仅带有私有子网和 Amazon Site-to-Site VPN 访问权限的 VPC
此场景的配置包括一个有单一私有子网的 Virtual Private Cloud (VPC),以及一个虚拟私有网关,以允许您自己的网络可以通过 IPsec VPN 隧道进行通信。没有互联网网关可进行 Internet 通信。如果您希望利用 Amazon 的基础设施将您的网络扩展到云
还可以选择为 IPv6 配置此场景。在子网中启动的实例可接收 IPv6 地址。我们不支持通过虚拟私有网关上的 Amazon Site-to-Site VPN 连接进行 IPv6 通信;但是,VPC 中的实例可以通过 IPv6 相互通信。有关 IPv4 和 IPv6 寻址的更多信息,请参阅IP 寻址。
有关管理 EC2 实例软件的信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南 中的管理 Linux 实例上的软件。
概览
下表展示了此场景配置的主要组成部分。
此情景的配置包括:
-
大小为 /16 CIDR 的 Virtual Private Cloud (VPC) (示例:10.0.0.0/16)。提供 65536 个私有 IP 地址。
-
大小为 /24 CIDR 的仅 VPN 子网 (示例:10.0.0.0/24)。提供 256 个私有 IP 地址。
-
在您的 VPC 和网络之间的站点到站点 VPN 连接。站点到站点 VPN 连接由位于站点到站点 VPN 连接的 Amazon 一端的虚拟私有网关、以及位于站点到站点 VPN 连接的您这一端的客户网关组成。
-
有私有 IP 地址的实例处于子网范围之内 (例如 10.0.0.5、10.0.0.6 和 10.0.0.7),这使它们可以在彼此之间以及与 VPC 中的其他实例建立通信。
-
主路由表包含允许子网中的实例与 VPC 中的其他实例通信的路由。路由传播已启用,因此,允许子网中的实例与网络直接通信的路由在主路由表中显示为传播路由。
有关更多信息,请参阅子网。有关 Site-to-Site VPN 连接的更多信息,请参阅《Amazon Site-to-Site VPN 用户指南》https://docs.amazonaws.cn/vpn/latest/s2svpn/。有关配置客户网关设备的更多信息,请参阅您的客户网关设备。
IPv6 配置
您可以选择为此场景启用 IPv6。除了上面列出的组件外,还包括以下配置:
-
与 VPC 关联的 /56 IPv6 CIDR 块(示例:2001:db8:1234:1a00::/56)。Amazon 自动分配 CIDR;您不能自选范围。
-
与仅 VPN 子网关联且大小为 /64 的 IPv6 CIDR 块 (示例:2001:db8:1234:1a00::/64)。您可以从分配给 VPC 的范围内选择您的子网范围。您无法选择 IPv6 CIDR 大小。
-
子网范围内分配给实例的 IPv6 地址 (示例:2001:db8:1234:1a00::1a)。
-
主路由表中的路由表条目,它允许私有子网中的实例使用 IPv6 相互通信。
路由
您的 VPC 有一个隐藏路由器 (显示在此场景的配置图中)。在此场景中,Amazon VPC 创建一个路由表,将所有目标为 VPC 外某个地址的流量路由到 Amazon Site-to-Site VPN 连接,并将该路由表与子网关联。
以下内容说明了此情景的路由表。第一个条目是 VPC 中本地路由的默认条目;这项条目允许该 VPC 中的实例在彼此之间进行通信。第二个条目将所有其他子网流量路由到虚拟私有网关(例如 vgw-1a2b3c4d)。
| 目的地 | 目标 |
|---|---|
10.0.0.0/16 |
本地 |
| 0.0.0.0/0 | vgw-id |
Amazon Site-to-Site VPN 连接既可配置为静态路由的 Site-to-Site VPN 连接,也可配置为动态路由的站点到站点 VPN 连接(使用 BGP)。如果您选择静态路由,您将收到提示,要求您在创建站点到站点 VPN 连接时手动输入您的网络的 IP 前缀。如果您选择动态路由,IP 前缀会通过 BGP 自动传播到您的 VPC。
在您的 VPC 中的实例无法直接连接 Internet;Internet 绑定的数据流必须首先经过虚拟私有网关到达您的网络,在您的网络中,数据流会接受您的防火墙和公司安全策略的检测。如果实例发送任何 Amazon 绑定流量(例如对 Amazon S3 或 Amazon EC2 的请求),则请求必须经过虚拟私有网关通向您的网络,并在最终到达 Amazon 之前流经互联网。
IPv6 路由
如果将 IPv6 CIDR 块与您的 VPC 和子网关联,则您的路由表包含适用于 IPv6 流量的单独路由。以下内容说明了此场景的自定义路由表。第二个条目是自动为 VPC 中通过 IPv6 的本地路由添加的默认路由。
| 目的地 | 目标 |
|---|---|
10.0.0.0/16 |
本地 |
2001:db8:1234:1a00::/56 |
本地 |
| 0.0.0.0/0 | vgw-id |
安全性
