Amazon Virtual Private Cloud
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

场景 4:仅带有私有子网和硬件 VPN 访问的 VPC

此场景的配置包括一个有单一私有子网的 Virtual Private Cloud (VPC),以及一个虚拟专用网关,以允许您自己的网络可以通过 IPsec VPN 隧道进行通信。没有 Internet 网关可进行 Internet 通信。如果您希望利用 Amazon 的基础设施将您的网络扩展到,并且不将您的网络公开到 Internet,我们建议您采用此方案。

本主题假设您将使用 Amazon VPC 控制台中的 VPC 向导来创建 VPC 和 VPN 连接。

也可以选择为 IPv6 配置此场景,您可以使用 VPC 向导创建关联有 IPv6 CIDR 块的 VPC 和子网。在子网中启动的实例可接收 IPv6 地址。我们目前不支持通过 VPN 连接进行 IPv6 通信;但 VPC 中的实例可以通过 IPv6 彼此通信。有关 IPv4 和 IPv6 寻址的更多信息,请参阅您的 VPC 中的 IP 地址

概述

下表展示了此场景配置的主要组成部分。

 场景 4 的示意图:只有虚拟专用网关的 VPC

重要

对于本场景,Amazon VPC 网络管理员指南 介绍您的网络管理员需要执行什么操作才能配置 VPN 连接在您这端的 Amazon VPC 客户网关。

此情景的配置包括:

  • 大小为 /16 CIDR 的 Virtual Private Cloud (VPC) (示例:10.0.0.0/16)。提供 65536 个私有 IP 地址。

  • 大小为 /24 CIDR 的仅 VPN 子网 (示例:10.0.0.0/24)。提供 256 个私有 IP 地址。

  • 在您的 VPC 和网络之间的 VPN 连接。VPN 连接由位于 VPN 连接的 Amazon 一端的虚拟专用网关、以及位于您的一端的客户网关组成。

  • 有私有 IP 地址的实例处于子网范围之内 (例如 10.0.0.5、10.0.0.6 和 10.0.0.7),这使它们可以在彼此之间以及与 VPC 中的其他实例建立通信。

  • 与子网关联的自定义路由表。路由表中包含允许子网中的实例与 VPC 中的其他实例通信的路由;以及允许子网中的实例直接与您的网络通信的路由。

有关子网的更多信息,请参阅VPC 和子网您的 VPC 中的 IP 地址。有关您的 VPN 连接的更多信息,请参阅在您的 VPC 中添加硬件虚拟专用网关。有关配置客户网关的更多信息,请参阅 Amazon VPC 网络管理员指南

IPv6 概述

您可以选择为此场景启用 IPv6。除了上面列出的组件外,还包括以下配置:

  • 与 VPC 关联的 /56 IPv6 CIDR 块 (示例:2001:db8:1234:1a00::/56)。AWS 自动分配 CIDR;您不能自选范围。

  • 与仅 VPN 子网关联且大小为 /64 的 IPv6 CIDR 块 (示例:2001:db8:1234:1a00::/64)。您可以从分配给 VPC 的范围内选择您的子网范围。您无法选择 IPv6 CIDR 大小。

  • 子网范围内分配给实例的 IPv6 地址 (示例:2001:db8:1234:1a00::1a)。

  • 自定义路由表中的路由表条目,它允许私有子网中的实例使用 IPv6 相互通信。

 具有仅 VPN 子网并启用了 IPv6 的 VPC

路由选择

您的 VPC 有一个隐藏路由器 (显示在此场景的配置图中)。在这个情景中,VPC 向导创建路由表,以将所有目标为 VPC 外的地址的流量路由到 VPN 连接,并将此路由表与子网关联。

以下内容说明了此情景的路由表。第一个条目是 VPC 中本地路由的默认条目;这项条目允许该 VPC 中的实例在彼此之间进行通信。第二个条目将所有其他子网流量路由到虚拟专用网关 (例如 vgw-1a2b3c4d)。

目标 目标

10.0.0.0/16

本地

0.0.0.0/0

vgw-id

VPN 连接可被配置为静态路由 VPN 连接或动态路由 VPN 连接 (使用 BGP)。如果您选择静态路由,您将收到提示,要求您在创建 VPN 连接时手动输入您的网络的 IP 前缀。如果您选择动态路由,IP 前缀会通过 BGP 自动传播到您的 VPC。

