Amazon VPC 常见问题

Amazon VPC 允许您在 Amazon Web Services（AWS）云中预置一个逻辑隔离的部分，让您在自己定义的虚拟网络中启动 AWS 资源。您可以完全掌控您的虚拟网络环境，包括选择自己的 IP 地址范围、创建子网以及配置路由表和网络网关。您也可以在公司数据中心和 VPC 之间创建硬件虚拟专用网络 (VPN) 连接，将 AWS 云用作公司数据中心的扩展。

您可以轻松自定义 Amazon VPC 的网络配置。例如，您可以为可访问 Internet 的 Web 服务器创建公有子网，而将数据库或应用程序服务器等后端系统放在不能访问 Internet 的私有子网中。您可以利用安全组和网络访问控制列表等多种安全层，帮助对各个子网中 Amazon EC2 实例的访问进行控制。

Amazon VPC 由多个不同的对象组成，这些对象对拥有现有网络的客户而言并不陌生：

• 虚拟私有云：AWS 云中逻辑隔离的虚拟网络。从所选范围内定义 VPC 的 IP 地址空间。
• 子网：VPC 的 IP 地址范围内的一个区段，其中可放置隔离的资源组。
• 互联网网关：公有互联网连接的 Amazon VPC 端。
• NAT 网关：一款高度可用的托管网络地址转换（NATI）服务，便于私有子网中的资源访问互联网。
• 虚拟私有网关：VPN 连接的 Amazon VPC 端。
• 对等连接：对等连接使您可以通过私有 IP 地址在两个对等 VPC 之间路由流量。
• VPC 端点：支持建立从您的 VPC 到 AWS 中托管的服务的私有连接，无需使用互联网网关、VPN、网络地址转换（NATI）设备或防火墙代理。
• 仅传出互联网网关：有状态网关，仅提供从 VPC 到互联网的 IPv6 流量传出访问权限。

您的 AWS 资源自动预置在一个随时可用的默认 VPC 中。您也可以转至 AWS 管理控制台的“Amazon VPC”页面并选择“启动 VPC 向导”，以创建其他 VPC。

您将会看到用于网络架构的四个基本选项。选择一个选项后，您可以修改 VPC 及其子网的规模和 IP 地址范围。如果选择带有硬件 VPN 访问的选项，您需要指定网络中 VPN 硬件的 IP 地址。您可以修改 VPC 以添加或删除辅助 IP 范围和网关，或将更多子网添加到 IP 范围。

四个选项如下：

1. 仅带有一个公有子网的 Amazon VPC
2. 带有公有和私有子网的 Amazon VPC
3. 带有公有和私有子网以及提供 AWS 站点到站点 VPN 访问的 Amazon VPC
4. 仅带有一个私有子网以及提供 AWS Site-to-Site VPN 访问的 Amazon VPC

借助 VPC 端点，您能够建立从您的 VPC 到 AWS 上托管的服务的私有连接，无需使用互联网网关、NAT 设备、VPN 或防火墙代理。终端节点是可水平扩展且高度可用的虚拟设备，允许 VPC 和 AWS 产品之间的实例进行通信。Amazon VPC 提供两种不同类型的终端节点：网关类终端节点和接口类终端节点。

网关类终端节点仅适用于包括 S3 和 DynamoDB 在内的 AWS 产品。这些终端节点将向您选择的路由表添加一个条目，并通过 Amazon 私有网络将流量路由到支持的服务。

接口类终端节点可建立指向 PrivateLink 支持的服务（如 AWS 产品、您自己的服务或 SaaS 解决方案）的私有连接，并支持通过 Direct Connect 建立连接。将来，这些终端节点将会支持更多 AWS 和 SaaS 解决方案。请参阅“VPC 定价”，了解接口类端点的价格。

