使用 VPC
按照以下过程创建和配置 Virtual Private Cloud(VPC)。
任务
创建 VPC
按照这一部分中的步骤创建 VPC。创建 VPC 时,您有两个选项:
VPC、子网和其他 VPC 资源:创建 VPC、子网、NAT 网关和 VPC 端点。
VPC only(仅限 VPC):仅创建 VPC,不创建任何其他资源,例如 VPC 内的子网或 NAT 网关。
根据适合您需求的选项,按照下面相应部分的步骤进行操作。
创建 VPC、子网和其他 VPC 资源
在这一步中,您将创建一个 VPC、若干子网、可用区、NAT 网关和 VPC 终端节点。
创建 VPC、子网和其他 VPC 资源
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,依次选择 Your VPCs(您的 VPC)、Create VPC(创建 VPC)。
在要创建的 Resources(资源)下,选择 VPC and more(VPC 等)。
根据需要修改选项:
Name tag auto-generation(Name 标签自动生成):选择将应用到您创建的资源的 Name 标签。您可以使用系统自动生成的标签,也可以定义值。定义的值将用于在所有作为“name-resource”的资源中生成 Name 标签。例如,假设您输入的是“Preproduction”,则每个子网都将使用“Preproduction-”名称标签进行标记。
IPv4 CIDR block(IPv4 CIDR 块):选择该 VPC 的 IPv4 CIDR 块。此选项是必需的。
IPv6 CIDR block(IPv6 CIDR 块):选择该 VPC 的 IPv6 CIDR 块。
Tenancy(租赁):选择此 VPC 的租赁选项。
选择 Default(原定设置)以确保在此 VPC 中启动的 EC2 实例使用在 EC2 实例启动时指定的 EC2 实例租赁属性。
选择 Dedicated(专用)以确保在此 VPC 中启动的 EC2 实例在专用租赁实例上运行,而不论启动时指定的租赁属性如何。
有关租赁的更多信息,请参阅《Amazon EC2 Auto Scaling 用户指南》中的使用启动配置配置实例租赁。
注意 如果您的 AWS Outposts 需要使用私有连接,必须选择 Default(原定设置)。有关 AWS Outposts 的更多信息,请参阅《AWS Outposts 用户指南》中的什么是 AWS Outposts?。
Number of Availability Zones (AZs) [可用区 (AZ) 数量]:选择要在其中创建子网的可用区数量。可用区是一个 AWS 区域中具有冗余电源、联网和连接的一个或多个离散数据中心。与单个数据中心相比,您可以通过可用区运营具有更高可用性、容错能力和可扩展性的生产级应用程序和数据库。如果跨可用区对在子网中运行的应用程序进行分区,则可以实现更好的隔离并防止停电、雷击、龙卷风、地震等问题的影响。
Customize AZs(自定可用区):选择将在哪个可用区中创建子网。
Number of public subnets(公有子网数):选择要被视为“公有”子网的子网数量。“公有”子网是一个子网,其具有指向某个互联网网关的路由表条目。这使得在子网中运行的 EC2 实例可以通过互联网公开访问。
Number of private subnets(私有子网数):选择要被视为“私有”子网的子网数量。私有子网是不具有指向某个互联网网关的路由表条目的子网。使用私有子网可保护不需要通过互联网公开访问的后端资源。
Customize subnets CIDR blocks(自定义子网 CIDR 块):选择公有和/或私有子网的 CIDR 块。
NAT gateways(NAT 网关):选择要在其中创建网络地址转换 (NAT) 网关的可用区数量。NAT 网关是一项 AWS 托管式服务,可让私有子网中的 EC2 实例将出站流量发送到互联网。但互联网上的资源无法与实例建立连接。请注意,使用 NAT 网关会产生成本。有关更多信息,请参阅NAT 网关。
VPC endpoints(VPC 终端节点):选择是否为 Amazon S3 创建 VPC 终端节点。VPC 端点使您能够将 VPC 私密地连接到支持的 AWS 服务和 VPC 端点服务(由 PrivateLink 提供支持),而无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例无需公有 IP 地址便可与服务中的资源通信。有关更多信息,请参阅 AWS PrivateLink 指南中的网关 VPC 终端节点。
