Subnet AWS – Vantaggi, Caratteristiche e Utilizzo

Le subnet AWS sono un’importante funzionalità della piattaforma di cloud computing Amazon Web Services (AWS). Le subnet AWS consentono di suddividere una rete VPC (Virtual Private Cloud) in sottoreti più piccole, che possono essere usate per isolare diversi servizi e applicazioni. In questo modo, è possibile controllare e proteggere il traffico di rete e migliorare la sicurezza complessiva del sistema.

Esamineremo le subnet AWS nel dettaglio, soffermandoci sui i loro vantaggi, sulle loro caratteristiche e sul corretto utilizzo.

Vantaggi delle subnet AWS

Ci sono diversi vantaggi nell’utilizzo delle subnet AWS:

  1. Isolamento di servizi e applicazioni

Le subnet AWS consentono di suddividere la rete in sottoreti più piccole, che possono essere utilizzate per isolare diversi servizi e applicazioni. Questo rende più facile gestire la sicurezza del sistema e controllare il traffico di rete.

  1. Sicurezza

Le subnet AWS migliorano la sicurezza del sistema, consentendo di applicare regole di sicurezza a livello di subnet. Ciò significa che è possibile controllare e limitare il traffico di rete in entrata e in uscita in base all’origine e alla destinazione del traffico.

  1. Gestione del traffico

Le subnet AWS consentono di gestire il traffico di rete in modo più efficiente. È possibile configurare diversi gruppi di sicurezza per controllare il traffico in ingresso e in uscita, e utilizzare router di rete per indirizzare il traffico a destinazioni specifiche.

Caratteristiche delle subnet AWS

Le subnet AWS hanno diverse caratteristiche importanti:

  1. Appartenenza alla VPC

Le subnet AWS appartengono a una VPC specifica e non possono esistere al di fuori di essa. Ciò significa che tutte le subnet all’interno di una VPC condividono le stesse impostazioni di sicurezza e le stesse funzionalità di routing.

  1. Indirizzi IP privati

Ogni subnet AWS ha un range di indirizzi IP privati associati ad essa. Gli indirizzi IP privati sono utilizzati per indirizzare le risorse all’interno della subnet, ma non sono accessibili dall’esterno della VPC.

  1. Disponibilità delle zone

Le subnet AWS sono associate a una o più zone di disponibilità, che sono localizzazioni fisiche separate all’interno di una regione AWS. Ciò significa che le risorse all’interno di una subnet possono essere replicate in diverse zone di disponibilità, migliorando la disponibilità e la ridondanza del sistema.

  1. Gruppi di sicurezza

I gruppi di sicurezza sono associati a una subnet specifica e consentono di controllare il traffico di rete in ingresso e in uscita. I gruppi di sicurezza possono essere configurati per consentire o negare l’accesso a specifiche risorse all’interno della subnet.

  1. Routing

Le subnet AWS utilizzano router di rete per instradare il traffico verso le destinazioni appropriate

Tipologie di subnet AWS

A seconda della configurazione dell’instradamento per le sottoreti, queste possono essere considerate pubbliche, private o solo VPN:

  1. Sottorete pubblica

    La sottorete ha un percorso diretto a un gateway Internet. Le risorse di una sottorete pubblica possono accedere alla rete Internet pubblica.

  2. Sottorete privata

    La sottorete non ha un instradamento diretto a un gateway Internet. Le risorse in una sottorete privata richiedono un dispositivo NAT per accedere alla rete Internet pubblica.

  3. Sottorete solo VPN

    La sottorete ha un instradamento diretto a una connessione VPN Site-to-Site tramite un gateway privato virtuale. La sottorete pubblica non ha una route a un gateway Internet.

Sicurezza delle subnet AWS

Per proteggere le risorse AWS, è consigliabile utilizzare sottoreti private. Utilizza un host bastione o un dispositivo NAT per fornire l’accesso Internet per l’accesso Internet, ad esempio istanze EC2, in una sottorete privata.

AWS fornisce funzionalità che possono essere utilizzate per incrementare la sicurezza delle risorse del tuo VPC. I gruppi di sicurezza consentono il traffico in entrata e in uscita delle risorse associate, ad esempio le istanze EC2. Le ACL di rete consentono o rifiutano il traffico in entrata e in uscita a livello di sottorete. Nella maggior parte dei casi, i gruppi di sicurezza possono soddisfare le tue esigenze. Se desideri un livello di sicurezza aggiuntivo per il tuo VPC, puoi utilizzare le ACL di rete. Per ulteriori informazioni, consulta Confronto dei gruppi di sicurezza e delle liste di controllo accessi di rete.

