottorete non instradabile di VPC A.

![\[VPC con gateway NAT privato e gateway di transito per la comunicazione tra VPC con CIDR sovrapposto\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/private-nat-overlapping-networks.png)


### Resources
<a name="private-nat-overlapping-networks-resources"></a>

Creare o aggiornare le risorse come di seguito:
+ Associa gli intervalli di indirizzi IP instradabili assegnati ai rispettivi. VPCs
+ Creare una sottorete in VPC A dal suo intervallo di indirizzi IP instradabili e creare un gateway NAT privato in questa nuova sottorete.
+ Creare una sottorete in VPC B dall’intervallo di indirizzi IP instradabili e creare un Application Load Balancer in questa nuova sottorete. Registrare le istanze nella sottorete non instradabile con il gruppo di destinazione per il load balancer.
+ Crea un gateway di transito per connettere il VPCs. Accertarsi di disabilitare la propagazione di route. Quando si connette ciascun VPC al gateway di transito, utilizzare l’intervallo di indirizzi instradabili del VPC.
+ Aggiornare la tabella di instradamento della sottorete non instradabile in VPC A per inviare tutto il traffico destinato all’intervallo di indirizzi instradabili di VPC B al gateway NAT privato. Aggiornare la tabella di instradamento della sottorete instradabile in VPC A per inviare tutto il traffico destinato all’intervallo di indirizzi instradabili del VPC B al gateway di transito.
+ Aggiornare la tabella di instradamento della sottorete instradabile in VPC B per inviare tutto il traffico destinato all’intervallo di indirizzi instradabili del VPC A al gateway di transito.

### Routing
<a name="private-nat-overlapping-networks-routing"></a>

La seguente è la tabella di instradamento per la sottorete non instradabile nel VPC A.


| Destinazione | Target | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.1.0/24 | local | 
| 100.64.2.0/24 | nat-gateway-id | 

La seguente è la tabella di instradamento per la sottorete instradabile nel VPC A.


| Destinazione | Target | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.1.0/24 | local | 
| 100.64.2.0/24 | transit-gateway-id | 

La seguente è la tabella di instradamento per la sottorete non instradabile nel VPC B.


| Destinazione | Target | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.2.0/24 | local | 

La seguente è la tabella di instradamento per la sottorete instradabile nel VPC B.


| Destinazione | Target | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.2.0/24 | local | 
| 100.64.1.0/24 | transit-gateway-id | 

Di seguito è riportata la tabella di instradamento del gateway di transito.


| CIDR | Collegamento | Tipo di routing | 
| --- | --- | --- | 
| 100.64.1.0/24 | Attachment for VPC A | Statico | 
| 100.64.2.0/24 | Attachment for VPC B | Statico | 

# DNS64 e NAT64
<a name="nat-gateway-nat64-dns64"></a>

Un gateway NAT supporta la traduzione degli indirizzi di rete da IPv6 a IPv4, popolarmente nota come. NAT64 NAT64 aiuta IPv6 AWS le tue risorse a comunicare con IPv4 le risorse nello stesso VPC o in un VPC diverso, nella tua rete locale o su Internet. Puoi utilizzarlo NAT64 con DNS64 Amazon Route 53 Resolver o usare il tuo server. DNS64 

**Topics**
+ [Che cos'è? DNS64](#nat-gateway-dns64-what-is)
+ [Che cos'è? NAT64](#nat-gateway-nat64-what-is)
+ [Configura e DNS64 NAT64](#nat-gateway-nat64-dns64-walkthrough)

## Che cos'è? DNS64
<a name="nat-gateway-dns64-what-is"></a>

I tuoi carichi di lavoro « IPv6-only» in esecuzione VPCs possono solo inviare e ricevere pacchetti di IPv6 rete. DNS64In caso contrario, una query DNS per un servizio IPv4 -only produrrà un indirizzo di IPv4 destinazione in risposta e il servizio IPv6 -only non potrà comunicare con esso. Per colmare questa lacuna di comunicazione, è possibile abilitare DNS64 una sottorete, che si applica a tutte le AWS risorse all'interno di quella sottorete. Con DNS64, Amazon Route 53 Resolver cerca il record DNS per il servizio richiesto ed esegue una delle seguenti operazioni:
+ Se il record contiene un IPv6 indirizzo, restituisce il record originale e la connessione viene stabilita senza alcuna traduzione. IPv6
+ Se non è presente alcun IPv6 indirizzo associato alla destinazione nel record DNS, il Route 53 Resolver ne sintetizza uno anteponendo il `/96` prefisso noto, definito in RFC6052 (`64:ff9b::/96`), all'indirizzo nel record. IPv4 Il tuo servizio IPv6 -only invia pacchetti di rete all'indirizzo sintetizzato. IPv6 Dovrai quindi instradare questo traffico attraverso il gateway NAT, che esegue la traduzione necessaria sul traffico per consentire ai servizi della sottorete di accedere ai IPv6 servizi esterni a quella sottorete. IPv4 

**È possibile abilitare o disabilitare DNS64 su una sottorete [modify-subnet-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html)utilizzando la AWS CLI o con la console VPC selezionando una sottorete e **scegliendo** Azioni > Modifica impostazioni sottorete.**

## Che cos'è? NAT64
<a name="nat-gateway-nat64-what-is"></a>

NAT64 consente ai tuoi servizi IPv6 solo in Amazon VPCs di comunicare con servizi IPv4 solo all'interno dello stesso VPC (in diverse sottoreti) o connessi VPCs, nelle tue reti locali o su Internet.

NAT64 è automaticamente disponibile sui gateway NAT esistenti o su tutti i nuovi gateway NAT che crei. Non è possibile abilitare o disabilitare questa funzionalità. La sottorete in cui si trova il gateway NAT non deve essere necessariamente una sottorete dual-stack per funzionare. NAT64 

Dopo l'attivazione DNS64, se il servizio IPv6 -only invia pacchetti di rete a un indirizzo sintetizzato IPv6 tramite il gateway NAT, si verifica quanto segue:
+ A partire dal `64:ff9b::/96` prefisso, il gateway NAT riconosce che la destinazione originale è IPv4 e traduce i pacchetti sostituendo: IPv6 IPv4 
  + Fonte IPv6 con un proprio IP privato che viene tradotto in indirizzo IP elastico dal gateway Internet.
  + Destinazione IPv6 a IPv4 troncando il prefisso. `64:ff9b::/96`
+ Il gateway NAT invia i IPv4 pacchetti tradotti alla destinazione tramite il gateway Internet, il gateway privato virtuale o il gateway di transito e avvia una connessione.
+ L'host IPv4 -only restituisce i pacchetti di risposta. IPv4 Dopo aver stabilito una connessione, il gateway NAT accetta i IPv4 pacchetti di risposta dagli host esterni.
+ I IPv4 pacchetti di risposta sono destinati al gateway NAT, che riceve i pacchetti e NATs li decodifica sostituendo il proprio IP (IP di destinazione) con l' IPv6 indirizzo dell'host e anteponendo l'indirizzo di origine. `64:ff9b::/96` IPv4 Il pacchetto quindi scorre verso l’host seguendo il routing locale.

In questo modo, il gateway NAT consente ai soli carichi di lavoro in una sottorete di comunicare con i servizi IPv6 -only esterni alla sottorete. IPv4

## Configura e DNS64 NAT64
<a name="nat-gateway-nat64-dns64-walkthrough"></a>

Segui i passaggi in questa sezione per configurare DNS64 e NAT64 abilitare la comunicazione con i servizi IPv4 -only.

**Topics**
+ [Abilita la comunicazione con IPv4 i soli servizi su Internet con la CLI AWS](#nat-gateway-nat64-dns64-walkthrough-internet)
+ [Abilita la comunicazione con i IPv4 soli servizi nel tuo ambiente locale](#nat-gateway-nat64-dns64-walkthrough-on-prem)

### Abilita la comunicazione con IPv4 i soli servizi su Internet con la CLI AWS
<a name="nat-gateway-nat64-dns64-walkthrough-internet"></a>

Se disponi di una sottorete con carichi di lavoro IPv6 solo che deve comunicare con servizi IPv4 -only esterni alla sottorete, questo esempio mostra come abilitare questi servizi -only per comunicare con i servizi IPv6 -only su Internet. IPv4

È innanzitutto necessario configurare un gateway NAT in una sottorete pubblica (separata dalla sottorete contenente i carichi di lavoro -only). IPv6 Ad esempio, la sottorete contenente il gateway NAT dovrebbe avere un routing `0.0.0.0/0` che punta al gateway Internet.

Completa questi passaggi per consentire a questi servizi IPv6 -only di connettersi con IPv4 i servizi -only su Internet:

1. Aggiungi le seguenti tre route alla tabella delle rotte della sottorete contenente i carichi di lavoro -only: IPv6
   + IPv4 rotta (se presente) che punta al gateway NAT.
   + Routing `64:ff9b::/96` che punta al gateway NAT. Ciò consentirà di instradare il traffico proveniente dai IPv6 soli carichi di lavoro destinati ai IPv4 soli servizi attraverso il gateway NAT.
   + IPv6 `::/0`percorso che punta al gateway Internet solo in uscita (o al gateway Internet).

