Amazon VPC 的工作原理

借助 Amazon Virtual Private Cloud（Amazon VPC），您可以在自己定义的逻辑隔离的虚拟网络中启动 AWS 资源。这个虚拟网络与您在数据中心中运行的传统网络极其相似，并会为您提供使用 AWS 的可扩展基础设施的优势。

下图直观地演示了当您使用 AWS Management Console 创建 VPC 时在预览窗格中显示的 VPC 及其资源。对于现有 VPC，您可以在资源地图选项卡上访问此可视化功能。此示例显示当您选择创建 VPC 和其他网络资源时，最初在创建 VPC 页面上选择的资源。此 VPC 在两个可用区域中配置了一个 IPv4 CIDR 和一个 Amazon 提供的 IPv6 CIDR、若干子网、三个路由表、一个互联网网关和一个网关端点。由于我们选择了互联网网关，因此图形会指示来自公有子网的流量将路由到互联网，因为相应的路由表会将流量发送到互联网网关。

VPC 和子网

虚拟私有云 (VPC) 是仅适用于您的 AWS 账户的虚拟网络。它在逻辑上与 AWS 云中的其他虚拟网络隔绝。您可以为 VPC 指定 IP 地址范围、添加子网、添加网关以及关联安全组。

子网是您的 VPC 内的 IP 地址范围。您可将 AWS 资源（如 Amazon EC2 实例）启动到您的子网中。您可以将子网连接到互联网、其他 VPC 和自己的数据中心，并使用路由表路由传入和传出子网的流量。

了解更多

• 为 VPC 和子网分配 IP 地址

• 配置虚拟私有云

• VPC 的子网

默认和非默认 VPC

如果您的账户是在 2013 年 12 月 4 日之后创建的，则每个区域中都有一个默认 VPC。默认 VPC 已配置且可供您使用。例如，它在区域的每个可用区中具有默认子网、已连接的互联网网关、主路由表中的路由（用于将所有流量发送到互联网网关）以及 DNS 设置（自动将公共 DNS 主机名分配给具有公有 IP 地址的实例，并通过 Amazon 提供的 DNS 服务器启用 DNS 解析）（请参阅 VPC 中的 DNS 属性）。因此，在默认子网中启动的 EC2 实例自动拥有互联网访问权限。如果您在某个区域有一个默认 VPC，并且在该区域中启动 EC2 实例时未指定子网，我们会选择一个默认子网，然后在该子网中启动实例。

您还可以创建自己的 VPC，并根据需要对其进行配置。这称为非默认 VPC。您在非默认 VPC 中创建的子网和您在默认 VPC 中创建的额外子网称为非默认子网。

了解更多信息

• 默认 VPC

• 创建 VPC

路由表

路由表包含一组称为“路由”的规则，它们用于确定将网络流量从您的 VPC 发送到何处。您可以将子网与特定路由表显式关联。否则，子网将与主路由表隐式关联。

路由表中的每个路由都指定了您希望将流量传输到的 IP 地址范围（目的地）以及发送流量所通过的网关、网络接口或连接（目标）。

了解更多信息

• 配置路由表

访问 Internet

您可以控制在 VPC 之外的 VPC 访问资源中启动实例的方式。

原定设置 VPC 包含一个互联网网关，而且每个原定设置子网都是公有子网。您在默认子网中启动的每个实例都有一个私有 IPv4 地址和一个公有 IPv4 地址。这些实例可以通过 Internet 网关与 Internet 通信。通过互联网网关，您的实例可通过 Amazon EC2 网络边界连接到 Internet。

默认情况下，您启动到非默认子网中的每个实例都有一个私有 IPv4 地址，但没有公有 IPv4 地址，除非您在启动时特意指定一个，或者修改子网的公有 IP 地址属性。这些实例可以相互通信，但无法访问 Internet。

您可以通过以下方式为在非默认子网中启动的实例启用 Internet 访问：将一个互联网网关附加到该实例的 VPC（如果其 VPC 不是默认 VPC），然后将一个弹性 IP 地址与该实例相关联。

或者，您还可以使用网络地址转换 (NAT) 设备，以允许 VPC 中的实例发起到互联网的出站连接，但阻止来自互联网的未经请求的入站连接。NAT 将多个私有 IPv4 地址映射到一个公有 IPv4 地址。您可以使用弹性 IP 地址配置 NAT 设备，并通过互联网网关将其与互联网相连。您可以通过 NAT 设备将私有子网中的实例连接到互联网，NAT 设备会将来自实例的流量路由到互联网网关，并将所有响应路由到该实例。

如果您将 IPv6 CIDR 块与 VPC 关联并为实例分配 IPv6 地址，则实例可以通过互联网网关通过 IPv6 连接到互联网。或者，实例也可以使用仅出口互联网网关经由 IPv6 发起到互联网的出站连接。IPv6 流量独立于 IPv4 流量；您的路由表必须包含单独的 IPv6 流量路由。

了解更多信息

• 使用互联网网关为 VPC 启用互联网访问

• 使用仅出口互联网网关允许出站 IPv6 流量

• 使用 NAT 设备连接到互联网或其他网络

访问企业或家庭网络

您可以选择使用 IPsec AWS Site-to-Site VPN 连接将您的 VPC 与公司的数据中心连接，从而将 AWS Cloud 作为数据中心的延伸。

Site-to-Site VPN 连接由 AWS 端的虚拟私有网关或中转网关与位于数据中心的客户网关设备之间的两条 VPN 隧道组成。客户网关设备是站点到站点 VPN 连接在您这一端配置的实体设备或软件设备。

了解更多

• 《AWS Site-to-Site VPN 用户指南》

• Amazon VPC 中转网关

连接 VPC 和网络

您可以在两个 VPC 之间创建一个 VPC 对等连接，然后通过此连接不公开地在这两个 VPC 之间路由流量。这两个 VPC 中的实例可以彼此通信，就像它们在同一网络中一样。

您还可以创建一个中转网关，并使用它来互连 VPC 和本地网络。中转网关充当区域虚拟路由器，用于其各种连接（可包括 VPC、VPN 连接、AWS Direct Connect 网关和中转网关对等连接）之间的流量流动。

了解更多

• Amazon VPC Peering Guide

• Amazon VPC 中转网关

AWS 私有全球网络

AWS 以其高性能、低延迟的私有全球网络，提供安全的云计算环境以支持您的网络需求。AWS区域连接到多个互联网服务提供商 (ISP) 以及私有全球网络主干，从而为客户发送的跨区域流量提供改进的网络性能。

源自私有全球网络且目标位于私有全球网络中的数据包将保留在私有全球网络中，不会穿越公共互联网。无论目标是私有 IP 地址还是公有 IP 地址，都是如此。例如，如果两个 VPC 中的 EC2 实例使用公有 IP 地址进行通信，则流量将保留在私有全球网络中。目标可以位于同一个可用区、同一区域中的不同可用区，也可以位于不同区域（中国区域除外）。

网络数据包丢失可能因多种因素导致，包括网络流碰撞、低级（第 2 层）错误和其他网络故障。我们设计并运行我们的网络以最大限度地减少数据包丢失。我们跨连接 AWS 区域的全球骨干网衡量数据包丢失率 (PLR)。我们运营我们的骨干网络，目标是使 p99 达到每小时 PLR 低于 0.0001%。