Amazon Virtual Private Cloud

在 Amazon Web Services (AWS) 云中预置一个逻辑隔离的部分,让您可以在自己定义的虚拟网络中启动 AWS 资源

借助 Amazon Virtual Private Cloud (Amazon VPC),您可以在 AWS 云中预置一个逻辑隔离的部分,从而在自己定义的虚拟网络中启动 AWS 资源。您可以完全掌控您的虚拟联网环境,包括选择自己的 IP 地址范围、创建子网以及配置路由表和网络网关。您在 VPC 中可以使用 IPv4 和 IPv6,因此能够轻松安全地访问资源和应用程序。

您可以轻松自定义 Amazon VPC 的网络配置。例如,您可以为可访问 Internet 的 Web 服务器创建公有子网,而将数据库或应用程序服务器等后端系统放在不能访问 Internet 的私有子网中。您可以利用安全组和网络访问控制列表等多种安全层,对各个子网中 Amazon EC2 实例的访问进行控制。

轻松安全地访问 AWS 上托管的服务。

aws_privatelink_logo

优势

安全

Amazon VPC 提供了安全组和网络访问控制列表等高级安全功能,可在实例级别和子网级别启用入站和出站筛选功能。此外,您还可以在 Amazon S3 中存储数据并限制访问,使得只能从 VPC 中的实例访问这些数据。另外,您还可以选择启动专用实例,它在单个客户的专用硬件上运行,可让您获得额外的隔离。

简单

您可以通过 AWS 管理控制台快速又方便地创建 VPC。您可以选择一种最符合您需求的常用网络设置,再按“启动 VPC 向导”。 系统将为您自动创建子网、IP 范围、路由表和安全组,从而让您可以专心创建要在 VPC 中运行的应用程序。

AWS 的所有可扩展性和可靠性

Amazon VPC 具备其余 AWS 产品和服务所具有的全部优势。您可以即时扩展或缩减您的资源,选择适合您应用程序的 Amazon EC2 实例类型和大小,并且只需为所使用的资源付费 – 一切尽在 Amazon 最为可靠的基础设施中。

功能

多种连接选择

您的 Amazon VPC 具有多种连接选择。您可以将 VPC 连接到 Internet、您的数据中心或其他 VPC,具体可依据您希望将 AWS 资源公开还是保持私有而定。

  • 直接连接到 Internet(公有子网)– 您可以在可公开访问的子网中启动实例,它们可在其中发送和接收来自 Internet 的流量。
  • 通过网络地址转换连接到 Internet(私有子网)– 私有子网可用于您不希望能直接从 Internet 寻址的实例。私有子网中的实例无需暴露其私有 IP 地址即可访问 Internet,具体方法是在公有子网中通过网络地址转换 (NAT) 网关路由其流量。
  • 安全地连接到公司数据中心 – 所有进出 VPC 中实例的流量都可以通过行业标准的加密 IPsec 硬件 VPN 连接路由到您的公司数据中心。
  • 以私有方式连接到其他 VPC(对等 VPC)来跨属于您或其他 AWS 账户的多个虚拟网络分享资源。
  • 通过 VPC 终端节点以私有方式连接到 AWS 产品,而无需使用 Internet 网关、NAT 或防火墙代理。可用的 AWS 产品包括 S3、DynamoDB、Kinesis Streams、Service Catalog、AWS Systems Manager、Elastic Load Balancing (ELB) API 和 Amazon Elastic Compute Cloud (EC2) API 和 SNS。
  • 以私有方式连接到 AWS PrivateLink 支持的 SaaS 解决方案。
  • 在您自己的组织内,将您的内部服务私密连接到不同的帐户和 VPC,显著简化了您的内部网络架构。
  • 使用 Amazon VPC 流量镜像,为 Amazon EC2 实例捕获和镜像网络流量

使用案例

托管面向公众的简单网站

您可以在 VPC 中托管日志等基本 Web 应用程序或简单的网站,获得 Amazon VPC 提供的额外隐私保护和安全性。您可以创建安全组规则,在允许 Web 服务器响应入站 HTTP 和 SSL 请求的同时,禁止该 Web 服务器发起访问 Internet 的出站连接,以此巩固网站的安全保护。从 Amazon VPC 控制台向导中选择“VPC with a Single Public Subnet Only”即可创建支持此类使用案例的 VPC。

