Amazon VPC 的工作原理 - Amazon Virtual Private Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon VPC 的工作原理

Amazon Virtual Private Cloud (Amazon VPC) 允许您在已定义的虚拟网络内启动 AWS 资源。这个虚拟网络与您在数据中心中运行的传统网络极其相似,并会为您提供使用 AWS 的可扩展基础设施的优势。

Amazon VPC 是 Amazon EC2 的网络化阶层。如果您是首次使用 Amazon EC2,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的什么是 Amazon EC2?以获取简要概述。

VPC 和子网

Virtual Private Cloud (VPC) 是仅适用于您的 AWS 账户的虚拟网络。它在逻辑上与 AWS 云中的其他虚拟网络隔绝。可在 VPC 中启动 AWS 资源,如 Amazon EC2 实例。您可以为 VPC 指定 IP 地址范围、添加子网、关联安全组以及配置路由表。

子网是您的 VPC 内的 IP 地址范围。您可以在指定子网内启动 AWS 资源。对必须连接互联网的资源使用公有子网,而对将不会连接到互联网的资源使用私有子网。

如需保护您在每个子网中的 AWS 资源,您可以使用多安全层,包括安全组和访问控制列表 (ACL)。

您可以选择将一个 IPv6 CIDR 块与 VPC 关联,并将 IPv6 地址分配给 VPC 中的实例。

默认和非默认 VPC

如果您的账户在 2013 年 12 月 4 日之后创建,则它附带有一个默认 VPC,该 VPC 在每个可用区中有一个默认子网。默认 VPC 具有 EC2-VPC 提供的高级功能所带来的种种好处,并且已准备好供您使用。如果您有默认 VPC 并且在启动实例时未指定子网,该实例就会启动到您的默认 VPC 中。您可以将实例启动到默认 VPC 中,而无需对 Amazon VPC 有任何了解。

您还可以创建自己的 VPC,并根据需要对其进行配置。这称为非默认 VPC。您在非默认 VPC 中创建的子网和您在默认 VPC 中创建的额外子网称为非默认子网

路由表

路由表包含一组称为“路由”的规则,它们用于确定将网络流量从您的 VPC 发送到何处。您可以将子网与特定路由表显式关联。否则,子网将与主路由表隐式关联。

路由表中的每个路由都指定了您希望将流量传输到的 IP 地址范围(目的地)以及发送流量所通过的网关、网络接口或连接(目标)。

更多信息

访问 Internet

您可以控制在 VPC 之外的 VPC 访问资源中启动实例的方式。

您的默认 VPC 包含一个 Internet 网关,而且每个默认子网都是一个公有子网。您在默认子网中启动的每个实例都有一个私有 IPv4 地址和一个公有 IPv4 地址。这些实例可以通过 Internet 网关与 Internet 通信。通过 Internet 网关,您的实例可通过 Amazon EC2 网络边界连接到 Internet。


						 使用默认 VPC

默认情况下,您启动到非默认子网中的每个实例都有一个私有 IPv4 地址,但没有公有 IPv4 地址,除非您在启动时特意指定一个,或者修改子网的公有 IP 地址属性。这些实例可以相互通信,但无法访问 Internet。


						使用非默认 VPC

您可以通过以下方式为在非默认子网中启动的实例启用 Internet 访问:将一个 Internet 网关附加到该实例的 VPC (如果其 VPC 不是默认 VPC),然后将一个弹性 IP 地址与该实例相关联。


					使用 Internet 网关

或者,您也可以为 IPv4 流量使用网络地址转换 (NAT) 设备,以允许 VPC 中的实例发起到 Internet 的出站连接,但阻止来自 Internet 的未经请求的入站连接。NAT 将多个私有 IPv4 地址映射到一个公有 IPv4 地址。NAT 设备有一个弹性 IP 地址,并通过 Internet 网关与 Internet 相连。您可以通过 NAT 设备将私有子网中的实例连接到 Internet,NAT 设备会将来自实例的流量路由到 Internet 网关,并将所有响应路由到该实例。

如果您将 IPv6 CIDR 块与 VPC 关联并为实例分配 IPv6 地址,则实例可以通过互联网网关通过 IPv6 连接到互联网。或者,实例也可以使用仅出口互联网网关经由 IPv6 发起到互联网的出站连接。IPv6 流量独立于 IPv4 流量;您的路由表必须包含单独的 IPv6 流量路由。

