Amazon VPC 如何工作 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon VPC 如何工作

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 來在您已定義的邏輯隔離虛擬網路中啟動 AWS 資源。這個虛擬網路與您在資料中心中操作的傳統網路非常相似,且具備使用 AWS 可擴展基礎設施的優勢。

以下視覺效果呈現出使用 AWS Management Console 建立 VPC 時所顯示的預覽窗格中的 VPC 及其資源。對於現有的 VPC,您可以在資源映射標籤上存取此視覺效果。此範例顯示當您選擇建立 VPC 和其他網路資源時,一開始在建立 VPC 頁面上選取的資源。此 VPC 的設定包含IPv4 CIDR 和 Amazon 提供的 IPv6 CIDR、兩個可用區域中的子網路、三個路由表、一個網際網路閘道,以及一個閘道端點。由於我們已選取網際網路閘道,因此視覺效果顯示來自公有子網路的流量會路由至網際網路,因為對應的路由表會將流量傳送至網際網路閘道。


			此資源映射顯示的 VPC 包含兩個可用區域中的子網路、三個路由表、一個網際網路閘道,以及一個閘道端點。

VPC 和子網

Virtual Private Cloud (VPC) 是您的 AWS 帳戶所專用的虛擬網路。其在邏輯上與 AWS 雲端的其他虛擬網路隔離。您可以為 VPC 指定 IP 地址範圍、新增子網、新增閘道,以及與安全群組建立關聯。

子網是您的 VPC 中的 IP 地址範圍。您可以啟動 AWS 資源到子網,如 Amazon EC2 執行個體。您可以將子網連線至網際網路、其他 VPC 和您自己的資料中心,並使用路由表在子網往返路由流量。

預設和非預設 VPC

若您是在 2013 年 12 月 4 日之後建立的帳戶,則帳戶在每個區域皆會有預設 VPC。預設 VPC 是已設定好可供您使用的 VPC。例如,VPC 在該區域的每個可用區域都有一個 預設子網路、一個連線的網際網路閘道、主路由表中將所有流量傳送到網際網路閘道的路由,以及 DNS 設定(可自動將公共 DNS 主機名稱分配給具有公共 IP 地址的執行個體,並透過 Amazon 提供的DNS伺服器啟用 DNS 解析的 DNS 設置 (參見 VPC 中的 DNS 屬性) 因此,在預設子網中啟動的 EC2 執行個體會自動存取網際網路。若您在某個區域中具有預設 VPC,且在該區域啟動 EC2 執行個體時未指定子網,則我們會選擇其中一個預設子網,然後在該子網中啟動執行個體。

您也可以建立自己的 VPC,並根據需要進行設定。這稱為非預設 VPC。您在非預設 VPC 中建立的子網,以及您在預設 VPC 中建立的額外子網,稱為非預設子網

進一步了解

路由表

路由表包含一組名為路由的規則,用來判斷來自 VPC 之網路流量的方向。您可以明確地將子網與特定路由表建立關聯。否則,子網會隱含地與主路由表相關聯。

路由表中的每個路由都會指定您想要傳送流量的 IP 地址範圍 (目的地),以及傳送流量 (目標) 的閘道、網路介面或連線。

進一步了解

存取網際網路

您可以控制在 VPC 外部之 VPC 存取資源中啟動執行個體的方式。

預設 VPC 包含網際網路閘道,且每個預設子網皆為公有子網。您在預設子網中啟動的每個執行個體都具有私有 IPv4 地址和公有 IPv4 地址。這些執行個體可以透過網際網路閘道與網際網路通訊。網際網路閘道可讓您的執行個體透過 Amazon EC2 網路邊緣連線至網際網路。

根據預設,您在非預設子網中啟動的每個執行個體都具有私有 IPv4 地址,但不具有公有 IPv4 地址,除非您在啟動時特別為其指派公有 IPv4 地址,或修改子網的公有 IP 地址屬性。這些執行個體可以互相通訊,但無法存取網際網路。

您可以透過將網際網路閘道連接至其 VPC (如果其 VPC 不是預設 VPC),並將彈性 IP 地址與該執行個體建立關聯,來為在非預設子網上啟動的執行個體啟用網路存取。

或者,您也可以使用網路地址轉譯 (NAT) 裝置,以允許 VPC 中的執行個體初始化網際網路傳出連線,但防止來自網際網路未經要求的傳入連線。NAT 會將多個私有 IPv4 地址映射至單一公有 IPv4 地址。您可以將 NAT 裝置設定為具有彈性 IP 地址,並透過網際網路閘道連線至網際網路。這樣一來,即可透過 NAT 裝置將私有子網中的執行個體連線至網際網路,NAT 裝置會將來自執行個體的流量路由至網際網路閘道,並將所有回應路由至該執行個體。

如果您將 IPv6 CIDR 區塊與 VPC 產生關聯,並將 IPv6 地址指派給執行個體,則執行個體可以透過網際網路閘道經由 IPv6 連線到網際網路。或者,執行個體也可以使用輸出限定網際網路閘道,經由 IPv6 初始化傳出到網際網路的連線。IPv6 流量與 IPv4 流量分開;您的路由表必須包含單獨的 IPv6 流量路由。

存取公司或家用網路

您可以選擇使用 IPsec AWS Site-to-Site VPN 連線,將 VPC 連線至您自己的企業資料中心,讓 AWS 雲端成為資料中心的延伸。

Site-to-Site VPN 連線是由 AWS 端虛擬私有閘道或傳輸閘道之間的兩個 VPN 通道,以及位於資料中心的客戶閘道裝置之間的兩個 VPN 通道組成。客戶閘道裝置是在您這端的 Site-to-Site VPN 連線上配置的實體裝置或軟體裝置。

連接 VPC 和網路

您可以在兩個 VPC 之間建立 VPC 對等連線,透過此機制,您可以私下在兩者間路由流量。這兩個 VPC 中的執行個體能彼此通訊,有如位於相同網路中一樣。

您也可以建立傳輸閘道,並使用它來互連 VPC 和內部部署網路。傳輸閘道做為區域虛擬路由器,適用於在其附件之間流動的流量,其中可能包括 VPC、VPN 連線、AWS Direct Connect 閘道和傳輸閘道對等連線。

AWS 私有全球網路

AWS 提供高效能、低延遲的私有全球網路,可提供安全的雲端運算環境以支援您的網路需求。AWS區域連接到多個網際網路服務提供者 (ISP) 以及私有全球網路骨幹,可為客戶傳送的跨區域流量提供增強的網路效能。

適用下列注意事項:

  • 在可用區域中或在所有區域之可用區域間的流量,透過 AWS 私有全球網路進行路由。

  • 區域之間的流量一律透過 AWS 私有全球網路進行路由,中國區域除外。

網路封包遺失有數個原因,包括網路流程碰撞、低層級 (Layer 2) 錯誤及其他網路故障。我們的網路設計和運作會盡可能減少封包遺失。我們會測量連接 AWS 區域之全球骨幹的封包遺失率 (PLR)。我們骨幹網路的運作目標是每小時 PLR 的 p99,也就是少於 0.0001%。