Amazon Virtual Private Cloud
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

Amazon VPC 是什么?

Amazon Virtual Private Cloud (Amazon VPC) 允许您在已经定义的虚拟网络内启动 Amazon Web Services (AWS) 资源。这个虚拟网络与您在数据中心中运行的传统网络极其相似,并会为您提供使用 AWS 的可扩展基础设施的优势。

Amazon VPC 概念

在您熟悉 Amazon VPC 时,您应了解这个虚拟网络的主要概念,以及它与您的自有网络有哪些相似或差异之处。此部分提供对于 Amazon VPC 主要概念的简要说明。

Amazon VPC 是 Amazon EC2 的网络化阶层。 如果您是 Amazon EC2 的新用户,请参阅 What is Amazon EC2?前往Amazon EC2 用户指南(适用于 Linux 实例)以获取简要概述。

VPC 和子网

Virtual Private Cloud (VPC) 是仅适用于您的 AWS 账户的虚拟网络。 它在逻辑上与 AWS 云中的其他虚拟网络隔绝。可在 VPC 中启动 AWS 资源,如 Amazon EC2 实例。您可以配置您的 VPC;您可以选择它的 IP 地址范围、创建子网并配置路由表、网关和安全设置。

子网是您的 VPC 内的 IP 地址范围。您可以在您选定的子网内启动 AWS 资源。使用必须连接 Internet 的资源的公用子网,以及无法连接到 Internet 的资源的私有子网。有关公有子网和私有子网的更多信息,请参阅VPC 和子网基础知识

如需保护您在每个子网中的 AWS 资源,您可以使用多安全层,包括安全组和访问控制列表 (ACL)。 有关更多信息,请参阅 安全性

支持的平台

Amazon EC2 的原始版本支持一个与其他客户共享的扁平化网络,这个网络称为 EC2-Classic 平台。早期的 AWS 账户仍支持此平台,可将实例启动到 EC2-Classic 或 VPC 中。2013 年 12 月 4 日之后创建的账户仅支持 EC2-VPC。有关更多信息,请参阅 正在检测您的支持平台以及您是否有默认 VPC

通过将实例启动到 VPC (而不是 EC2-Classic),您能够:

  • 为启动和停止时保持不变的实例分配静态私有 IPv4 地址

  • (可选) 将 IPv6 CIDR 块与您的 VPC 关联,并为您的实例分配 IPv6 地址

  • 为您的实例分配多个 IP 地址

  • 定义网络接口,并将一个或多个网络接口连接到您的实例

  • 在实例运行时更改其安全组成员身份

  • 控制您的实例的入站流量 (入站筛选) 和出站流量 (出站筛选)

  • 以网络访问控制列表 (ACL) 的方式为您的实例添加额外的访问控制层

  • 在单租户硬件上运行您的实例

默认和非默认 VPC

如果您的账户仅支持 EC2-VPC 平台,则它附带有一个默认 VPC,该 VPC 在每个可用区中有一个默认子网。默认 VPC 具有 EC2-VPC 提供的高级功能所带来的种种好处,并且已准备好供您使用。如果您有默认 VPC 并且在启动实例时未指定子网,该实例就会启动到您的默认 VPC 中。您可以将实例启动到默认 VPC 中,而无需对 Amazon VPC 有任何了解。

不论您的账户支持哪种平台,您都可以创建您自己的 VPC 并根据需要对其进行配置。这称为非默认 VPC。您在非默认 VPC 中创建的子网和您在默认 VPC 中创建的额外子网称为非默认子网

正在访问 Internet

您可以控制在 VPC 之外的 VPC 访问资源中启动实例的方式。

您的默认 VPC 包含一个 Internet 网关,而且每个默认子网都是一个公有子网。您在默认子网中启动的每个实例都有一个私有 IPv4 地址和一个公有 IPv4 地址。这些实例可以通过 Internet 网关与 Internet 通信。通过 Internet 网关,您的实例可穿越 Amazon EC2 网络边界而连接到 Internet。

使用默认 VPC

默认情况下,您启动到非默认子网中的每个实例都有一个私有 IPv4 地址,但没有公有 IPv4 地址,除非您在启动时特意指定一个,或者修改子网的公有 IP 地址属性。这些实例可以相互通信,但无法访问 Internet。

 使用非默认 VPC

您可以非默认子网中启动的实例启用 Internet 访问功能,步骤如下:将 Internet 网关与其 VPC 关联 (如果其 VPC 不是默认 VPC),然后将弹性 IP 地址与该实例相关联。

使用 Internet 网关

或者,您也可以为 IPv4 流量使用网络地址转换 (NAT) 设备,以允许 VPC 中的实例发起到 Internet 的出站连接,但阻止来自 Internet 的未经请求的入站连接。NAT 将多个私有 IPv4 地址映射到一个公有 IPv4 地址。NAT 设备有一个弹性 IP 地址,并通过 Internet 网关与 Internet 相连。您可以通过 NAT 设备将私有子网中的实例连接到 Internet,该设备会将来自实例的流量路由到 Internet 网关,并将所有响应路由到实例。

