Amazon Virtual Private Cloud
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

适用于 Amazon VPC 的 IPv6 入门

在本练习中,您将创建一个具有 IPv6 CIDR 块的 VPC,创建一个具有 IPv6 CIDR 块的子网,并将一个面向公众的实例启动到您的子网中。您的实例将能够通过 IPv6 与 Internet 通信,并且您将能够使用 SSH (如果您的实例为 Linux 实例) 或远程桌面 (如果您的实例为 Windows 实例) 通过 IPv6 从本地计算机访问您的实例。在真实应用环境下,您可以使用此方案创建面向公众的 Web 服务器,例如,托管一个博客。

要完成本练习,请执行以下操作:

  • 创建一个具有 IPv6 CIDR 块的非默认 VPC 和一个公有子网。子网可以让您根据自己的安全和运营需要,对实例进行分组。公有子网是可以通过 Internet 网关访问 Internet 的子网。

  • 为您的实例创建仅允许流量通过特定端口的安全组。

  • 将一个 Amazon EC2 实例启动到您的子网中,并在启动期间将一个 IPv6 地址与您的实例关联。IPv6 地址全局唯一,使您的实例能够与 Internet 通信。

有关 IPv4 和 IPv6 地址的更多信息,请参阅您的 VPC 中的 IP 寻址

在首次使用 Amazon VPC 之前,您必须先注册 Amazon Web Services (AWS)。在您注册时,您的 AWS 账户会自动注册 AWS 中的所有服务,包括 Amazon VPC。如果您尚未创建 AWS 账户,请转至 http://www.amazonaws.cn 并选择 Create a Free Account

步骤 1:创建 VPC

在此步骤中,您将在 Amazon VPC 控制台中使用 Amazon VPC 向导创建 VPC。本向导为您执行以下步骤:

  • 创建一个具有 /16 IPv4 CIDR 块的 VPC 并将一个 /56 IPv6 CIDR 块与该 VPC 关联。有关更多信息,请参阅您的 VPC。IPv6 CIDR 块的大小是固定的 (/56),IPv6 地址的范围是从 Amazon 的 IPv6 地址池中自动分配的 (您不能自选范围)。

  • 将 Internet 网关连接到 VPC。有关 Internet 网关的更多信息,请参阅 Internet 网关

  • 在 VPC 中创建一个具有 /24 IPv4 CIDR 块和 /64 IPv6 CIDR 块的子网。IPv6 CIDR 块的大小是固定的 (/64)。

  • 创建一个自定义路由表,并将其与您的子网相关联,以便在子网与 Internet 网关之间进行通信。有关路由表的更多信息,请参阅路由表

下图表示了您的 VPC 在您完成此步骤之后的架构。

 入门:具有 IPv6 CIDR 块和子网的 VPC

注意

本练习介绍 VPC 向导的第一个方案。有关其他方案的更多信息,请参阅 Amazon VPC 方案

使用 Amazon VPC 向导创建 VPC

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航栏的右上角,记下您在其中创建 VPC 的区域。确保继续在相同区域中操作本练习的剩余部分,因为您无法将实例启动到不同区域的 VPC 中。有关区域的更多信息,请参阅区域和可用区

  3. 在导航窗格中,选择 VPC dashboard,然后选择 Start VPC Wizard

     Amazon VPC 控制面板

    注意

    请不要在导航窗格中选择 Your VPCs;您无法从该页面访问 VPC 向导。

  4. 选择第一个选项,即 VPC with a Single Public Subnet,然后选择 Select

  5. 在配置页面上,在 VPC name 字段中为您的 VPC 输入一个名称 (例如,my-vpc),并在 Subnet name 字段中为您的子网输入一个名称。这可帮助您在创建 VPC 和子网后在 Amazon VPC 控制台中识别它们。

  6. 对于 IPv4 CIDR block,您可以保留默认设置 (10.0.0.0/16) 或指定自己的设置。有关更多信息,请参阅 VPC 大小调整.