托管多层 Web 应用程序

您可以使用 Amazon VPC 托管多层 Web 应用程序,在您的 Web 服务器、应用程序服务器和数据库之间严格实施访问和安全限制。您可以在公众可访问的子网中启动 Web 服务器,而在公众无法访问的子网中启动应用程序服务器和数据库。这些应用程序服务器和数据库无法通过 Internet 直接访问,但它们仍可通过 NAT 网关访问 Internet,例如,下载补丁程序等。您可以使用由网络访问控制列表和安全组提供的入站和出站数据包筛选功能,控制服务器和子网之间的访问。要创建支持此类使用案例的 VPC,您可以在 Amazon VPC 控制台向导中选择“VPC with Public and Private Subnets”。

在已连接您的数据中心的 AWS 云中托管可扩展的 Web 应用程序

您可以创建一个 VPC,其中一个子网中的实例(如 Web 服务器)可与 Internet 通信,而另一子网中的实例(如应用程序服务器)可与公司网络上的数据库通信。VPC 与公司网络之间的 IPsec VPN 连接有助于保护云中的应用程序服务器与数据中心内的数据库之间的所有通信。您的 VPC 中的 Web 服务器和应用程序服务器可以利用 Amazon EC2 的弹性功能和 Auto Scaling 功能,根据需要进行扩展和收缩。从 Amazon VPC 控制台向导中选择“VPC with Public and Private Subnets and Hardware VPN Access”即可创建支持此类使用案例的 VPC。

将公司网络扩展到云中

通过将 VPC 与公司网络连接,您可以将公司应用程序移至云中、启动额外的 Web 服务器,或者增加网络的计算容量。由于 VPC 可以托管在公司防火墙的后方,因此您可以将 IT 资源无缝迁移到云中,并且不必更改用户对这些应用程序的访问方式。从 Amazon VPC 控制台向导中选择“VPC with a Private Subnet Only and Hardware VPN Access”即可创建支持此类使用案例的 VPC。

灾难恢复

您可以定期将关键任务型数据从数据中心备份到少量配有 Amazon Elastic Block Store (EBS) 卷的 Amazon EC2 实例中,或者将虚拟机映像导入到 Amazon EC2 中。当自己的数据中心出现灾难时,您可以快速地启动 AWS 中的替代计算容量,确保业务持续性。灾难过后,您可以将关键任务型数据发回到数据中心,并终止您不再需要的 Amazon EC2 实例。通过将 Amazon VPC 应用于灾难恢复,您可以享有灾难恢复站点的全部优点,而成本却只占正常花费的一小部分。

合作伙伴

“Big Switch Networks 是一家云优先联网公司,是将云创新引入企业联网和监控的先驱者。我们针对可见性和监控的 Big Monitoring Fabric (Big Mon) 解决方案利用云优先设计原则,让企业能够加速为对安全性与合规性敏感的应用程序采用 AWS 公有云。Big Mon 与 Amazon VPC 流量镜像 API 集成,能够通过单个 Big Mon 控制器控制面板启用无代理监控、弹性可见性和流量筛选。IT 组织通过 AWS 和本地环境间的常见操作工作流程,可以在降低成本、提高安全性和合规性并满足运营 SLA 的同时,实现对混合云持续不变的监控。”

- Prashant Gandhi,Big Switch Networks 副总裁兼首席产品官

bigswitch-logo
Blue-Hexagon-Logo-Color (1)
“我们的客户从我们的深度学习支持的威胁防护中获益匪浅,实时停止企业网络威胁。检测云环境中威胁的能力是我们安全策略的自然延伸。Amazon VPC 流量镜像深入了解所有 VPC 流量,并让我们能够提升基于深度学习的威胁防护对所有 AWS 流量进行防护的速度、效能和覆盖率。Blue Hexagon 客户现在能够从单个控制台跨不同网络和云对威胁进行持续不变的深度学习检测”

- Saumitra Das,Blue Hexagon 首席技术官兼联合创始人。

“Cisco Stealthwatch Cloud 现完全支持 Amazon VPC 流量镜像,与 Amazon VPC 流日志一起使用,作为访问客户网络遥测的一种方式。流量镜像提供 Stealthwatch Cloud 现在可以使用的额外网络信息,与其他 AWS 环境遥测组合使用,可用于确定可操作的安全警报。”

– Ron Sterbenz,Cisco Stealthwatch Cloud。

Print
corelight-horizontal-logo-rgb
“Corelight 传感器将网络流量转换为丰富日志、提取的文件和专为安全操作设计的自定义见解。通过使用 Amazon VPC 流量镜像,Corelight 现在能够将此功能扩展到云,并帮助安全团队深入了解 AWS 环境、加速安全调查和解锁功能强大的新的威胁捕获功能。”