有关更多信息,请参阅 NAT

您可以选择将 Amazon 提供的 IPv6 CIDR 块与您的 VPC 关联,并为您的实例分配 IPv6 地址。实例可以通过 Internet 网关经由 IPv6 连接到 Internet。或者,实例也可以使用仅出口 Internet 网关经由 IPv6 发起到 Internet 的出站连接。有关更多信息,请参阅 仅出口 Internet 网关。IPv6 流量独立于 IPv4 流量;您的路由表必须包含单独的 IPv6 流量路由。

正在访问企业或家庭网络

您可以选择使用 IPsec 硬件 VPN 连接,并将 AWS 云设置为您的数据中心扩展,以将您的 VPC 与您自己的公司数据中心相连。

VPN 连接由附加到您的 VPC 的虚拟专用网关和位于您的数据中心的客户网关组成。虚拟专用网关是 VPN 连接在 Amazon 一端的 VPN 集线器。客户网关是在您的 VPN 连接端的实体设备或软件设备。

使用虚拟专用网关

有关更多信息,请参阅 在您的 VPC 中添加硬件虚拟专用网关

如何开始使用 Amazon VPC

要获得有关 Amazon VPC 的实践介绍,请完成练习 入门。该练习将指导您完成创建带有公有子网的非默认 VPC 并将实例启动到您的子网中的步骤。

如果您有默认 VPC,且希望在不对您的 VPC 进行任何额外配置的情况下开始将实例启动到 VPC 中,请参阅 在您的默认 VPC 内启动 EC2 实例。

要了解 Amazon VPC 的基本方案,请参阅 场景和示例。您可以通过其他满足您的需求的方式配置您的 VPC 和子网。

下表列出了在您使用此服务时可为您提供帮助的相关资源。

资源 说明

Amazon Virtual Private Cloud 连接性选项

提供对于网络连接性选项概览的白皮书。

Amazon VPC forum

社区论坛,在这里可以讨论关于 Amazon VPC 的技术性问题。

AWS 开发人员资源

这是一个帮助您入门的资源整合点,您可以在这里找到相关的文档、代码示例、发行说明和其他信息,帮助您使用 AWS 构建创新的应用程序。

AWS Support 中心

AWS Support 主页。

联系我们

这是一个有关查询的资源整合点,可帮助您查询有关 AWS 计费、账户、事件方面的信息。

Amazon VPC 与许多其他 AWS 服务集成;另外,某些服务需要在您的账户中有一个 VPC 以执行特定功能。以下示例为使用了 Amazon VPC 的服务。

要获取您账户中的 VPC、子网及其他 VPC 资源的详细信息以及其彼此之间的关系,您可使用 AWS Config 服务。有关更多信息,请参阅什么是 AWS Config?(在 AWS Config Developer Guide 中)。

访问 Amazon VPC

Amazon VPC 提供基于 Web 的用户界面,即 Amazon VPC 控制台。如果您已注册了 AWS 账户,则可以通过登录 AWS 管理控制台并从控制台主页选择 VPC 访问 Amazon VPC 控制台。

如果倾向于使用命令行界面,您可使用以下选项:

AWS 命令行界面 (CLI)

提供大量 AWS 产品的相关命令,在 Windows、Mac 和 Linux/UNIX 上受支持。要了解其用法,请参阅 AWS Command Line Interface 用户指南。想要了解更多有关 Amazon VPC 的命令的信息,请参阅 ec2

适用于 Windows PowerShell 的 AWS 工具

为在 PowerShell 环境中编写脚本的用户提供大量 AWS 产品的相关命令。要了解其用法,请参阅 适用于 Windows PowerShell 的 AWS 工具 用户指南

Amazon VPC 提供查询 API。这些请求属于 HTTP 或 HTTPS 请求,需要使用 HTTP 动词 GET 或 POST 以及一个名为 Action 的查询参数。想要了解更多有关 Amazon VPC 的 API 操作的信息,请参阅 Amazon EC2 API Reference 中的操作

如果您倾向于使用特定语言的 API 而非通过 HTTP 或 HTTPS 提交请求来构建应用程序,AWS 为软件开发人员提供了库文件、示例代码、教程和其他资源。这些库文件提供可自动处理任务的基本功能,例如以加密方式签署请求、重试请求和处理错误响应,因此您可以更轻松地上手。有关下载和安装 AWS 开发工具包的更多信息,请参阅 AWS 开发工具包和工具

Amazon VPC 定价

您无需承担额外的 Amazon VPC 使用费用。您需要为您使用的实例和其他 Amazon EC2 功能支付标准费用。使用硬件 VPN 连接和使用 NAT 网关需要支付一定的费用。有关更多信息,请参见Amazon VPC PricingAmazon EC2 Pricing

Amazon VPC 限制

您可以提供的 Amazon VPC 组成部分数目有限。您可以请求增加部分限制的值。有关更多信息,请参阅 Amazon VPC 限制

PCI DSS 合规性

Amazon VPC 支持由商家或服务提供商处理、存储和传输信用卡数据,而且已经验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息,包括如何请求 AWS PCI Compliance Package 的副本,请参阅 PCI DSS 第 1 级