Amazon Virtual Private Cloud
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

场景 3:带有公有和私有子网以及硬件 VPN 访问的 VPC

此场景的配置包括一个包含公有子网和私有子网的 Virtual Private Cloud (VPC),以及一个虚拟专用网关,以允许您自己的网络可以通过 IPsec VPN 隧道进行通信。如果您想将您的网络扩展到云并且直接从您的 VPC 访问 Internet,则我们建议您采用此方案。在此场景中,您可以在公有子网中运行有可扩展 Web 前端的多层应用程序,还能够将您的数据储存在通过 IPsec VPN 连接与您的网络相连的私有子网中。

本主题假设您将使用 Amazon VPC 控制台中的 VPC 向导来创建 VPC 和 VPN 连接。

也可以选择为此场景配置 IPv6:您可以使用 VPC 向导创建关联有 IPv6 CIDR 块的 VPC 和子网。在子网中启动的实例可接收 IPv6 地址。目前,我们还不支持通过 VPN 连接进行 IPv6 通信;但是,VPC 中的实例可通过 IPv6 彼此通信,公有子网中的实例可以通过 IPv6 进行 Internet 通信。有关 IPv4 和 IPv6 寻址的更多信息,请参阅 您的 VPC 中的 IP 地址

概述

下表展示了此场景配置的主要组成部分。

 场景 3 的示意图:带有公有和私有子网以及硬件 VPN 访问的 VPC

重要

对于本场景,Amazon VPC 网络管理员指南 介绍您的网络管理员需要执行什么操作才能配置 VPN 连接在您这端的 Amazon VPC 客户网关。

此情景的配置包括:

  • IPv4 CIDR 大小为 /16 的 Virtual Private Cloud (VPC) (示例:10.0.0.0/16)。提供 65536 个私有 IPv4 地址。

  • IPv4 CIDR 大小为 /24 的公有子网 (示例:10.0.0.0/24)。提供 256 个私有 IPv4 地址。公有子网是指与包含指向 Internet 网关的路由的路由表关联的子网。

  • IPv4 CIDR 大小为 /24 的仅 VPN 子网 (示例:10.0.1.0/24)。提供 256 个私有 IPv4 地址。

  • Internet 网关。它将 VPC 连接到 Internet 和其他 AWS 产品。

  • 在您的 VPC 和网络之间的 VPN 连接。VPN 连接由位于 VPN 连接的 Amazon 一端的虚拟专用网关、以及位于您的一端的客户网关组成。

  • 子网范围内具有私有 IPv4 地址的实例 (例如 10.0.0.5 和 10.0.1.5),该范围允许实例彼此通信并与 VPC 中的其他实例通信。

  • 公有子网中具有弹性 IP 地址的实例 (示例:198.51.100.1),这些弹性 IP 地址是使其能够从 Internet 访问的公有 IPv4 地址。可在启动时为实例分配公有 IPv4 地址而不是弹性 IP 地址。在仅限 VPN 的子网中的实例是后端服务器,它们不需要从 Internet 接收传入数据流,但是可以从您的网络发送和接受数据流。

  • 与公有子网关联的自定义路由表。此路由表中包含一项条目允许子网中的实例与 VPC 中的其他实例建立通信,另一项条目则允许子网中的实例直接与 Internet 建立通信。

  • 与仅限 VPN 的子网关联的主路由表。路由表中包含允许子网中的实例与 VPC 中的其他实例通信的条目;以及允许子网中的实例直接与您的网络通信的条目。

有关子网的更多信息,请参阅VPC 和子网您的 VPC 中的 IP 地址。有关 Internet 网关的更多信息,请参阅Internet 网关。有关您的 VPN 连接的更多信息,请参阅在您的 VPC 中添加硬件虚拟专用网关。有关配置客户网关的更多信息,请参见Amazon VPC 网络管理员指南

IPv6 概述

您可以选择为此场景启用 IPv6。除了上面列出的组件外,还包括以下配置:

  • 与 VPC 关联的 /56 IPv6 CIDR 块 (示例:2001:db8:1234:1a00::/56)。AWS 自动分配 CIDR;您不能自选范围。

  • 与公有子网关联的 /64 IPv6 CIDR 块 (示例:2001:db8:1234:1a00::/64)。您可以从分配给 VPC 的范围内选择您的子网范围。您无法选择 IPv6 CIDR 大小。

  • 与仅 VPN 子网关联且大小为 /64 的 IPv6 CIDR 块 (示例:2001:db8:1234:1a01::/64)。您可以从分配给 VPC 的范围内选择您的子网范围。您无法选择 IPv6 CIDR 大小。

  • 子网范围内分配给实例的 IPv6 地址 (示例:2001:db8:1234:1a00::1a)。

  • 自定义路由表中的路由表条目,允许公有子网中的实例使用 IPv6 相互通信和直接通过 Internet 通信。

  • 主路由表中的一个路由表条目,它允许仅 VPN 子网内的实例使用 IPv6 彼此进行通信。

 公有子网和仅 VPN 子网中支持 IPv6 的 VPC

路由选择

您的 VPC 有一个隐藏路由器 (显示在此场景的配置图中)。在这个情景中,VPC 向导更新了在仅限 VPN 的子网中使用的主路由表,并创建了一个自定义路由表并将其关联到公有子网。

仅限 VPN 的子网中的实例无法直接连接 Internet;所有 Internet 绑定的数据流必须首先通过虚拟专用网关到达您的网络,随后数据流会接受您的防火墙和公司安全策略检测。如果实例发送任何 AWS 绑定数据流 (例如,请求 Amazon S3 或 Amazon EC2 API),则请求必须经过虚拟专用网关通向您的网络,并在到达 AWS 之前进入 Internet。目前,我们还不支持将 IPv6 用于 VPN 连接。

提示

任何来自您的网络、前往公有子网中实例的弹性 IP 地址的数据流量都会流经 Internet,而不是流经虚拟专用网关。您也可以设置路由和安全组规则,以允许来自您的网络的数据流可通过虚拟专用网关到达公有子网。

VPN 可被配置为静态路由 VPN 连接或动态路由 VPN 连接 (使用 BGP)。 如果您选择静态路由,您将收到提示,要求您在创建 VPN 连接时手动输入您的网络的 IP 前缀。如果您选择动态路由,IP 前缀会使用 BGP,自动发布到您的 VPC 的虚拟专用网关。

下表描述了此场景的路由表。

主路由表

第一个条目是 VPC 中本地路由的默认条目;此条目允许此 VPC 中的实例通过 IPv4 相互通信。第二个条目将来自私有子网的所有其他 IPv4 子网流量通过虚拟专用网关 (例如 vgw-1a2b3c4d) 路由到您的网络。

目标 目标

10.0.0.0/16

本地

0.0.0.0/0

vgw-id

自定义路由表

第一个条目是 VPC 中本地路由的默认条目;这项条目允许 VPC 中的实例在彼此之间进行通信。第二个条目将来自公有子网的所有其他 IPv4 子网流量通过 Internet 网关 (例如 igw-1a2b3c4d) 路由到 Internet。

目标 目标

10.0.0.0/16

本地

0.0.0.0/0

igw-id

替代路由

或者,如果您希望私有子网中的实例能够访问 Internet,您可以在公有子网中创建一个网络地址转换 (NAT) 网关或实例,然后设置路由,以使该子网的 Internet 绑定流量能够通向 NAT 设备。这使得仅 VPN 子网中的实例能够通过 Internet 网关发送请求 (例如软件更新)。

有关手动设置 NAT 设备的更多信息,请参阅 NAT。有关使用 VPC 向导来设置 NAT 设备的信息,请参阅场景 2:带有公有子网和私有子网 (NAT) 的 VPC

