具有單一公有子網路的 VPC - Amazon Virtual Private Cloud

具有單一公有子網路的 VPC

此案例的組態,包含一個具有單一公有子網路的 virtual private cloud (VPC),以及用於啟用網際網路通訊的網際網路閘道。如果您需要執行單層且公開的 Web 應用程式 (例如部落格或簡單網站),建議您使用此組態。

此案例也可以根據 IPv6 進行選擇性設定。在公有子網路上啟動的執行個體可接收 IPv6 地址,並使用 IPv6 通訊。如需 IPv4 和 IPv6 定址的詳細資訊,請參閱 IP 定址

如需管理 EC2 執行個體軟體的詳細資訊,請參閱《適用於 Linux 執行個體的 Amazon EC2 使用者指南》中的在 Linux 執行個體上管理軟體

概要

下圖顯示此案例組態的重要元件。


				案例 1 圖表:含公有子網路的 VPC

此案例的組態設定包括下列項目:

  • 具有 /16 大小 IPv4 CIDR 區塊的 virtual private cloud (VPC) (範例:10.0.0.0/16)。可提供 65,536 個私有 IPv4 地址。

  • 具有 /24 大小 IPv4 CIDR 區塊的子網路 (範例:10.0.0.0/24)。可提供 256 個私有 IPv4 地址。

  • 網際網路閘道。這會將 VPC 連線至網際網路和其他 AWS 服務。

  • 具有子網路範圍內 (範例:10.0.0.6) 私有 IPv4 地址的執行個體,此執行個體可以與 VPC 中的其他執行個體通訊;以及一個彈性 IPv4 地址 (範例:198.51.100.2),這是使執行個體能夠連線至網際網路並透過網際網路觸及的公有 IPv4 地址。

  • 與子網路相關聯的自訂路由表。此路由表項目可讓子網路中的執行個體使用 IPv4 與 VPC 中其他執行個體進行通訊,並在網際網路上直接通訊。與路由至網際網路閘道之路由表相關聯的子網路,稱為公有子網路

如需詳細資訊,請參閱 子網。如需網際網路閘道的詳細資訊,請參閱使用網際網路閘道連線至網際網路

IPv6 概觀

您可以選擇為此案例啟用 IPv6。除了以上列出的元件,此組態也包含下列項目:

  • 與 VPC 相關聯的 /56 大小 IPv6 CIDR 區塊 (範例:2001:db8:1234:1a00::/56)。Amazon 會自動指派 CIDR;您無法自行選擇範圍。

  • 與公有子網路相關聯的 /64 大小 IPv6 CIDR 區塊 (範例:2001:db8:1234:1a00::/64)。您可以從配置給 VPC 的範圍內選擇子網路範圍。您無法選擇子網路 IPv6 CIDR 區塊的大小。

  • 從子網路範圍內指派給執行個體的 IPv6 地址 (範例:2001:db8:1234:1a00::123)。

  • 自訂路由表中的路由表項目,可讓 VPC 中的執行個體使用 IPv6 互相通訊,並在網際網路上直接通訊。

路由

您的 VPC 具有隱含路由器 (顯示於上面的組態圖表中)。在此案例中,Amazon VPC 會建立自訂路由表,將目標為 VPC 外部地址的所有流量路由至網際網路閘道,並將此路由表與子網路建立關聯。

下表顯示在上方組態圖示中用於示範的路由表。第一個項目是 VPC 中本機 IPv4 路由的預設項目;該項目能讓此 VPC 中的執行個體互相通訊。第二個項目會將所有其他 IPv4 子網路流量路由至網際網路閘道 (例如,igw-1a2b3c4d)。

目的地 目標

10.0.0.0/16

區域

0.0.0.0/0

igw-id

IPv6 路由

如果您將 IPv6 CIDR 區塊與您的 VPC 和子網路建立關聯,則您的路由表必須包含 IPv6 流量的個別路由。下表顯示如果您選擇在 VPC 中啟用 IPv6 通訊,此案例會具有的自訂路由表。第二個項目是自動為在 VPC 中透過 IPv6 之本機路由新增的預設路由。第四個項目會將所有其他 IPv6 子網路流量路由至網際網路閘道。

