VPC 的子网 - Amazon Virtual Private Cloud

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VPC 的子网

子网是您的 VPC 内的 IP 地址范围。您可以在特定子网中创建 AWS 资源(例如 EC2 实例)。

子网基础知识

每个子网都必须完全位于一个可用区之内,不能跨越多个可用区。通过在独立的可用区内启动 AWS 资源,可以保护应用程序不受单一可用区故障的影响。

子网 IP 地址范围

在创建子网时,您可以根据 VPC 的配置指定其 IP 地址:

  • 仅 IPv4 – 子网具有 IPv4 CIDR 块,但没有 IPv6 CIDR 块。仅限 IPv4 的子网中的资源必须通过 IPv4 进行通信。

  • 双堆栈 – 子网同时具有 IPv4 CIDR 块和 IPv6 CIDR 块。VPC 必须同时具有 IPv4 CIDR 块和 IPv6 CIDR 块。双堆栈子网中的资源可以通过 IPv4 和 IPv6 进行通信。

  • 仅 IPv6 – 子网具有 IPv6 CIDR 块,但没有 IPv4 CIDR 块。VPC 必须具有一个 IPv6 CIDR 块。仅限 IPv6 的子网中的资源必须通过 IPv6 进行通信。

    注意

    仅限 IPv6 的子网中的资源从 CIDR 块 169.254.0.0/16 中分配了 IPv4 链路本地地址。这些地址用于与实例元数据服务(IMDS)等 VPC 服务通信。

有关更多信息,请参阅为 VPC 和子网分配 IP 地址

子网类型

子网类型取决于您如何为子网配置路由。例如:

  • 公有子网 – 子网具有一条指向某个 互联网网关 的直接路由。公有子网中的资源可以访问公有互联网。

  • 私有子网 – 子网不具有指向任何互联网网关的直接路由。私有子网中的资源需要使用 NAT 设备才能访问公有互联网。

  • 仅限 VPN 的子网 – 子网具有一个通过虚拟私有网关指向某个 Site-to-Site VPN 连接 的路由。该子网不具有通向互联网网关的路由。

  • 隔离子网 – 子网没有通往其 VPC 之外目的地的路由。隔离子网中的资源只能访问同一 VPC 中的其他资源或被同一 VPC 中的其他资源访问。

子网图

下图显示了位于一个区域中的两个 VPC。每个 VPC 都具有公有和私有子网以及一个互联网网关。您可以选择在 Local Zone 中添加子网,如图所示。Local Zone 是一种 AWS 基础设施部署,可将计算、存储和数据库服务放置在更靠近终端用户的位置。使用 Local Zone 时,您的最终用户能够运行需要毫秒级延迟的应用程序。有关更多信息,请参阅 AWS Local Zones


                    具有可用区内的子网和一个本地区域的 VPC。

子网路由

每个子网都必须关联一个路由表,这个路由表可指定允许出站流量离开子网的可用路由。您创建的每个子网都会自动关联 VPC 的主路由表。您可以更改关联,以及更改主路由表的内容。有关更多信息,请参阅配置路由表

子网设置

所有子网都有一个用于确定是否向在该子网中创建的网络接口分配公有 IPv4 地址和 IPv6 地址 (如果适用) 的可修改属性。这包括当您在该子网中启动实例时为实例创建的主网络接口 (eth0)。不管子网属性如何,您仍然可以在启动时覆盖特定实例的此设置。

创建子网后,您可以修改子网的以下设置:

  • 自动分配 IP 设置:允许您配置自动分配 IP 设置,以便为此子网中的新网络接口自动请求公有 IPv4 或 IPv6 地址。

  • 基于资源的名称 (RBN) 设置:允许您为此子网中的 EC2 实例指定主机名类型,并配置 DNS A 和 AAAA 记录查询的处理方式。有关更多信息,请参阅《Amazon EC2 用户指南(适用于 Linux 实例)》中的 Amazon EC2 实例主机名类型

子网安全性

为了保护您的 AWS 资源,我们建议您使用私有子网。使用堡垒主机或 NAT 设备为私有子网中的资源提供互联网访问,例如 EC2 实例。

AWS 提供了多种可以用于提高 VPC 中资源安全性的功能。安全组用于允许关联资源(例如 EC2 实例)的入站和出站流量。网络 ACL 用于允许或拒绝子网级别的入站和出站流量。在大多数情况下,使用安全组即可满足您的需求。不过,如需为 VPC 增加额外的安全保护,您可以使用网络 ACL。有关更多信息,请参阅比较安全组和网络 ACL

每个子网有意必须与一个网络 ACL 关联。您创建的每个子网均自动与 VPC 的原定设置网络 ACL 关联。默认网络 ACL 允许所有入站和出站流量。您可以更新默认网络 ACL,也可以创建自定义网络 ACL 并将其与您的子网关联。有关更多信息,请参阅使用网络 ACL 控制指向子网的流量

您可以在 VPC 或子网上创建流日志,以便捕获传入和传出您的 VPC 或子网中的网络接口的流量。您还可以在单独的网络接口上创建流日志。有关更多信息,请参阅使用 VPC 流日志记录 IP 流量