若要使私有子网的 Internet 绑定数据流能够通向 NAT 设备,您必须对主路由表进行如下更新。

主路由表

第一个条目是 VPC 中本地路由的默认条目。第二行条目用于将绑定到您的客户网络 (在该示例中,假设您的本地网络的 IP 地址为 172.16.0.0/12) 的子网流量路由到虚拟专用网关。第三个条目将所有其他子网流量发送到 NAT 网关。

目标 目标

10.0.0.0/16

本地

172.16.0.0/12

vgw-id

0.0.0.0/0

nat-gateway-id

IPv6 路由

如果您将 IPv6 CIDR 块与您的 VPC 和子网关联,则您的路由表必须包含适用于 IPv6 流量的单独路由。下面的表显示了当您选择在 VPC 中启用 IPv6 通信时此场景的自定义路由表。

主路由表

第二个条目是自动为 VPC 中通过 IPv6 的本地路由添加的默认路由。

目标 目标

10.0.0.0/16

本地

2001:db8:1234:1a00::/56

本地

0.0.0.0/0

vgw-id

自定义路由表

第二个条目是自动为 VPC 中通过 IPv6 的本地路由添加的默认路由。第四个条目将所有其他 IPv6 子网流量路由到 Internet 网关。

目标 目标

10.0.0.0/16

本地

2001:db8:1234:1a00::/56

本地

0.0.0.0/0

igw-id

::/0

igw-id

安全性

AWS 提供了可以用于在 VPC 中提高安全性的两个功能:安全组网络 ACL。安全组可以控制您的实例的入站和出站数据流,网络 ACL 可以控制您的子网的入站和出站数据流。多数情况下,安全组即可满足您的需要;但是,如果您需要为您的 VPC 增添额外一层安全保护,您也可以使用网络 ACL。有关更多信息,请参阅 安全性

在场景 3 中,您可以使用安全组而不是网络 ACL。如果希望使用网络 ACL,请参阅 场景 3 的推荐规则

您的 VPC 带有默认的安全组。如果您在启动期间没有指定其他安全组,在该 VPC 中启动的实例会与默认安全组自动关联。在这个情景中,我们建议您创建以下安全组,而不是使用默认安全组:

  • WebServerSG:在公有子网中启动 Web 服务器时指定该安全组。

  • DBServerSG:在仅 VPN 子网中启动数据库服务器时指定该安全组。

分配到同一个安全组的实例可以位于不同的子网之中。 但是,在这个场景中,每个安全组都对应一项实例承担的角色类型,每个角色则要求实例处于特定的子网内。因此,在这个场景中,所有分配到一个安全组的实例都位于相同的子网之中。

下表描述了 WebServerSG 安全组的推荐规则,这些规则允许 Web 服务器接收 Internet 流量,以及来自您的网络的 SSH 和 RDP 流量。Web 服务器也可发起对仅限 VPN 的子网中的数据库服务器的读取和写入请求,并向 Internet 发送数据流;例如获取软件更新。由于 Web 服务器不发起任何其他出站通信,因此将删除默认出站规则。

注意

组内包括 SSH 和 RDP 访问,以及 Microsoft SQL Server 和 MySQL 访问。根据您的情况,您可能仅需要 Linux (SSH 和 MySQL) 或 Windows (RDP 和 Microsoft SQL Server) 规则。

WebServerSG:推荐规则

入站
协议 端口范围 注释

0.0.0.0/0

TCP

80

允许从任意 IPv4 地址对 Web 服务器进行入站 HTTP 访问。

0.0.0.0/0

TCP

443

允许从任意 IPv4 地址对 Web 服务器进行入站 HTTPS 访问。

您网络的公有 IP 地址范围

TCP

22

允许从您的网络对 Linux 实例进行入站 SSH 访问 (通过 Internet 网关).

您网络的公有 IP 地址范围

TCP

3389

允许从您的网络对 Windows 实例进行入站 RDP 访问 (通过 Internet 网关).

