Amazon Virtual Private Cloud
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

仅出口 Internet 网关

仅出口 Internet 网关是一种横向扩展、支持冗余且高度可用的 VPC 组件,它能够实现从 VPC 中的实例经由 IPv6 到 Internet 的出站通信,并防止 Internet 发起与您的实例的 IPv6 连接。

注意

仅出口 Internet 网关只适用于 IPv6 流量。要通过 IPv4 实现仅出站 Internet 通信,请改用 NAT 网关。有关更多信息,请参阅 NAT 网关

仅出口 Internet 网关基本知识

如果公有子网中的实例具有公有 IPv4 地址或 IPv6 地址,则其能够通过 Internet 网关连接到 Internet。同样,Internet 上的资源也可以使用其公有 IPv4 地址或 IPv6 地址发起与您的实例的连接,例如,当您使用本地计算机连接实例时。

IPv6 地址是全球唯一的,因此默认为公有。如果您希望实例能够访问 Internet,但又想要阻止 Internet 上的资源发起与您的实例的通信,则您可以使用仅出口 Internet 网关。为此,请在 VPC 中创建一个仅出口 Internet 网关,然后向路由表中添加一条将所有 IPv6 流量 (::/0) 或特定的 IPv6 地址范围指向仅出口 Internet 网关的路由。子网中与路由表关联的 IPv6 流量会被路由到仅出口 Internet 网关。

仅出口 Internet 网关是有状态的:它将来自子网中实例的流量转发到 Internet 或其他 AWS 服务,然后将响应发回给实例。

仅出口 Internet 网关具有以下特性:

  • 您无法将安全组与仅出口 Internet 网关关联。可以为私有子网中的实例使用安全组以便控制进出这些实例的流量。

  • 您可以使用网络 ACL 控制仅出口 Internet 网关路由的进出子网的流量。

在下图中,VPC 具有一个 IPv6 CIDR 块,此 VPC 中的子网也具有一个 IPv6 CIDR 块。子网 1 关联了一个自定义路由表,它将所有 Internet 绑定的 IPv6 流量 (::/0) 指向 VPC 中的仅出口 Internet 网关。

 使用仅出口 Internet 网关

使用仅出口 Internet 网关

以下部分介绍如何为私有子网创建仅出口 Internet 网关,以及如何为该子网配置路由。

创建仅出口 Internet 网关

您可以使用 Amazon VPC 控制台为您的 VPC 创建一个仅出口 Internet 网关。

创建仅出口 Internet 网关

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Egress Only Internet Gateways

  3. 选择 Create Egress Only Internet Gateway

  4. 选择要在其中创建仅出口 Internet 网关的 VPC。选择 Create

查看仅出口 Internet 网关

您可以在 Amazon VPC 控制台中查看有关仅出口 Internet 网关的信息。

查看有关仅出口 Internet 网关的信息

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Egress Only Internet Gateways

  3. 选择仅出口 Internet 网关以在详细信息窗格中查看其信息。

创建自定义路由表

要将发往 VPC 外部的流量发送到仅出口 Internet 网关,您必须创建一个自定义路由表并添加将流量发送到该网关的路由,然后将其与您的子网关联。

创建自定义路由表并添加到仅出口 Internet 网关的路由

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,依次选择 Route TablesCreate Route Table

  3. Create Route Table 对话框中,可以选择命名您的路由表,选择您的 VPC,然后选择 Yes, Create

  4. 选择您刚刚创建的自定义路由表。详细信息窗格中会显示选项卡,以供您使用其路径、关联和路线传播。

  5. Routes 选项卡中,选择 Edit,在 Destination 框中指定 ::/0,从 Target 列表中选择仅出口 Internet 网关 ID,然后选择 Save

  6. Subnet Associations 选项卡上,选择 Edit,然后选中子网的 Associate 复选框。选择 Save

或者,您也可以向与您的子网关联的现有路由表添加路由。选择您现有的路由表,然后按照上述步骤 5 和 6 为仅出口 Internet 网关添加路由。

有关路由表的更多信息,请参见路由表

删除仅出口 Internet 网关

若您不再需要某一仅出口 Internet 网关,则可将其删除。路由表中指向已删除的仅出口 Internet 网关的任何路由都将保持 blackhole 状态,直到您手动删除或更新路由。

删除仅出口 Internet 网关

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Egress Only Internet Gateways,然后选择仅出口 Internet 网关。

  3. 选择 Delete

  4. 在确认对话框中选择 Delete Egress Only Internet Gateway

API 和 CLI 概述

您可以使用命令行或 API 执行此页面上所说明的任务。有关命令行接口的更多信息以及可用 API 操作的列表,请参阅访问 Amazon VPC

创建仅出口 Internet 网关

描述仅出口 Internet 网关

删除仅出口 Internet 网关