创建和使用 VPC 本身不另收费用。对包括 Amazon EC2 在内的其他 Amazon Web Services 的使用依然按照公布的费率收取费用，另外还有数据传输费。如果您使用可选的硬件 VPN 连接将您的 VPC 连接到公司数据中心，定价的依据为 VPN 连接小时数（VPN 连接处于“可用”状态的时长。） 未满一小时的按一小时计费。通过 VPN 连接传输的数据按照标准的 AWS 数据传输费率收取费用。有关 VPC-VPN 的定价信息，请访问 Amazon VPC 产品页面的定价部分。

对包括 Amazon EC2 在内的其他 Amazon Web Services 的使用依然按照公布的费率收取费用。通过 VPC 的互联网网关访问 Amazon S3 等 Amazon Web Services 时，不会产生数据传输费用。

如果您通过 VPN 连接访问 AWS 资源，则会产生互联网数据传输费用。

您可以将 Amazon VPC 连接到：

• 互联网（通过互联网网关）
• 使用 AWS 站点到站点 VPN 连接的公司数据中心（通过虚拟私有网关）
• 互联网和公司数据中心（同时利用互联网网关和虚拟私有网关）
• 其他 AWS 服务（通过互联网网关、NAT、虚拟私有网关或 VPC 终端节点）
• 其他 Amazon VPC（通过 VPC 对等连接）

没有公有 IP 地址的实例可以通过以下两种方式之一访问互联网：

1. 没有公有 IP 地址的实例可以通过 NAT 网关或 NAT 实例来传输流量，从而访问 Internet。这些实例使用 NAT 网关或 NAT 实例的公有 IP 地址来访问 Internet。NAT 网关或 NAT 实例允许出站通信，但不允许 Internet 上的计算机主动连接具有私有地址的实例。
2. 对于通过硬件 VPN 或 Direct Connect 进行连接的 VPC，实例可以将其 Internet 流量通过虚拟私有网关下传到现有的数据中心。它可从该处借助现有出口点和网络安全/监控设备访问互联网。

否。当使用公有 IP 地址时，托管在 AWS 中的实例与服务之间的所有通信均使用 AWS 的私有网络。来自 AWS 网络且目标在 AWS 网络上的数据包仍留在 AWS 全球网络上，进出 AWS 中国区域的流量除外。

此外，在我们的数据中心和区域互连的 AWS 全球网络中，所有的数据流动在离开我们的安全设施之前，都经过物理层自动加密。另外，还有其他的加密层存在；例如，所有 VPC 跨区域对等流量，以及客户或服务到服务的传输层安全性协议（TLS）连接。 

您可以使用主 CIDR 数据块的任意 IPv4 地址范围，其中包括 RFC 1918 或公有可路由 IP 范围。对于辅助 CIDR 数据块，则存在一些限制。 对于公有可路由 IP 数据块，只能通过虚拟私有网关进行访问，无法通过互联网网关从 Internet 访问。 AWS 并不向 Internet 公告客户自有的 IP 地址数据块。通过调用相关 API 或通过 AWS 管理控制台，您可以向 VPC 分配最多 5 个由 Amazon 提供的或 BYOIP 的 IPv6 GUA CIDR 数据块。

您可在创建 VPC 时将单个无类别互联网域路由（CIDR）IP 地址范围指定为主 CIDR 数据块，并在 VPC 创建完成后添加最多四（4）个辅助 CIDR 数据块。您可以从这些 CIDR 范围内为 VPC 中的子网寻址。请注意，虽然您可以创建 IP 地址范围重叠的多个 VPC，但这样做会妨碍您通过硬件 VPN 连接将这些 VPC 与常用的家庭网络连接。因此，我们建议您不要使用重叠的 IP 地址范围。您可以向 VPC 分配最多 5 个由 Amazon 提供的或 BYOIP 的 IPv6 CIDR 数据块。

目前，Amazon VPC 支持五（5）个 IP 地址范围，一（1）个主和四（4）个辅助 IPv4 IP 地址范围。每一个范围的大小都介于 /28（CIDR 表示法）和 /16 之间。VPC 的 IP 地址范围不能与现有网络的 IP 地址范围重叠。