- Brian Dye,Corelight 首席产品官。

“虽然我们许多客户正将工作负载迁移到云,但到目前为止,从性能和安全角度而言,这恰是一个黑盒。cPacket 解决方案基于 Amazon Virtual Private Cloud (Amazon VPC) 流量镜像构建,以删除盲点、提供完整可见性并使我们的客户顺利转换到云。”

– Brendan O’Flaherty,cPacket Networks 首席执行官。

cPacket_logo_tagline_trans
Extrahop-Logo-Large-Transparent-Background_2013_11_26
“通过与 Reveal(x) Cloud 中的 Amazon VPC 流量镜像集成,ExtraHop 减少了云采用的障碍,这通过给予企业与以往级别相同的内部流量见解实现。可见性始终是安全性的关键,将 Reveal(x) 与您在 AWS 中找到的本机安全功能组合使用,您将比以往拥有可操作性更佳的可见性。”

- Mike Sheward | 信息安全高级总监

“AWS 的本地 Amazon VPC 流量镜像功能可轻松为 EC2 实例的南北通信和东西通信快速部署 Fidelis 的网络流量分析。我们在集成测试方面与 Amazon 紧密合作,且完全获批让 Fidelis Network 传感器接收 EC2 网络流量,为我们的客户提供将深度可见性和安全性监控扩展到云应用、工作负载和数据库的解决方案。”

- Tim Roddy,Fidelis Cybersecurity 产品管理部副总裁

FID_Logo_RGB_Color_Positive_500
FEYE_RGB_two_color_for_light_bg
“FireEye Network Security and Forensics 将高级威胁防护和违例检测与行业最快的无损网络数据捕获和检索解决方案结合使用。该解决方案与集中分析和可视化配对使用,为组织提供了一整套的检测和可见性解决方案。通过使用 Amazon VPC 流量镜像,FireEye 客户可以完全放心,无论他们的资产是在本地、云中或两者的混合,他们查看的是相同级别的网络详细信息。”

- Bill Cantrell,FireEye 网络安全产品管理部副总裁

“我们非常高兴使用 Amazon VPC 流量镜像。我们在 AWS 云中运行 Flowmon 收集器的客户现在单击几下即可将 Virtual Public Cloud 的工作负载转为透明环境,并如他们在本地世界那样开始解决性能问题,检测异常和威胁,”

- Pavel Minarik,Flowmon Networks 首席技术官。

Flowmon_bez_claimu
600x400_Gigamon
“数据包级别可见性是基于网络进行安全性和性能分析最有效的方法。“我们非常高兴使用 Amazon VPC 流量镜像。无论是在 AWS 中部署,还是在混合环境中部署,通过我们的联合解决方案,组织都能够充分了解网络流量,并发挥安全和监控工具堆栈的最大功效。分布式数字应用程序内或之间的流量智能是现代数字应用程序成功的关键。”

- Bassam Khan,Gigamon 产品与技术市场营销部副总裁

“新的 Amazon VPC 流量镜像功能为 IronDefense 平台提供对关键虚拟网络数据的本地访问,使其能够无缝监控 AWS 云和企业网络之间的网络异常,从而识别高级威胁源起方。监控混合环境,并通过我们独有的 IronDome 收集防御功能自动与业内同行分享跨云和非云环境的 IronDefense 威胁见解,这一功能提高了我们大规模保护公司、行业和国家/地区的能力。”

– Michael Ehrlich 博士,IronNet 首席技术官。

New IronNet Primary Logo_web
Jask Master_Black_Horizontal_Transparent
“现代 SOC 需要了解本地和云工作负载流量。安全分析师需要看到整个 OSI 模型的网络数据,才能弄清楚威胁或正在进行的攻击可能造成的后果。JASK ASOC 包含网络、日志和 Windows 传感器,以及对云到云摄取的支持。通过 Amazon VPC 流量镜像,AWS 继续作为公有云空间中的主要创新者,向客户提供云中网络流量可见性的价值,这使我们对 JASK ASOC 的直接支持变得尤为重要。”