   Tieni presente che il puntamento `::/0` al gateway Internet consentirà agli IPv6 host esterni (esterni al VPC) di avviare la connessione. IPv6

   

   ```
   aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block
   0.0.0.0/0 --nat-gateway-id nat-05dba92075d71c408
   ```

   

   ```
   aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
   64:ff9b::/96 --nat-gateway-id nat-05dba92075d71c408
   ```

   

   ```
   aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
   ::/0 --egress-only-internet-gateway-id eigw-c0a643a9
   ```

1. Abilita DNS64 la funzionalità nella sottorete contenente i carichi di lavoro -only. IPv6

   ```
   aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d --enable-dns64
   ```

Ora, le risorse della tua sottorete privata possono stabilire connessioni statiche con entrambi i IPv4 servizi su Internet. IPv6 Configura il tuo gruppo di sicurezza NACLs in modo appropriato per consentire il traffico in uscita e in ingresso al traffico. `64:ff9b::/96`

### Abilita la comunicazione con i IPv4 soli servizi nel tuo ambiente locale
<a name="nat-gateway-nat64-dns64-walkthrough-on-prem"></a>

Il risolutore Amazon Route 53 consente di inoltrare le query DNS dal VPC a una rete on-premise e viceversa. Si può fare eseguendo le seguenti operazioni:
+ Crei un endpoint in uscita Route 53 Resolver in un VPC e gli assegni gli indirizzi da IPv4 cui desideri che Route 53 Resolver inoltri le query. Per il resolver DNS locale, questi sono gli indirizzi IP da cui provengono le query DNS e, pertanto, dovrebbero essere indirizzi. IPv4 
+ Creare una o più regole che specificano i nomi di dominio delle query DNS che si vuole vengano inoltrate dal Route 53 Resolver ai resolver on-premise. È inoltre necessario specificare gli indirizzi dei resolver locali IPv4 .
+ Ora che hai configurato un endpoint in uscita Route 53 Resolver, devi DNS64 abilitarlo nella sottorete contenente IPv6 solo i carichi di lavoro e instradare tutti i dati destinati alla rete locale tramite un gateway NAT.

Come funziona per le sole destinazioni nelle reti locali: DNS64 IPv4

1. Assegni un IPv4 indirizzo all'endpoint in uscita Route 53 Resolver nel tuo VPC.

1. La query DNS del tuo IPv6 servizio passa a Route 53 Resolver. IPv6 Route 53 Resolver confronta la query con la regola di inoltro e ottiene un IPv4 indirizzo per il resolver locale.

1. Route 53 Resolver converte il pacchetto di query da IPv4 e lo inoltra all'endpoint IPv6 in uscita. Ogni indirizzo IP dell'endpoint rappresenta un ENI che inoltra la richiesta all'indirizzo locale del resolver DNS. IPv4 

1. Il resolver locale invia il pacchetto di risposta attraverso l'endpoint in uscita a IPv4 Route 53 Resolver.

1. Supponendo che la query sia stata effettuata da una sottorete DNS64 abilitata, Route 53 Resolver fa due cose:

   1. Controlla il contenuto del pacchetto di risposta. Se c'è un IPv6 indirizzo nel record, mantiene il contenuto così com'è, ma se contiene solo un record. IPv4 Inoltre, sintetizza un IPv6 record anteponendo l'indirizzo. `64:ff9b::/96` IPv4

   1. Riconfeziona il contenuto e lo invia al servizio nel tuo IPv6 VPC tramite.

# Ispeziona il traffico proveniente dai gateway NAT
<a name="nat-gateway-inspect-traffic"></a>

È possibile collegare Network Firewall Proxy al gateway NAT per ispezionare e filtrare il traffico sul gateway NAT. Questo controllo di sicurezza consente di prevenire fughe di dati al di fuori del perimetro di fiducia e blocca qualsiasi risposta in entrata indesiderata.

## Come funziona
<a name="nat-gateway-proxy-how-it-works"></a>

Quando si crea un Network Firewall Proxy, è necessario selezionare un gateway NAT esistente su cui collegare il proxy. Una volta creato, il proxy:
+ Il proxy viene fornito con un nome di dominio completo ed è necessario impostare le applicazioni per inviare richieste di connessione http e https al proxy. Il proxy filtra innanzitutto il nome di dominio nella richiesta di connessione in base alle regole inserite dal cliente. Se consentito dal cliente, il proxy esegue quindi una query DNS per ottenere l'indirizzo IP del dominio. Ha quindi stabilito una connessione TCP con la destinazione finale. A seconda che la decrittografia TLS sia abilitata, il proxy filtra quindi la connessione TLS in base all'indirizzo IP e agli attributi dell'intestazione e stabilisce una connessione TLS con la destinazione solo se gli attributi IP e di intestazione (inclusi l'azione di intestazione e il percorso dell'URL) sono consentiti dalle politiche.
+ L'appliance ispeziona e filtra il traffico.
+ Il traffico consentito continua verso la destinazione (in Internet o nell'ambiente locale o in un altro VPC).

## Collegamento di elettrodomestici
<a name="nat-gateway-attaching-appliances"></a>

Le appliance sono collegate ai gateway NAT tramite AWS Network Firewall. Per istruzioni su come creare e collegare le appliance, consulta la [Network Firewall Proxy Developer Guide](https://docs.aws.amazon.com/network-firewall/latest/developerguide/network-firewall-proxy-developer-guide.html).

## Visualizzazione dei dispositivi collegati
<a name="nat-gateway-viewing-attached-appliances"></a>

Per visualizzare i dispositivi collegati al gateway NAT, utilizzare il [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html)comando:

```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0
```

La risposta include un `AttachedAppliances` campo che mostra:
+ **Tipo**: il tipo di apparecchio (ad esempio,`network-firewall-proxy`)
+ **ApplianceArn**— L'ARN dell'apparecchiatura collegata
+ **AttachmentState**— Stato attuale dell'allegato (`attached`,,`detaching`,`detached`,`attach_failed`) `detach_failed`
+ **ModificationState**— Stato attuale della modifica (`modifying`,`completed`,`failed`)
+ **VpcEndpointId**— L'ID dell'endpoint VPC utilizzato per instradare il traffico dall'applicazione al proxy per l' VPCs ispezione e il filtraggio
+ **FailureCode**— Il codice di errore se l'operazione di collegamento o modifica dell'appliance non è riuscita
+ **FailureMessage**— Un messaggio descrittivo che spiega l'errore se l'operazione di collegamento o modifica dell'apparecchio non è riuscita

# Monitora i gateway NAT tramite Amazon CloudWatch
<a name="vpc-nat-gateway-cloudwatch"></a>

Puoi monitorare il gateway NAT utilizzando CloudWatch, che raccoglie informazioni dal gateway NAT e crea parametri leggibili e disponibili quasi in tempo reale. Puoi utilizzare questa informazioni per monitorare E risolvere i problemi relativi al gateway NAT. Queste metriche offrono visibilità sullo stato e sulle prestazioni del tuo gateway NAT, consentendoti di monitorarne attentamente il funzionamento e risolvere rapidamente eventuali problemi.

Le metriche del gateway NAT raccolte da CloudWatch comprendono punti dati come i byte elaborati, il numero di pacchetti e di connessioni e i tassi di errore. Ciò consente di comprendere attentamemte il traffico che fluisce attraverso il gateway NAT e di identificare eventuali anomalie o colli di bottiglia. CloudWatch fornisce questi dati dei parametri a intervalli di 1 minuto, offrendoti una visione granulare e aggiornata del comportamento del tuo gateway NAT.

Inoltre, CloudWatch conserva i dati dei parametri del gateway NAT per un periodo prolungato di 15 mesi: in questo modo potrai analizzare tendenze e modelli nel tempo. È possibile utilizzare questi dati storici per la pianificazione della capacità, l'ottimizzazione delle prestazioni e la comprensione dell'evoluzione a lungo termine dell'utilizzo del gateway NAT.

Per sfruttare queste potenti funzionalità di monitoraggio, puoi creare dashboard e allarmi CloudWatch personalizzati in base alle tue esigenze specifiche. Ad esempio, puoi impostare avvisi che ti informino ogni volta che il trasferimento di dati in uscita dal gateway NAT supera una certa soglia, consentendoti di affrontare in modo proattivo i potenziali vincoli di larghezza di banda.

Per ulteriori informazioni sui prezzi, consulta [Prezzi di Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/).

**Topics**
+ [Parametri e dimensioni del gateway NAT](metrics-dimensions-nat-gateway.md)
+ [Visualizzazione dei parametri CloudWatch del gateway NAT](viewing-metrics.md)
+ [Creazione di allarmi CloudWatch per monitorare un gateway NAT](creating-alarms-nat-gateway.md)

# Parametri e dimensioni del gateway NAT
<a name="metrics-dimensions-nat-gateway"></a>

I seguenti parametri sono disponibili per i gateway NAT. La colonna Descrizione include una descrizione di ciascun parametro, [unità](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Unit) e [statistica](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Statistics-definitions.html).