-
DNS options(DNS 选项):为在此 VPC 中启动的 EC2 实例同时选择域名解析选项。
Enable DNS hostnames(启用 DNS 主机名):允许为 EC2 实例的公有 IPv4 地址预置主机名。
Enable DNS resolution(启用 DNS 解析):允许为 EC2 实例的公有 IPv4 地址预置主机名并启用对主机名的域名解析。
注意 如果您想为在您创建的子网中启动的 EC2 实例预置公有 IPv4 DNS 主机名,则必须在 VPC 上同时启用 Enable DNS hostnames(启用 DNS 主机名)和 Enable DNS resolution(启用 DNS 解析)选项。如果您仅启用了 Enable DNS hostnames(启用 DNS 主机名)选项,则将不会预置公有 IPv4 DNS 主机名。
在预览窗格中,您可以对 VPC 内部资源之间的关系进行可视化。实线表示资源之间的关系。虚线表示指向 NAT 网关、互联网网关和网关端点的网络流量。创建 VPC 后,您可以使用资源地图选项卡,随时可视化 VPC 中采用此格式的资源。有关更多信息,请参阅可视化 VPC 中的资源。
选择 Create VPC(创建 VPC)。
仅创建 VPC
按照这一部分的步骤操作,以仅创建一个 VPC,而不创建任何其他资源。
仅创建 VPC
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,依次选择 Your VPCs(您的 VPC)、Create VPC(创建 VPC)。
-
在 Resources to create(要创建的资源)下,选择 VPC only(仅限 VPC)。
-
根据需要指定以下 VPC 详细信息。
-
Name tag(Name 标签):可以选择为您的 VPC 提供名称。这样做可创建具有
Name键以及您指定的值的标签。 -
IPv4 CIDR block(IPv4 CIDR 块):为 VPC 指定一个 IPv4 CIDR 块(或 IP 地址范围)。请选择以下任一选项:
-
IPv4 CIDR manual input(IPv4 CIDR 手动输入):手动输入 IPv4 CIDR。CIDR 块大小必须在 /16 和 /28 之间。我们建议您参照 RFC 1918
中指定的私有(非公有可路由)IP 地址范围,从中指定一个 CIDR 块,例如 10.0.0.0/16或192.168.0.0/16。您可以指定一系列可公开路由的 IPv4 地址。但是,我们目前不支持从 VPC 中可公开路由的 CIDR 块直接访问互联网。如果启动到范围从
224.0.0.0到255.255.255.255(类 D 和类 E IP 地址范围)的 VPC,Windows 实例将无法正常启动。 -
IPAM-allocated IPv4 CIDR block(IPAM 分配的 IPv4 CIDR 块):如果此区域中存在可用的 Amazon VPC IP 地址管理器 (IPAM) IPv4 地址池,则您可以从 IPAM 池中获得 CIDR。如果选择 IPAM 池,则 CIDR 的大小受 IPAM 池上的分配规则限制(允许的最小值、允许的最大值和默认值)。有关 IPAM 的更多信息,请参阅 Amazon VPC IPAM 用户指南中的什么是 IPAM?。
-
-
IPv6 CIDR block(IPv6 CIDR 块):您可以选择将 IPv6 CIDR 块与您的 VPC 关联。选择以下选项之一,然后选择Select CIDR(选择 CIDR):
-
No IPv6 CIDR block(无 IPv6 CIDR 块):将不会为此 VPC 预置 IPv6 CIDR。
-
IPAM-allocated IPv6 CIDR block(IPAM 分配的 IPv6 CIDR 块):如果此区域中存在可用的 Amazon VPC IP 地址管理器 (IPAM) IPv6 地址池,则您可以从 IPAM 池中获得 CIDR。如果选择 IPAM 池,则 CIDR 的大小受 IPAM 池上的分配规则限制(允许的最小值、允许的最大值和默认值)。有关 IPAM 的更多信息,请参阅 Amazon VPC IPAM 用户指南中的什么是 IPAM?。
-