对于 IPv6，VPC 使用 /56 的固定大小（CIDR 表示法）。VPC 可以同时有 IPv4 和 IPv6 CIDR 数据块与其关联。

目前，每个 VPC 可以创建 200 个子网。如果您希望创建更多子网，请在支持中心提交工单。

对于 IPv4，子网的大小下限为 /28（或 14 个 IP 地址）。子网的大小不能超过在其中创建它们的 VPC。

对于 IPv6，子网大小固定为 /64。仅可将一个 IPv6 CIDR 数据块分配给一个子网。

只要 IP 地址满足以下条件，您便可以将其分配给实例：

• 属于相关子网的 IP 地址范围
• 没有被 Amazon 保留用于 IP 联网目的
• 当前没有分配给其他接口

可以。您可以将一个或多个辅助私有 IP 地址分配给 Amazon VPC 中的弹性网络接口或 EC2 实例。您可以分配的辅助私有 IP 地址的数量取决于实例类型。有关可以按不同实例类型分配的辅助私有 IP 地址数量的更多信息，请参阅 EC2 用户指南。

由于以下原因，您可能需要将自己的 IP 地址引入 AWS：
IP 声誉：许多客户认为其 IP 地址声誉是一项战略资产，希望在 AWS 上使用这些 IP 及其资源。例如，拥有出站电子邮件 MTA 等服务且 IP 声誉较高的客户现在可以引入自己的 IP 空间，并继续保持其现有发送成功率。

客户白名单：借助 BYOIP，客户还可以将依赖 IP 地址白名单的工作负载迁移到 AWS，而无需使用新的 IP 地址重新建立白名单。

硬编码依赖项：一些客户在设备中使用硬编码 IP 或对其 IP 采用了架构依赖项。BYOIP 使这类客户能够轻松迁移到 AWS。

监管和合规性：出于监管和合规性原因，许多客户必须使用特定 IP。他们也可以使用 BYOIP 来解除这一限制。

本地 IPv6 网络策略：许多客户只能在本地网络上路由其 IPv6。这些客户可以通过 BYOIP 解除这一限制，因为他们可以将自己的 IPv6 范围分配给 VPC，并选择使用互联网或 Direct Connect 路由至本地网络。

有关 BYOIP 可用性的详细信息，请参阅我们的文档。

AWS IPAM 提供以下功能：
 

• 为大规模网络分配 IP 地址：IPAM 可以根据可配置的业务规则在数百个账户和 VPC 之间自动分配 IP 地址。
   
• 监控网络中的 IP 使用情况：IPAM 可以监控 IP 地址，并使您能够在 IPAM 检测到潜在问题时收到警报，例如耗尽可能阻碍网络增长的 IP 地址或可能导致错误路由的重叠 IP 地址。
   
• 排除网络故障：IPAM 可以帮助您快速确定连接问题是由于 IP 地址配置错误还是其他问题引起的。
   
• 审计 IP 地址：IPAM 会自动保留您的 IP 地址监控数据（最多三年）。可以使用此历史数据对您的网络进行回顾性分析和审计。

以下是 IPAM 的主要组成部分：

• 作用域是 IPAM 中最高级别的容器。IPAM 包含两个默认作用域。每个作用域代表单个网络的 IP 空间。私有作用域适用于所有私有空间。公共作用域适用于所有公共空间。作用域使您能够在多个未连接的网络中重复使用 IP 地址，而不会导致 IP 地址重叠或冲突。您可以在一个作用域内创建多个 IPAM 池。
   
• 池是连续 IP 地址范围（或 CIDR）的集合。IPAM 池使您能够根据路由和安全需求来组织 IP 地址。您可以在顶级池中拥有多个池。例如，如果您对开发和生产应用程序有单独的路由和安全需求，则可以为每个应用程序创建一个池。在 IPAM 池中，您可以为 AWS 资源分配 CIDR。
• 分配是从 IPAM 池到另一个资源或 IPAM 池的 CIDR 分配。当您创建 VPC 并为 VPC 的 CIDR 选择 IPAM 池时，CIDR 将从配置的 CIDR 分配到 IPAM 池。您可以使用 IPAM 监控和管理分配。