Amazon 提供了多种可以用于提高 VPC 中资源安全性的功能。安全组用于允许关联资源(例如 EC2 实例)的入站和出站流量。网络 ACL 用于允许或拒绝子网级别的入站和出站流量。在大多数情况下,使用安全组即可满足您的需求。不过,如需为 VPC 增加额外的安全保护,您可以使用网络 ACL。有关更多信息,请参阅比较安全组和网络 ACL。
在此场景中,您将使用 VPC 的默认安全组,而不使用网络 ACL。如果希望使用网络 ACL,请参阅 仅具有私有子网和 Amazon Site-to-Site VPN 访问权限的 VPC 的推荐网络 ACL 规则。
您的 VPC 会生成一个默认安全组,其初始规则会拒绝所有入站数据流、允许所有出站数据流以及允许所有在安全组内实例之间交换的数据流。对于该情景,我们建议您向默认安全组添加入站规则以允许来自您的网络的入站 SSH 流量 (Linux) 和远程桌面流量 (Windows)。
默认安全组自动允许所分配的实例彼此之间进行通信,因此您不必添加规则以允许此项。如果您使用不同的安全组,则必须添加一条规则以允许此项。
下表介绍应向您的 VPC 的默认安全组添加的入站规则。
| 入站 | |||
|---|---|---|---|
| 源 | 协议 | 端口范围 | 注释 |
|
您网络的私有 IPv4 地址范围 |
TCP |
22 |
(Linux 实例) 允许来自您的网络的入站 SSH 流量。 |
|
您网络的私有 IPv4 地址范围 |
TCP |
3389 |
(Windows 选项) 允许来自您网络的入站 RDP 流量。 |
IPv6 的安全组规则
如果将 IPv6 CIDR 块与您的 VPC 和子网关联,则必须向安全组中添加单独的规则来控制您的实例的入站和出站 IPv6 流量。在这种情况下,无法通过使用 IPv6 的站点到站点 VPN 连接访问数据库服务器;因此,不需要设置额外的安全组规则。
仅具有私有子网和 Amazon Site-to-Site VPN 访问权限的 VPC 的推荐网络 ACL 规则
下表显示我们推荐的规则。除了已经明确要求的数据流之外,它们会阻塞所有数据流。
| Inbound | |||||
|---|---|---|---|---|---|
| 规则 # | 源 IP | 协议 | 端口 | 允许/拒绝 | 注释 |
|
100 |
您的家庭网络的私有 IP 地址范围 |
TCP |
22 |
允许 |
允许从您的家庭网络到子网的入站 SSH 数据流. |
|
110 |
您的家庭网络的私有 IP 地址范围 |
TCP |
3389 |
允许 |
允许从您的家庭网络到子网的入站 RDP 数据流. |
|
120 |
您的家庭网络的私有 IP 地址范围 |
TCP |
32768-65535 |
允许 |
允许在子网中产生的请求返回的 入站流量。 此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口。 |
|
* |
0.0.0.0/0 |
全部 |
全部 |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的入站数据流。 |
| Outbound | |||||
| 规则 # | 目的 IP | 协议 | 端口 | 允许/拒绝 | 注释 |
|
100 |
您的家庭网络的私有 IP 地址范围 |
All |
All |
允许 |
允许从子网到您的家庭网络的所有出站数据流. 这条规则还涵盖规则 120。但是,可以通过使用特定协议类型及端口编号使此规则更为严格。如果您使此规则更为严格,则您的网络 ACL 中必须包括规则 120,以确保出站响应不会被阻止。 |
|
120 |
您的家庭网络的私有 IP 地址范围 |
TCP |
32768-65535 |
允许 |
允许对本地网络中客户端的出站响应. 此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口。 |
|
* |
0.0.0.0/0 |
全部 |
全部 |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 |
适用于 IPv6 的推荐网络 ACL 规则
如果您实现了这个支持 IPv6 的场景并创建了具有关联 IPv6 CIDR 块的 VPC 和子网,则必须向网络 ACL 添加单独的规则,以控制入站和出站 IPv6 流量。
在这种情况下,无法通过使用 IPv6 的 VPN 连接访问数据库服务器,因此,不需要设置额外的网络 ACL 规则。以下是拒绝 IPv6 流量流入和流出子网的默认规则。
| Inbound | |||||
|---|---|---|---|---|---|
| 规则 # | 源 IP | 协议 | 端口 | 允许/拒绝 | 注释 |
|
* |
::/0 |
all |
全部 |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的入站 IPv6 流量。 |
| Outbound | |||||
| 规则 # | 目的 IP | 协议 | 端口 | 允许/拒绝 | 注释 |
|
* |
::/0 |
全部 |
全部 |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的出站 IPv6 流量。 |