Amazon Virtual Private Cloud (VPC) 是一个让您能够在自己定义的逻辑隔离的虚拟网络中启动 AWS 资源的服务。您可以完全掌控您的虚拟联网环境,包括选择自己的 IP 地址范围、创建子网以及配置路由表和网络网关。您可以将 IPv4 和 IPv6 都用于 VPC 中的大多数资源,从而有助于确保安全、轻松地访问资源和应用程序。

作为 AWS 的基础服务之一,Amazon VPC 使得自定义 VPC 的网络配置变得容易。您可以为 Web 服务器创建一个能访问互联网的公有子网。您还可以将后端系统(如数据库或应用程序服务器)安置在无 Internet 访问的私有子网中。Amazon VPC 让您可以使用安全组和网络访问控制列表等多种安全层,帮助对各个子网中 Amazon Elastic Compute Cloud (Amazon EC2) 实例的访问进行控制。

Amazon VPC 功能

  • NAT 网关:NAT 网关是一种网络地址转换 (NAT) 服务。您可以使用 NAT 网关,以使私有子网中的实例可以连接到 VPC 之外的服务,但外部服务无法启动与这些实例的连接。NAT 网关将实例的源 IPv4 地址替换为 NAT 网关的私有 IP 地址。向实例发送响应流量时,NAT 设备会将地址转换回原始源 IPv4 地址。
  • 安全组:安全组可作为关联的 Amazon EC2 实例的防火墙,在实例级别控制入站和出站流量。启动实例时,可以将其与您创建的一个或多个安全组关联。VPC 中的每个实例都可以属于不同的安全组。如果在启动实例时未指定安全组,则该实例将自动与 VPC 的默认安全组关联。有关更多信息,请参阅您的 VPC 的安全组。
  • 网络访问控制列表:网络访问控制列表 (ACL) 是 VPC 的可选安全层,用作控制一个或多个子网内外流量的防火墙。您可以使用与安全组类似的规则设置网络 ACL,以便为 VPC 添加其他安全层。查阅安全组和网络 ACL 之间的具体差异。
  • VPC 流日志:您可以监控交付给 Amazon S3 或 Amazon CloudWatch 的 VPC 流日志,以获取对网络依赖性和流量模式的操作可见性,检测异常并防止数据泄露,或者对网络连接和配置问题进行故障排除。流日志中丰富的元数据可帮助您进一步了解谁发起了 TCP 连接,以及流经中间层(如 NAT 网关)的流量的实际数据包级源和目的地。您还可以存档流日志,以帮助满足某些合规性要求。了解如何开始使用 VPC 流日志
  • VPC 流量镜像:通过 VPC 流量镜像,您可以从 Amazon EC2 实例的弹性网络接口复制网络流量,然后将其发送到带外安全和监视设备以进行深度数据包检查。借助 VPC 流量镜像,您可以检测网络和安全异常、获得操作见解、实施合规性和安全控制以及对问题进行故障排除。VPC 流量镜像可让您直接访问流经 VPC 的网络数据包。了解如何开始使用 VPC 流量镜像
  • Reachability Analyzer:Reachability Analyzer 是一个静态配置分析工具,使您能够分析和调试 VPC 中两个资源之间的网络可访问性。在 VPC 中指定源和目标资源后,Reachability Analyzer 将在它们之间可访问时生成它们之间虚拟路径的逐跳详细信息,并在它们不可访问时识别阻止组件。了解 Reachability Analyzer 的更多信息。
  • 入口路由:此功能允许您将所有往返互联网网关 (IGW) 或虚拟私有网关 (VGW) 的传入和传出流量路由到特定 EC2 实例的弹性网络接口。借助此功能,您可以配置 VPC,以在流量到达业务工作负载之前将所有流量发送到 IGW、VGW 或 EC2 实例。了解入口路由的更多信息。

结合使用其他 AWS 资源和 Amazon VPC

有很多资源可以和 Virtual Private Cloud (VPC) 结合使用:

将 Amazon VPC、AWS 账户和本地网络轻松连接到单个网关中。
在 VPC 与托管在 AWS 或本地的服务之间建立私有连接,而无需将数据暴露于互联网。
只需单击几下即可跨 Amazon VPC 部署网络安全。
将本地网络扩展到云并在任意位置对其进行安全访问。
允许您的 VPC 专用子网工作负载访问互联网,同时阻止互联网启动与这些实例的连接

用途和限制

使用本服务需遵循 Amazon Web Services 客户协议

了解有关 Amazon VPC 定价的更多信息

访问定价页面
准备好开始使用了吗?
注册
还有更多问题?
联系我们