Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gateway di transito in AWS Transit Gateway
Un gateway di transito consente di collegare connessioni VPN VPCs e di instradare il traffico tra di esse. Un gateway di transito funziona trasversalmente Account AWS e puoi AWS RAM utilizzarlo per condividere il gateway di transito con altri account. Dopo aver condiviso un gateway di transito con un altro Account AWS, il proprietario dell'account può collegarlo VPCs al gateway di transito. Un utente di uno qualsiasi degli account può eliminare il collegamento in qualsiasi momento.
È possibile abilitare il multicast in un gateway di transito, quindi creare un dominio del gateway di transito multicast che consenta l'invio del traffico multicast dall'fonte multicast ai membri del gruppo multicast tramite allegati VPC associati al dominio.
Ogni collegamento di VPC o VPN è associato a una singola tabella di instradamento. La tabella di instradamento definisce il successivo segmento di rete su cui inoltrare il traffico proveniente dallo specifico collegamento della risorsa. Una tabella delle rotte all'interno del gateway di transito consente IPv4 sia l'operatore che IPv6 CIDRs gli obiettivi. Gli obiettivi sono VPCs le connessioni VPN. Quando colleghi un VPC o crei una connessione VPN verso un gateway di transito, il collegamento viene associato alla tabella di routing predefinita del gateway di transito.
Puoi creare tabelle di routing aggiuntive all'interno del gateway di transito e modificare l'associazione di VPC o VPN in queste tabelle di routing. Tale azione consente la segmentazione della rete. Ad esempio, è possibile VPCs associare lo sviluppo a una tabella di routing e la produzione VPCs a una tabella di routing diversa. Ciò consente di creare reti isolate all'interno di un gateway di transito in modo simile al routing e all'inoltro virtuali (VRFs) nelle reti tradizionali.
I gateway di transito supportano il routing dinamico e statico tra connessioni collegate e VPN. VPCs Per ogni collegamento puoi abilitare o disabilitare la propagazione delle route. Gli allegati VPN Concentrator supportano solo il routing BGP (dinamico). Gli allegati di peering del gateway di transito supportano solo il routing statico. È possibile indirizzare i percorsi nelle tabelle di routing dei gateway di transito all'allegato di peering per instradare il traffico tra i gateway di transito peer.
Facoltativamente, puoi associare uno IPv4 o più blocchi IPv6 CIDR al tuo gateway di transito. Specifica un indirizzo IP dal blocco CIDR quando stabilisci un peer di Transit Gateway Connect per un [collegamento Connect del gateway di transito](tgw-connect.md). Puoi associare qualsiasi intervallo di indirizzi IP pubblici o privati, ad eccezione degli indirizzi nell'intervallo `169.254.0.0/16` e gli intervalli che si sovrappongono agli indirizzi per gli allegati VPC e le reti locali. Per ulteriori informazioni sui IPv4 blocchi IPv6 CIDR, consulta [l'indirizzo IP nella Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) *VPC* User Guide.
**Topics**
+ [Creazione di un gateway di transito](create-tgw.md)
+ [Visualizza un gateway di transito](view-tgws.md)
+ [Gestisci i tag del gateway di transito](tgw-tagging.md)
+ [Modificare un gateway di transito](tgw-modifying.md)
+ [Accettare una condivisione di risorse](share-accept-tgw.md)
+ [Accettare un allegato condiviso](acccept-tgw-attach.md)
+ [Eliminare un gateway di transito](delete-tgw.md)
+ [Supporto per la crittografia](tgw-encryption-support.md)
# Crea un gateway di transito in AWS Transit Gateway
Quando crei un gateway di transito, viene creata una tabella di routing predefinita per il gateway di transito e questa viene utilizzata come tabella di routing predefinita per le associazioni nonché come tabella di routing predefinita per la propagazione. Se scegli di non creare la tabella di routing del gateway di transito predefinita, è possibile crearne una in un secondo momento. Per ulteriori informazioni sui routing e sulle tabelle di routing, consulta [Routing](how-transit-gateways-work.md#tgw-routing-overview).
**Nota**
Se desideri abilitare il supporto per la crittografia su un gateway di transito, non puoi abilitarlo durante la creazione del gateway. Dopo aver creato il gateway di transito ed averlo raggiunto nello stato disponibile, puoi modificarlo per abilitare il supporto per la crittografia. Per ulteriori informazioni, consulta [Supporto per la crittografia per AWS Transit Gateway](tgw-encryption-support.md).
**Per creare un gateway di transito utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Transit Gateways (Gateway di transito)**.