| Metrica | Descrizione | 
| --- | --- | 
| ActiveConnectionCount |  Il numero totale delle connessioni simultanee TCP attive attraverso il gateway NAT. Un valore pari a zero indica che non ci sono connessioni attive attraverso il gateway NAT. Unità: numero Statistiche: la statistica più utile è `Max`.  | 
| BytesInFromDestination |  Il numero di byte ricevuti dal gateway NAT e provenienti dalla destinazione. Se il valore per `BytesOutToSource` è inferiore al valore per `BytesInFromDestination`, vi potrebbe essere una perdita di dati durante l'esecuzione del gateway NAT o il traffico potrebbe essere attivamente bloccato dal gateway NAT. Unità: byte Statistiche: la statistica più utile è `Sum`.  | 
| BytesInFromSource |  Il numero di byte ricevuti dal gateway NAT e provenienti dai clienti nel tuo VPC. Se il valore per `BytesOutToDestination` è inferiore al valore per `BytesInFromSource`, vi potrebbe essere una perdita di dati durante l'esecuzione del gateway NAT. Unità: byte Statistiche: la statistica più utile è `Sum`.  | 
| BytesOutToDestination |  Il numero di byte inviati per mezzo del gateway NAT verso la destinazione. Un valore superiore a zero indica che vi è un traffico verso la rete dai clienti che sono dietro il gateway NAT. Se il valore per `BytesOutToDestination` è inferiore al valore per `BytesInFromSource`, vi potrebbe essere una perdita di dati durante l'esecuzione del gateway NAT. Unità: byte Statistiche: la statistica più utile è `Sum`.  | 
| BytesOutToSource |  Il numero di byte inviati per mezzo del gateway NAT verso i clienti nel tuo VPC. Un valore superiore a zero indica che vi è un traffico proveniente dalla rete verso i clienti che sono dietro il gateway NAT. Se il valore per `BytesOutToSource` è inferiore al valore per `BytesInFromDestination`, vi potrebbe essere una perdita di dati durante l'esecuzione del gateway NAT o il traffico potrebbe essere attivamente bloccato dal gateway NAT. Unità: byte Statistiche: la statistica più utile è `Sum`.  | 
| ConnectionAttemptCount |  In numero di tentativi di connessione attraverso il gateway NAT. Questo valore include solo il SYN iniziale. In alcuni casi, `ConnectionAttemptCount` può essere inferiore al valore `ConnectionEstablishedCount` a causa della ritrasmissione del SYN. Se il valore per `ConnectionEstablishedCount` è inferiore del valore per `ConnectionAttemptCount`, ciò indica che i clienti dietro il gateway NAT hanno tentato di stabilire nuove connessioni per le quali non vi era risposta. Unità: numero Statistiche: la statistica più utile è `Sum`.  | 
| ConnectionEstablishedCount |  In numero di connessioni stabilite attraverso il gateway NAT. Questo valore include il SYN e le ritrasmissioni del SYN. Se il valore per `ConnectionEstablishedCount` è inferiore del valore per `ConnectionAttemptCount`, ciò indica che i clienti dietro il gateway NAT hanno tentato di stabilire nuove connessioni per le quali non vi era risposta. Unità: numero Statistiche: la statistica più utile è `Sum`.  | 
| ErrorPortAllocation |  Il numero di volte che il gateway NAT potrebbe non allocare una porta di origine.  Un valore superiore a zero indica che sono aperte troppe connessioni simultanee sono attraverso il gateway NAT. Unità: numero Statistiche: la statistica più utile è `Sum`.  | 
| IdleTimeoutCount |  Numero di connessioni che sono transitate dallo stato attivo a quello inattivo. Una connessione attiva passa allo stato inattivo se non è stata correttamente chiusa e se non c'è stata attività negli ultimi 350 secondi. Un valore superiore a zero indica che vi sono connessioni che sono state spostate a uno stato inattivo. Se il valore per `IdleTimeoutCount` aumenta, ciò potrebbe indicare che i clienti dietro al gateway NAT stanno usando connessioni obsolete.  Unità: numero Statistiche: la statistica più utile è `Sum`.  | 
| PacketsDropCount |  Il numero di pacchetti consegnati dal gateway NAT.  Per calcolare il numero di pacchetti persi come percentuale del traffico complessivo di pacchetti, usa questa formula: `PacketsDropCount/(PacketsInFromSource+PacketsInFromDestination)*100`. Se questo valore supera lo 0,01% del traffico totale sul gateway NAT, potrebbe esserci un problema legato al servizio Amazon VPC. Utilizza la [dashboard di stato del servizio AWS](https://status.aws.amazon.com/) per identificare eventuali problemi relativi al servizio che potrebbero causare la perdita di pacchetti da parte dei gateway NAT.  Unità: numero Statistiche: la statistica più utile è `Sum`.  | 
| PacketsInFromDestination |  Il numero di pacchetti ricevuti dal gateway NAT e provenienti dalla destinazione. Se il valore per `PacketsOutToSource` è inferiore al valore per `PacketsInFromDestination`, vi potrebbe essere una perdita di dati durante l'esecuzione del gateway NAT o il traffico potrebbe essere attivamente bloccato dal gateway NAT. Unità: numero Statistiche: la statistica più utile è `Sum`.  | 
| PacketsInFromSource |  Il numero di pacchetti ricevuti dal gateway NAT e provenienti dai clienti nel tuo VPC. Se il valore per `PacketsOutToDestination` è inferiore al valore per `PacketsInFromSource`, vi potrebbe essere una perdita di dati durante l'esecuzione del gateway NAT. Unità: numero Statistiche: la statistica più utile è `Sum`.  | 
| PacketsOutToDestination |  Il numero di pacchetti inviati per mezzo del gateway NAT verso la destinazione. Un valore superiore a zero indica che vi è un traffico verso la rete dai clienti che sono dietro il gateway NAT. Se il valore per `PacketsOutToDestination` è inferiore al valore per `PacketsInFromSource`, vi potrebbe essere una perdita di dati durante l'esecuzione del gateway NAT. Unità: numero Statistiche: la statistica più utile è `Sum`.  | 
| PacketsOutToSource |  Il numero di pacchetti inviati per mezzo del gateway NAT verso i clienti nel tuo VPC. Un valore superiore a zero indica che vi è un traffico proveniente dalla rete verso i clienti che sono dietro il gateway NAT. Se il valore per `PacketsOutToSource` è inferiore al valore per `PacketsInFromDestination`, vi potrebbe essere una perdita di dati durante l'esecuzione del gateway NAT o il traffico potrebbe essere attivamente bloccato dal gateway NAT. Unità: numero Statistiche: la statistica più utile è `Sum`.  | 
| PeakBytesPerSecond |  Questo parametro riporta la media più alta di 10 secondi di byte al secondo in un dato minuto. Unità: numero Statistiche: la statistica più utile è `Maximum`.  | 
| PeakPacketsPerSecond |  Questo parametro calcola la velocità media dei pacchetti (elaborati al secondo) ogni 10 secondi per 60 secondi, quindi riporta il valore massimo delle sei velocità (la velocità media dei pacchetti più alta). Unità: numero Statistiche: la statistica più utile è `Maximum`.  | 

Per filtrare i dati dei parametri, usa le seguenti dimensioni.


| Dimensione | Descrizione | 
| --- | --- | 
| NatGatewayId | Consente di filtrare i dati del parametro in base all'ID del gateway NAT. | 

# Visualizzazione dei parametri CloudWatch del gateway NAT
<a name="viewing-metrics"></a>

I parametri del gateway NAT vengono inviati a CloudWatch a intervalli di 1 minuto. I parametri vengono raggruppati prima in base allo spazio dei nomi del servizio e successivamente in base alle diverse combinazioni di dimensioni all'interno di ogni spazio di nomi. È possibile visualizzare i parametri dei gateway NAT come segue.

**Per visualizzare i parametri utilizzando la console CloudWatch**

1. Apri la console CloudWatch all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Nel pannello di navigazione, seleziona **Metrics (Parametri)**, **All metrics (Tutti i parametri)**.

1. Seleziona lo spazio dei nomi del parametro **NatGateway**.

1. Scegli la dimensione del dei parametri.

**Per visualizzare i parametri usando AWS CLI**  
Al prompt dei comandi, utilizzare il comando seguente per elencare i parametri disponibili per il servizio di gateway NAT.

```
aws cloudwatch list-metrics --namespace "AWS/NATGateway"
```

# Creazione di allarmi CloudWatch per monitorare un gateway NAT
<a name="creating-alarms-nat-gateway"></a>

Puoi creare un avviso CloudWatch che invia un messaggio Amazon SNS quando l'avviso cambia stato. Un allarme monitora un singolo parametro per un periodo di tempo specificato. Invia una notifica a un argomento Amazon SNS in funzione del valore del parametro rispetto a una soglia prestabilita per un certo numero di periodi. 

Ad esempio, puoi creare un allarme che monitora il volume di traffico in entrata o in uscita del gateway NAT. L'allarme seguente monitora il volume di traffico in uscita dai client nel VPC verso internet via il gateway NAT. Invia una notifica quando viene raggiunta la soglia di 5.000.000 di byte per un periodo di 15 minuti.

**Per creare un allarme per il traffico in uscita via il gateway NAT**

1. Apri la console CloudWatch all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Nel pannello di navigazione, scegli **Alarms** (Allarmi), **All alarms** (Tutti gli allarmi).

1. Scegli **Crea allarme**.

1. Scegli **Select Metric** (Seleziona parametro).

1. Seleziona lo spazio dei nomi del parametro **NatGateway**, quindi una dimensione per il parametro. Nei parametri, seleziona la casella di controllo accanto al parametro **BytesOutToDestination** per il gateway NAT, quindi scegli **Select metric (Seleziona parametro)**.

1. Configura l'allarme come segue, quindi scegli **Next (Successivo)**:
   + Per **Statistic (Statistica)**, scegliere **Sum (Somma)**.
   + Alla voce **Period (Periodo)**, scegli **15 minutes (15 minuti)**.
   + Per **Whenever (Ogni volta che) **, scegli **Greater/Equal (Maggiore di/Uguale a)** e inserisci `5000000` come soglia.

1. Per **Notification (Notifica)** scegli un argomento SNS esistente oppure **Create new topic (Crea nuovo argomento)**, per crearne uno nuovo. Scegli **Next (Successivo)**.

1. Inserisci un nome e una descrizione per l'allarme, quindi scegli **Next (Successivo)**.

1. Quando hai finito di configurare l'allarme, scegli **Create alarm (Crea allarme)**.

Come altro esempio, puoi creare un allarme che controlli gli errori di assegnazione delle porte e invii una notifica quando il valore è maggiore di zero (0) per tre periodi consecutivi di 5 minuti.

**Per creare un allarme con cui monitorare gli errori di allocazione delle porte**

1. Apri la console CloudWatch all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Nel pannello di navigazione, scegli **Alarms** (Allarmi), **All alarms** (Tutti gli allarmi).

