Amazon Virtual Private Cloud
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

什么是 Amazon VPC?

Amazon Virtual Private Cloud (Amazon VPC) 允许您在已定义的虚拟网络内启动 AWS 资源。这个虚拟网络与您在数据中心中运行的传统网络极其相似,并会为您提供使用 AWS 的可扩展基础设施的优势。

Amazon VPC 概念

在您熟悉 Amazon VPC 时,您应了解这个虚拟网络的主要概念,以及它与您的自有网络有哪些相似或差异之处。此部分提供对于 Amazon VPC 主要概念的简要描述。

Amazon VPC 是 Amazon EC2 的网络化阶层。如果您是首次使用 Amazon EC2,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的什么是 Amazon EC2?以获取简要概述。

VPC 和子网

Virtual Private Cloud (VPC) 是仅适用于您的 AWS 账户的虚拟网络。它在逻辑上与 AWS 云中的其他虚拟网络隔绝。可在 VPC 中启动 AWS 资源,如 Amazon EC2 实例。您可以为 VPC 指定 IP 地址范围、添加子网、关联安全组以及配置路由表。

子网是您的 VPC 内的 IP 地址范围。您可以在指定子网内启动 AWS 资源。对必须连接 Internet 的资源使用公有子网,而对将不会连接到 Internet 的资源使用私有子网。有关公有子网和私有子网的更多信息,请参阅VPC 和子网基础知识

如需保护您在每个子网中的 AWS 资源,您可以使用多安全层,包括安全组和访问控制列表 (ACL)。有关更多信息,请参阅安全性

支持的平台

Amazon EC2 的原始版本支持一个与其他客户共享的扁平化网络,这个网络称为 EC2-Classic 平台。早期的 AWS 账户仍支持此平台,并且可在 EC2-Classic 或 VPC 内启动实例。2013 年 12 月 4 日之后创建的账户仅支持 EC2-VPC。有关更多信息,请参阅 检测支持的平台以及您是否有默认 VPC

通过将实例启动到 VPC (而不是 EC2-Classic),您能够:

  • 为启动和停止时保持不变的实例分配静态私有 IPv4 地址

  • (可选) 将 IPv6 CIDR 块与您的 VPC 关联,并为您的实例分配 IPv6 地址

  • 为您的实例分配多个 IP 地址

  • 定义网络接口,并将一个或多个网络接口连接到您的实例

  • 在实例运行时更改其安全组成员身份

  • 控制您的实例的入站流量 (入站筛选) 和出站流量 (出站筛选)

  • 以网络访问控制列表 (ACL) 的方式为您的实例添加额外的访问控制层

  • 在单租户硬件上运行您的实例

默认和非默认 VPC

如果您的账户仅支持 EC2-VPC 平台,则它附带有一个默认 VPC,该 VPC 在每个可用区中有一个默认子网。默认 VPC 具有 EC2-VPC 提供的高级功能所带来的种种好处,并且已准备好供您使用。如果您有默认 VPC 并且在启动实例时未指定子网,该实例就会启动到您的默认 VPC 中。您可以将实例启动到默认 VPC 中,而无需对 Amazon VPC 有任何了解。

不论您的账户支持哪种平台,您都可以创建您自己的 VPC 并根据需要对其进行配置。这称为非默认 VPC。您在非默认 VPC 中创建的子网和您在默认 VPC 中创建的额外子网称为非默认子网

访问 Internet

您可以控制在 VPC 之外的 VPC 访问资源中启动实例的方式。

您的默认 VPC 包含一个 Internet 网关,而且每个默认子网都是一个公有子网。您在默认子网中启动的每个实例都有一个私有 IPv4 地址和一个公有 IPv4 地址。这些实例可以通过 Internet 网关与 Internet 通信。通过 Internet 网关,您的实例可通过 Amazon EC2 网络边界连接到 Internet。