目的地 目標

10.0.0.0/16

區域

2001:db8:1234:1a00::/56

區域

0.0.0.0/0

igw-id

::/0

igw-id

安全性

AWS 提供兩項功能,可用於提升 VPC 中的安全性:安全群組網路 ACL。安全群組控制執行個體的傳入與傳出流量,網路 ACL 則是控制子網路的傳入與傳出流量。在大部分情況下,安全群組可以符合您的需求;然而,如果您想讓 VPC 多一層安全,也可以使用網路 ACL。如需更多詳細資訊,請參閱 Amazon VPC 中的網際網路流量隱私權

針對此案例,您可以使用安全群組 (而不是網路 ACL)。如果您希望使用網路 ACL,請參閱 針對具有單一公有子網路之 VPC 建議的網路 ACL 規則

您的 VPC 隨附預設安全群組。如果您在執行個體啟動期間未指定不同的安全群組,則在 VPC 中啟動的執行個體會自動與預設安全群組建立關聯。您可以將特定規則新增至預設安全群組,但這些規則可能不適用於您在該 VPC 中啟動的其他執行個體。建議您為 Web 伺服器建立自訂安全群組。

針對此案例,請建立名為 WebServerSG 的安全群組。當您建立安全群組時,該安全群組具有允許所有流量離開執行個體的單一傳出規則。您必須修改規則以啟用傳入流量,並根據需要限制傳出流量。當您在 VPC 中啟動執行個體時,您可以指定此安全群組。

下列是 WebServerSG 安全群組的 IPv4 流量傳入和傳出規則。

傳入
來源 通訊協定 連接埠範圍 評論

0.0.0.0/0

TCP

80

允許來自任何 IPv4 地址的 Web 伺服器進行傳入 HTTP 存取。

0.0.0.0/0

TCP

443

允許從任何 IPv4 地址傳入 Web 伺服器的 HTTPS 存取。

您網路的公有 IPv4 地址範圍

TCP

22

(Linux 執行個體) 允許透過 IPv4 從您的網路進行傳入 SSH 存取。您可以使用 http://checkip.amazonaws.comhttps://checkip.amazonaws.com 等服務來取得本機電腦的公有 IPv4 地址。如果您透過 ISP 或是從防火牆後方進行連線,不具備靜態 IP 地址,則需要找到用戶端電腦使用的 IP 地址範圍。

您網路的公有 IPv4 地址範圍

TCP

3389

(Windows 執行個體) 允許透過 IPv4 從您的網路進行傳入 RDP 存取。

The security group ID (sg-xxxxxxxx) All All (Optional) Allow inbound traffic from other instances associated with this security group. This rule is automatically added to the default security group for the VPC; for any custom security group you create, you must manually add the rule to allow this type of communication.
傳出 (選用)
目的地 通訊協定 連接埠範圍 評論
0.0.0.0/0 All All Default rule to allow all outbound access to any IPv4 address. If you remove this rule, your web server can't initiate outbound traffic, for example, to get software updates. If you remove this rule, your web server can still send response traffic to requests, because security groups are stateful.

IPv6 的安全性群組規則

如果您將 IPv6 CIDR 區塊與您的 VPC 和子網路建立關聯,則必須將單個別規則新增至安全群組,以控制 Web 伺服器執行個體的傳入和傳出 IPv6 流量。在此案例中,Web 伺服器能夠接收透過 IPv6 的所有網際網路流量,以及來自您本地網路透過 IPv6 的 SSH 或 RDP 流量。

下列是 WebServerSG 安全群組的 IPv6 特定規則 (上面所列規則的補充)。

傳入
來源 通訊協定 連接埠範圍 評論

::/0

TCP

80

允許來自任何 IPv6 地址的 Web 伺服器進行傳入 HTTP 存取。

::/0

TCP

443

允許來自任何 IPv6 地址的 Web 伺服器進行傳入 HTTPS 存取。

您網路的公有 IPv6 地址範圍

TCP

22

(Linux 執行個體) 允許從您的網路透過 IPv6 進行傳入 SSH 存取。

您網路的公有 IPv6 地址範圍

TCP

3389

(Windows 執行個體) 允許從您的網路透過 IPv6 進行傳入 RDP 存取。

傳出 (選用)
目的地 通訊協定 連接埠範圍 評論
::/0 All All Default rule to allow all outbound access to any IPv4 address. If you remove this rule, your web server can't initiate outbound traffic, for example, to get software updates. If you remove this rule, your web server can still send response traffic to requests, because security groups are stateful.