1. Scegli **Crea allarme**.

1. Scegli **Select Metric** (Seleziona parametro).

1. Seleziona lo spazio dei nomi del parametro **NatGateway**, quindi una dimensione per il parametro. Nei parametri, seleziona la casella di controllo accanto al parametro **ErrorPortAllocation** per il gateway NAT, quindi scegli **Select metric (Seleziona parametro)**.

1. Configura l'allarme come segue, quindi scegli **Next (Successivo)**:
   + Per **Statistic (Statistica)**, scegli **Maximum (Massima)**.
   + Alla voce **Period (Periodo)**, scegli **5 minutes (5 minuti)**.
   + Per **Whenever (Ogni volta che) **, scegli **Greater (Maggiore di)** e inserisci 0 come soglia.
   + In **Additional configuration (Configurazione aggiuntiva)**, **Datapoints to alarm (Punti dati ad allarme)**, inserisci 3.

1. Per **Notification (Notifica)** scegli un argomento SNS esistente oppure **Create new topic (Crea nuovo argomento)**, per crearne uno nuovo. Scegli **Next (Successivo)**.

1. Inserisci un nome e una descrizione per l'allarme, quindi scegli **Next (Successivo)**.

1. Al termine della configurazione dell'allarme, scegli **Create alarm (Crea allarme)**.

Per ulteriori informazioni, consulta [Utilizzo dei parametri di Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) nella *Guida per l'utente di Amazon CloudWatch*.

# Risoluzione dei problemi relativi ai gateway NAT
<a name="nat-gateway-troubleshooting"></a>

I seguenti argomenti consentono di risolvere alcuni problemi comuni che si possono verificare durante la creazione o l'utilizzo di un gateway NAT.

**Topics**
+ [Creazione gateway NAT non riuscita](#nat-gateway-troubleshooting-failed)
+ [Quota gateway NAT](#nat-gateway-troubleshooting-quota)
+ [Quota degli indirizzi IP elastici](#nat-gateway-troubleshooting-limits)
+ [La zona di disponibilità non è supportata](#nat-gateway-troubleshooting-unsupported-az)
+ [Il gateway NAT non è più visibile](#nat-gateway-troubleshooting-gateway-removed)
+ [Il gateway NAT non risponde a un comando ping](#nat-gateway-troubleshooting-ping)
+ [Le istanze non possono accedere a Internet](#nat-gateway-troubleshooting-no-internet-connection)
+ [La connessione TCP a una destinazione non va a buon fine](#nat-gateway-troubleshooting-tcp-issues)
+ [L'output di tracciamento non visualizza l'indirizzo IP privato del gateway NAT](#nat-gateway-troubleshooting-traceroute)
+ [Connessione Internet interrotta dopo 350 secondi](#nat-gateway-troubleshooting-timeout)
+ [IPsec la connessione non può essere stabilita](#nat-gateway-troubleshooting-ipsec)
+ [Impossibile avviare più connessioni](#nat-gateway-troubleshooting-simultaneous-connections)

## Creazione gateway NAT non riuscita
<a name="nat-gateway-troubleshooting-failed"></a>

**Problema**  
Si crea un gateway NAT che passa allo stato `Failed`.

**Nota**  
Un gateway NAT non riuscito viene eliminato automaticamente, solitamente in circa un'ora.

**Causa**  
Si è verificato un errore al momento della creazione del gateway NAT. Il messaggio di stato restituito fornisce il motivo dell'errore.

**Soluzione**  
Per visualizzare il messaggio di errore, passa alla console Amazon VPC e seleziona **Gateway NAT**. Seleziona il pulsante di opzione per il gateway NAT, quindi cerca **Messaggio di stato** nella scheda **Dettagli** .

Nella seguente tabella vengono elencate le possibili cause di errore come indicato nella console Amazon VPC. Dopo aver applicato le procedure indicate per correggere il problema, puoi provare a creare nuovamente un gateway NAT.


| Errore visualizzato | Causa | Soluzione | 
| --- | --- | --- | 
| La sottorete non dispone di indirizzi liberi sufficienti per creare questo gateway NAT | La sottorete specificata non dispone di indirizzi IP privati liberi. Il gateway NAT richiede un'interfaccia di rete con un indirizzo IP privato allocato dall'intervallo della sottorete.  | Verificare quanti indirizzi IP sono disponibili nella sottorete andado alla pagina Subnets (Sottoreti) nella console Amazon VPC. È possibile visualizzare l'opzione Disponibile IPs nel riquadro dei dettagli della sottorete. Per creare indirizzi IP liberi nella sottorete, puoi eliminare interfacce di rete non utilizzate o terminare istanze non richieste.  | 
| Rete vpc-xxxxxxxx senza Internet Gateway collegato | Un gateway NAT deve Essere creato in un VPC con un Internet Gateway. | Creare E collegare un Internet Gateway al VPC. Per ulteriori informazioni, consulta [Aggiunta di un accesso Internet a una sottorete](working-with-igw.md). | 
| L'indirizzo IP elastico eipalloc-xxxxxxxx è già associato | L'indirizzo IP elastico specificato è già associato a un'altra risorsa e non può essere associato al gateway NAT. | Controlla quale risorsa è associata all'indirizzo IP elastico. Vai alla IPs pagina Elastic nella console Amazon VPC e visualizza i valori specificati per l'ID dell'istanza o l'ID dell'interfaccia di rete. Se l'indirizzo IP elastico per tale risorsa non è richiesto, puoi annullare l'associazione. In alternativa, alloca un nuovo indirizzo IP elastico nell'account. Per ulteriori informazioni, consulta [Iniziare a utilizzare gli indirizzi IP elastici](WorkWithEIPs.md). | 

## Quota gateway NAT
<a name="nat-gateway-troubleshooting-quota"></a>

Quando provi a creare un gateway NAT, ricevi il seguente errore.

```
Performing this operation would exceed the limit of 5 NAT gateways
```

**Causa**  
Hai raggiunto la quota di gateway NAT per l'account in quella zona di disponibilità.

**Soluzione**

Se hai raggiunto questa quota di gateway NAT per il tuo account, puoi effettuare una delle seguenti operazioni:
+ Richiedere un aumento dei [gateway NAT per quota di zona di disponibilità](https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-FE5A380F) utilizzando la console Service Quotas.
+ Verifica lo stato del gateway NAT. Lo stato `Pending`, `Available` o `Deleting` conta ai fini del raggiungimento della quota. Se recentemente hai eliminato un gateway NAT, attendi alcuni minuti finché lo stato passa da `Deleting` a `Deleted`. Prova quindi a creare un nuovo gateway NAT.
+ Se il gateway NAT non è necessario in una zona di disponibilità specifica, prova a creare un gateway NAT in una zona di disponibilità in cui la quota non è stata raggiunta. 

Per ulteriori informazioni, consulta [Quote Amazon VPC](amazon-vpc-limits.md).

## Quota degli indirizzi IP elastici
<a name="nat-gateway-troubleshooting-limits"></a>

**Problema**  
Quando si prova ad allocare un indirizzo IP elastico per il gateway NAT pubblico, viene visualizzato il seguente errore.

```
The maximum number of addresses has been reached.
```

**Causa**  
Hai raggiunto la quota di indirizzi IP elastici per l'account in quella regione.

**Soluzione**  
Se è stata raggiunta la quota di indirizzi IP elastici, puoi disassociare un indirizzo IP elastico da un'altra risorsa. In alternativa, puoi richiedere un aumento della [ IPs quota elastica](https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-0263D0A3) utilizzando la console Service Quotas.

## La zona di disponibilità non è supportata
<a name="nat-gateway-troubleshooting-unsupported-az"></a>

**Problema**  
Quando provi a creare un gateway NAT, ricevi il seguente error: `NotAvailableInZone`.

**Causa**  
Può darsi che tu stia provando a creare il gateway NAT in una zona di disponibilità vincolata, ovvero una zona in cui la capacità di espansione è vincolata. 

**Soluzione**  
Non siamo in grado di supportare gateway NAT in queste zone di disponibilità.. Puoi creare un gateway NAT in un'altra zona di disponibilità e utilizzarla per sottoreti private nella zona vincolata. Puoi anche spostare le risorse in una zona di disponibilità non vincolata in modo che le risorse e il gateway NAT si trovino nella stessa zona di disponibilità.

## Il gateway NAT non è più visibile
<a name="nat-gateway-troubleshooting-gateway-removed"></a>

**Problema**  
Hai creato un gateway NAT, ma non è più visibile nella console Amazon VPC.

**Causa**  
Potrebbe essersi verificato un errore durante la creazione del gateway NAT e la creazione non è riuscita. Un gateway NAT con lo stato di `Failed` è visibile nella console Amazon VPC per un breve periodo di tempo (in genere un'ora). Dopo un'ora, viene eliminato automaticamente.

**Soluzione**  
Verifica le informazioni in [Creazione gateway NAT non riuscita](#nat-gateway-troubleshooting-failed) e prova a creare un nuovo gateway NAT.

## Il gateway NAT non risponde a un comando ping
<a name="nat-gateway-troubleshooting-ping"></a>

**Problema**  
Quando cerchi di eseguire il ping dell'indirizzo IP elastico o indirizzo IP privato di un gateway NAT da Internet (ad esempio, dal computer di casa) o da qualsiasi istanza nel VPC, non ricevi una risposta. 

**Causa**  
Un gateway NAT passa solo traffico da un'istanza in una sottorete privata a Internet.

**Soluzione**  
Per verificare se il gateway NAT funziona, consulta [Test del gateway NAT pubblico](nat-gateway-scenarios.md#public-nat-gateway-testing).

## Le istanze non possono accedere a Internet
<a name="nat-gateway-troubleshooting-no-internet-connection"></a>

**Problema**  
Hai creato un gateway NAT e hai seguito i passaggi per testarlo, ma il comando `ping` non funziona o le istanze nella sottorete privata non riescono ad accedere a Internet.

