Amazon VPC 功能

Amazon Virtual Private Cloud (VPC) 是一个让您能够在自己定义的逻辑隔离的虚拟网络中启动 AWS 资源的服务。您可以完全掌控您的虚拟联网环境,包括选择自己的 IP 地址范围、创建子网以及配置路由表和网络网关。您可以将 IPv4 和 IPv6 都用于 VPC 中的大多数资源,从而有助于确保安全、轻松地访问资源和应用程序。

作为 AWS 的基础服务之一,Amazon VPC 使得自定义 VPC 的网络配置变得容易。您可以为 Web 服务器创建一个能访问互联网的公有子网。您还可以将后端系统(如数据库或应用程序服务器)安置在无 Internet 访问的私有子网中。Amazon VPC 让您可以使用安全组和网络访问控制列表等多种安全层,帮助对各个子网中 Amazon Elastic Compute Cloud(Amazon EC2)实例的访问进行控制。

Page Topics

Amazon VPC 功能 流日志 IP 地址管理器(IPAM) IP 寻址 入口路由 Network Access Analyzer 网络访问控制列表 网络管理器 Reachability Analyzer 安全组 流量镜像

Amazon VPC 功能

Amazon Virtual Private Cloud (VPC) 是一个让您能够在自己定义的逻辑隔离的虚拟网络中启动 AWS 资源的服务。您可以完全掌控您的虚拟联网环境,包括选择自己的 IP 地址范围、创建子网以及配置路由表和网关。您可以将 IPv4 和 IPv6 都用于 VPC 中的大多数资源,这有助于确保安全、轻松地访问资源和应用程序。作为 AWS 的基础服务之一,Amazon VPC 使得自定义 VPC 的网络配置变得容易。您可以为 Web 服务器创建一个能访问互联网的公有子网。您还可以将后端系统(如数据库或应用程序服务器)安置在无 Internet 访问的私有子网中。Amazon VPC 让您可以使用安全组和网络访问控制列表等多种安全层,帮助对各个子网中 Amazon Elastic Compute Cloud (Amazon EC2) 实例的访问进行控制。

流日志

您可以监控交付给 Amazon Simple Storage Service (Amazon S3) 或 Amazon CloudWatch 的 VPC 流日志,以获取对网络依赖性和流量模式的操作可见性,检测异常并防止数据泄露,以及对网络连接和配置问题进行故障排除。流日志中丰富的元数据可帮助您深入了解谁发起了 TCP 连接,以及流经中间层(如 NAT 网关)的流量的实际数据包级源和目的地。您还可以存档流日志,以帮助满足某些合规性要求。在此处了解如何开始使用此功能。

IP 地址管理器(IPAM)

IPAM 可让您更轻松地规划、跟踪和监控 AWS 工作负载的 IP 地址。IPAM 自动为您的 Amazon VPC 分配 IP 地址,消除了使用自主开发或基于电子表格的规划应用程序的需求。它还通过在统一的操作视图中显示跨多个账户和 VPC 的 IP 使用情况,增强您的网络可观察性。

IP 寻址

通过 IP 地址,您的 VPC 中的资源可以相互通信并与互联网上的资源通信。Amazon VPC 支持 IPv4 和 IPv6 寻址协议。在 VPC 中,您可以创建仅 IPv4、双堆栈和仅 IPv6 子网,并在这些子网中启动 Amazon EC2 实例。Amazon 还为您提供了向实例分配公有 IP 地址的多个选项。您可以使用 Amazon 提供的公有 IPv4 地址、弹性 IPv4 地址或来自 Amazon 提供的 IPv6 CIDR 的 IP 地址。此外,您还可以选择将自己的 IPv4 或 IPv6 地址放入可分配给这些实例的 Amazon VPC 中。您可以从 此处阅读更多关于在您的 VPC 中进行 IP 寻址的信息。

入口路由

借助此功能,您可以将所有往返互联网网关虚拟私有网关的传入和传出流量路由到特定 Amazon EC2 实例的弹性网络接口。 配置虚拟私有云,以在流量到达业务工作负载之前,将所有流量发送到网关或 Amazon EC2 实例。在此处了解有关此功能的更多信息。

Network Access Analyzer

Network Access Analyzer 可帮助您验证 AWS 上的网络是否符合您的网络安全和合规性要求。通过 Network Access Analyzer,您可以指定网络安全和合规性要求,并识别不符合您指定要求的意外网络访问。您可以使用 Network Access Analyzer 来了解对您的资源的网络访问,帮助您确定云安保状况的改进并轻松证明合规性。

网络访问控制列表

网络访问控制列表(网络 ACL)是 VPC 的可选安全层,用作控制一个或多个子网内外流量的防火墙。您可以使用与您的安全组规则类似的规则设置网络 ACL。在此处查阅安全组和网络 ACL 之间的差异。

网络管理器

网络管理器提供的工具和功能可帮助您在 AWS 上管理和监控网络。网络管理器可以更容易地执行连接管理、网络监控和故障排除、IP 管理以及网络安全和治理。

Reachability Analyzer

此静态配置分析工具使您能够分析和调试 VPC 中两个资源之间的网络可访问性。指定源和目标资源后,Reachability Analyzer 将在它们之间可访问时生成它们之间虚拟路径的逐跳详细信息,并在它们不可访问时识别阻止组件。在此处了解如何开始使用此功能。

安全组

创建安全组,以作为关联的 Amazon EC2 实例的防火墙,在实例级别控制入站和出站流量。启动实例时,可以将其与一个或多个安全组关联。如果不指定组,实例会自动关联到 VPC 的默认组。VPC 中的每个实例都可以属于不同的安全组。在此处了解有关安全组的更多信息。

流量镜像

通过此功能,您可以从 Amazon EC2 实例的弹性网络接口复制网络流量,然后将其发送到带外安全和监视设备以进行深度数据包检查。您可以检测网络和安全异常、获得操作见解、实施合规性和安全控制以及对问题进行故障排除。流量镜像可让您直接访问流经 VPC 的网络数据包。在 此处了解如何开始使用此功能。

结合使用其他 AWS 资源和 Amazon VPC

有很多资源可以和 Virtual Private Cloud (VPC) 结合使用:

AWS Transit Gateway

将 Amazon VPC、AWS 账户和本地网络轻松连接到单个网关中。

AWS Private Link

在 VPC 与托管在 AWS 或本地的服务之间建立私有连接,而无需将数据暴露于互联网。

AWS Network Firewall

只需单击几下即可跨 Amazon VPC 部署网络安全。

AWS VPN

将本地网络扩展到云并在任意位置对其进行安全访问。

网络地址转换 (NAT) 网关

允许您的 VPC 专用子网工作负载访问互联网,同时阻止互联网启动与这些实例的连接

预期用途和限制

使用本服务需遵循 Amazon Web Services 客户协议