使用互联网网关连接到互联网
Internet 网关是一种横向扩展、冗余且高度可用的 VPC 组件,支持在 VPC 和 Internet 之间进行通信。它支持 IPv4 和 IPv6 流量。它不会对您的网络流量造成可用性风险或带宽限制。
借助互联网网关,公有子网中具有公有 IPv4 地址或 IPv6 地址的资源(例如 EC2 实例)可以连接到互联网。同样,互联网上的资源也可以使用公有 IPv4 地址或 IPv6 地址发起到子网中的资源的连接。例如,您可以通过互联网网关,使用本地电脑连接到 Amazon 中的 EC2 实例。
互联网网关为您的 VPC 路由表中可通过互联网路由的流量提供目标。对于使用 IPv4 的通信,互联网网关还会执行网络地址转换 (NAT)。对于使用 IPv6 的通信,不需要 NAT,因为 IPv6 地址是公有的。有关更多信息,请参阅 IP 地址和 NAT。
互联网访问配置
为使您的实例能够从互联网接收或发送流量,请执行以下操作:
要为您的实例提供 Internet 访问,而不为其分配公有 IP 地址,您可以改用 NAT 设备。NAT 设备允许私有子网中的实例连接到 Internet,但阻止 Internet 上的主机发起与实例的连接。有关更多信息,请参阅 NAT 设备。
公有子网和私有子网
如果子网的关联路由表包含指向互联网网关的路由,则该子网称为公有子网。如果子网的关联路由表没有指向互联网网关的路由,则该子网称为私有子网。
在公有子网路由表中,您可以将互联网网关的路由指定为路由表未明确知晓的所有目的地(对于 IPv4 为 0.0.0.0/0,对于 IPv6 为 ::/0)。或者,您也可以将路由范围设定为一个较小的 IP 地址范围,例如,公司在Amazon以外的公有终端节点的公有 IPv4 地址,或 VPC 以外的其他 Amazon EC2 实例的弹性 IP 地址。
IP 地址和 NAT
要为 IPv4 启用互联网通信,实例必须具有公有 IPv4 地址。您可以将 VPC 配置为自动向实例分配公有 IPv4 地址,也可以为实例分配弹性 IP 地址。实例只了解 VPC 和子网内定义的私有 (内部) IP 地址空间。Internet 网关以逻辑方式代表实例提供一对一 NAT,这样一来,当流量离开 VPC 子网并流向 Internet 时,回复地址字段将设置为实例的公有 IPv4 地址或弹性 IP 地址,而不是私有 IP 地址。相反,指定发往实例的公有 IPv4 地址或弹性 IP 地址的流量会先将其目标地址转换为实例的私有 IPv4 地址,然后再传输到 VPC。
要为 IPv6 启用 Internet 通信,VPC 和子网必须具有关联的 IPv6 CIDR 块,并且必须为实例分配此子网范围内的 IPv6 地址。IPv6 地址是全球唯一的,因此默认为公有。
在下图中,可用区 A 中的子网是公有子网。此子网的路由表具有将所有互联网绑定 IPv4 流量发送到互联网网关的路由。公有子网中的实例必须具有公有 IP 地址或弹性 IP 地址,才能通过互联网网关与互联网进行通信。为了进行比较,可用区 B 中的子网是私有子网,因为其路由表没有通往互联网网关的路由。因为没有到互联网网关的路由,所以私有子网中的实例即使具有公共 IP 地址,也无法与互联网通信。
对默认和非默认 VPC 的 Internet 访问
下表概述了 VPC 是否自动提供通过 IPv4 或 IPv6 进行 Internet 访问所需的组件。
| 组件 | 默认 VPC | 非默认 VPC |
|---|---|---|
| Internet 网关 | 是 | 不支持 |
| 包含将 IPv4 流量路由到 Internet 网关的路由的路由表 (0.0.0.0/0) | 是 | 不支持 |
| 包含将 IPv6 流量路由到 Internet 网关的路由的路由表 (::/0) | 否 | 否 |
| 公有 IPv4 地址自动分配到在子网中启动的实例 | 是 (默认子网) | 否 (非默认子网) |
| IPv6 地址自动分配到在子网中启动的实例 | 否 (默认子网) | 否 (非默认子网) |
有关默认 VPC 的更多信息,请参阅默认 VPC。有关如何创建 VPC 的更多信息,请参阅 创建 VPC。
使用互联网网关
下面介绍如何使用互联网网关从 VPC 中的子网访问互联网。要删除互联网访问权限,您可以将互联网网关与 VPC 分离,然后将其删除。
创建 Internet 网关
请按照以下步骤创建互联网网关。
创建互联网网关
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Internet gateways(互联网网关)。
-
选择创建互联网网关。
-
(可选)输入互联网网关的名称。
-
(可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入该标签的键和值。
-
选择创建互联网网关。
-
(可选)要立即将互联网网关附加到 VPC,请从屏幕顶部的横幅中选择附加到 VPC,选择可用的 VPC,然后选择连接互联网网关。您也可以在其他时间将互联网网关附加到 VPC。
将 Internet 网关附加到 VPC
使用互联网网关之前,必须将其附加到 VPC。
将互联网网关附加到 VPC
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Internet gateways(互联网网关)。
-
选中互联网网关的复选框。
-
依次选择操作、附加到 VPC。
-
选择一个可用的 VPC。
-
选择连接互联网网关。
将互联网网关与您的 VPC 断开
如果不再需要通过互联网访问在 VPC 中启动的实例,则可将互联网网关与 VPC 分离。如果 VPC 的某些资源具有关联的公有 IP 地址或弹性 IP 地址,则无法分离 Internet 网关。
分离 Internet 网关
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Internet gateways(互联网网关)。
-
选中互联网网关的复选框。
-
选择操作、从 VPC 分离。
-
当系统提示进行确认时,选择分离互联网网关。
删除 Internet 网关
如果不再需要 Internet 网关,可将其删除。无法删除仍附加到 VPC 的 Internet 网关。
删除 Internet 网关
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Internet gateways(互联网网关)。
-
选中互联网网关的复选框。
-
依次选择操作、删除互联网网关。
-
当系统提示进行确认时,输入
delete,然后选择删除互联网网关。
API 和命令概览
您可以使用命令行或 API 执行此页面上所说明的任务。有关命令行界面的更多信息以及可用 API 操作的列表,请参阅使用 Amazon VPC。
创建 Internet 网关
-
create-internet-gateway (Amazon CLI)
-
New-EC2InternetGateway (Amazon Tools for Windows PowerShell)
将 Internet 网关附加到 VPC
-
attach-internet-gateway (Amazon CLI)
-
Add-EC2InternetGateway (Amazon Tools for Windows PowerShell)
描述 Internet 网关
-
describe-internet-gateways (Amazon CLI)
-
Get-EC2InternetGateway (Amazon Tools for Windows PowerShell)
将 Internet 网关与 VPC 分离
-
detach-internet-gateway (Amazon CLI)
-
Dismount-EC2InternetGateway (Amazon Tools for Windows PowerShell)
删除 Internet 网关
-
delete-internet-gateway (Amazon CLI)
-
Remove-EC2InternetGateway (Amazon Tools for Windows PowerShell)
定价
互联网网关不收取任何费用,但您需要为使用互联网网关的 EC2 实例支付数据传输费用。有关更多信息,请参阅 Amazon EC2 按需定价