出站

您的 DBServerSG 安全组 ID

TCP

1433

允许对分配到 DBServerSG 的数据库服务器进行出站 Microsoft SQL Server 访问.

您的 DBServerSG 安全组 ID

TCP

3306

允许对归属于 DBServerSG 的数据库服务器进行出站 MySQL 访问.

0.0.0.0/0

TCP

80

允许对 Internet 的出站 HTTP 访问.

0.0.0.0/0

TCP

443

允许对 Internet 的出站 HTTPS 访问.

下表描述了 DBServerSG 安全组的推荐规则,这些规则允许 Microsoft SQL Server 和 MySQL 读和写 Web 服务器请求以及来自您的网络的 SSH 和 RDP 流量。数据库服务器也可以启动通往 Internet 的数据流 (您的路由表会通过虚拟专用网关发送数据流)。

DBServerSG:推荐规则

入站
协议 端口范围 注释

您的 WebServerSG 安全组 ID

TCP

1433

允许与 WebServerSG 安全组关联的 Web 服务器进行入站 Microsoft SQL Server 访问。

您的 WebServerSG 安全组 ID

TCP

3306

允许与 WebServerSG 安全组关联的 Web 服务器进行入站 MySQL Server 访问。

您的网络的 IPv4 地址范围

TCP

22

允许从您的网络到 Linux 实例的入站 SSH 数据流 (通过虚拟专用网关).

您的网络的 IPv4 地址范围

TCP

3389

允许从您的网络对 Windows 实例进行入站 RDP 访问 (通过虚拟专用网关).

出站

目的地 协议 端口范围 注释

0.0.0.0/0

TCP

80

允许通过虚拟专用网关对 Internet 进行出站 IPv4 HTTP 访问 (例如软件更新)。

0.0.0.0/0

TCP

443

允许通过虚拟专用网关对 Internet 进行出站 IPv4 HTTPS 访问 (例如软件更新)。

(可选) VPC 的安全组带有默认规则,可自动允许指定实例在彼此之间建立通信。要允许自定义安全组进行此类通信,您必须添加下列规则:

入站
协议 端口范围 注释

安全组 ID

全部

全部

允许来自分配到此安全组的其他实例的入站数据流.

出站
目的地 协议 端口范围 注释
安全组 ID 全部 全部 允许到分配到该安全组的其他实例的出站流量。

IPv6 安全性

如果您将 IPv6 CIDR 块与您的 VPC 和子网关联,则必须向 WebServerSG 和 DBServerSG 安全组添加单独的规则来控制您的实例的入站和出站 IPv6 流量。在此场景中,Web 服务器能够接收通过 IPv6 的所有 Internet 流量以及来自您的本地网络的通过 IPv6 的 SSH 或 RDP 流量。它们也可以发起到 Internet 的 IPv6 流量。数据库服务器无法启动到 Internet 的出站 IPv6 流量,因此,它们不需要任何附加的安全组规则。

以下是针对 WebServerSG 安全组的特定于 IPv6 的规则 (是上面所列规则的补充)。

入站
协议 端口范围 注释

::/0

TCP

80

允许从任意 IPv6 地址对 Web 服务器进行入站 HTTP 访问。

::/0

TCP

443

允许从任意 IPv6 地址对 Web 服务器进行入站 HTTPS 访问。

您的网络的 IPv6 地址范围

TCP

22

(Linux 实例) 允许您的网络通过 IPv6 进行入站 SSH 访问。

您的网络的 IPv6 地址范围

TCP

3389

(Windows 实例) 允许您的网络通过 IPv6 进行入站 RDP 访问。

出站
目的地 协议 端口范围 注释
::/0 TCP HTTP 允许对任意 IPv6 地址进行出站 HTTP 访问。
::/0 TCP HTTPS 允许对任意 IPv6 地址进行出站 HTTPS 访问。