在您的 VPC 中的实例无法直接连接 Internet;Internet 绑定的数据流必须首先经过虚拟专用网关到达您的网络,在您的网络中,数据流会接受您的防火墙和公司安全策略的检测。如果实例发送任何 AWS 绑定数据流 (例如对 Amazon S3 或 Amazon EC2 的请求),则请求必须经过虚拟专用网关通向您的网络,并在最终到达 AWS 之前流经 Internet。 目前,我们还不支持将 IPv6 用于 VPN 连接。

IPv6 路由

如果将 IPv6 CIDR 块与您的 VPC 和子网关联,则您的路由表包含适用于 IPv6 流量的单独路由。以下内容说明了此场景的自定义路由表。第二个条目是自动为 VPC 中通过 IPv6 的本地路由添加的默认路由。

目标 目标

10.0.0.0/16

本地

2001:db8:1234:1a00::/56

本地

0.0.0.0/0

vgw-id

安全性

AWS 提供了可以用于在 VPC 中提高安全性的两个功能:安全组网络 ACL。安全组可以控制您的实例的入站和出站数据流,网络 ACL 可以控制您的子网的入站和出站数据流。多数情况下,安全组即可满足您的需要;但是,如果您需要为您的 VPC 增添额外一层安全保护,您也可以使用网络 ACL。有关更多信息,请参阅 安全性

对于场景 4,将对您的 VPC 使用默认安全组而非网络 ACL。如果希望使用网络 ACL,请参阅 场景 4 的推荐规则

您的 VPC 会生成一个默认安全组,其初始规则会拒绝所有入站数据流、允许所有出站数据流以及允许所有在安全组内实例之间交换的数据流。对于该情景,我们建议您向默认安全组添加入站规则以允许来自您的网络的入站 SSH 流量 (Linux) 和远程桌面流量 (Windows)。

重要

默认安全组自动允许所分配的实例彼此之间进行通信,因此您不必添加规则以允许此项。如果您使用不同的安全组,则必须添加一条规则以允许此项。

下表介绍应向您的 VPC 的默认安全组添加的入站规则。

默认安全组:推荐规则

入站
协议 端口范围 注释

您网络的私有 IPv4 地址范围

TCP

22

(Linux 实例) 允许来自您的网络的入站 SSH 流量。

您网络的私有 IPv4 地址范围

TCP

3389

(Windows 选项) 允许来自您网络的入站 RDP 流量。

IPv6 安全性

如果将 IPv6 CIDR 块与您的 VPC 和子网关联,则必须向安全组中添加单独的规则来控制您的实例的入站和出站 IPv6 流量。在这种情况下,无法通过使用 IPv6 的 VPN 连接访问数据库服务器;因此,不需要设置额外的安全组规则。

实施场景 4

要实现情景 4,请获取有关客户网关的信息,然后使用 VPC 向导创建 VPC。VPC 向导会为您创建 VPN 连接,并提供客户网关和虚拟专用网关。

准备您的客户网关

  1. 确定将作为您的客户网关使用的设备。有关我们已经测试的设备的信息,请参阅Amazon Virtual Private Cloud 常见问题。有关对您的客户网关的要求的更多信息,请参阅Amazon VPC 网络管理员指南

  2. 为客户网关的外部接口获取 Internet 可路由的 IP 地址。地址必须是静态的,可位于执行网络地址转换 (NAT) 任务的设备之后。

  3. 如果需要创建静态路由 VPN 连接,请获取应通过 VPN 连接传播到虚拟专用网关的内部 IP 范围列表 (以 CIDR 表示)。有关更多信息,请参阅 VPN 路由选项

使用 VPC 向导创建您的 VPC 和 VPN 连接。

使用 VPC 向导创建 VPC

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在控制面板上,选择 Start VPC Wizard

  3. 选择第四个选项 VPC with a Private Subnet Only and Hardware VPN Access,然后选择 Select

  4. 在向导的第一页,确认 VPC 和私有子网的详细信息。修改 VPC 和子网的名称,以便稍后在控制台中识别它们。

  5. (可选,仅 IPv6) 对于 IPv6 CIDR block,选择 Amazon-provided IPv6 CIDR block。对于 Private subnet's IPv6 CIDR,选择 Specify a custom IPv6 CIDR。指定 IPv6 子网的十六进制对值或保留默认值 (00)。

  6. 选择 Next

  7. Configure your VPN 页面上,执行以下操作,然后选择 Create VPC

    • Customer Gateway IP (客户网关 IP) 中,指定 VPN 路由器的公有 IP 地址。

    • 可以选择为客户网关和 VPN 连接指定名称。

    • Routing Type (路由类型) 中,选择路由选项之一,如下所示:

      • 如果您的 VPN 路由器支持边界网关协议 (BGP),请选择 Dynamic (requires BGP) (动态(需要 BGP))

      • 如果您的 VPN 路由器不支持 BGP,请选择 Static。在 IP Prefix 中,添加网络的各个 IP 范围 (以 CIDR 表示)。

      有关更多信息,请参阅 VPN 路由选项

  8. 当向导完成时,请在导航窗格中选择 VPN Connections。选择向导已创建的 VPN 连接,然后选择 Download Configuration。在对话框中,选择客户网关供应商、平台和软件版本,然后选择 Yes, Download

  9. 保存包含 VPN 配置的文本文件,并连同本指南Amazon VPC 网络管理员指南一起将其提供给网络管理员。在网络管理员完成客户网关配置之前,VPN 将无法使用。

在这个场景中,您需要更新默认安全组,添加新的入站规则,以允许从您的网络进行 SSH 和远程桌面 (RDP) 访问。如果不想让实例发起出站通信,也可删除默认出站规则。

更新默认安全组的规则

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中选择 Security Groups,然后选择 VPC 的默认安全组。详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。

  3. Inbound Rules 选项卡上,选择 Edit,然后添加入站流量规则,如下所示:

    1. Type 列表中选择 SSH,然后在 Source 字段中输入您的网络的私有 IP 地址范围;例如 172.0.0.0/8

    2. 选择 Add another rule,然后从 Type 列表中选择 RDP,然后在 Source 字段中输入您的网络的私有 IP 地址范围。

    3. 选择 Save

  4. (可选) 在 Outbound Rules 选项卡上,选择 Edit,找到启用所有出站流量的默认规则,选择 Remove,然后选择 Save

在您的网络管理员完成您的客户网关配置之后,您可以在您的 VPC 内启动实例。如果您已经熟悉了在 VPC 外启动实例的流程,您便已经大概了解应如何在 VPC 内启动实例。

启动实例

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在控制面板上,选择 Launch Instance

  3. 按照向导中的指示操作。 选择 AMI 和实例类型,然后选择 Next: Configure Instance Details

    注意

    如果您要使用您的实例进行 IPv6 通信,则必须选择支持的实例类型,例如 T2。有关更多信息,请参阅 Amazon EC2 实例类型

  4. Configure Instance Details 页上,从 Network 列表中选择您早先创建的 VPC,然后选择一个子网。选择 Next: Add Storage

  5. 在向导的后两页上,可为您的实例配置存储并添加标签。在 Configure Security Group (配置安全组) 页上,选择 Select an existing security group (选择一个现有的安全组) 选项,然后选择默认安全组。选择 Review and Launch

  6. 检视您已经选择的设置。执行所需的任何更改,然后选择 Launch 以选择一个密钥对并启动您的实例。

在场景 4 中,您需要一个 DNS 服务器来支持您的子网 (仅限 VPN),使其与您的网络中的服务器进行通信。您必须创建新的 DHCP 选项集,在其中添加您的 DNS 服务器,并随后配置 VPC 以使用此选项集。

注意

您的 VPC 会自动生成有 domain-name-servers=AmazonProvidedDNS 的 DHCP 选项集。这是 Amazon 提供的 DNS 服务器,以帮助您启动 VPC 中的公有子网,从而通过 Internet 网关与 Internet 通信。场景 4 没有任何公有子网,因此您不需要这个 DHCP 选项集。

更新 DHCP 选项

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 DHCP Options Sets

  3. 选择 Create DHCP Options Set

  4. Create DHCP Options Set 对话框中,在 Domain name servers 框中输入您的 DNS 服务器的地址,然后选择 Yes, Create。在这个例子中,您的 DNS 服务器是 192.0.2.1。

  5. 在导航窗格中,选择 Your VPCs

  6. 选择 VPC,然后在 Summary 选项卡中选择 Edit

  7. DHCP options set 列表中选择新选项集的 ID,然后选择 Save

  8. (可选) VPC 现在使用这套新的 DHCP 选项,并因此开始使用您的 DNS 服务器。如果您需要,您可以删除 VPC 使用的初始选项集。

您现在可以使用 SSH 或 RDP 来连接您 VPC 中的实例。有关如何连接 Linux 实例的信息,请参阅Amazon EC2 用户指南(适用于 Linux 实例)中的Connect to Your Linux Instance部分。有关如何连接 Windows 实例的信息,请参阅Amazon EC2 用户指南(适用于 Windows 实例)中的Connect to Your Windows Instance部分。