Per impostazione predefinita, ogni sottorete deve essere associata a una lista di controllo accessi di rete. Ogni sottorete creata viene automaticamente associata alla lista di controllo accessi di rete predefinita del VPC. L’ACL di rete predefinita consente tutto il traffico in entrata e in uscita. È possibile aggiornare l’ACL di rete predefinita o creare ACL di rete personalizzate e associarle alle sottoreti. Per ulteriori informazioni, consulta Controllare il traffico verso le sottoreti utilizzando le liste di controllo degli accessi di rete.

Puoi creare un log di flusso sul VPC o sulla sottorete per acquisire il flusso di traffico per e dalle interfacce di rete nel VPC o nella sottorete. Puoi anche creare un log di flusso su un’interfaccia di rete singola. Per ulteriori informazioni, consulta Registrazione del traffico IP utilizzando log di flusso VPC.

Creazione delle subnet AWS

Usa la procedura seguente per creare sottoreti per il cloud privato virtuale (VPC). A seconda della connettività di cui hai bisogno, potrebbe essere necessario aggiungere gateway e tabelle di routing.

È necessario specificare un blocco CIDR IPv4 per la sottorete dalla gamma di VPC. Facoltativamente, puoi specificare un blocco CIDR IPv6 per la sottorete se esiste un blocco CIDR IPv6 associato al VPC. Per ulteriori informazioni, consulta Indirizzi IP per i tuoi VPC e sottoreti.

Se crei una sottorete solo IPv6, tieni presente quanto segue. Un’istanza EC2 avviata in una sottorete solo IPv6 riceve un indirizzo IPv6 ma non un indirizzo IPv4. Le istanze che avvii in una sottorete solo IPv6 devono essere istanze basate su Nitro System.

Per creare la sottorete in una zona locale o in una zona Wavelength, è necessario abilitare la zona. Per maggiori informazioni, consulta Regioni e zone di disponibilità nella Guida dell’utente di Amazon EC2 per le istanze Linux

A4 57

Step per la creazione di subnet AWS

  1. Accedere alla console Amazon VPC.
  2. Nel riquadro di navigazione, scegliere Subnets (Sottoreti).
  3. Scegliere Create subnet (Crea sottorete).
  4. Per VPC ID (ID VPC): scegliere il VPC per la sottorete.
  5. (Facoltativo) Per Subnet name (Nome sottorete) inserisci un nome per la sottorete. In questo modo viene creato un tag con una chiave di Name e il valore specificato.
  6. Per Availability zone (Zona di disponibilità), puoi scegliere una zona per la sottorete oppure lasciare il valore predefinito No Preference (Nessuna preferenza) per consentire a AWS di sceglierne uno per conto tuo.
  7. Se la sottorete deve essere una sottorete solo IPv6, scegliere IPv6-only (Solo IPv6). Questa opzione è disponibile solo se il VPC dispone di un blocco CIDR IPv6 associato. Se si sceglie questa opzione, non è possibile associare un blocco CIDR IPv4 alla sottorete.
  8. Per IPv4 CIDR block (Blocco CIDR IPv4): inserire un blocco CIDR IPv4 per la sottorete. Ad esempio, 10.0.1.0/24. Se è stato scelto Solo IPv6, questa opzione non è disponibile.
  9. Per IPv6 CIDR block (Blocco CIDR IPv6), scegli Custom IPv6 CIDR (CIDR IPv6 personalizzato) e specificare il valore della coppia esadecimale (ad esempio 00). Questa opzione è disponibile solo se il VPC dispone di un blocco CIDR IPv6 associato.
  10. Scegliere Create subnet (Crea sottorete).

Conclusione

Abbiamo parlato di vantaggi, caratteristiche, tipologie, sicurezza e creazione delle subnet AWS​, ma se volete approfondire l’argomento potete fare riferimento alla sezione dedicata ai corsi AWS. Desotech collabora con AWS Training Partner esterni certificati per offrire corsi AWS ufficiali!

Condividi l’articolo!!


Scopri i nostri corsi!

Formazione Cloud-Native in presenza o da remoto
Picture of Evangelista Tragni

Evangelista Tragni

VMware Instructor – AWS Instructor – Linux Foundation Instructor
Mi prefiggo di ottenere una buona reputazione professionale come formatore IT conosciuto in tutto il mondo per AWS, VMware, Kubernetes e forse anche per altri settori come Google e cosi via. Mi piace essere parte del percorso di apprendimento di ognuno dei miei studenti, pertanto cerco di lasciare un segno in ognuno di loro integrando l’esperienza del corso con le loro attivita quotidiane. Spero di vedervi presto tra i miei allievi!

Find me on Linkedin!