Amazon-provided IPv6 CIDR block(Amazon 提供的 IPv6 CIDR 块):从 Amazon 的 IPv6 地址池请求 IPv6 CIDR 块。对于 Network Border Group(网络边界组),选择 AWS 从中通告 IP 地址的组。Amazon 提供 /56 固定大小的 IPv6 CIDR 块。您无法配置 Amazon 提供的 IPv6 CIDR 的大小。
-
我拥有的 IPv6 CIDR:(BYOIP) 从您的 IPv6 地址池分配 IPv6 CIDR 块。对于 Pool(池),选择要从中分配 IPv6 CIDR 块的 IPv6 地址池。
-
-
Tenancy(租赁):选择此 VPC 的租赁选项。
选择 Default(原定设置)以确保在此 VPC 中启动的 EC2 实例使用在 EC2 实例启动时指定的 EC2 实例租赁属性。
选择 Dedicated(专用)以确保在此 VPC 中启动的 EC2 实例在专用租赁实例上运行,而不论启动时指定的租赁属性如何。
有关租赁的更多信息,请参阅《Amazon EC2 Auto Scaling 用户指南》中的使用启动配置配置实例租赁。
注意 如果您的 AWS Outposts 需要使用私有连接,必须选择 Default(原定设置)。有关 AWS Outposts 的更多信息,请参阅《AWS Outposts 用户指南》中的什么是 AWS Outposts?。
-
Tags(标签):在 VPC 上添加可选标签。标签是为 AWS 资源分配的标记。每个标签都包含一个键和一个可选值。您可以使用标签来搜索和筛选您的资源或跟踪 AWS 成本。
-
-
选择 Create VPC(创建 VPC)。
或者,您也可以使用命令行工具。
使用命令行工具创建 VPC
-
create-vpc (AWS CLI)
-
New-EC2Vpc (AWS Tools for Windows PowerShell)
使用命令行工具描述 VPC
-
describe-vpcs (AWS CLI)
-
Get-EC2Vpc (AWS Tools for Windows PowerShell)
有关 IP 地址的更多信息,请参阅 IP 寻址。
创建 VPC 后,您可以创建子网。有关更多信息,请参阅在您的 VPC 中创建子网。
查看 VPC 详细信息
按照下面的步骤操作,以查看有关 VPC 的详细信息。
使用控制台查看 VPC 详细信息
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 VPC。
-
选择 VPC,然后选择查看详细信息,即可查看 VPC 的配置详细信息。
使用命令行工具描述 VPC
-
describe-vpcs (AWS CLI)
-
Get-EC2Vpc (AWS Tools for Windows PowerShell)
跨区域查看您的所有 VPC
通过以下网址打开 Amazon EC2 全局视图控制台:https://console.aws.amazon.com/ec2globalview/home
有关使用 Amazon EC2 全局视图的更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的使用 Amazon EC2 全局视图列出并筛选资源。
可视化 VPC 中的资源
按照以下步骤,使用资源地图选项卡查看 VPC 中资源的可视化表示。资源图会显示 VPC 内部资源之间的关系,以及流量如何从子网流向 NAT 网关、互联网网关和网关端点。
通过资源地图,您可以了解 VPC 的架构布局,查看子网数量、哪些子网与路由表相关联以及哪些路由表具有通往 NAT 网关、互联网网关和网关端点的路由。
此外,您还可以发现不良或错误配置,例如与 NAT 网关断开连接的私有子网,或具有直接通往互联网网关的路由的私有子网。您可以在资源地图中选择路由表等资源,并编辑这些资源的配置。
可视化 VPC 中的资源
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 VPC。
-
选择 VPC,然后选择资源地图以查看 VPC 中资源的可视化内容。
选择显示详细信息以查看每个资源的详细信息。
-
VPC:分配给 VPC 的 VPC ID 和 IP 地址 CIDR。
-
子网:VPC 中的子网、子网 ID 和分配给子网的 IP 地址 CIDR。
-
路由表:VPC 中的路由表、路由表 ID、子网关联以及路由表中的条目数。
-