1. Selezionare **Create Transit Gateway (Crea gateway di transito)**.
1. Per **Tag nome**, è possibile inserire un nome per il gateway di transito. Un tag nome può semplificare l'identificazione di uno specifico gateway nell'elenco dei gateway. Quando aggiungi un **Name tag (Tag nome)**, viene creato un tag con chiave **Name** e il valore corrispondente a quello inserito.
1. In **Description (Descrizione)**, immettere una descrizione facoltativa per il gateway di transito.
1. In **Amazon side Autonomous System Numbr (ASN lato Amazon)**, non modificare il valore predefinito per utilizzare l'Autonomous System Number (ASN) predefinito, oppure inserire l'ASN privato del gateway di transito. Dovrebbe essere l'ASN per il AWS lato di una sessione BGP (Border Gateway Protocol).
L'intervallo è compreso tra 64512 e 65534 per 16 bit. ASNs
L'intervallo è compreso tra 4200000000 e 4294967294 per 32 bit. ASNs
Se si dispone di una distribuzione tra regioni, si consiglia di utilizzare un ASN univoco per ognuno dei propri gateway di transito.
1. Per il **supporto DNS**, seleziona questa opzione se hai bisogno che il VPC risolva i nomi host DNS IPv4 pubblici in indirizzi IPv4 privati quando vengono richiesti da istanze in un altro VPC collegato al gateway di transito.
1. Per il **supporto Security Group Referencing**, abilita questa funzionalità per fare riferimento a un gruppo di sicurezza collegato a un gateway di transito. VPCs Per ulteriori informazioni sui riferimenti ai gruppi di sicurezza, vedere. [Riferimenti dei gruppi di sicurezza](tgw-vpc-attachments.md#vpc-attachment-security)
1. In **supporto VPN ECMP**, selezionare abilita se è necessario disporre del supporto per l'instradamento Equal Cost Multipath (ECMP) tra i tunnel VPN. Se le connessioni pubblicizzano lo stesso messaggio CIDRs, il traffico viene distribuito equamente tra di loro.
Quando si seleziona questa opzione, l'ASN BGP pubblicizzato e gli attributi BGP come AS-Path devono essere gli stessi.
**Nota**
Per utilizzare ECMP, è necessario creare una connessione VPN che utilizzi il routing dinamico. Le connessioni VPN che utilizzano il routing statico non supportano ECMP.
1. In **Default route table association (Associazione tabella di routing predefinita)**, selezionare abilita per associare automaticamente gli allegati del gateway di transito alla tabella di routing predefinita per il gateway di transito.
1. In **Default route table propagation (Propagazione tabella di routing predefinita)**, selezionare abilita per propagare automaticamente gli allegati del gateway di transito alla tabella di routing predefinita per il gateway di transito.
1. (Facoltativo) Per utilizzare il gateway di transito come router per il traffico multicast, selezionare **Multicast support (Supporto multicast)**.
1. **(Facoltativo) Nella sezione delle **opzioni di Configure-cross-account condivisione**, scegli se accettare automaticamente gli allegati condivisi.** Se abilitato, gli allegati vengono accettati automaticamente. Altrimenti, è necessario accettare o rifiutare le richieste di allegati.
In **Auto accept shared attachments (Accetta automaticamente i collegamenti condivisi)**, selezionare abilita per accettare automaticamente i collegamenti multi-account.
1. (Facoltativo) Per i **blocchi CIDR del gateway di transito**, specifica uno IPv4 o più blocchi IPv6 CIDR per il gateway di transito.
È possibile specificare un blocco CIDR di dimensione /24 o superiore (ad esempio, /23 o /22) per IPv4, oppure un blocco CIDR di dimensione /64 o superiore (ad esempio, /63 o /62) per. IPv6 Puoi quindi associare qualsiasi intervallo di indirizzi IP pubblici o privati, ad eccezione degli indirizzi nell'intervallo 169.254.0.0/16, e gli intervalli che si sovrappongono agli indirizzi degli allegati VPC e delle reti locali.
**Nota**
I blocchi CIDR del gateway di transito vengono utilizzati se si configurano gli allegati Connect (GRE) o PrivateIP. VPNs Transit Gateway assegna IPs gli endpoint Tunnel (GRE/PrivateIP VPN) da questo intervallo.
1. Selezionare **Create Transit Gateway (Crea gateway di transito)**.
**Per creare un gateway di transito utilizzando il AWS CLI**
Utilizza il comando [create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html).
# Visualizza le informazioni sul gateway di transito in AWS Transit Gateway
Visualizza tutti i tuoi gateway di transito.
