使用 VPC - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 VPC

按照以下过程创建和配置 Virtual Private Cloud(VPC)。您必须首先创建子网,然后才能在 VPC 中启动资源。

您还可以一键式创建 VPC 及其子网、网关和路由表。有关更多信息,请参阅 使用向导创建 VPC

创建 VPC

按照这一部分中的步骤创建 VPC。创建 VPC 时,您有两个选项:

  • VPC only(仅限 VPC):仅创建 VPC,不创建任何其他资源,例如 VPC 内的子网或 NAT 网关。

  • VPC, subnets, etc.(VPC、子网等):创建一个 VPC、子网、NAT 网关和 VPC 终端节点。

根据适合您需求的选项,按照下面相应部分的步骤进行操作。

仅创建 VPC

按照这一部分的步骤操作,以仅创建一个 VPC,而不创建任何其他资源。

仅创建 VPC

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,依次选择 Your VPCsCreate VPC

  3. Resources to create(要创建的资源)下,选择 VPC only(仅限 VPC)。

  4. 根据需要指定以下 VPC 详细信息。

    • Name tag:可以选择为您的 VPC 提供名称。这样做可创建具有 Name 键以及您指定的值的标签。

    • IPv4 CIDR block(IPv4 CIDR 块):为 VPC 指定一个 IPv4 CIDR 块(或 IP 地址范围)。请选择以下任一选项:

      • IPv4 CIDR 手动输入:手动输入 IPv4 CIDR。CIDR 块大小必须在 /16 和 /28 之间。我们建议您参照 RFC 1918 中指定的私有(非公有可路由)IP 地址范围,从中指定一个 CIDR 块,例如 10.0.0.0/16192.168.0.0/16

        注意

        您可以指定一系列可公开路由的 IPv4 地址。但是,我们目前不支持从 VPC 中可公开路由的 CIDR 块直接访问互联网。如果启动到范围从 224.0.0.0255.255.255.255 (类 D 和类 E IP 地址范围) 的 VPC,Windows 实例将无法正常启动。

      • IPAM 分配的 IPv4 CIDR 块:如果此区域中存在可用的 Amazon VPC IP 地址管理器 (IPAM) IPv4 地址池,则您可以从 IPAM 池中获得 CIDR。如果选择 IPAM 池,则 CIDR 的大小受 IPAM 池上的分配规则限制(允许的最小值、允许的最大值和默认值)。有关 IPAM 的更多信息,请参阅 Amazon VPC IPAM 用户指南中的什么是 IPAM?

    • IPv6 CIDR 块:您可以选择将 IPv6 CIDR 块与您的 VPC 关联。选择以下选项之一,然后选择选择 CIDR

      • No IPv6 CIDR block(无 IPv6 CIDR 块):将不会为此 VPC 预置 IPv6 CIDR。

      • IPAM 分配的 IPv6 CIDR 块:如果此区域中存在可用的 Amazon VPC IP 地址管理器 (IPAM) IPv6 地址池,则您可以从 IPAM 池中获得 CIDR。如果选择 IPAM 池,则 CIDR 的大小受 IPAM 池上的分配规则限制(允许的最小值、允许的最大值和默认值)。有关 IPAM 的更多信息,请参阅 Amazon VPC IPAM 用户指南中的什么是 IPAM?

      • Amazon-provided IPv6 CIDR block(Amazon 提供的 IPv6 CIDR 块):从 Amazon 的 IPv6 地址池请求 IPv6 CIDR 块。对于 Network Border Group (网络边界组),选择 Amazon 从中通告 IP 地址的组。Amazon 提供 /56 固定大小的 IPv6 CIDR 块。您无法配置 Amazon 提供的 IPv6 CIDR 的大小。

      • 我拥有的 IPv6 CIDR: (BYOIP) 从您的 IPv6 地址池分配 IPv6 CIDR 块。对于 Pool (池),选择要从中分配 IPv6 CIDR 块的 IPv6 地址池。

    • Tenancy(租赁):选择此 VPC 的租赁选项。

      • 选择 Default(原定设置)以确保在此 VPC 中启动的 EC2 实例使用在 EC2 实例启动时指定的 EC2 实例租赁属性。

      • 选择 Dedicated(专用)以确保在此 VPC 中启动的 EC2 实例在专用租赁实例上运行,而不论启动时指定的租赁属性如何。

      有关租赁的更多信息,请参阅《Amazon EC2 Auto Scaling 用户指南》中的使用启动配置配置实例租赁

      注意

      如果您的 Amazon Outposts 需要使用私有连接,必须选择 Default(原定设置)。有关 Amazon Outposts 的更多信息,请参阅《Amazon Outposts 用户指南》中的什么是 Amazon Outposts?

