仅带有私有子网和 Amazon Site-to-Site VPN 访问权限的 VPC - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

仅带有私有子网和 Amazon Site-to-Site VPN 访问权限的 VPC

此场景的配置包括一个有单一私有子网的 Virtual Private Cloud (VPC),以及一个虚拟私有网关,以允许您自己的网络可以通过 IPsec VPN 隧道进行通信。没有互联网网关可进行 Internet 通信。如果您希望利用 Amazon 的基础设施将您的网络扩展到,并且不将您的网络公开到 Internet,我们建议您采用此方案。

也可以选择为 IPv6 配置此场景:您可以使用 VPC 向导创建关联有 IPv6 CIDR 块的 VPC 和子网。在子网中启动的实例可接收 IPv6 地址。我们不支持通过虚拟私有网关上的 Amazon Site-to-Site VPN 连接进行 IPv6 通信;但是,VPC 中的实例可以通过 IPv6 相互通信。有关 IPv4 和 IPv6 寻址的更多信息,请参阅VPC 中的 IP 寻址

有关管理 EC2 实例软件的信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南 中的管理 Linux 实例上的软件

Overview

下表展示了此场景配置的主要组成部分。


				场景 4 的示意图:只有虚拟私有网关的 VPC
重要

对于此方案,请参阅您的客户网关设备,以便在您的站点到站点 VPN 连接端配置客户网关设备。

此情景的配置包括:

  • 大小为 /16 CIDR 的 Virtual Private Cloud (VPC) (示例:10.0.0.0/16)。提供 65536 个私有 IP 地址。

  • 大小为 /24 CIDR 的仅 VPN 子网 (示例:10.0.0.0/24)。提供 256 个私有 IP 地址。

  • 在您的 VPC 和网络之间的站点到站点 VPN 连接。站点到站点 VPN 连接由位于站点到站点 VPN 连接的 Amazon 一端的虚拟私有网关、以及位于站点到站点 VPN 连接的您这一端的客户网关组成。

  • 有私有 IP 地址的实例处于子网范围之内 (例如 10.0.0.5、10.0.0.6 和 10.0.0.7),这使它们可以在彼此之间以及与 VPC 中的其他实例建立通信。

  • 主路由表包含允许子网中的实例与 VPC 中的其他实例通信的路由。路由传播已启用,因此,允许子网中的实例与网络直接通信的路由在主路由表中显示为传播路由。

有关子网的更多信息,请参阅VPC 和子网VPC 中的 IP 寻址。有关 Site-to-Site VPN 连接的更多信息,请参阅《Amazon Site-to-Site VPN 用户指南》中的什么是 Amazon Site-to-Site VPN?。有关配置客户网关设备的更多信息,请参阅您的客户网关设备

IPv6 概述

您可以选择为此场景启用 IPv6。除了上面列出的组件外,还包括以下配置:

  • 与 VPC 关联的 /56 IPv6 CIDR 块(示例:2001:db8:1234:1a00::/56)。Amazon 自动分配 CIDR;您不能自选范围。

  • 与仅 VPN 子网关联且大小为 /64 的 IPv6 CIDR 块 (示例:2001:db8:1234:1a00::/64)。您可以从分配给 VPC 的范围内选择您的子网范围。您无法选择 IPv6 CIDR 大小。

  • 子网范围内分配给实例的 IPv6 地址 (示例:2001:db8:1234:1a00::1a)。

  • 主路由表中的路由表条目,它允许私有子网中的实例使用 IPv6 相互通信。

Routing

您的 VPC 有一个隐藏路由器 (显示在此场景的配置图中)。在此场景中,VPC 向导创建一个路由表,将所有目标为 VPC 外某个地址的流量路由到 Amazon Site-to-Site VPN 连接,并将该路由表与子网关联。

以下内容说明了此情景的路由表。第一个条目是 VPC 中本地路由的默认条目;这项条目允许该 VPC 中的实例在彼此之间进行通信。第二个条目将所有其他子网流量路由到虚拟私有网关(例如 vgw-1a2b3c4d)。

目的地 目标

10.0.0.0/16

本地

0.0.0.0/0

vgw-id

Amazon Site-to-Site VPN 连接既可配置为静态路由的 Site-to-Site VPN 连接,也可配置为动态路由的站点到站点 VPN 连接(使用 BGP)。如果您选择静态路由,您将收到提示,要求您在创建站点到站点 VPN 连接时手动输入您的网络的 IP 前缀。如果您选择动态路由,IP 前缀会通过 BGP 自动传播到您的 VPC。