    对于 IPv6 CIDR block,选择 Amazon-provided IPv6 CIDR block

  7. 对于 Public subnet's IPv4 CIDR,保留默认设置或指定您自己的设置。对于 Public subnet's IPv6 CIDR,选择 Specify a custom IPv6 CIDR。您可以保留 IPv6 子网的默认十六进制对值 (00)。

  8. 保留页面上的其余默认配置,然后选择 Create VPC

  9. 状态窗口会显示工作的进度。工作完成后,选择 OK 关闭状态窗口。

  10. Your VPCs 页面将显示您的默认 VPC 和您刚创建的 VPC。

查看有关您的 VPC 的信息

创建 VPC 之后,您就可以查看关于子网、Internet 网关和路由表的信息。您创建的 VPC 有两个路由表 - 一个所有 VPC 默认都会有的主路由表,一个由向导创建的自定义路由表。自定义路由表与您的子网相关联,这意味着该表中的路由将确定子网数据流的传输方式。如果您向您的 VPC 添加一个新的子网,那么它默认使用主路由表。

查看有关您的 VPC 的信息

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Your VPCs。记下您创建的 VPC 的名称和 ID (查看 NameVPC ID 列)。您将使用此信息确定与您的 VPC 关联的组件。

  3. 在导航窗格中,选择 Subnets。控制台将显示您创建 VPC 时创建的子网。您可以通过 Name 列中的子网名称来识别子网,或者您可以使用上一步骤中获取的 VPC 信息并查看 VPC 列。

  4. 在导航窗格中,选择 Internet Gateways。您可以通过查看 VPC 列找到与您的 VPC 连接的 Internet 网关,该列显示了 VPC 的 ID 和名称 (如果适用)。

  5. 在导航窗格中,选择 Route Tables。有两个路由表与 VPC 关联。选择自定义路由表 (Main 列显示 No),然后选择 Routes 选项卡以便在详细信息窗格中显示路由信息:

    • 表中前两行是本地路由,可允许 VPC 中的实例通过 IPv4 和 IPv6 通信。您不能删除这些路由。

    • 下一行显示了 Amazon VPC 向导添加的路由,它允许目标为 VPC (0.0.0.0/0) 外部的 IPv4 地址的流量从子网流向 Internet 网关。

    • 再下一行显示的路由允许目标为 VPC (::/0) 外部的 IPv6 地址的流量从子网流向 Internet 网关。

  6. 选择主路由表。主路由表拥有一个本地路由,但没有其他路由。

步骤 2:创建安全组

安全组充当虚拟防火墙,为其关联的实例控制数据流。要使用安全组,可以添加入站规则以控制进入实例的传入流量,添加出站规则以控制来自您的实例的传出流量。要将安全组与实例关联,可以在启动实例时指定安全组。

您的 VPC 带有默认的安全组。所有启动时未与其他安全组关联的实例都将与默认安全组相关联。在本练习中,您将创建一个新的安全组 WebServerSG,并在您将实例启动到您的 VPC 中时指定此安全组。

WebServerSG 安全组规则

下表介绍了 WebServerSG 安全组的入站和出站规则。您将自行添加入站规则。出站规则是默认规则,它允许发送到任何地址的出站通信 - 您无需自行添加此规则。

入站
源 IP 协议 端口范围 注释
::/0 TCP 80 允许从所有 IPv6 地址进行入站 HTTP 访问。
::/0 TCP 443 允许来自所有 IPv6 地址的入站 HTTPS 流量。

您的家庭网络的 IPv6 地址范围

TCP

22 或 3389

允许从您的家庭网络中的 IPv6 地址范围到 Linux/UNIX 实例进行入站 SSH 访问 (端口 22)。如果您的实例是 Windows 实例,则需要允许 RDP 访问 (端口 3389) 的规则。

出站
目的地 IP 协议 端口范围 注释
0.0.0.0/0 全部 全部 允许所有出站 IPv4 通信的默认出站规则。对于本练习,您无需修改此规则。
::/0 全部 全部 允许所有出站 IPv6 通信的默认出站规则。对于本练习,您无需修改此规则。

注意

如果您也要对 IPv4 流量使用您的 Web 服务器实例,则必须添加允许通过 IPv4 访问的规则;在本例中,就是来自所有 IPv4 地址 (0.0.0.0/0) 的 HTTP 和 HTTPS 流量以及来自您的家庭网络 IPv4 地址范围的 SSH/RDP 访问。

创建 WebServerSG 安全组

您可以使用 Amazon VPC 控制台创建安全组。

创建 WebServerSG 安全组并添加规则

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Security Groups,然后选择 Create Security Group

  3. 对于 Group name,输入 WebServerSG 作为安全组的名称,并提供说明。您可以选择使用 Name tag 字段来为具有密钥 Name 和指定的值的安全组创建标记。