网络功能:VPC 中的互联网网关、NAT 网关和网关端点。您可以查看与每个连接相关的详细信息,例如互联网网关是否允许公有子网连接到 Internet,或者 VPC 端点是否允许私有子网中的实例与 Amazon S3 建立私有连接。
-
将鼠标指针悬停在资源上可查看资源之间的关系。实线表示资源之间的关系。虚线表示指向网络连接的网络流量。
使用命令行工具描述 VPC
-
describe-vpcs (AWS CLI)
-
Get-EC2Vpc (AWS Tools for Windows PowerShell)
跨区域查看您的所有 VPC
通过以下网址打开 Amazon EC2 全局视图控制台:https://console.aws.amazon.com/ec2globalview/home
有关使用 Amazon EC2 全局视图的更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的使用 Amazon EC2 全局视图列出并筛选资源。
将额外 IPv4 CIDR 块与 VPC 关联
默认情况下,您可以向 VPC 添加最多 5 个 IPv4 CIDR 块,但此限制可调整。有关更多信息,请参阅Amazon VPC 配额。有关对与 VPC 关联的 IPv4 CIDR 块的限制的信息,请参阅 VPC CIDR 块。
将 IPv4 CIDR 块与 VPC 关联后,状态将更改为 associating。当 CIDR 块处于 associated 状态时,表示它已准备就绪,可以使用。在添加所需的 CIDR 块后,您可以创建使用新 CIDR 块的子网。有关更多信息,请参阅在您的 VPC 中创建子网。
使用控制台将 IPv4 CIDR 块与 VPC 关联
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Your VPCs(您的 VPC)。
-
选择所需的 VPC,然后选择 Actions(操作)、Edit CIDRs(编辑 CIDR)。
-
选择 Add new IPv4 CIDR(添加新 IPv4 CIDR)。
-
对于 IPv4 CIDR block(IPv4 CIDR 块),请执行以下操作之一:
-
选择 IPv4 CIDR manual input(IPv4 CIDR 手动输入),然后输入 IPv4 CIDR 块。
-
选择 IPAM-allocated IPv4 CIDR(IPAM 分配的 IPv4 CIDR),然后从 IPv4 IPAM 池中选择 CIDR。
-
使用命令行工具添加 CIDR 块
-
associate-vpc-cidr-block (AWS CLI)
-
Register-EC2VpcCidrBlock (AWS Tools for Windows PowerShell)
在添加所需的 IPv4 CIDR 块后,您可以创建子网。有关更多信息,请参阅在您的 VPC 中创建子网。
将 IPv6 CIDR 块与 VPC 关联
您可以向任何现有的 VPC 关联最多 5 个 IPv6 CIDR 块。该限制不可调整。有关更多信息,请参阅Amazon VPC 配额。有关对与 VPC 关联的 IPv4 CIDR 块的限制的信息,请参阅 VPC CIDR 块。
使用控制台将 IPv6 CIDR 块与 VPC 关联
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Your VPCs(您的 VPC)。
-
选择所需的 VPC,然后选择 Actions(操作)、Edit CIDRs(编辑 CIDR)。
-
选择 Add new IPv6 CIDR(添加新 IPv6 CIDR)。
-
添加 CIDR 时的 CIDR 块选项与创建 VPC 时的情况相同。有关 CIDR 块选项的完整信息,请参阅 创建 VPC。
-
选择 Select CIDR(选择 CIDR)。
-
选择 Close(关闭)。
使用命令行将 IPv4 CIDR 块与 VPC 关联
-
associate-vpc-cidr-block (AWS CLI)
-
Register-EC2VpcCidrBlock (AWS Tools for Windows PowerShell)
取消 IPv4 CIDR 块与 VPC 的关联
如果您的 VPC 与多个 IPv4 CIDR 块关联,则可以取消 IPv4 CIDR 块与 VPC 的关联。您不能取消主要 IPv4 CIDR 块的关联。您只能取消整个 CIDR 块的关联;您无法取消 CIDR 块子集或 CIDR 块合并范围的关联。必须首先删除 CIDR 块中的所有子网。