正在实施场景 3

要实现情景 3,请获取有关客户网关的信息,然后使用 VPC 向导创建 VPC。VPC 向导会为您创建 VPN 连接,并提供客户网关和虚拟专用网关。

这些过程包括用于为您的 VPC 启用和配置 IPv6 通信的可选步骤。如果您不想在 VPC 上使用 IPv6,则不必执行这些步骤。

准备您的客户网关

  1. 确定将作为您的客户网关使用的设备。有关我们已经测试过的设备的更多信息,请参见Amazon Virtual Private Cloud 常见问题。有关对您的客户网关的要求的更多信息,请参见Amazon VPC 网络管理员指南

  2. 为客户网关的外部接口获取 Internet 可路由的 IP 地址。地址必须是静态的,可位于执行网络地址转换 (NAT) 任务的设备之后。

  3. 如果需要创建静态路由 VPN 连接,请获取应通过 VPN 连接传播到虚拟专用网关的内部 IP 范围列表 (以 CIDR 表示)。有关更多信息,请参阅 VPN 路由选项

使用 VPC 向导创建 VPC

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在控制面板上,选择 Start VPC Wizard

  3. 选择第三个选项 VPC with Public and Private Subnets and Hardware VPN Access,然后选择 Select

  4. 对于 VPC namePublic subnet namePrivate subnet name,您可以为您的 VPC 和子网命名以便之后在控制台中识别。您可以为 VPC 和子网指定自己的 IPv4 CIDR 块范围,也可以保留默认值。

  5. (可选,仅 IPv6) 对于 IPv6 CIDR block,选择 Amazon-provided IPv6 CIDR block。对于 Public subnet's IPv6 CIDR,选择 Specify a custom IPv6 CIDR 并指定您的子网的十六进制对值或保留默认值。对于 Private subnet's IPv6 CIDR,选择 Specify a custom IPv6 CIDR。指定 IPv6 子网的十六进制对值或保留默认值。

  6. 选择 Next

  7. Configure your VPN 页面上,执行以下操作,然后选择 Create VPC

    • Customer Gateway IP (客户网关 IP) 中,指定 VPN 路由器的公有 IP 地址。

    • 可以选择为客户网关和 VPN 连接指定名称。

    • Routing Type (路由类型) 中,选择路由选项之一,如下所示:

      • 如果您的 VPN 路由器支持边界网关协议 (BGP),请选择 Dynamic (requires BGP) (动态(需要 BGP))

      • 如果您的 VPN 路由器不支持 BGP,请选择 Static。在 IP Prefix 中,添加网络的各个 IP 范围 (以 CIDR 表示)。

      有关更多信息,请参阅 VPN 路由选项

  8. 当向导完成时,请在导航窗格中选择 VPN Connections。选择向导已创建的 VPN 连接,然后选择 Download Configuration。在对话框中,选择客户网关供应商、平台和软件版本,然后选择 Yes, Download

  9. 保存包含 VPN 配置的文本文件,并连同本指南Amazon VPC 网络管理员指南一起将其提供给网络管理员。在网络管理员完成客户网关配置之前,VPN 将无法使用。

创建 WebServerSG 和 DBServerSG 安全组。这些安全组会互相引用,因此,您必须先创建它们,然后再向其中添加规则。

创建 WebServerSG 和 DBServerSG 安全组

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Security Groups

  3. 选择 Create Security Group

  4. 提供安全组的名称和描述。在本主题中,使用名称 WebServerSG 作为示例。从 VPC 列表中选择您的 VPC 的 ID,然后选择 Yes, Create

  5. 再次选择 Create Security Group

  6. 提供安全组的名称和描述。在本主题中,使用名称 DBServerSG 作为示例。从 VPC 列表中选择您的 VPC 的 ID,然后选择 Yes, Create

向 WebServerSG 安全组中添加规则

  1. 选择您刚刚创建的 WebServerSG 安全组。详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。