**Per visualizzare un gateway di transito utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Transit Gateways (Gateway di transito)**. I dettagli del gateway di transito vengono visualizzati sotto l'elenco dei gateway della pagina.
**Per visualizzare un gateway di transito utilizzando il AWS CLI**
Utilizza il comando [describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html).
# Gestisci i tag del gateway di AWS transito in Transit Gateway
Aggiungi tag alle risorse per aiutarti a organizzarle e identificarle, differenziandole ad esempio per scopo, proprietario o ambiente. È possibile aggiungere più tag a ogni gateway di transito. Le chiavi di tag devono essere univoche per ogni gateway di transito. Se aggiungi un tag con una chiave già associata al gateway di transito, il valore del tag viene aggiornato. Per ulteriori informazioni, consulta [Tagging your Amazon EC2 Resources](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
**Aggiungere tag a un gateway di transito utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Transit Gateways (Gateway di transito)**.
1. Scegli il gateway di transito per il quale desideri aggiungere o modificare i tag.
1. Selezionare la scheda **Tags (Tag)** nella parte inferiore della pagina.
1. Scegliere **Gestisci tag**.
1. Scegliere **Aggiungi nuovo tag**.
1. Digitare una **Key (Chiave)** e un **Value (Valore)** per il tag.
1. Scegli **Save** (Salva).
# Modifica un gateway di transito in AWS Transit Gateway
È possibile modificare le opzioni di configurazione per un gateway di transito. Quando si modifica un gateway di transito, gli eventuali allegati del gateway di transito esistenti non subiscono interruzioni del servizio.
Non è possibile modificare un gateway di transito condiviso con l'utente.
Non puoi rimuovere un blocco CIDR per il gateway di transito se uno qualsiasi degli indirizzi IP è correntemente utilizzato per un [peer Connect](tgw-connect.md).
**Nota**
I gateway di transito con Encryption Support abilitato possono essere collegati VPCs con Encryption Controls in modalità monitor o Enforce oppure a quelli VPCs che non hanno Encryption Controls abilitati. VPCs che dispongono di Encryption Controls in modalità Enforce possono essere collegati SOLO ai Transit Gateway con Encryption Support abilitato.
Per informazioni più dettagliate, consulta [Supporto per la crittografia per AWS Transit Gateway](tgw-encryption-support.md).
**Come modificare un gateway di transito**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Transit Gateways (Gateway di transito)**.
1. Scegliere il gateway di transito da modificare.
1. Scegliere **Azioni**, **Modifica gateway di transito**.
1. Modificare le opzioni in base alle esigenze e scegliere **Modifica gateway di transito**.
**Per modificare il gateway di transito utilizzando il AWS CLI**
Utilizza il comando [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html).
# Accetta una condivisione di risorse AWS Transit Gateway utilizzando la AWS Resource Access Manager console
Se sei stato aggiunto a una condivisione di risorse, riceverai un invito a partecipare alla condivisione stessa. È necessario accettare la condivisione delle risorse tramite la console AWS Resource Access Manager (AWS RAM) prima di poter accedere alle risorse condivise.
**Per accettare una condivisione di risorse**
1. Apri la AWS RAM console all'indirizzo [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. Nel riquadro di navigazione, scegliere **Shared with me (Condivise con me)**, **Resource shares (Condivisioni di risorse)**.
1. Selezionare la condivisione di risorse.
1. Selezionare **Accept resource share (Accetta condivisione di risorse)**.
1. Per visualizzare il gateway di transito condiviso, apri la pagina **Gateway di transito** nella console Amazon VPC.
# Accetta un allegato condiviso in AWS Transit Gateway
Se non hai abilitato la funzionalità di **accettazione automatica degli allegati condivisi** quando hai creato il gateway di transito, devi accettare manualmente gli allegati tra account (condivisi) utilizzando la console Amazon VPC o la CLI. AWS
**Per accettare manualmente un allegato condiviso**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Transit Gateway Attachments (Collegamenti del gateway di transito)**.
1. Selezionare l'allegato del gateway di transito in attesa di accettazione.
1. Scegli **Actions** (Operazioni), **Accept transit gateway attachment** (Accetta il collegamento del gateway di transito alla VPN).
**Per accettare un allegato condiviso utilizzando AWS CLI**
Utilizzare il comando [accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html).
# Eliminare un gateway di transito in AWS Transit Gateway
Non è possibile eliminare un gateway di transito con allegati esistenti. Prima di poter eliminare un gateway di transito è necessario eliminare tutti i collegamenti.