在您的 VPC 中的实例无法直接连接 Internet;Internet 绑定的数据流必须首先经过虚拟私有网关到达您的网络,在您的网络中,数据流会接受您的防火墙和公司安全策略的检测。如果实例发送任何 Amazon 绑定流量(例如对 Amazon S3 或 Amazon EC2 的请求),则请求必须经过虚拟私有网关通向您的网络,并在最终到达 Amazon 之前流经互联网。

IPv6 路由

如果将 IPv6 CIDR 块与您的 VPC 和子网关联,则您的路由表包含适用于 IPv6 流量的单独路由。以下内容说明了此场景的自定义路由表。第二个条目是自动为 VPC 中通过 IPv6 的本地路由添加的默认路由。

目的地 目标

10.0.0.0/16

本地

2001:db8:1234:1a00::/56

本地

0.0.0.0/0

vgw-id

Security

Amazon 提供了可以用于在 VPC 中提高安全性的两个功能:安全组网络 ACL。安全组可以控制您的实例的入站和出站数据流,网络 ACL 可以控制您的子网的入站和出站数据流。多数情况下,安全组即可满足您的需要;但是,如果您需要为您的 VPC 增添额外一层安全保护,您也可以使用网络 ACL。有关更多信息,请参阅 Amazon VPC 中的互联网络流量隐私

对于场景 4,将对您的 VPC 使用默认安全组而非网络 ACL。如果希望使用网络 ACL,请参阅 仅具有私有子网和 Amazon Site-to-Site VPN 访问权限的 VPC 的推荐网络 ACL 规则

您的 VPC 会生成一个默认安全组,其初始规则会拒绝所有入站数据流、允许所有出站数据流以及允许所有在安全组内实例之间交换的数据流。对于该情景,我们建议您向默认安全组添加入站规则以允许来自您的网络的入站 SSH 流量 (Linux) 和远程桌面流量 (Windows)。

重要

默认安全组自动允许所分配的实例彼此之间进行通信,因此您不必添加规则以允许此项。如果您使用不同的安全组,则必须添加一条规则以允许此项。

下表介绍应向您的 VPC 的默认安全组添加的入站规则。

入站
协议 端口范围 注释

您网络的私有 IPv4 地址范围

TCP

22

(Linux 实例) 允许来自您的网络的入站 SSH 流量。

您网络的私有 IPv4 地址范围

TCP

3389

(Windows 选项) 允许来自您网络的入站 RDP 流量。

IPv6 的安全组规则

如果将 IPv6 CIDR 块与您的 VPC 和子网关联,则必须向安全组中添加单独的规则来控制您的实例的入站和出站 IPv6 流量。在这种情况下,无法通过使用 IPv6 的站点到站点 VPN 连接访问数据库服务器;因此,不需要设置额外的安全组规则。

仅具有私有子网和 Amazon Site-to-Site VPN 访问权限的 VPC 的推荐网络 ACL 规则

下表显示我们推荐的规则。除了已经明确要求的数据流之外,它们会阻塞所有数据流。

Inbound
规则 # 源 IP 协议 端口 允许/拒绝 注释

100

您的家庭网络的私有 IP 地址范围

TCP

22

允许

允许从您的家庭网络到子网的入站 SSH 数据流.

110

您的家庭网络的私有 IP 地址范围

TCP

3389

允许

允许从您的家庭网络到子网的入站 RDP 数据流.

120

您的家庭网络的私有 IP 地址范围

TCP

32768-65535

允许

允许在子网中产生的请求返回的 入站流量。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站数据流。

Outbound
规则 # 目的 IP 协议 端口 允许/拒绝 注释

100

您的家庭网络的私有 IP 地址范围

All

All

允许

允许从子网到您的家庭网络的所有出站数据流. 这条规则还涵盖规则 120。但是,可以通过使用特定协议类型及端口编号使此规则更为严格。如果您使此规则更为严格,则您的网络 ACL 中必须包括规则 120,以确保出站响应不会被阻止。

120

您的家庭网络的私有 IP 地址范围

TCP

32768-65535

允许

允许对本地网络中客户端的出站响应.

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

适用于 IPv6 的推荐网络 ACL 规则

如果您实现了支持 IPv6 的场景 4 并创建了具有关联 IPv6 CIDR 块的 VPC 和子网,则必须向网络 ACL 添加单独的规则,以控制入站和出站 IPv6 流量。

在这种情况下,无法通过使用 IPv6 的 VPN 连接访问数据库服务器,因此,不需要设置额外的网络 ACL 规则。以下是拒绝 IPv6 流量流入和流出子网的默认规则。

Inbound
规则 # 源 IP 协议 端口 允许/拒绝 注释

*

::/0

all

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站 IPv6 流量。

Outbound
规则 # 目的 IP 协议 端口 允许/拒绝 注释

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站 IPv6 流量。