  4. VPC 菜单中选择您 VPC 的 ID,然后选择 Yes, Create

  5. 选择您刚刚创建的 WebServerSG 安全组 (可在 Group Name 列中查看其名称)。

  6. Inbound Rules 选项卡上,选择 Edit 并为入站流量添加如下规则,完成后选择 Save

    1. 对于 Type,选择 HTTP 并在 Source 字段中输入 ::/0

    2. 选择 Add another rule,对于 Type 选择 HTTPS,然后在 Source 字段中输入 ::/0

    3. 选择 Add another rule。如果您启动的是 Linux 实例,请为 Type 选择 SSH,如果您启动的是 Windows 实例,请选择 RDP。在 Source 字段中输入您网络的公有 IPv6 地址范围。如果您不知道地址范围,则可以使用 ::/0 来完成此练习。

      重要

      如果您使用的是 ::/0,则可以允许所有 IPv6 地址使用 SSH 或 RDP 访问您的实例。您可以在本次简短的练习中使用此方法,但是在生产环境中使用其安全性有所欠缺。在生产中,请仅授权特定 IP 地址或地址范围访问您的实例。

步骤 3:启动实例

当您将 EC2 实例启动到 VPC 中时,您必须指定要在其中启动实例的子网。在这种情况下,您会将实例启动到您创建的 VPC 的公有子网中。在 Amazon EC2 控制台中使用 Amazon EC2 启动向导启动您的实例。

为确保您的实例可从 Internet 访问,请在启动期间为实例分配一个子网范围内的 IPv6 地址。这可以确保您的实例可以通过 IPv6 与 Internet 通信。

下图表示了您的 VPC 在您完成此步骤之后的架构。

 入门:启动实例

如何将一个 EC2 实例推送到 VPC

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在右上角的导航栏中,确保选择您在其中创建了 VPC 和安全组的同一区域。

  3. 在控制面板中,选择 Launch Instance

  4. 在向导的第一页上,选择要使用的 AMI。在本练习中,我们建议您选择 Amazon Linux AMI 或 Windows AMI。

  5. Choose an Instance Type (选择一种实例类型) 页面上,您可以选择要启动的实例的硬件配置和大小。默认情况下,向导会基于您选择的 AMI 选择第一个可用实例类型。您可以保留默认选择,然后选择 Next: Configure Instance Details

  6. Configure Instance Details 页上,从 Network 列表中选择您创建的 VPC,然后从 Subnet 列表中选择子网。

  7. 对于 Auto-assign IPv6 IP,选择 Enable

  8. 保留默认设置的其余部分,然后完成向导中的后续页面,直至到达 Add Tags 页面。

  9. Add Tags 页面上,您可以为实例添加 Name 标签;例如 Name=MyWebServer。这有助于您启动实例后在 Amazon EC2 控制台中识别您的实例。完成时选择 Next: Configure Security Group

  10. Configure Security Group (配置安全组) 页面上,向导会自动定义 launch-wizard-x 安全组,从而让您可以连接到您的实例。而是选择 Select an existing security group 选项,选择您之前创建的 WebServerSG 组,然后选择 Review and Launch

  11. Review Instance Launch 页面上,检查您的实例的详细信息,然后选择 Launch

  12. Select an existing key pair or create a new key pair (选择现有密钥对或创建新密钥对) 对话框中,您可以选择现有密钥对,也可以创建新的密钥对。如果要创建新的密钥对,请确保您将文件下载并保存在安全的位置。您需要知道私钥的内容,以便在启动实例后与实例相连。

    要启动您的实例,请选中确认复选框,然后选择 Launch Instances

  13. 在确认页面上,选择 View Instances 可在 Instances 页面上查看您的实例。选择您的实例,然后在 Description 选项卡中查看其详细信息。Private IPs 字段显示从您的子网中的 IPv4 地址范围分配给您的实例的私有 IPv4 地址。Private IPs 字段显示从您的子网中的 IPv6 地址范围分配给您的实例的 IPv6 地址。

有关 Amazon EC2 启动向导中的可用选项的更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的启动实例

您可以使用 SSH 或远程桌面从您的家庭网络通过您的实例的 IPv6 地址连接到该实例。有关如何连接到 Linux 实例的更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的连接到 Linux 实例。有关如何连接到 Windows 实例的更多信息,请参阅 Amazon EC2 用户指南(适用于 Windows 实例) 中的使用 RDP 连接到 Windows 实例

注意

如果您还希望您的实例可通过 IPv4 地址在 Internet、SSH 或 RDP 上访问,则必须将一个弹性 IP 地址 (静态公有 IPv4 地址) 与您的实例关联,而且必须调整您的安全组规则以允许通过 IPv4 访问。为此,请参阅入门中的步骤。