本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您 VPC 的子網
子網是您的 VPC 中的 IP 地址範圍。您可以在特定子網路中建立 AWS 資源,例如 EC2 執行個體。
子網基本概念
各個子網必須完全位於某一可用區域內,不得跨越多個區域。藉由在單獨的可用區域中啟動 AWS 資源,您可以保護應用程式免於發生單一可用區域故障。
子網路 IP 地址範圍
建立子網時,您要根據 VPC 的組態指定其 IP 地址:
-
僅 IPv4 – 該子網路具有 IPv4 CIDR 區塊,但沒有 IPv6 CIDR 區塊。僅 IPv4 子網中的資源必須透過 IPv4 進行通訊。
-
雙堆疊 – 該子網路具有 IPv4 CIDR 區塊和 IPv6 CIDR 區塊。VPC 必須具有 IPv4 CIDR 區塊和 IPv6 CIDR 區塊。雙堆疊子網中的資源可透過 IPv4 和 IPv6 進行通訊。
-
僅 IPv6 – 該子網路具有 IPv6 CIDR 區塊,但沒有 IPv4 CIDR 區塊。該 VPC 必須具有 IPv6 CIDR 區塊。僅 IPv6 子網中的資源必須透過 IPv6 進行通訊。
注意
僅 IPV6 子網路中的資源會獲得從 CIDR 區塊
169.254.0.0/16指派的 IPv4 連結本地地址。這些地址用於與執行個體中繼資料服務 (IMDS) 等 VPC 服務通訊。
如需更多詳細資訊,請參閱 您 VPC 和子網路的 IP 定址。
子網類型
子網路類型取決於您如何設定子網路的路由。例如:
-
公有子網路 – 子網路會直接路由至網際網路閘道。公有子網路中的資源可以存取公有網際網路。
-
私有子網路 – 此子網路不會直接路由至網際網路閘道。私有子網路中的資源需要 NAT 裝置才能存取公有網際網路。
-
僅 VPN 子網路 – 子網路會透過虛擬私有閘道路由至 Site-to-Site VPN 連線。子網路不會路由到網際網路閘道。
-
隔離子網路 — 子網路沒有其 VPC 外部目的地的路由。隔離子網路中的資源僅能進行存取,或讓相同 VPC 中的其他資源存取。
子網圖表
下圖顯示了區域中的兩個 VPC。具有公有和私有子網,以及網際網路閘道的每個 VPC。如圖表所示,您可以選擇性地在本機區域中新增子網路。本機區域是一種 AWS 基礎設施部署,可將運算、儲存和資料庫服務放置在更接近最終使用者的位置。當您使用本機區域時,您的使用者可以執行需要個位數毫秒延遲的應用程式。如需詳細資訊,請參閱 AWS Local Zones。
子網路由
每個子網都必須具有關聯的路由表,指定離開子網之傳出流量的允許路由。每個您建立的子網都會自動與 VPC 的主路由表建立關聯。您可以變更關聯,也可以變更主路由表的內容。如需更多詳細資訊,請參閱 設定路由表。
子網設定
所有子網都有可修改的屬性,決定在該子網中建立的網路界面是否獲派公有 IPv4 地址及 IPv6 地址 (若適用的話)。這包含您在該子網中啟動執行個體時,為執行個體建立的主要網路界面 (eth0)。無論子網的屬性為何,您仍然可以在啟動時覆寫特定執行個體的此設定。
建立子網路之後,您就可以修改子網路的下列設定。
自動指派 IP 設定:可讓您調整自動指派 IP 設定以自動要求此子網中的新網路介面的公有 IPv4 或 IPv6 地址。
以資源為基礎的名稱 (RBN) 設定:可讓您指定此子網中 EC2 執行個體的主機名稱類型,以及設定 DNS A 和 AAAA 記錄查詢的處理方式。如需詳細資訊,請參閱《Amazon EC2 Linux 執行個體使用者指南》中的Amaozn EC2 執行個體主機名稱類型。
子網安全
為保護您的 AWS 資源,建議您使用私有子網路。使用堡壘託管或 NAT 裝置,以提供網際網路存取權限給私有子網路中的資源 (例如 EC2 執行執行個體)。
AWS 提供可用於提升 VPC 中資源安全性的功能。安全群組會允許關聯資源 (例如 EC2 執行個體) 的傳入和傳出流量。網路 ACL 會允許或拒絕子網路層級的傳入和傳出流量。在大多數情況下,安全群組可以滿足您的需求。但是,如果您想多一層安全,可以使用網路 ACL。如需更多詳細資訊,請參閱 比較安全群組和網路 ACL。
根據設計,每個子網都必須與一個網路 ACL 相關聯。每個您建立的子網都會自動與 VPC 的預設網路 ACL 建立關聯。預設的網路 ACL 會允許所有外傳和傳入流量。您可以更新預設的網路 ACL,或建立自訂網路 ACL,並將其和您的子網路建立關聯。如需更多詳細資訊,請參閱 使用網路 ACL 控制子網路的流量。
您可以在您的 VPC 或子網上建立流程日誌,以擷取流入或流出您 VPC 或子網中網路界面的流量。您也可以在個別網路界面上建立流程日誌。如需更多詳細資訊,請參閱 使用 VPC 流量日誌來記錄 IP 流量。