    • Tags(标签):在 VPC 上添加可选标签。标签是为 Amazon 资源分配的标记。每一个标签都包含一个键和一个可选值。您可以使用标签来搜索和筛选您的资源或跟踪 Amazon 成本。

  5. 选择 Create VPC (创建 VPC)

或者,您也可以使用命令行工具。

使用命令行工具创建 VPC

使用命令行工具描述 VPC

有关 IP 地址的更多信息,请参阅 IP 寻址

创建 VPC 后,您可以创建子网。有关更多信息,请参阅 在您的 VPC 中创建子网

创建 VPC、子网和其他 VPC 资源

在这一步中,您将创建一个 VPC、若干子网、可用区、NAT 网关和 VPC 终端节点。

创建 VPC、子网和其他 VPC 资源

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,依次选择 Your VPCsCreate VPC

  3. Resources to create(要创建的资源)下,选择 VPC, subnets, etc.(VPC、子网等)。

  4. 根据需要修改选项:

    • Name tag auto-generation(Name 标签自动生成):选择将应用到您创建的资源的 Name 标签。您可以使用系统自动生成的标签,也可以定义值。定义的值将用于在所有作为“name-resource”的资源中生成 Name 标签。例如,假设您输入的是“Preproduction”,则每个子网都将使用“Preproduction-subnet”Name 标签进行标记。有关标签的更多信息,请参阅 。

    • IPv4 CIDR block(IPv4 CIDR 块):选择该 VPC 的 IPv4 CIDR 块。此选项是必需的。

    • IPv6 CIDR block(IPv6 CIDR 块):选择该 VPC 的 IPv6 CIDR 块。

    • Tenancy(租赁):选择此 VPC 的租赁选项。

      • 选择 Default(原定设置)以确保在此 VPC 中启动的 EC2 实例使用在 EC2 实例启动时指定的 EC2 实例租赁属性。

      • 选择 Dedicated(专用)以确保在此 VPC 中启动的 EC2 实例在专用租赁实例上运行,而不论启动时指定的租赁属性如何。

      有关租赁的更多信息,请参阅《Amazon EC2 Auto Scaling 用户指南》中的使用启动配置配置实例租赁

      注意

      如果您的 Amazon Outposts 需要使用私有连接,必须选择 Default(原定设置)。有关 Amazon Outposts 的更多信息,请参阅《Amazon Outposts 用户指南》中的什么是 Amazon Outposts?

    • Availability Zones (AZs) [可用区(AZ)]:选择要在其中创建子网的可用区(AZ)数。可用区是一个 Amazon 区域中具有冗余电源、联网和连接的一个或多个离散数据中心。与单个数据中心相比,您可以通过可用区运营具有更高可用性、容错能力和可扩展性的生产级应用程序和数据库。如果跨可用区对在子网中运行的应用程序进行分区,则可以实现更好的隔离并防止停电、雷击、龙卷风、地震等问题的影响。

    • Customize AZs(自定可用区):选择将在哪个可用区中创建子网。

    • Number of public subnets(公有子网数):选择要被视为“公有”子网的子网数量。“公有”子网是指具有指向某个互联网网关的路由表条目的子网。这使得在子网中运行的 EC2 实例可以通过互联网公开访问。

    • Customize public subnets CIDR blocks(自定义公有子网 CIDR 块):选择“公有”子网的 CIDR 块。

    • Number of private subnets(私有子网数):选择要被视为“私有”子网的子网数量。私有子网是不具有指向某个互联网网关的路由表条目的子网。使用私有子网可保护不需要通过互联网公开访问的后端资源。