使用控制台从 VPC 中删除 CIDR 块
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Your VPCs(您的 VPC)。
-
选择所需的 VPC,然后选择 Actions(操作)、Edit CIDRs(编辑 CIDR)。
-
在 VPC IPv4 CIDRs 下,选择要删除的 CIDR 块的删除按钮 (叉形记号)。
-
选择 Close(关闭)。
或者,您也可以使用命令行工具。
使用命令行工具从 VPC 中删除 IPv4 CIDR 块
-
disassociate-vpc-cidr-block (AWS CLI)
-
Unregister-EC2VpcCidrBlock (AWS Tools for Windows PowerShell)
取消 IPv6 CIDR 块与 VPC 的关联
如果不再需要在您的 VPC 中支持 IPv6,但需要继续使用您的 VPC 来创建 IPv4 资源并与之通信,则可以取消 IPv6 CIDR 块关联。
要取消 IPv6 CIDR 块关联,必须先取消分配已分配给子网中任何实例的任何 IPv6 地址。
使用控制台取消 IPv6 CIDR 块与 VPC 的关联
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Your VPCs(您的 VPC)。
-
选择您的 VPC,然后选择 Actions(操作)和 Edit CIDRs(编辑 CIDR)。
-
通过选择十字图标来删除 IPv6 CIDR 块。
-
选择 Close(关闭)。
取消 IPv6 CIDR 块关联不会自动删除您为 IPv6 网络配置的任何安全组规则、网络 ACL 规则或路由表路由。您必须手动修改或删除这些规则或路由。
或者,您也可以使用命令行工具。
使用命令行工具取消 IPv6 CIDR 块与 VPC 的关联
-
disassociate-vpc-cidr-block (AWS CLI)
-
Unregister-EC2VpcCidrBlock (AWS Tools for Windows PowerShell)
删除您的 VPC
用完 VPC 后可以将其删除。如果您使用 VPC 控制台删除 VPC,我们还会为您删除以下 VPC 组件:
-
DHCP 选项
-
仅出口互联网网关
-
网关端点
-
Internet 网关
-
网络 ACL
-
路由表
-
安全组
-
子网
如果您具有一个 AWS Site-to-Site VPN 连接,则无需删除此连接或与 VPN 相关的其他组件(例如客户网关和虚拟私有网关)。如果您计划在另一个 VPC 中使用客户网关,我们建议您保留 Site-to-Site VPN 连接和网关。否则,您必须在创建新的 Site-to-Site VPN 连接后再次配置客户网关设备。
要求
在删除 VPC 之前,必须先终止或删除在 VPC 中创建了请求者托管式网络接口的任何资源。例如,必须终止 EC2 实例并删除负载均衡器、NAT 网关、传输网关和接口 VPC 终端节点。
使用控制台删除 VPC
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。 -
终止 VPC 中的所有实例。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的终止实例。
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Your VPCs(您的 VPC)。
-
选择要删除的 VPC,然后依次选择 Actions(操作)、Delete VPC(删除 VPC)。
-
如果您有 Site-to-Site VPN 连接,请选择要将其删除的选项;否则,请将其保留为未选中状态。选择 Delete VPC(删除 VPC)。
或者,您也可以使用命令行工具。在使用命令行删除 VPC 之前,必须终止或删除在 VPC 中创建了请求者托管式网络接口的任何资源,此外,还必须删除或分离所有相关资源,例如子网、自定义安全组、自定义网络 ACL、自定义路由表、互联网网关和仅出口互联网网关。
使用命令行删除 VPC
-
delete-vpc (AWS CLI)
-
Remove-EC2Vpc (AWS Tools for Windows PowerShell)