**Cause**  
La causa del problema può essere una delle seguenti: 
+ Il gateway NAT non è pronto a distribuire il traffico.
+ Le tabelle di routing non sono configurate correttamente.
+ I tuoi gruppi di sicurezza o la tua rete ACLs stanno bloccando il traffico in entrata o in uscita.
+ Utilizzi un protocollo non supportato.

**Soluzione**  
Verifica le seguenti informazioni:
+ Controlla che lo stato del gateway NAT sia `Available`. Nella console Amazon VPC, vai alla pagina **NAT gareways** e visualizza le informazioni sullo stato nel riquadro dei dettagli. Se il gateway NAT si trova nello stato di errore, è possibile che al momento della creazione si sia verificato un errore. Per ulteriori informazioni, consulta [Creazione gateway NAT non riuscita](#nat-gateway-troubleshooting-failed).
+ Controlla che le tabelle di routing siano state correttamente configurate:
  + Il gateway NAT deve trovarsi in una sottorete pubblica con una tabella di instradamento che instrada il traffico Internet a un Internet Gateway.
  + L'istanza deve trovarsi in una sottorete privata con una tabella di instradamento che instrada il traffico Internet al gateway NAT.
  + Controlla che non siano presenti voci della tabella di instradamento che instradano tutto o parte del traffico Internet a un altro dispositivo anziché al gateway NAT.
+ Assicurati che le regole del gruppo di sicurezza per l'istanza privata consentano traffico Internet in uscita. Per poter utilizzare il comando `ping`, le regole devono anche consentire traffico ICMP in uscita.

   Il gateway NAT consente tutto il traffico in uscita e il traffico ricevuto in risposta a una richiesta in uscita (è pertanto stateful).
+ Assicurati che la rete ACLs associata alla sottorete privata e alle sottoreti pubbliche non disponga di regole che blocchino il traffico Internet in entrata o in uscita. Per poter utilizzare il comando `ping`, le regole devono anche consentire traffico ICMP in entrata e in uscita.

  Puoi abilitare log di flusso per semplificare la diagnosi di connessioni interrotte a causa di regole della lista di controllo accessi di rete o del gruppo di sicurezza. Per ulteriori informazioni, consulta [Registrazione del traffico IP utilizzando log di flusso VPC](flow-logs.md).
+ Se utilizzi il comando `ping`, assicurati di eseguire il ping di host in cui ICMP è abilitato. Se ICMP non è abilitato, non riceverai pacchetti di risposta. Per completare il test, esegui lo stesso comando `ping` dal terminale a riga di comando sul computer. 
+ Controlla che l'istanza sia in grado di eseguire il ping di altre risorse, ad esempio, altre istanze nella sottorete privata (ipotizzando che sia consentito dalle regole del gruppo di sicurezza).
+ Verifica che la connessione utilizzi solo un protocollo TCP, UDP o ICMP.

## La connessione TCP a una destinazione non va a buon fine
<a name="nat-gateway-troubleshooting-tcp-issues"></a>

**Problema**  
Alcune delle connessioni TCP dalle istanze in una sottorete privata a una destinazione specifica tramite un gateway NAT vanno a buon fine, mentre altre sono inefficaci o scadute.

**Cause**  
La causa del problema può essere una delle seguenti:
+ L'endpoint di destinazione risponde con pacchetti TCP frammentati. I gateway NAT non supportano la frammentazione IP per TCP o ICMP. Per ulteriori informazioni, consulta [Confronto delle istanze NAT e i gateway NAT](vpc-nat-comparison.md).
+ L'opzione `tcp_tw_recycle` è abilitata su un server remoto, noto per causare problemi quando ci sono più connessioni provenienti da un dispositivo NAT.

**Soluzioni**  
Verifica se l'endpoint a cui provi a connetteri risponde con pacchetti TCP frammentati, nel seguente modo:

1. Utilizza un'istanza in una sottorete pubblica con un indirizzo IP pubblico per attivare una risposta sufficientemente grande da causare la frammentazione dall'endpoint specifico.

1. Utilizza l'utilità `tcpdump` per verificare che l'endpoint sta inviando pacchetti frammentati.
**Importante**  
Per eseguire queste verifiche, devi utilizzare un'istanza in una sottorete pubblica. Non puoi utilizzare l'istanza da cui la connessione originale non riesce o un'istanza in una sottorete privata dietro un gateway NAT o un'istanza NAT.

   Strumenti di diagnostica che inviano o ricevono pacchetti ICMP di grandi dimensioni segnaleranno perdita di pacchetti. Ad esempio, il comando `ping -s 10000 example.com` non funziona dietro un gateway NAT.

1. Se l'endpoint invia pacchetti TCP frammentati, puoi utilizzare un'istanza NAT anziché un gateway NAT.

Se disponi dell'accesso al server remoto, puoi verificare se l'opzione `tcp_tw_recycle` è abilitata procedendo nel seguente modo:

1. Dal server, esegui questo comando:

   ```
   cat /proc/sys/net/ipv4/tcp_tw_recycle
   ```

   Se l'output è `1`, l'opzione `tcp_tw_recycle` è abilitata.

1. Se `tcp_tw_recycle` è abilitata, ti consigliamo di disabilitarla. Se devi riutilizzare le connessioni, `tcp_tw_reuse` è un'opzione più sicura.

Se non disponi dell'accesso al server remoto, puoi eseguire il test disabilitando temporaneamente l'opzione `tcp_timestamps` su un'istanza nella sottorete privata. Quindi, effettua nuovamente la connessione al server remoto. Se la connessione va a buon fine, la causa del guasto precedente è probabilmente dovuta al fatto che `tcp_tw_recycle` è abilitata sul server remoto. Se possibile, contatta il proprietario del server remoto per verificare se l'opzione è abiitata e chiedine la disabilitazione.

## L'output di tracciamento non visualizza l'indirizzo IP privato del gateway NAT
<a name="nat-gateway-troubleshooting-traceroute"></a>

**Problema**  
L'istanza può accedere a Internet, ma quando esegui il comando `traceroute`, l'output non visualizza l'indirizzo IP privato del gateway NAT. 

**Causa**  
L'istanza accede a Internet utilizzando un gateway diverso, ad esempio un Internet Gateway.

**Soluzione**  
Nella tabella di instradamento della sottorete in cui si trova l'istanza, controlla le seguenti informazioni:
+ Assicurati che Esista una route che invia traffico Internet al gateway NAT. 
+ Assicurati che non esista una route più specifica che invia traffico Internet ad altri dispositivi, ad esempio un gateway virtuale privato o un Internet Gateway. 

## Connessione Internet interrotta dopo 350 secondi
<a name="nat-gateway-troubleshooting-timeout"></a>

**Problema**  
Le istanze possono accedere a Internet ma la connessione si interrompe dopo 350 secondi.

**Causa**  
Se una connessione che utilizza un gateway NAT rimane inattiva per almeno 350 secondi, la connessione scade.

Quando si ha il timeout di una connessione, un gateway NAT restituisce un pacchetto RST a tutte le risorse dietro il gateway NAT che tentano di continuare la connessione (non invia un pacchetto FIN). 

**Soluzione**  
Per impedire l'interruzione della connessione, puoi avviare più traffico sulla connessione. In alternativa, puoi permettere a TCP di rimanere attivo sull'istanza con un valore inferiore ai 350 secondi.

## IPsec la connessione non può essere stabilita
<a name="nat-gateway-troubleshooting-ipsec"></a>

**Problema**  
Non è possibile stabilire una IPsec connessione con una destinazione.

**Causa**  
I gateway NAT attualmente non supportano il IPsec protocollo.

**Soluzione**  
È possibile utilizzare NAT-Traversal (NAT-T) per incapsulare il IPsec traffico in UDP, che è un protocollo supportato per i gateway NAT. Assicurati di testare NAT-T e la configurazione per verificare che il traffico non venga interrotto. IPsec IPsec 

## Impossibile avviare più connessioni
<a name="nat-gateway-troubleshooting-simultaneous-connections"></a>

**Problema**  
Disponi già di connessioni a una destinazione tramite un gateway NAT, ma non puoi stabilire più connessioni.

**Causa**  
È possibile che sia stato raggiunto il limite di connessioni simultanee per un singolo gateway NAT. Per ulteriori informazioni, consulta [Nozioni di base sul gateway NAT](nat-gateway-basics.md). Se le istanze nella sottorete privata creano un numero elevato di connessioni, è possibile raggiungere questo limite. 

**Soluzione**  
Esegui una delle seguenti operazioni:
+ Crea un gateway NAT per zona di disponibilità e distribuisci i client su queste zone.
+ Crea gateway NAT aggiuntivi nella sottorete pubblica e dividi i client in più sottoreti private, ciascuna con una route a un gateway NAT diverso.
+ Limita il numero di connessioni alla destinazione che i client possono creare.
+ Usa la [`IdleTimeoutCount`](vpc-nat-gateway-cloudwatch.md)metrica in CloudWatch per monitorare l'aumento delle connessioni inattive. Per rilasciare la capacità, chiudi le connessioni inattive.
+ Crea un gateway NAT con più indirizzi IP o aggiungi indirizzi IP secondari a un gateway NAT esistente. Ogni nuovo IPv4 indirizzo può supportare fino a 55.000 connessioni simultanee. Per ulteriori informazioni, consulta [Creazione di un gateway NAT](nat-gateway-working-with.md#nat-gateway-creating) o [Come modificare le associazioni di indirizzi IP secondari](nat-gateway-working-with.md#nat-gateway-edit-secondary).