访问企业或家庭网络

您可以选择使用 IPsec AWS Site-to-Site VPN 连接将您的 VPC 与公司的数据中心相连,并将 AWS 云作为数据中心的延伸。

Site-to-Site VPN 连接由 AWS 端的虚拟私有网关或中转网关与位于数据中心的客户网关设备之间的两条 VPN 隧道组成。客户网关设备是 Site-to-Site VPN 连接在您这一端配置的实体设备或软件设备。


						使用虚拟专用网关

AWS PrivateLink 是一项具有高可用性的可扩展技术,使您能够将您的 VPC 私密地连接到支持的 AWS 服务、由其他 AWS 账户托管的服务(VPC 终端节点服务)以及支持的 AWS Marketplace 合作伙伴服务。您无需 Internet 网关、NAT 设备、公有 IP 地址、AWS Direct Connect 连接或 AWS Site-to-Site VPN 连接就能与该服务通信。您的 VPC 和 服务之间的流量不会脱离 Amazon 网络。

要使用 AWS PrivateLink,请在您的 VPC 中为服务创建接口 VPC 终端节点。此操作将在您的子网中创建一个带有私有 IP 地址的弹性网络接口,用作发送到服务的流量的入口点。


					使用接口终端节点访问 AWS 服务

您可以创建自己的 AWS PrivateLink 支持的服务(终端节点服务)并使其他 AWS 客户能够访问您的服务。

连接 VPC 和网络

您可以在两个 VPC 之间创建一个 VPC 对等连接,然后通过此连接不公开地在这两个 VPC 之间路由流量。这两个 VPC 中的实例可以彼此通信,就像它们在同一网络中一样。

您还可以创建一个中转网关,并使用它来互连 VPC 和本地网络。中转网关充当区域虚拟路由器,用于其各种连接(可包括 VPC、VPN 连接、AWS Direct Connect 网关和中转网关对等连接)之间的流量流动。

AWS 私有全球网络注意事项

AWS 以其高性能、低延迟的私有全球网络,提供安全的云计算环境以支持您的网络需求。AWS 区域连接到多个 Internet 服务提供商 (ISP) 以及私有全球网络主干,从而为客户发送的跨区域流量提供改进的网络性能。

请注意以下事项:

  • 可用区中的流量或所有区域中可用区之间的流量通过 AWS 私有全球网络路由。

  • 区域之间的流量始终通过 AWS 私有全球网络路由,但 中国区域 除外。

网络数据包丢失可能因多种因素导致,包括网络流碰撞、低级(第 2 层)错误和其他网络故障。我们设计并运行我们的网络以最大限度地减少数据包丢失。我们跨连接 AWS 区域的全球骨干网衡量数据包丢失率 (PLR)。我们运营我们的骨干网络,目标是使 p99 达到每小时 PLR 低于 0.0001%。

支持的平台

Amazon EC2 的原始版本支持一个与其他客户共享的扁平化网络,这个网络称为 EC2-Classic 平台。早期的 AWS 账户仍支持此平台,并且可在 EC2-Classic 或 VPC 内启动实例。2013 年 12 月 4 日之后创建的账户仅支持 EC2-VPC。有关更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例)中的 EC2-Classic

Amazon VPC 资源

下表列出了您在使用 Amazon VPC 过程中可能为您提供帮助的其他资源。

资源 描述

Amazon Virtual Private Cloud 连接性选项

提供了网络连接性选项概览。

VPC 对等指南

描述 VPC 对等连接情景和支持的对等配置。

流量镜像

描述流量镜像目标、筛选条件和会话,并帮助管理员配置它们。

中转网关

描述中转网关,并帮助网络管理员配置这些网关。

中转网关网络管理器指南

介绍中转网关网络管理器,并帮助您配置和监视全局网络。

AWS Direct Connect 用户指南

介绍如何使用 AWS Direct Connect 创建远程网络与 VPC 之间的专用私有连接。

AWS 客户端 VPN 管理员指南

介绍如何创建和配置 客户端 VPN 终端节点以使远程用户能够访问 VPC 中的资源。

Amazon VPC forum

社区论坛,在这里可以讨论关于 Amazon VPC 的技术性问题。

开始使用资源中心

可帮助您在 AWS 上开始构建的信息。

AWS 支持中心

AWS Support 的主页。

联系我们

这是一个集中的查询联系点,可帮助您查询有关 AWS 计费、账户、事件的信息。