  2. Inbound Rules 选项卡上,选择 Edit,然后添加入站流量规则,如下所示:

    1. Type (类型) 列表中选择 HTTP,然后在 0.0.0.0/0Source (源) 字段中输入

    2. 选择 Add another rule,从 Type 列表中选择 HTTPS,然后在 Source 字段中输入 0.0.0.0/0

    3. 选择 Add another rule,然后从 Type 列表中选择 SSH。在 Source (源) 字段中输入您网络的公有 IP 地址范围。

    4. 选择 Add another rule,然后从 Type 列表中选择 RDP。在 Source (源) 字段中输入您网络的公有 IP 地址范围。

    5. (可选,仅 IPv6) 选择 Add another ruleTypeHTTP。对于 Source,输入 ::/0

    6. (可选,仅 IPv6) 选择 Add another ruleTypeHTTPS。对于 Source,输入 ::/0

    7. (可选,仅 IPv6) 选择 Add another ruleTypeSSH (对于 Linux) 或 RDP (对于 Windows)。对于 Source,输入您的网络的 IPv6 地址范围。

    8. 选择 Save

  3. Outbound Rules 选项卡上,选择 Edit,然后添加出站流量规则,如下所示:

    1. 找到启用所有出站流量的默认规则,然后选择 Remove

    2. Type (类型) 列表中选择 MS SQL。在 Destination (目的地) 字段中,指定 DBServerSG 安全组的 ID。

    3. 选择 Add another rule,然后从 Type 列表中选择 MySQL。在 Destination (目的地) 字段中,指定 DBServerSG 安全组的 ID。

    4. 选择 Add another rule,然后从 Type 列表中选择 HTTPS。在 Destination (目的地) 字段中,输入 0.0.0.0/0

    5. 选择 Add another rule,然后从 Type 列表中选择 HTTP。在 Destination (目的地) 字段中,输入 0.0.0.0/0

    6. 选择 Save

在 DBServerSG 安全组中添加推荐规则

  1. 选择您刚刚创建的 DBServerSG 安全组。详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。

  2. Inbound Rules 选项卡上,选择 Edit,然后添加入站流量规则,如下所示:

    1. Type (类型) 列表中选择 SSH,然后在 Source (源) 字段中输入您的网络的 IP 地址范围。

    2. 选择 Add another rule,然后从 Type 列表中选择 RDP,然后在 Source 字段中输入您的网络的 IP 地址范围。

    3. 选择 Add another rule,然后从 Type 列表中选择 MS SQL。在 Source (源) 字段中指定您的 WebServerSG 安全组的 ID。

    4. 选择 Add another rule,然后从 Type 列表中选择 MYSQL。在 Source (源) 字段中指定您的 WebServerSG 安全组的 ID。

    5. 选择 Save

  3. Outbound Rules 选项卡上,选择 Edit,然后添加出站流量规则,如下所示:

    1. 找到启用所有出站流量的默认规则,然后选择 Remove

    2. Type (类型) 列表中选择 HTTP。在 Destination (目的地) 字段中,输入 0.0.0.0/0

    3. 选择 Add another rule,然后从 Type 列表中选择 HTTPS。在 Destination (目的地) 字段中,输入 0.0.0.0/0

    4. 选择 Save

在您的网络管理员完成您的客户网关配置之后,您可以在您的 VPC 内启动实例。

要启动实例 (Web 服务器或数据库服务器),请执行以下操作

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在控制面板上,选择 Launch Instance

  3. 按照向导中的指示操作。 选择 AMI 和实例类型,然后选择 Next: Configure Instance Details

    注意

    如果您要使用您的实例进行 IPv6 通信,则必须选择支持的实例类型,例如 T2。有关更多信息,请参阅 Amazon EC2 实例类型

  4. Configure Instance Details (配置实例详细信息) 页上,从 Network (网络) 列表中选择您早先创建的 VPC,然后选择一个子网。例如,在公有子网中启动 Web 服务器,在私有子网中启动数据库服务器。

  5. (可选) 默认情况下,在非默认 VPC 中启动的实例未分配公有 IPv4 地址。要能连接到公有子网中的实例,您可以现在分配公有 IPv4 地址,也可以分配弹性 IP 地址并在实例启动后将其分配给实例。若要现在分配公有 IP 地址,请确保从 Auto-assign Public IP 列表中选择 Enable。您无需为私有子网中的实例分配公有 IP 地址。