						 使用默认 VPC

默认情况下,您启动到非默认子网中的每个实例都有一个私有 IPv4 地址,但没有公有 IPv4 地址,除非您在启动时特意指定一个,或者修改子网的公有 IP 地址属性。这些实例可以相互通信,但无法访问 Internet。


						使用非默认 VPC

您可以通过以下方式为在非默认子网中启动的实例启用 Internet 访问:将一个 Internet 网关附加到该实例的 VPC (如果其 VPC 不是默认 VPC),然后将一个弹性 IP 地址与该实例相关联。


					使用 Internet 网关

或者,您也可以为 IPv4 流量使用网络地址转换 (NAT) 设备,以允许 VPC 中的实例发起到 Internet 的出站连接,但阻止来自 Internet 的未经请求的入站连接。NAT 将多个私有 IPv4 地址映射到一个公有 IPv4 地址。NAT 设备有一个弹性 IP 地址,并通过 Internet 网关与 Internet 相连。您可以通过 NAT 设备将私有子网中的实例连接到 Internet,NAT 设备会将来自实例的流量路由到 Internet 网关,并将所有响应路由到该实例。

有关更多信息,请参阅 NAT

您可以选择将 Amazon 提供的 IPv6 CIDR 块与您的 VPC 关联,并为您的实例分配 IPv6 地址。实例可以通过 Internet 网关经由 IPv6 连接到 Internet。或者,实例也可以使用仅出口 Internet 网关经由 IPv6 发起到 Internet 的出站连接。有关更多信息,请参阅 仅出口 Internet 网关。IPv6 流量独立于 IPv4 流量;您的路由表必须包含单独的 IPv6 流量路由。

访问企业或家庭网络

您可以选择使用 IPsec AWS Site-to-Site VPN 连接将您的 VPC 与公司的数据中心相连,并将 AWS 云作为数据中心的延伸。

Site-to-Site VPN 连接由附加到您的 VPC 的虚拟专用网关和位于您的数据中心的客户网关组成。虚拟专用网关是Site-to-Site VPN 连接在 Amazon 一端的 VPN 集线器。客户网关是Site-to-Site VPN 连接在您这一端的实体设备或软件设备。


						使用虚拟专用网关

有关更多信息,请参阅 AWS Site-to-Site VPN 用户指南 中的什么是 AWS Site-to-Site VPN?

AWS PrivateLink 是一项具有高可用性的可扩展技术,使您能够将您的 VPC 私密地连接到支持的 AWS 服务、由其他 AWS 账户托管的服务(VPC 终端节点服务)以及支持的 AWS Marketplace 合作伙伴服务。您无需 Internet 网关、NAT 设备、公有 IP 地址、AWS Direct Connect 连接或 AWS Site-to-Site VPN 连接就能与该服务通信。您的 VPC 和 服务之间的流量不会脱离 Amazon 网络。

要使用 AWS PrivateLink,请在您的 VPC 中为服务创建接口 VPC 终端节点。此操作将在您的子网中创建一个带有私有 IP 地址的弹性网络接口,用作发送到服务的流量的入口点。有关更多信息,请参阅VPC 终端节点


					使用接口终端节点访问 AWS 服务

您可以创建自己的 AWS PrivateLink 支持的服务(终端节点服务)并使其他 AWS 客户能够访问您的服务。有关更多信息,请参阅VPC 终端节点服务 (AWS PrivateLink)

AWS 私有全球网络注意事项

AWS 以其高性能、低延迟的私有全球网络,提供安全的云计算环境以支持您的网络需求。AWS 区域连接到多个 Internet 服务提供商 (ISP) 以及私有全球网络主干,从而为客户发送的跨区域流量提供改进的网络性能。

请注意以下事项:

  • 可用区中的流量或所有区域中可用区之间的流量通过 AWS 私有全球网络路由。

  • 区域之间的流量始终通过 AWS 私有全球网络路由,但 中国区域 除外。

网络数据包丢失可能因多种因素导致,包括网络流碰撞、低级(第 2 层)错误和其他网络故障。我们设计并运行我们的网络以最大限度地减少数据包丢失。我们跨连接 AWS 区域的全球骨干网衡量数据包丢失率 (PLR)。我们运营我们的骨干网络,目标是使 p99 达到每小时 PLR 低于 0.0001%。

如何开始使用 Amazon VPC

要获得有关 Amazon VPC 的实践介绍,请完成 Amazon VPC 入门。此练习将指导您完成创建带有公有子网的非默认 VPC 并在您的子网内启动实例的步骤。

如果您有默认 VPC,且希望在不对您的 VPC 进行任何额外配置的情况下开始将实例启动到 VPC 中,请参阅 在您的默认 VPC 内启动 EC2 实例。

要了解 Amazon VPC 的基本方案,请参阅 场景和示例。您可以通过其他满足您的需求的方式配置您的 VPC 和子网。

下表列出了在您使用此服务时可能为您提供帮助的相关资源。

资源 描述

Amazon Virtual Private Cloud 连接性选项

提供了网络连接性选项概览。

Amazon VPC forum

社区论坛,在这里可以讨论关于 Amazon VPC 的技术性问题。

AWS 开发人员资源

这是一个帮助您入门的资源整合点,您可以在这里找到相关的文档、代码示例、发行说明和其他信息,帮助您使用 AWS 构建创新的应用程序。

AWS 支持中心

AWS Support 主页。

联系我们

这是一个有关查询的资源整合点,可帮助您查询有关 AWS 计费、账户、事件方面的信息。

访问 Amazon VPC

Amazon VPC 提供基于 Web 的用户界面,即 Amazon VPC 控制台。如果您已注册 AWS 账户,可以通过登录 AWS 管理控制台并选择 VPC 来访问 Amazon VPC 控制台。

如果倾向于使用命令行界面,您可使用以下选项:

AWS Command Line Interface (AWS CLI)

提供大量 AWS 服务的相关命令,并支持 Windows、macOS 和 Linux/Unix。要了解其用法,请参阅 AWS Command Line Interface 用户指南。有关 Amazon VPC 的命令的更多信息,请参阅 ec2

适用于 Windows PowerShell 的 AWS 工具

为在 PowerShell 环境中编写脚本的用户提供大量 AWS 服务的相关命令。要了解其用法,请参阅 适用于 Windows PowerShell 的 AWS 工具 用户指南

Amazon VPC 提供查询 API。这些请求属于 HTTP 或 HTTPS 请求,需要使用 HTTP 动词 GET 或 POST 以及一个名为 Action 的查询参数。有关更多信息,请参阅 Amazon EC2 API Reference 中的操作

为了使用特定语言的 API 而非通过 HTTP 或 HTTPS 提交请求来构建应用程序,AWS 为软件开发人员提供了库文件、示例代码、教程和其他资源。这些库文件提供可自动执行任务的基本功能,例如以加密方式对请求签名、重试请求和处理错误响应。有关更多信息,请参阅 AWS SDKs and Tools

Amazon VPC 定价

您无需承担额外的 Amazon VPC 使用费用。您需要为您使用的实例和其他 Amazon EC2 功能支付标准费用。使用Site-to-Site VPN 连接和 NAT 网关需要支付一定的费用。有关更多信息,请参阅 Amazon VPC 定价Amazon EC2 定价

Amazon VPC 限制

您可以提供的 Amazon VPC 组成部分数目有限。您可以请求增加部分限制的值。有关更多信息,请参阅Amazon VPC 限制

PCI DSS 合规性

Amazon VPC 支持由商家或服务提供商处理、存储和传输信用卡数据,而且已经验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息,包括如何请求 AWS PCI Compliance Package 的副本,请参阅 PCI DSS 第 1 级