針對具有單一公有子網路之 VPC 建議的網路 ACL 規則

下表顯示我們建議的規則。它們會封鎖除了明確需要的流量之外的所有流量。

Inbound
規則 # 來源 IP 通訊協定 連接埠 允許/拒絕 評論

100

0.0.0.0/0

TCP

80

允許

允許來自任何 IPv4 地址的傳入 HTTP 流量。

110

0.0.0.0/0

TCP

443

允許

允許來自任何 IPv4 地址的傳入 HTTPS 流量。

120

您家用網路的公有 IPv4 地址範圍

TCP

22

允許

允許來自您家用網路的傳入 SSH 流量 (透過網際網路閘道)。

130

您家用網路的公有 IPv4 地址範圍

TCP

3389

允許

允許來自您家用網路的傳入 RDP 流量 (透過網際網路閘道)。

140

0.0.0.0/0

TCP

32768-65535

允許

允許來自網際網路,正在回應出自子網路之請求主機的傳入回傳流量。

此範圍僅為範例。如需選擇適用於您組態之正確暫時性連接埠的資訊,請參閱暫時性連接埠

*

0.0.0.0/0

全部

全部

拒絕

拒絕上述規則 (無法修改) 尚未處理的所有傳入 IPv4 流量。

Outbound
規則 # 目標 IP 通訊協定 連接埠 允許/拒絕 評論

100

0.0.0.0/0

TCP

80

允許

允許傳出 HTTP 流量從子網路流向網際網路。

110

0.0.0.0/0

TCP

443

允許

允許傳出 HTTPS 流量從子網路流向網際網路。

120

0.0.0.0/0

TCP

32768-65535

允許

允許傳出回應網際網路上的用戶端 (例如,將網頁提供給瀏覽子網路中 Web 伺服器的使用者)。

此範圍僅為範例。如需選擇適用於您組態之正確暫時性連接埠的資訊,請參閱暫時性連接埠

*

0.0.0.0/0

全部

全部

拒絕

拒絕上述規則 (無法修改) 尚未處理的所有傳出 IPv4 流量。

適用於您 VPC 的建議網路 IPv6 規則

如果您已實作 IPv6 支援,並已建立 VPC 和子網路,其中具有相關聯的 IPv6 CIDR 區塊,則您必須將個別規則新增至您的網路 ACL,以控制傳入及傳出 IPv6 流量。

下列是您網路 ACL 的 IPv6 特定規則 (上述規則的補充)。

Inbound
規則 # 來源 IP 通訊協定 連接埠 允許/拒絕 評論

150

::/0

TCP

80

允許

允許來自任何 IPv6 地址的傳入 HTTP 流量。

160

::/0

TCP

443

允許

允許來自任何 IPv6 地址的傳入 HTTPS 流量。

170

您家用網路的 IPv6 地址範圍

TCP

22

允許

允許來自您家用網路的傳入 SSH 流量 (透過網際網路閘道)。

180

您家用網路的 IPv6 地址範圍

TCP

3389

允許

允許來自您家用網路的傳入 RDP 流量 (透過網際網路閘道)。

190

::/0

TCP

32768-65535

允許

允許來自網際網路,正在回應出自子網路之請求主機的傳入回傳流量。

此範圍僅為範例。如需選擇適用於您組態之正確暫時性連接埠的資訊,請參閱暫時性連接埠

*

::/0

全部

全部

拒絕

拒絕上述規則 (無法修改) 尚未處理的所有傳入 IPv6 流量。

Outbound
規則 # 目標 IP 通訊協定 連接埠 允許/拒絕 評論

130

::/0

TCP

80

允許

允許傳出 HTTP 流量從子網路流向網際網路。

140

::/0

TCP

443

允許

允許傳出 HTTPS 流量從子網路流向網際網路。

150

::/0

TCP

32768-65535

允許

允許傳出回應網際網路上的用戶端 (例如,將網頁提供給瀏覽子網路中 Web 伺服器的使用者)。

此範圍僅為範例。如需選擇適用於您組態之正確暫時性連接埠的資訊,請參閱暫時性連接埠

*

::/0

全部

全部

拒絕

拒絕上述規則 (無法修改) 尚未處理的所有傳出 IPv6 流量。