Amazon VPC (Virtual Private Cloud) una rete aziendale
da Massimo Della Rovere · pubblicato il 24 agosto, 2014 · modificato il 19 febbraio, 2017

Amazon Virtual Private Cloud (Amazon VPC) mette a disposizione una sezione isolata nel Cloud di Amazon, dove è possibile eseguire, in una rete virtuale da noi definita, delle risorse AWS. Con questo servizio si ha il controllo completo sull’ambiente virtuale di networking, infatti è possibile scegliere un range di indirizzi IP, configurare delle sottoreti, impostare regole di routing e configurare gateway di rete.

Introduzione

Questa rete virtuale è molto simile alle reti tradizionali che vengono gestire all’interno dei data center, con un vantaggio in più, quello di poter utilizzare la scalabilità degli Amazon Web Services e connettere i propri server e/o applicazioni direttamente con i servizi del cloud, usando una rete ad alta velocità e senza passare per canale internet.

La configurazione di rete in un’ambiente VPC può essere facilmente personalizzato. Ad esempio, si può creare una subnet pubblica per i servizi web, accessibile direttamente da internet e posizionare i sistemi di back-end, come database e server applicativi, in una sottorete privata senza accesso ad internet. Oltre alle varie impostazioni di rete è anche possibile gestire vari livelli di sicurezza, utilizzando i security groups e le network ACL, in modo da controllare gli accessi alle istanze EC2.

Amazon VPC

Per una maggiore sicurezza è anche possibile creare una connessione (Virtual Private Network) VPN tra la propria rete aziendale e la rete Amazon VPC, che oltre a garantirci una connessione sicura ci permette di sfruttare l’ambiente AWS come un’estensione del nostro data center. Con la stessa tecnica possiamo creare anche un’ambiente misto, in cui alcuni server sono nella rete aziendale e altri in ambiente cloud.

Caratteristiche

Le funzioni e le possibilità di configurazione in ambiente VPC sono moltissime, e come per altri servizi AWS che abbiamo presentato non sarà possibile vedere tutto quanto in un solo articolo. Dato che questo è il primo articolo su Amazon VPC elencheremo solo le caratteristiche più importanti per approfondire casomai con nuovi articoli.

Opzioni multiple di connettività: in un’ambiente VPC esistono diverse opzioni di connettività, le quali ci consentono di collegare una rete VPC ad internet, ad un data center o ad altre reti VPC, in base alle risorse AWS che si desidera rendere pubbliche o private. Qui di seguito vi riporto alcune opzioni di connettività:

  • Diretta ad internet (public subnets): è possibile avviare una istanza all’interno di una sottorete pubblica dove è possibile inviare e ricevere il traffico da internet.
  • Connessione internet NAT (private subnets): possono essere utilizzate per quelle istanze che non vogliamo che siano direttamente indirizzabili da internet. Le istanze in una sottorete privata possono accedere ad internet senza esporre il proprio indirizzo IP privato, attraverso il NAT in una sottorete pubblica.
  • Connessione sicura: tutto il traffico generato dalle istanze all’interno di una VPC può essere indirizzato verso il data center attraverso connessioni VPN in IPSEC.
  • Connessione privata verso altre VPC: è possibile mettere in comunicazione differenti reti virtuali possedute da un unico account o tra account differenti.
  • Connessione mista: inoltre, è possibile combinare i vari metodi di connettività per soddisfare tutte le esigenze di networking delle vostre applicazioni.

SicurezzaAmazon VPC fornice funzionalità di sicurezza avanzate come i security group e le network ACL per il controllo del traffico in entrata e in uscita a livello di istanze e di sottoreti. Opzionalmente, è anche possibile scegliere di avviare delle istanze su hardware dedicato per poter così ottenere un ulteriore livello di isolamento.

Semplicità: è possibile creare una VPC utilizzando la AWS console. È possibile selezionare una delle configurazioni di rete che meglio si adattano alle proprie esigenze utilizzando il tasto “Start VPC Wizard”. In questo caso le sottoreti, i range di indirizzi ip, le tabelle di routing e i security group vengono creati automaticamente.

Scenari di esempio

Abbiamo visto che esistono diverse tipologie di connettività e applicando delle tecniche miste è possibile creare moltissime configurazioni diverse. Dato che è difficile vederle tutte quante, cercheremo di analizzare quelle che sono le più comuni:

(1) Sito web pubblico: in una rete VPC è possibile ospitare un’applicazione web come ad esempio, un blog o un semplice sito web e proteggere il sito con la creazione di regole di gruppo, per consentire al web server di rispondere alle sole richieste HTTP e HTTPS in arrivo da Internet, vietando nel contempo al web server di avviare connessioni in uscita verso Internet. È possibile creare una VPC di questo tipo selezionando la voce presente nella console “VPC with a Single Public Subnet Only“.

Amazon VPC

(2) Applicazioni multi-tier: è possibile utilizzare VPC per ospitare queste applicazioni e far rispettare le restrizioni di sicurezza tra i server web, server applicativi e database. È possibile avviare il server web in una sottorete pubblica mentre l’application server e il database in una sottorete privata. I server delle applicazioni e del database non possono essere raggiunti direttamente, ma possono accedere a internet tramite un’istanza NAT per poter scaricare ad esempio delle patch. Per creare una VPC che supporti questo tipo di ambiente selezionare “VPC with Public and Private Subnets“.