# Prezzi per i gateway NAT
<a name="nat-gateway-pricing"></a>

Quando si effettua il provisioning di un gateway NAT, viene addebitata ogni ora in cui il gateway NAT è disponibile e ogni gigabyte di dati che elabora. Per ulteriori informazioni, consulta la pagina dei [Prezzi di Amazon VPC](https://aws.amazon.com/vpc/pricing/).

Le seguenti strategie consentono di ridurre i costi di trasferimento dati per il gateway NAT:
+ Se AWS le tue risorse inviano o ricevono un volume significativo di traffico tra le zone di disponibilità, assicurati che si trovino nella stessa zona di disponibilità del gateway NAT. In alternativa, crea un gateway NAT in ogni zona di disponibilità delle risorse.
+ Se la maggior parte del traffico attraverso il gateway NAT è diretto a AWS servizi che supportano gli endpoint di interfaccia o gli endpoint gateway, valuta la possibilità di creare un endpoint di interfaccia o un endpoint gateway per questi servizi. Per ulteriori informazioni sui potenziali risparmi sui costi di utilizzo, consultare [AWS PrivateLink Prezzi](https://aws.amazon.com/privatelink/pricing/).

# Istanze NAT
<a name="VPC_NAT_Instance"></a>

Un'istanza NAT fornisce la Network Address Translation (NAT), ovvero la traduzione degli indirizzi di rete. È possibile utilizzare un'istanza NAT per consentire alle risorse di una sottorete privata di comunicare con destinazioni esterne al cloud privato virtuale (VPC), come Internet o una rete on-premise. Le risorse nella sottorete privata possono avviare il IPv4 traffico in uscita verso Internet, ma non possono ricevere il traffico in entrata avviato su Internet.

**Importante**  
L'AMI NAT è basata sull'ultima versione di Amazon Linux AMI, 2018.03, che ha raggiunto la fine del supporto standard il 31 dicembre 2020 e la fine del supporto alla manutenzione il 31 dicembre 2023. Per ulteriori informazioni, consulta il seguente post sul blog: [fine del supporto di Amazon Linux AMI](https://aws.amazon.com/blogs/aws/update-on-amazon-linux-ami-end-of-life/).  
Se utilizzi un AMI NAT esistente, ti AWS consiglia di [migrare a un gateway NAT](vpc-nat-comparison.md#nat-instance-migrate). I gateway NAT offrono una migliore disponibilità, una larghezza di banda superiore e richiedono un numero minore di interventi amministrativi. Per ulteriori informazioni, consulta [Confronto delle istanze NAT e i gateway NAT](vpc-nat-comparison.md).  
Se le istanze NAT soddisfano meglio il proprio caso d'uso rispetto ai gateway NAT, è possibile creare la propria AMI NAT da una versione corrente di Amazon Linux come descritto in [3. Creazione di un'AMI NAT](work-with-nat-instances.md#create-nat-ami).

**Topics**
+ [Principi di base di un'istanza NAT](#basics)
+ [Consentire alle risorse private di comunicare all'esterno del VPC](work-with-nat-instances.md)

## Principi di base di un'istanza NAT
<a name="basics"></a>

L'immagine seguente illustra i principi di base di un'istanza NAT. La tabella di routing associata alla sottorete privata invia il traffico Internet dalle istanze nella sottorete privata all'istanza NAT nella sottorete pubblica. L'istanza NAT invia quindi il traffico al gateway Internet. Il traffico è attribuito all'indirizzo IP pubblico dell'istanza NAT. L'istanza NAT specifica un numero di porta elevato per la risposta; se si riceve una risposta, l'istanza NAT la invia a un'istanza nella sottorete privata in base al numero di porta della risposta.

L'istanza NAT deve avere accesso a Internet pertanto deve trovarsi in una sottorete pubblica (una sottorete con una tabella di routing con un percorso verso il gateway Internet) e deve avere un indirizzo IP pubblico o un indirizzo IP elastico.

![\[Diagramma che mostra la configurazione di un'istanza NAT in VPC\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/nat-instance_updated.png)


Per iniziare con le istanze NAT, crea un'AMI NAT, crea un gruppo di sicurezza per l'istanza NAT e avvia l'istanza NAT nel VPC.

La quota di istanze NAT dipende dalla quota di istanze per la regione. Per ulteriori informazioni, consulta [Service Quotas di Amazon EC2](https://docs.aws.amazon.com/general/latest/gr/ec2-service.html#limits_ec2) nella *Riferimenti generali di AWS*.

# Consentire alle risorse private di comunicare all'esterno del VPC
<a name="work-with-nat-instances"></a>

Questa sezione descrive come creare e utilizzare istanze NAT per consentire alle risorse di una sottorete privata di comunicare all'esterno del cloud privato virtuale.

**Topics**
+ [1. Creazione di un VPC per l'istanza NAT](#create-vpc-subnets)
+ [2. Creazione di un gruppo di sicurezza per l'istanza NAT](#NATSG)
+ [3. Creazione di un'AMI NAT](#create-nat-ami)
+ [4. Avvio di un'istanza NAT](#NATInstance)
+ [5. Disabilita i controlli source/destination](#EIP_Disable_SrcDestCheck)
+ [6. Aggiornamento della tabella di routing](#nat-routing-table)
+ [7. Testa l'istanza NAT](#nat-test-configuration)

## 1. Creazione di un VPC per l'istanza NAT
<a name="create-vpc-subnets"></a>

Utilizza la procedura seguente per creare un VPC con una sottorete pubblica e una sottorete privata.

**Per creare il VPC**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Seleziona **Crea VPC**.

1. Per **Resources to create** (Risorse da creare), scegli **VPC and more** (VPC e altro).

1. Per **Name tag auto-generation** (Generazione automatica di tag nome), immetti un nome per il VPC.

1. Per configurare le sottoreti, procedi come segue:

   1. Per **Number of Availability Zones** (Numero di zone di disponibilità), scegli **1** o **2**, a seconda delle tue esigenze.

   1. Per **Number of public subnets** (Numero di sottoreti pubbliche), assicurati di avere una sottorete pubblica per zona di disponibilità.

   1. Per **Number of private subnets** (Numero di sottoreti private), assicurati di avere una sottorete privata per ogni zona di disponibilità.

1. Seleziona **Crea VPC**.

## 2. Creazione di un gruppo di sicurezza per l'istanza NAT
<a name="NATSG"></a>

Crea un gruppo di sicurezza con le regole descritte nella tabella seguente. Queste regole consentono all'istanza NAT di ricevere traffico destinato a Internet dalle istanze nella sottorete privata nonché traffico SSH dalla propria rete. L'istanza NAT può anche inviare traffico a Internet, di modo che le istanze nella sottorete privata possano ottenere aggiornamenti software.

Di seguito sono riportate le regole in entrata consigliate.


| Crea | Protocollo | Intervallo porte | Commenti | 
| --- | --- | --- | --- | 
| Private subnet CIDR | TCP | 80 | Consente il traffico HTTP in entrata dai server nella sottorete privata | 
| Private subnet CIDR | TCP | 443 | Consente il traffico HTTPS in entrata dai server nella sottorete privata | 
| Public IP address range of your network | TCP | 22 | Consente l'accesso SSH in entrata alle istanze NAT dalla rete (sul gateway Internet). | 

Di seguito sono riportate le regole in uscita consigliate.


| Destinazione | Protocollo | Intervallo porte | Commenti | 
| --- | --- | --- | --- | 
| 0.0.0.0/0 | TCP | 80 | Consente l'accesso HTTP in uscita a Internet | 
| 0.0.0.0/0 | TCP | 443 | Consente l'accesso HTTPS in uscita a Internet | 

**Creazione del gruppo di sicurezza**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Scegli **Gruppi di sicurezza** nel riquadro di navigazione.

1. Scegliere **Create Security Group (Crea gruppo di sicurezza)**.

1. Immettere un nome e una descrizione per il gruppo di sicurezza.

1. Per **VPC**, seleziona l'ID del VPC per l'istanza NAT.

1. Aggiungi le regole per il traffico in entrata in **Regole in entrata** come riportato di seguito:

   1. Scegli **Aggiungi regola**. Scegli **HTTP** per **Tipo** e immetti l'intervallo di indirizzi IP della sottorete privata nel campo **Origine**.

   1. Scegli **Aggiungi regola**. Scegli **HTTPS** per **Tipo** e immetti l'intervallo di indirizzi IP della sottorete privata nel campo **Origine**.

   1. Scegli **Aggiungi regola**. Scegli **SSH** per **Tipo** e inserisci l'intervallo di indirizzi IP della tua rete nel campo **Origine**.

1. Aggiungi le regole per il traffico in uscita in **Regole in uscita** come riportato di seguito:

   1. Scegli **Aggiungi regola**. Scegli **HTTP** per **Tipo** e immetti 0.0.0.0/0 nel campo **Destinazione**.

   1. Scegli **Aggiungi regola**. Scegli **HTTPS** per **Tipo** e immetti 0.0.0.0/0 nel campo **Destinazione**.

1. Scegliere **Create Security Group (Crea gruppo di sicurezza)**.

Per ulteriori informazioni, consulta [Gruppi di sicurezza](vpc-security-groups.md).

## 3. Creazione di un'AMI NAT
<a name="create-nat-ami"></a>

Un'AMI NAT è configurata per eseguire NAT su un'istanza EC2. È necessario creare un'AMI NAT e quindi avviare l'istanza NAT utilizzando l'AMI.

Se per l'AMI NAT prevedi di utilizzare un sistema operativo diverso da Amazon Linux, consulta la documentazione del sistema operativo per scoprire come configurare NAT. Assicurati di salvare queste impostazioni in modo che rimangano salvate anche dopo il riavvio dell'istanza.

