适用于您的 EC2 实例的虚拟私有云
通过 Amazon Virtual Private Cloud (Amazon VPC),您可以在 AWS 云内您自己的逻辑隔离区域中定义虚拟网络,我们称之为 Virtual Private Cloud 或 VPC。您可将 AWS 资源(如 Amazon EC2 实例)创建到 VPC 的子网中。您的 VPC 与您在自己的数据中心中运行的传统网络可能极为相似,同时享有使用来自 AWS 的可扩展基础设施的优势。您可以配置您的 VPC;您可以选择它的 IP 地址范围、创建子网并配置路由表、网关和安全设置。现在您可以将您的 VPC 中的实例连接到 Internet 或您自己的数据中心。
您的默认 VPC
在您创建 AWS 账户时,我们会在每个区域中创建一个默认 VPC。默认 VPC 是已配置好可供您使用的 VPC。例如,在每个默认 VPC 中,每个可用区都有一个默认子网,一个连接到 VPC 的互联网网关,并且主路由表中有一条将所有流量 (0.0.0.0/0) 发送到互联网网关的路由。您可以按需修改默认 VPC 的配置。例如,您可以添加子网和路由表。
非默认 VPC
您可以创建自己的 VPC,而不是为您的资源使用默认 VPC,如《Amazon VPC 用户指南》的创建 VPC 中所述。
以下是为 EC2 实例创建 VPC 时要考虑的一些事项。
-
您可以使用 IPv4 CIDR 块的默认建议,也可以输入应用程序或网络所需的 CIDR 块。
-
为了确保高可用性,请在多个可用区中创建子网。
-
如果必须可从互联网访问您的实例,请执行以下操作之一:
-
如果您的实例可以位于公共子网中,则请添加公共子网。保持两个 DNS 选项都处于启用状态。您可以选择立即或稍后添加私有子网。
-
如果您的实例必须位于私有子网中,则请仅添加私有子网。您可以添加 NAT 网关,为私有子网中的实例提供互联网访问。如果您的实例跨可用区发送或接收大量流量,则请在每个可用区创建一个 NAT 网关。否则,您可以仅在其中一个可用区中创建 NAT 网关,并在与 NAT 网关相同的可用区中启动发送或接收跨区域流量的实例。
-
互联网访问
在默认 VPC 中的默认子网中启动的实例可以访问互联网,因为默认 VPC 配置为分配公有 IP 地址和 DNS 主机名,并且主路由表配置了通往连接到 VPC 的互联网网关的路由。
对于在非默认子网和 VPC 中启动的实例,可以使用以下选项之一,以确保在这些子网中启动的实例可以访问互联网:
-
配置互联网网关。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用互联网网关连接到互联网。
-
配置公有 NAT 网关。有关更多信息,请参阅 Amazon VPC 用户指南中的从私有子网访问互联网。
共享子网
在共享 VPC 子网中启动 EC2 实例时,请注意以下几点:
-
参与者可以通过指定共享子网 ID 在共享子网中运行实例。参与者必须拥有其指定的任何安全组或网络接口。
-
参与者可以启动、停止、终止和描述其在共享子网中创建的实例。参与者无法启动、停止、终止或描述 VPC 所有者在共享子网中创建的实例。
-
VPC 所有者无法启动、停止、终止或描述参与者在共享子网中创建的实例。
-
参与者可以使用 EC2 Instance Connect Endpoint 连接到共享子网中的实例。参与者必须在共享子网中创建 EC2 Instance Connect Endpoint。参与者不能使用 VPC 所有者在共享子网中创建的 EC2 Instance Connect Endpoint。
有关更多信息,请参阅《Amazon VPC 用户指南》中的与其他账户共享 VPC。
仅限 IPv6 子网
在仅使用 IPv6 的子网中启动的 EC2 实例将会获得 IPv6 地址,但不会获得 IPv4 地址。您在仅使用 IPv6 的子网中启动的任何实例,必须是基于 AWS Nitro System 构建的实例。