(3) Applicazioni in AWS e Data Center: è possibile creare una VPC in cui le istanze dei server web comunicano con internet e le istanze degli applications server comunicano con il database presente nella rete aziendale. Una connessione IPsec VPN tra la rete VPC e la rete aziendale consente di proteggere tutte le comunicazioni tra i server del cloud e i database del proprio data center. Possiamo creare una VPC di questo tipo con l’opzione chiamata “VPC with Public and Private Subnets and Hardware VPN Access“.

(4) Estendere la rete aziendale: è possibile spostare le applicazioni aziendali nel cloud, avviare servizi aggiuntivi e aggiungere capacità di calcolo collegando una rete VPC alla rete aziendale tramite VPN. Per creare una VPC che supporti questo tipo di ambiente, è possibile selezionare “VPC with a Private Subnet Only and Hardware VPN Access“.

Creazione

Per creare la VPC dobbiamo andare nella management console e selezionare dal menu principale il servizio di Virtual Private Cloud. Una volta selezionato il servizio VPC ci verrà presentata una dashboard in cui vengono elencate tutte le risorse disponibili e il loro stato di funzionamento. Sulla sidebar laterale sono presenti le voci che riguardano le opzioni del servizio, le quali possono essere utilizzate sia prima che dopo la creazione di una nuova VPC. In seguito vedremo una piccola panoramica di ogni voce.

Amazon VPC

Al momento per creare una VPC selezioniamo il pulsante “Wizard” presente nella dashboard e selezioniamo il tipo di configurazione di cui abbiamo bisogno. Le opzioni a disposizione sono le stesse che abbiamo elencato nel capitolo (scenari), se vi dovessero servire delle cose particolari, potete sempre modificarle successivamente.

Amazon VPC

Da questa schermata selezioniamo lo scenario di cui abbiamo necessità e inseriamo i valori che ci verranno richiesti successivamente. Dovremo indicare un nome per la nuova VPC, un range di indirizzi IP da assegnare alla nostra rete, definire le sottoreti con le zone di disponibilità, gli indirizzi IP e il subnet name. In base alla selezione è possibile indicare anche il valore dell’istanza di NAT e l’uso di un DNS.

Menu principale

Come abbiamo visto nella schermata precedente, il menu per la configurazione di tutte le opzioni in ambiente VPC è presente nella sidebar laterale della dashboard. Le sezioni principali sono VPC, Sicurezza e connessioni VPN. Nella prima troviamo le opzioni per modificare le caratteristiche della VPC, nella seconda i gruppi di sicurezza e le ACL e nell’ultima sezione troviamo tutti i parametri che riguardano i collegamenti VPN.

Your VPCs: in questo menu è possibile visualizzare tutte le configurazioni VPC presenti nella regione geografica selezionata. Possiamo configurarne di nuove o cancellare quelle esistenti usando le opzioni che vengono messe a disposizione nella schermata.

Subnets: in questa sezione possiamo definire le sotto reti che vogliamo associare ad una Virtual Private Cloud, le sotto reti possono essere private o pubbliche e contengono le tabelle di routing, le network ACL e la definizione di tags opzionali.

Route table: le tabelle di routing servono per instradare le reti nella giusta destinazione, possiamo configurare diverse tabelle e associarle ad una sotto rete. Questa sezione deve essere utilizzata anche per collegare tra di loro due sotto reti diverse.

Internet gateway: in questa sezione possiamo configurare dei gateway da associare alla configurazione della VPC, i quali permetteranno l’uscita in internet ai componenti AWS presenti nella sotto rete. Il gateway deve essere associato ad una route table.

DHCP Options: qui possiamo modificare le opzioni che riguardano la funzione DHCP, la quale viene utilizzata per l’assegnazione automatica degli indirizzi IP. Possiamo definire diverse DHCP options set ma solo una la possiamo associare ad una VPC.

Elastic IP: come per la configurazione su Amazon EC2, anche in Amazon VPC possiamo prenotare degli indirizzi IP statistici da associare alle nostre risorse AWS. Ricordatevi che gli indirizzi IP vengono pagati nel caso in cui non vengano utilizzati.

Network ACL: tramite questa sezione possiamo configurare le liste di controllo per gli accessi. Su ogni lista possiamo definire le regole inbound e outbound e associare delle sotto reti esistenti. Opzionalmente è possibile definire anche dei tags.

Security groups: per la configurazione dei gruppi di sicurezza viene utilizzata la stessa lista che trovate nel servizio di Amazon EC2. Infatti anche in ambiente VPC i gruppi devono essere associati alle istanze EC2 che compongono una sotto rete.

VPN Connections: in questo menu è possibile trovare tutte le opzioni necessarie per configurare un collegamento VPN tra la rete aziendale e quella presente nel cloud. Per la configurazione dettagliata vi rimandiamo al prossimo articolo.

Guida completa su AWS

Questo articolo appartiene ad una serie di pubblicazioni che costituiscono una guida completa dedicata agli Amazon Web Services.  Molti servizi che trattiamo in questo blog vengono anche spiegati con dei video che trovate nel nostro canale youtube. Se volete seguire questo percorso didattico iscrivetevi alla community Cloud AWS.

1 Commento

  1. Rispetto all'articolo nella VPC è stata rilasciata la funzione di NAT Gateway, quindi l'operazione di far uscire una subnet privata in internet tramite una istanza EC2 dedicata è stata semplificata, adesso basta attivare il NAT gateway che rispetto alla versione EC2 è scalabile e non necessita di nessun tipo di configurazione.

condividi