**Per creare un'AMI NAT per Amazon Linux**

1. Avvia un'istanza EC2 in esecuzione AL2023 o Amazon Linux 2. Assicurati di specificare il gruppo di sicurezza che hai creato per l'istanza NAT.

1. Connettiti all'istanza ed esegui i comandi seguenti sull'istanza per abilitare iptables.

   ```
   sudo yum install iptables-services -y
   sudo systemctl enable iptables
   sudo systemctl start iptables
   ```

1. Effettua le seguenti operazioni sull'istanza per abilitare l'inoltro IP in modo che persista dopo il riavvio:

   1. Usando un editor di testo, come **nano** o **vim**, crea il seguente file di configurazione: `/etc/sysctl.d/custom-ip-forwarding.conf`.

   1. Aggiungi la seguente riga al file di configurazione.

      ```
      net.ipv4.ip_forward=1
      ```

   1. Salva il file di configurazione ed esci dall'editor di testo.

   1. Esegui il seguente comando per applicare il file di configurazione.

      ```
      sudo sysctl -p /etc/sysctl.d/custom-ip-forwarding.conf
      ```

1. Esegui il comando seguente sull'istanza e annota il nome dell'interfaccia di rete principale. Queste informazioni serviranno per la fase successiva.

   ```
   netstat -i
   ```

   Nel seguente output di esempio, `docker0` è un'interfaccia di rete creata da docker, `eth0` è l'interfaccia di rete principale e `lo` è l'interfaccia di loopback.

   ```
   Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
   docker0   1500        0      0      0 0             0      0      0      0 BMU
   eth0      9001  7276052      0      0 0       5364991      0      0      0 BMRU
   lo       65536   538857      0      0 0        538857      0      0      0 LRU
   ```

   Nell'output di esempio seguente, l'interfaccia di rete è `enX0`.

   ```
   Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
   enX0      9001     1076      0      0 0          1247      0      0      0 BMRU
   lo       65536       24      0      0 0            24      0      0      0 LRU
   ```

   Nell'output di esempio seguente, l'interfaccia di rete è `ens5`.

   ```
   Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
   ens5      9001    14036      0      0 0          2116      0      0      0 BMRU
   lo       65536       12      0      0 0            12      0      0      0 LRU
   ```

1. Esegui il comando riportato sull'istanza per configurare NAT. Se l'interfaccia di rete principale non lo è`eth0`, *eth0* sostituiscila con l'interfaccia di rete principale che hai annotato nel passaggio precedente.

   ```
   sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
   sudo /sbin/iptables -F FORWARD
   sudo service iptables save
   ```

1. Crea un'AMI NAT dall'istanza EC2. Per maggiori informazioni, consulta [Creazione di un'AMI Linux da un'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#how-to-create-ebs-ami) nella *Guida per l'utente di Amazon EC2*.

## 4. Avvio di un'istanza NAT
<a name="NATInstance"></a>

Utilizza la procedura seguente per avviare un'istanza NAT utilizzando il VPC, il gruppo di sicurezza e l'AMI NAT creata.

**Avvio di un'istanza NAT**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di controllo scegliere **Avvia istanza**.

1. Nel campo **Nome**, inserisci un nome per l'istanza NAT.

1. Per **le immagini delle applicazioni e del sistema operativo**, seleziona il tuo AMI NAT (scegli **Sfoglia altro AMIs**, **Mio AMIs**).

1. Per **Tipo di istanza**, seleziona un tipo di istanza che fornisce le risorse di calcolo, memoria e archiviazione di cui ha bisogno l'istanza NAT.

1. In **Coppia di chiavi**, scegli una coppia di chiavi esistente o **Crea una nuova coppia di chiavi**.

1. In **Network settings** (Impostazioni di rete) effettua le seguenti operazioni:

   1. Scegli **Modifica**.

   1. Per **VPC** scegli il VPC creato.

   1. Per **Sottorete**, scegli la sottorete pubblica creata per il VPC.

   1. Per **Auto-assign Public IP** (Assegna automaticamente IP pubblico), scegli **Enable** (Abilita). In alternativa, dopo aver avviato l'istanza NAT, alloca un indirizzo IP elastico e assegnalo all'istanza NAT.

   1. Per **Firewall**, scegli **Seleziona gruppo di sicurezza esistente**, quindi scegli il gruppo di sicurezza creato.

1. Scegliere **Launch Instance (Avvia istanza)**. Scegli l'ID dell'istanza per aprire la relativa pagina dei dettagli. Attendi che lo stato dell'istanza passi a **In esecuzione** e che i controlli di stato abbiano esito positivo.

1. Disabilita source/destination i controlli per l'istanza NAT (vedi[5. Disabilita i controlli source/destination](#EIP_Disable_SrcDestCheck)).

1. Aggiorna la tabella di routing per inviare il traffico all'istanza NAT (consulta [6. Aggiornamento della tabella di routing](#nat-routing-table)).

## 5. Disabilita i controlli source/destination
<a name="EIP_Disable_SrcDestCheck"></a>

Ogni istanza EC2 esegue source/destination i controlli per impostazione predefinita. Ciò significa che l'istanza deve Essere l'origine o la destinazione di tutto il traffico che invia o riceve. Tuttavia, un'istanza NAT deve Essere in grado di inviare E ricevere traffico quando non è l'origine o la destinazione. Pertanto, è necessario disabilitare source/destination i controlli sull'istanza NAT.

**Per disabilitare il controllo source/destination**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Seleziona l'istanza NAT.

1. Scegli **Azioni**, **Rete**, **Change source/destination check**.

1. Per **Controllo origine/destinazione**, seleziona **Arresta**.

1. Scegli **Save** (Salva).

1. Se l'istanza NAT dispone di un'interfaccia di rete secondaria, selezionala da **Interfacce di rete** nella scheda **Rete**. Scegli l'ID interfaccia per accedere alla pagina delle interfacce di rete. Seleziona **Operazioni**, **Modifica controllo di origine/destinazione**, deseleziona l'opzione **Abilita** e scegli **Salva**.

## 6. Aggiornamento della tabella di routing
<a name="nat-routing-table"></a>

La tabella di routing per la sottorete privata deve avere un percorso che invia traffico Internet all'istanza NAT.

**Aggiornamento della tabella di routing**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, seleziona **Tabelle di routing**.

1. Seleziona la tabella di routing per la sottorete privata.

1. Nella scheda **Routing**, scegli **Modifica route** e scegli **Aggiungi instradamento**.

1. Immetti 0,0.0.0/0 per **Destinazione** e l'ID dell'istanza NAT nel campo **Destinazione**.

1. Scegli **Save changes** (Salva modifiche).

Per ulteriori informazioni, consulta [Configurare le tabelle di routing](VPC_Route_Tables.md).

## 7. Testa l'istanza NAT
<a name="nat-test-configuration"></a>

Dopo aver avviato un'istanza NAT e completato le fasi di configurazione descritte in precedenza, puoi eseguire un test per verificare se un'istanza nella sottorete privata può accedere a Internet tramite l'istanza NAT utilizzando quest'ultima come server host bastione.

**Topics**
+ [Fase 1: aggiornamento del gruppo di sicurezza dell'istanza NAT](#nat-test-security)
+ [Fase 2. avvio di un'istanza di test nella sottorete privata](#nat-test-launch-instance)
+ [Fase 3: esecuzione del ping di un sito Web abilitato per ICMP](#nat-test-ping)
+ [Fase 4: pulizia](#nat-test-clean-up)

### Fase 1: aggiornamento del gruppo di sicurezza dell'istanza NAT
<a name="nat-test-security"></a>

Per consentire alle istanze della sottorete privata di inviare traffico ping all'istanza NAT, aggiungi una regola per permettere il traffico ICMP in entrata e in uscita. Per consentire all'istanza NAT di fungere da host bastione, aggiungi una regola per permettere il traffico SSH in uscita verso la sottorete privata.

**Per aggiornare il gruppo di sicurezza dell'istanza NAT**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel pannello di navigazione, seleziona **Gruppi di sicurezza**.

1. Seleziona la casella di controllo relativa al gruppo di sicurezza associato all'istanza NAT.

1. Nella scheda **Inbound rules (Regole in entrata)**, seleziona **Edit inbound rules (Modifica regole in entrata)**.

1. Scegli **Aggiungi regola**. Scegliete **All ICMP - IPv4** per **Tipo**. Scegli **Personalizzato** per **Origine** e specifica l'intervallo di indirizzi IP della sottorete privata. Scegliere **Salva regole**.

1. Dalla scheda **Regole in uscita**, seleziona **Modifica regole in uscita**.

1. Scegliere **Add rule** (Aggiungi regola). Seleziona **SSH** per **Tipo**. Seleziona **Personalizzato** per **Destinazione** e specifica l'intervallo di indirizzi IP della sottorete privata.

1. Scegli **Aggiungi regola**. **Scegliete **Tutto ICMP - IPv4 per Tipo**.** Scegli **Anywhere - IPv4** per **Destinazione**. Scegliere **Salva regole**.

### Fase 2. avvio di un'istanza di test nella sottorete privata
<a name="nat-test-launch-instance"></a>

Avviare un'istanza nella sottorete privata. È necessario consentire l'accesso SSH dall'istanza NAT e utilizzare la stessa coppia di chiavi utilizzata per l'istanza NAT.

**Per avviare un'istanza di test nella sottorete privata**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di controllo scegliere **Avvia istanza**.

1. Seleziona la sottorete privata.

1. Non assegnare un indirizzo IP pubblico all'istanza.

1. Assicurati che il gruppo di sicurezza di questa istanza consenta l'accesso SSH in entrata dall'istanza NAT o dall'intervallo di indirizzi IP della sottorete pubblica, e il traffico ICMP in uscita.