**Per eliminare un gateway di transito utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Scegliere il gateway di transito da eliminare.
1. Scegliere **Azioni**, **Eliminare il gateway di transito**. Immettere **delete** e quindi scegliere **Delete (Elimina)** per confermare l'eliminazione.
**Per eliminare un gateway di transito utilizzando il AWS CLI**
Utilizza il comando [delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html).
# Supporto per la crittografia per AWS Transit Gateway
Encryption Controls ti consente di controllare lo stato di crittografia dei flussi di traffico nel tuo VPC e quindi applicarlo encryption-in-transit per tutto il traffico all'interno del VPC. Quando VPC Encryption Control è in modalità di applicazione, tutte le Elastic Network Interface (ENI) in quel VPC potranno essere collegate solo alle istanze con funzionalità di crittografia AWS Nitro; solo i AWS servizi che crittografano i dati in transito potranno collegarsi al VPC applicato da Encryption Controls. [Per ulteriori informazioni sui controlli di crittografia VPC, consulta questa documentazione.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)
## Supporto per la crittografia Transit Gateway e controllo della crittografia VPC
L'Encryption Support on Transit Gateway consente di imporre encryption-in-transit il traffico tra dispositivi VPCs collegati a un Transit Gateway. Sarà necessario attivare manualmente Encryption Support sul Transit Gateway utilizzando il [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)comando per crittografare il traffico tra i VPCs. Una volta abilitato, tutto il traffico attraverserà collegamenti crittografati al 100% tra VPCs quelli in modalità Enforce (senza esclusioni) attraverso il Transit Gateway. Puoi anche connetterti VPCs che non hanno i controlli di crittografia attivati o che sono in modalità Monitor tramite un Transit Gateway con Encryption Support abilitato. In questo scenario è garantito che Transit Gateway crittografa il traffico fino all'allegato Transit Gateway nel VPC non in esecuzione in modalità enforce. Inoltre, dipende dall'istanza a cui viene inviato il traffico nel VPC che non è in esecuzione in modalità enforce.
È possibile aggiungere il supporto per la crittografia solo a un gateway di transito esistente e non durante la creazione. Man mano che Transit Gateway passa allo stato Encryption Support Enabled, non si verificheranno tempi di inattività sul Transit Gateway o sugli allegati. La migrazione è semplice e trasparente senza interruzioni di traffico. Per i passaggi per modificare un gateway di transito per aggiungere Encryption Support, vedere[Modificare un gateway di transito](tgw-modifying.md#tgw-modifying.title).
### Requisiti
Prima di abilitare il supporto per la crittografia su un gateway di transito, assicuratevi che:
+ Il gateway di transito non dispone di allegati Connect
+ Il gateway di transito non dispone di allegati Peering
+ Il gateway di transito non dispone di allegati Network Firewall
+ Il gateway di transito non dispone di allegati VPN Concentrator
+ Il gateway di transito non ha i riferimenti ai gruppi di sicurezza abilitati
+ Il gateway di transito non ha le funzionalità Multicast abilitate
### Stati di Encryption Support
Un gateway di transito può avere uno dei seguenti stati di crittografia:
+ **attivazione**: il gateway di transito sta abilitando il supporto per la crittografia. Il completamento di questo processo può richiedere fino a 14 giorni.
+ **abilitato**: il supporto per la crittografia è abilitato sul gateway di transito. È possibile creare allegati VPC con Encryption Control Enforced.
+ **disabilitazione**: il gateway di transito sta disabilitando il supporto per la crittografia.
+ **disabilitato**: il supporto per la crittografia è disabilitato sul gateway di transito.
### Regole di collegamento del Transit Gateway
Quando un gateway di transito ha il supporto per la crittografia abilitato, si applicano le seguenti regole per gli allegati:
+ Quando lo stato di crittografia del gateway di transito è **abilitato** o **disabilitato**, è possibile creare allegati Direct Connect, allegati VPN e allegati VPC non in modalità Encryption Control applicata o applicata.
+ Quando lo stato di crittografia del gateway di transito è **abilitato**, è possibile creare VPC, allegati Direct Connect, allegati VPN e allegati VPC in qualsiasi modalità di Encryption Control.
+ Quando lo stato di crittografia del gateway di transito è **disabilitato**, non è possibile creare nuovi allegati VPC con il controllo di crittografia applicato.
+ Gli allegati Connect, gli allegati di peering, i riferimenti ai gruppi di sicurezza e le funzionalità multicast non sono supportati con Encryption Support.
Il tentativo di creare allegati incompatibili fallirà e verrà generato un errore API.