    注意

    您只能为设备索引为 eth0 的单个新网络接口使用自动分配公有 IP 地址功能。有关更多信息,请参阅 在实例启动期间分配公有 IPv4 地址

  6. (可选,仅 IPv6) 您可以从子网范围内为您的实例自动分配 IPv6 地址。对于 Auto-assign IPv6 IP,选择 Enable

  7. 在向导的后两页上,可为您的实例配置存储并添加标签。在 Configure Security Group 页上,选择 Select an existing security group 选项,然后选择您创建的一个安全组 (对于 Web 服务器实例选择 WebServerSG,对于数据库服务器实例选择 DBServerSG)。选择 Review and Launch

  8. 检视您已经选择的设置。执行所需的任何更改,然后选择 Launch 以选择一个密钥对并启动您的实例。

对于在仅限 VPN 的子网中运行的实例,您可以从您的网络对其进行检测,以测试实例的连接性。有关更多信息,请参阅 测试实例的端至端连接

如果未按第 5 步中的说明为公有子网中的实例分配公有 IPv4 地址,您将无法与其连接。在您能够访问公有子网中的实例之前,您必须指定一项弹性 IP 地址。

使用控制台分配弹性 IP 地址并将其分配给一个实例

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Elastic IPs

  3. 选择 Allocate new address

  4. 选择 Allocate

    注意

    如果您的账户支持 EC2-Classic,请首先选择 VPC

  5. 从列表中选择弹性 IP 地址,然后选择 ActionsAssociate address

  6. 选择网络接口或实例。从相应的 Private IP 列表中选择要与弹性 IP 地址关联的地址,然后选择 Associate

在场景 3 中,您需要一个 DNS 服务器以允许您的公有子网与 Internet 中的服务器通信,您还需要另一个 DNS 服务器,以允许您的仅限 VPN 的子网与您的网络中的服务器进行通信。

您的 VPC 会自动生成有 domain-name-servers=AmazonProvidedDNS 的 DHCP 选项集。这是 Amazon 提供的 DNS 服务器,以帮助您启动 VPC 中的公有子网,从而通过 Internet 网关与 Internet 通信。您必须提供您自己的 DNS 服务器,并将其添加至您的 VPC 使用的 DNS 服务器列表中。DHCP 选项集不可更改,因此您必须创建包含您的 DNS 服务器和 Amazon DNS 服务器的 DHCP 选项集,您必须更新 VPC,方可使用新建的 DHCP 选项集。

更新 DHCP 选项

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 DHCP Options Sets

  3. 选择 Create DHCP options set

  4. Create DHCP options set 对话框的 Domain name servers 框中,指定 Amazon DNS 服务器 (AmazonProvidedDNS) 的地址以及您的 DNS 服务器的地址并以逗号隔开 (例如 192.0.2.1),然后选择 Yes, Create

  5. 在导航窗格中,选择 Your VPCs

  6. 选择 VPC,然后选择 ActionsEdit DHCP Options Set

  7. DHCP options set 列表中选择新选项集的 ID,然后选择 Save

  8. (可选) VPC 现在使用新建的 DHCP 选项集,并因此可以访问两个 DNS 服务器。如果您需要,您可以删除 VPC 使用的初始选项集。

现在您可以连接您的 VPC 中的实例。有关如何连接 Linux 实例的信息,请参见Amazon EC2 用户指南(适用于 Linux 实例)中的Connect to Your Linux Instance部分。有关如何连接 Windows 实例的信息,请参阅Amazon EC2 用户指南(适用于 Windows 实例)中的Connect to Your Windows Instance部分。