1. Seleziona la stessa coppia di chiavi utilizzata per l'istanza NAT.

### Fase 3: esecuzione del ping di un sito Web abilitato per ICMP
<a name="nat-test-ping"></a>

Per verificare che l'istanza di test nella sottorete privata possa utilizzare l'istanza NAT per comunicare con Internet, esegui il comando **ping**.

**Test della connessione Internet dall'istanza privata**

1. Dal computer locale, configura l'inoltro dell'agente SSH, in modo da poter utilizzare l'istanza NAT come host bastione.

------
#### [ Linux and macOS ]

   ```
   ssh-add key.pem
   ```

------
#### [ Windows ]

   [Scarica e installa Pageant](https://www.chiark.greenend.org.uk/~sgtatham/putty/), se non è già installato.

   [Converti la tua chiave privata usando Pu TTYgen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html#putty-private-key).

   Avvia Pageant, fai clic con il tasto destro del mouse sull'icona **Pageant** nella barra delle applicazioni (potrebbe essere nascosta), quindi seleziona **Aggiungi chiave**. Seleziona il file .ppk creato, immetti la passphrase se necessario e scegli **Apri**.

------

1. Dal computer locale connettiti all'istanza NAT.

------
#### [ Linux and macOS ]

   ```
   ssh -A ec2-user@nat-instance-public-ip-address
   ```

------
#### [ Windows ]

   Connettiti all'istanza NAT tramite PuTTY. In **Autenticazione**, devi selezionare **Consenti inoltro agente** e lascia vuoto il campo **File della chiave privata per l'autenticazione**.

------

1. Dall'istanza NAT, esegui il comando **ping**, che specifica un sito Web abilitato per ICMP.

   ```
   [ec2-user@ip-10-0-4-184]$ ping ietf.org
   ```

   Per confermare che l'istanza NAT abbia accesso a Internet, verifica di aver ricevuto un output simile al seguente, quindi premi **Ctrl\$1C** per annullare il comando **ping**. In caso contrario, verifica che l'istanza NAT si trovi in una sottorete pubblica (ossia che la relativa tabella di routing abbia una route verso un gateway Internet).

   ```
   PING ietf.org (104.16.45.99) 56(84) bytes of data.
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=7.88 ms
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.09 ms
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=7.97 ms
   ...
   ```

1. Dall'istanza NAT, connettiti all'istanza nella sottorete privata utilizzando il relativo indirizzo IP privato.

   ```
   [ec2-user@ip-10-0-4-184]$ ssh ec2-user@private-server-private-ip-address
   ```

1. Dall'istanza privata, verifica che sia possibile connettersi a Internet eseguendo il comando **ping**.

   ```
   [ec2-user@ip-10-0-135-25]$ ping ietf.org
   ```

   Per confermare che l'istanza privata abbia accesso a Internet tramite l'istanza NAT, verifica di aver ricevuto un output simile al seguente, quindi premi **Ctrl\$1C** per annullare il comando **ping**.

   ```
   PING ietf.org (104.16.45.99) 56(84) bytes of data.
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=8.76 ms
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.26 ms
   64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=8.27 ms
   ...
   ```

**Risoluzione dei problemi**

Se il comando **ping** non viene eseguito dal server nella sottorete privata, completa la seguente procedura per risolvere il problema:
+ Verifica di aver eseguito il ping su un sito Web con ICMP abilitato. Altrimenti, il server non sarà in grado di ricevere pacchetti di risposta. Per completare il test, esegui lo stesso comando **ping** dal terminale a riga di comando sul computer.
+ Verifica che il gruppo di sicurezza dell'istanza NAT consenta il traffico ICMP in entrata dalla sottorete privata. In caso contrario, l'istanza NAT non potrà ricevere il comando **ping** dall'istanza privata.
+ Verifica di aver disabilitato il source/destination controllo della tua istanza NAT. Per ulteriori informazioni, consulta [5. Disabilita i controlli source/destination](#EIP_Disable_SrcDestCheck).
+ Controlla che le tabelle di routing siano state correttamente configurate. Per ulteriori informazioni, consulta [6. Aggiornamento della tabella di routing](#nat-routing-table).

### Fase 4: pulizia
<a name="nat-test-clean-up"></a>

Se non hai più bisogno del server di test nella sottorete privata, termina l'istanza in modo che non venga più fatturata. Per ulteriori informazioni, consulta la sezione relativa alla [terminazione dell’istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html) nella *Guida per l’utente di Amazon EC2*.

Se non hai più bisogno dell'istanza NAT, puoi interromperla o terminarla in modo che non venga più fatturata. Se hai creato un'AMI NAT, puoi creare una nuova istanza NAT ogni volta che è necessario.

# Confronto delle istanze NAT e i gateway NAT
<a name="vpc-nat-comparison"></a>

Di seguito è riportato un riepilogo dettagliato delle differenze tra le istanze NAT e i gateway NAT. Si consiglia di utilizzare i gateway NAT perché offrono una maggiore disponibilità e larghezza di banda e richiedono meno sforzi di amministrazione per l'utente.


| Attributo | Gateway NAT | Istanza NAT | 
| --- | --- | --- | 
| Disponibilità | Alta disponibilità. I gateway NAT in ogni zona di disponibilità sono implementati in modo ridondante. Crea un gateway NAT in ogni zona di disponibilità affinché l'architettura sia indipendente dalle zone. | Utilizza uno script per gestire failover tra le istanze. | 
| Larghezza di banda | Aumentabile fino a 100 Gbps. | Dipende dalla larghezza di banda del tipo di istanza. | 
| Manutenzione | Gestita da AWS. Non devi eseguire alcuna operazione di manutenzione. | Gestita da te, ad esempio, installando gli aggiornamenti software o le patch del sistema operativo sull'istanza. | 
| Performance | Il software è ottimizzato per la gestione del traffico NAT. | Un'AMI generica configurata per eseguire NAT. | 
| Costo | In base al numero di gateway NAT utilizzati, alla durata di utilizzo e alla quantità di dati inviati via i gateway NAT. | In base al numero di istanze NAT utilizzate, alla durata di utilizzo e al tipo e alla dimensione dell'istanza. | 
| Tipo e dimensione | Offerta omogenea: non devi decidere il tipo o la dimensione.  | Scegli il tipo e la dimensione appropriati in base al carico di lavoro previsto. | 
| Indirizzi IP pubblici | Scegli l'indirizzo IP elastico da associare al gateway NAT in fase di creazione. | Utilizza un indirizzo IP elastico o un indirizzo IP pubblico con un'istanza NAT. Puoi modificare l'indirizzo IP pubblico in qualsiasi momento associando un nuovo indirizzo IP elastico all'istanza. | 
| Indirizzi IP privati | Selezionati automaticamente dall'intervallo di indirizzi IP della sottorete quando crei il gateway. | Assegnazione di uno specifico indirizzo IP privato a partire dall'intervallo di indirizzi IP della sottorete quando avvii l'istanza. | 
| Gruppi di sicurezza | Non puoi associare i gruppi di sicurezza ai gateway NAT. Puoi associarli alle tue risorse dietro il gateway NAT per controllare il traffico in entrata e in uscita. | Associati all'istanza NAT e alle risorse dietro l'istanza NAT per controllare il traffico in entrata e in uscita. | 
| Liste di controllo accessi di rete | Utilizza una lista di controllo accessi di rete per controllare il traffico verso e dalla sottorete in cui si trova il gateway NAT. | Utilizza una lista di controllo accessi di rete per controllare il traffico verso e dalla sottorete in cui si trova l'istanza NAT. | 
| Log di flusso | Utilizza log di flusso per acquisire il traffico. | Utilizza log di flusso per acquisire il traffico. | 
| Inoltro alla porta | Non supportato. | Personalizza manualmente la configurazione per supportare l'inoltro alla porta. | 
| Host bastioni | Non supportato. | Utilizza un host bastione. | 
| Parametri di traffico | Visualizza le [metriche di CloudWatch per il gateway NAT](vpc-nat-gateway-cloudwatch.md). | Visualizza le metriche di CloudWatch per l'istanza. | 
| Comportamento del timeout | Quando si ha il timeout di una connessione, un gateway NAT restituisce un pacchetto RST a tutte le risorse dietro il gateway NAT che tentano di continuare la connessione (non invia un pacchetto FIN). | Quando si ha il timeout di una connessione, un'istanza NAT invia un pacchetto FIN alle risorse dietro l'istanza NAT per chiudere la connessione. | 
| Frammentazione IP | Supporta l'inoltro di pacchetti frammentati IP per il protocollo UDP. Non supporta la frammentazione per i protocolli TCP e ICMP. I pacchetti frammentati per questi protocolli saranno eliminati.  | Supporta il riassemblaggio di pacchetti frammentati IP per i protocolli UDP, TCP e ICMP. | 

## Migrazione da un'istanza NAT a un gateway NAT
<a name="nat-instance-migrate"></a>

Se si sta già utilizzando un'istanza NAT, consigliamo di sostituirla con un gateway NAT. È possibile creare un gateway NAT nella stessa sottorete dell'istanza NAT, quindi sostituire la route esistente nella tabella di instradamento che fa riferimento all'istanza NAT con una route che fa riferimento al gateway NAT. Per utilizzare lo stesso indirizzo IP elastico per il gateway NAT attualmente utilizzato per l'istanza NAT, è necessario innanzitutto dissociare l'indirizzo IP elastico dall'istanza NAT e associarlo al gateway NAT durante la creazione del gateway.

Modificando il routing da un'istanza NAT a un gateway NAT o annullando l'associazione dell'indirizzo IP elastico all'istanza NAT, le Eventuali connessioni correnti vengono rilasciate E devono essere nuovamente stabilite. Assicurati che non siano presenti attività critiche (o eventuali altre attività che funzionano attraverso l'istanza NAT) in esecuzione.