    • Customize private subnets CIDR blocks(自定义私有子网 CIDR 块):选择“私有”子网的 CIDR 块。

    • NAT gateways(NAT 网关):选择要在其中创建网络地址转换(NAT)网关的可用区数量。NAT 网关是一项 Amazon 托管式服务,可让私有子网中的 EC2 实例将出站流量发送到互联网。但互联网上的资源无法与实例建立连接。请注意,使用 NAT 网关会产生成本。有关更多信息,请参阅 NAT 网关

    • VPC endpoints(VPC 终端节点):使用 VPC 终端节点,您可以建立从 VPC 到支持的 Amazon 服务(例如 Amazon S3)的私有连接。您可以借助 VPC 终端节点创建对公共互联网关闭的隔离 VPC。使用网关终端节点不会发生任何额外费用。这可以帮助避免与 NAT 网关相关的成本。

    • DNS options(DNS 选项):为在此 VPC 中启动的 EC2 实例同时选择域名解析选项。

      • Enable DNS hostnames(启用 DNS 主机名):允许为 EC2 实例的公有 IPv4 地址预置主机名。

      • Enable DNS resolution(启用 DNS 解析):允许为 EC2 实例的公有 IPv4 地址预置主机名并启用对主机名的域名解析。

      注意

      如果您想为在您创建的子网中启动的 EC2 实例预置公有 IPv4 DNS 主机名,则必须在 VPC 上同时启用 Enable DNS hostnames(启用 DNS 主机名)和 Enable DNS resolution(启用 DNS 解析)选项。如果您仅启用了 Enable DNS hostnames(启用 DNS 主机名)选项,则将不会预置公有 IPv4 DNS 主机名。

  5. Preview(预览)窗格中,您可以看到将要创建的计划 VPC、子网、路由表和网络接口。

  6. 选择 Create VPC (创建 VPC)

查看 VPC

按照下面的步骤操作,以查看有关 VPC 的详细信息。

使用控制台查看 VPC 详细信息

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 VPC

  3. 选择 VPC,然后选择 View Details (查看详细信息)

使用命令行工具描述 VPC

跨区域查看您的所有 VPC

通过以下网址打开 Amazon EC2 全局视图控制台:https://console.aws.amazon.com/ec2globalview/home

有关使用 Amazon EC2 全局视图的更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的使用 Amazon EC2 全局视图列出并筛选资源

关联辅助 IP 地址 CIDR 块与 VPC

您可以向 VPC 中添加 CIDR 块。确保您已阅读适用的限制

在关联 CIDR 块之后,状态转为 associating。当 CIDR 块处于 associated 状态时,表示它已准备就绪,可以使用。

Amazon Virtual Private Cloud Console 在页面顶部提供请求的状态。

使用控制台向 VPC 中添加 CIDR 块

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Your VPCs

  3. 选择所需的 VPC,然后选择 Actions(操作)Edit CIDRs(编辑 CIDR)

  4. 选择 Add new IPv4 CIDR(添加新的 IPv4 CIDR)或 Add new IPv6 CIDR(添加新的 IPv6 CIDR)。

  5. 有关 CIDR 选项的完整信息,请参阅创建 VPC

  6. 选择关闭

使用命令行工具添加 CIDR 块

在添加所需的 CIDR 块后,您可以创建子网。有关更多信息,请参阅 在您的 VPC 中创建子网

关联 IPv6 CIDR 块与 VPC

您可以向任何现有的 VPC 关联 IPv6 CIDR 块。此 VPC 当前必须尚未关联任何 IPv6 CIDR 块。

使用控制台将 IPv6 CIDR 块与 VPC 关联

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Your VPCs

  3. 选择所需的 VPC,然后选择 Actions(操作)Edit CIDRs(编辑 CIDR)

  4. 选择 Add new IPv6 CIDR(添加新 IPv6 CIDR)

  5. 对于 IPv6 CIDR block(IPv6 CIDR 块),请执行以下操作之一:

    • 选择 Amazon-provided IPv6 CIDR block(Amazon 提供的 IPv6 CIDR 块),从 Amazon 的 IPv6 地址池请求 IPv6 CIDR 块。对于 Network border group(网络边界组),选择 Amazon 通告 IP 地址的组。

    • 选择 IPv6 CIDR owned by me(我拥有的 IPv6 CIDR),从您的 IPv6 地址池分配 IPv6 CIDR 块。对于 Pool (池),选择要从中分配 IPv6 CIDR 块的 IPv6 地址池。

  6. 选择 Select CIDR (选择 CIDR)

  7. 选择 Close (关闭)

使用命令行工具将 IPv6 CIDR 块与 VPC 关联

取消 IPv4 CIDR 块与 VPC 的关联

如果您的 VPC 与多个 IPv4 CIDR 块关联,则可以取消 IPv4 CIDR 块与 VPC 的关联。您不能取消主要 IPv4 CIDR 块的关联。您只能取消整个 CIDR 块的关联;您无法取消 CIDR 块子集或 CIDR 块合并范围的关联。必须首先删除 CIDR 块中的所有子网。

使用控制台从 VPC 中删除 CIDR 块

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Your VPCs

  3. 选择所需的 VPC,然后选择 ActionsEdit CIDRs

  4. VPC IPv4 CIDRs 下,选择要删除的 CIDR 块的删除按钮 (叉形记号)。

  5. 选择 Close (关闭)

或者,您也可以使用命令行工具。

使用命令行工具从 VPC 中删除 IPv4 CIDR 块

取消 IPv6 CIDR 块与 VPC 的关联

如果不再需要在您的 VPC 中支持 IPv6,但需要继续使用您的 VPC 来创建 IPv4 资源并与之通信,则可以取消 IPv6 CIDR 块关联。

要取消 IPv6 CIDR 块关联,必须先取消分配已分配给子网中任何实例的任何 IPv6 地址。

使用控制台取消 IPv6 CIDR 块与 VPC 的关联

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Your VPCs

  3. 选择您的 VPC,然后选择 ActionsEdit CIDRs

  4. 通过选择十字图标来删除 IPv6 CIDR 块。

  5. 选择 Close (关闭)

注意

取消 IPv6 CIDR 块关联不会自动删除您为 IPv6 网络配置的任何安全组规则、网络 ACL 规则或路由表路由。您必须手动修改或删除这些规则或路由。

或者,您也可以使用命令行工具。

使用命令行工具取消 IPv6 CIDR 块与 VPC 的关联

删除您的 VPC

要使用 VPC 控制台删除 VPC,您必须首先终止或删除以下组件:

  • VPC 中的所有实例 - 有关如何终止实例的信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南 中的终止实例

  • VPC 对等连接

  • 接口终端节点

  • NAT 网关

当您使用 VPC 控制台删除 VPC 时,我们还会为您删除以下 VPC 组件:

  • 子网

  • 安全组

  • 网络 ACL

  • 路由表

  • 网关终端节点

  • Internet 网关

  • 仅出口互联网网关

  • DHCP 选项

如果您具有一个 Amazon Site-to-Site VPN 连接,则无需删除此连接或与 VPN 相关的其他组件(例如客户网关和虚拟专用网关)。如果您计划在另一个 VPC 中使用客户网关,我们建议您保留 Site-to-Site VPN 连接和网关。否则,您必须在创建新的 Site-to-Site VPN 连接后再次配置客户网关设备。

使用控制台删除 VPC

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 终止 VPC 中的所有实例。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南 中的终止实例

  3. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  4. 在导航窗格中,选择 Your VPCs

  5. 选择要删除的 VPC,然后依次选择 ActionsDelete VPC

  6. 如果您有 Site-to-Site VPN 连接,请选择要将其删除的选项;否则,请将其保留为未选中状态。选择 Delete VPC (删除 VPC)

或者,您也可以使用命令行工具。当您使用命令行删除 VPC 时,必须首先终止所有实例,并删除或分离所有关联的资源,包括子网、自定义安全组、自定义网络 ACL、自定义路由表、VPC 对等连接、终端节点、NAT 网关、互联网网关和仅出口互联网网关。

使用命令行删除 VPC