- Rob Fry,JASK 首席技术官。

“作为一个 AWS 合作伙伴,利用 Amazon 提供的丰富数据源时,Kentik 能够提升网络流量数据,并将其与 Amazon VPC 流量日志关联,并且创建利用 AWS 标签和 Amazon EKS Kubernetes 服务映射的上下文,使我们的客户能够实时了解 AWS 基础设施的性能和使用情况。现在,通过 Amazon VPC 流量镜像,Kentik 功能强大的网络分析平台能够为企业和服务提供商提供更多方法,深入了解流量,从而揭示性能、成本和安全问题方面快速、可行的见解。”

- Jonah Kowall,Kentik 首席技术官

kentik-black-small
NETSCOUT GCP Logo png
“NETSCOUT 创新的智能数据技术使 IT 和 SecOps 能够保证应用程序性能,并提高企业跨本地数据中心和 AWS 云基础设施的安全性。Amazon VPC 流量镜像提供对互联数据的无代理访问,并使 NETSCOUT 能够有效地提供对 AWS 混合云环境中应用程序和安全性的“无限”可见性。AWS 中的 Core NETSCOUT 功能包含强大的早期警告和快速问题分类,用于网络和应用程序性能与安全威胁管理。”

- Michael Szabados,NETSCOUT Systems Inc. 首席运营官。

“Nubeva Prisms 是 Amazon VPC 流量镜像的补充,提供快速安全的客户端和服务器数据包流解密。Amazon VPC 流量镜像从工作负载复制网络流量,并将其发送到工具目标,而 Nubeva Prisms TLS 解密解决方案则提取并存储密钥,将解密流量实时传递到 Amazon VPC 流量镜像的工具目标。Amazon VPC 流量镜像和 Nubeva Prisms TLS 解密解决方案一起使用,提供整个东西和南北 AWS 公有云的 TLS 总可见性和安全性。”

- Randy Chou,Nubeva 首席执行官

nubeva_logo_wide_1600_blue
PWP_Security_Palo Alto Networks
“企业要求在不影响部署灵活性和选择性的情况下保持云中一致的安全性。除内联威胁防御功能之外,虚拟机系列虚拟化防火墙与新发布的 Amazon VPC 流量镜像功能的集成还为组织提供一个选择:针对 AWS 云中应用程序可见性和高级威胁监测部署带外防火墙。”

- Mukesh Gupta,Palo Alto Networks 产品管理部副总裁

“Riverbed 的 SteelCentral AppResponse Cloud 使用 Amazon Virtual Private Cloud (Amazon VPC) 流量镜像,提供对 AWS 云深度的网络和应用程序可见性。Riverbed 使 IT 运营部门能够快速查明云和混合网络中的性能下降与高延迟,自动识别 2000 多个应用程序,进行详细的应用程序分析,并通过聚合流量更快更轻松地识别和排查问题。作为数字化体验和数字化性能管理解决方案的行业领导者,以及 Gartner 网络性能管理和诊断魔力象限的六次领导者,我们非常自豪能够与 AWS 协作,为市场带来如此重要的解决方案。”

- Mike Sargent,Riverbed SteelCentral 高级副总裁兼总经理。

RVBD-Q118-OrangeLogo-RGB
vectra-logo-w-security-that-thinks-tagline-pantone
“当企业将高价值数据和服务移到云中时,必须降低可能影响业务的网络风险。Amazon VPC 流量镜像使 Vectra Cognito 平台能够为企业提供对云占用空间攻击的可见性,支持确定的威胁搜索,并能够更快地响应事件。”

- Hitesh Sheth,Vectra 总裁兼首席执行官

开始使用 Amazon VPC

您的 AWS 资源在为您创建的即用型默认 VPC 中自动进行预置。您可以对此 VPC 进行配置操作,如添加或删除子网、连接网络网关、更改默认路由表和修改网络 ACL。

您可以转至 AWS 管理控制台的 Amazon VPC 页面并选择“Start VPC Wizard”按钮,以创建其他 VPC。您将会看到四种基本网络拓扑。从中选择与您要创建的网络拓扑最相似的一种,然后选择“Create VPC”按钮。创建 VPC 后,您便可将 Amazon EC2 实例推送到 VPC 中。

博客文章

Debugging tool for network connectivity from Amazon VPC
作者:Bhavin Desai
 
2019 年 1 月 19 日
VPC sharing: A new approach to multiple accounts and VPC management
作者:Evgeny Vaganov  
 
2019 年 1 月 11 日

了解有关 Amazon VPC 的更多信息

访问产品详细信息页面
准备好开始构建了吗?
开始使用 Amazon VPC
还有更多问题?
联系我们