可以。IPAM 支持 BYOIPv4 和 BYOIPv6 地址。BYOIP 是一项 EC2 功能，允许您将自有的 IP 地址带到 AWS。使用 IPAM，您可以跨账户和组织直接配置和共享他们的 IP 地址块。使用 IPv4 的现有 BYOIP 客户可以将他们的池迁移到 IPAM 以简化 IP 管理。

Amazon EC2 安全组可用来帮助确保 Amazon VPC 内实例的安全。VPC 中的安全组可用于指定允许进出各个 Amazon EC2 实例的进站和出站网络流量。没有被明确允许进出实例的流量将自动被拒绝。

除了安全组外，也可以通过网络访问控制列表（ACL）来允许或拒绝进出各个子网的网络流量。

有状态筛选可跟踪请求的来源，并可自动允许将请求的回复返回到来源计算机。例如，允许入站流量进入 Web 服务器上的 TCP 端口 80 的有状态筛选器将允许返回流量（通常为编号较高的端口，如目标 TCP 端口 63、912）通过客户端与 Web 服务器之间的有状态筛选器。筛选设备维护一个状态表，跟踪来源和目标端口编号与 IP 地址。筛选设备上仅需要一条规则：允许流量进入 Web 服务器的 TCP 端口 80。

无状态筛选则相反，仅检查来源或目标 IP 地址和目标端口，而忽略流量是新请求还是对请求的回复。上例中的筛选设备上需要实施两条规则：一条规则用于允许流量在 TCP 端口 80 上传入 Web 服务器，另一条规则用于允许流量传出 Web 服务器（TCP 端口范围 49、152 到 65、535）。

VPC 流日志是一项功能，允许您捕获有关进出 VPC 中网络接口的 IP 流量的信息。流日志数据可以发布到 Amazon CloudWatch Logs 或 Amazon S3 中。您可以监控 VPC 流日志，以获取对网络依赖性和流量模式的操作可见性，检测异常并防止数据泄露，或者对网络连接和配置问题进行故障排除。流日志中丰富的元数据可帮助您进一步了解谁发起了 TCP 连接，以及流经中间层（如 NAT 网关）的流量的实际数据包级源和目的地。您还可以存档流日志，以满足合规性要求。要了解更多有关 Amazon VPC 流日志的信息，请参阅文档。

支持，您可以为 Transit Gateway 或单独的中转网关连接创建 VPC 流日志。通过此功能，Transit Gateway 可以导出详细的信息，如源/目标 IP 地址、端口、协议、流量计数器、时间戳以及通过 Transit Gateway 遍历的网络流的各种元数据。要了解有关 Amazon VPC 流日志对 Transit Gateway 支持的更多信息，请参阅文档。

当您将流日志发布到 CloudWatch Logs 或 Amazon S3 时，将收取对公开日志的数据摄取和存档费用。有关更多信息和示例，请参阅 Amazon CloudWatch 定价。您还可以使用成本分配标签跟踪发布流日志的费用。

Traffic Mirroring 支持在 EC2 实例的弹性网络接口（ENI）级别捕获的网络数据包。请参阅 Traffic Mirroring 文档了解支持 Amazon VPC Traffic Mirroring 的 EC2 实例。

借助 Amazon VPC 流日志，客户可以收集、存储和分析网络流日志。流日志中捕获的信息包括关于允许和拒绝的流量、源和目标 IP 地址、端口、协议编号、数据包和字节数以及操作（接受或拒绝）的信息。您可以使用此功能对连接和安全问题进行故障排除，并确保网络访问规则按预期工作。

借助 Amazon VPC Traffic Mirroring，您可以分析实际流量内容（包括有效载荷），从而深入了解网络流量。使用案例包括分析实际数据包以确定性能问题的根本原因、对复杂的网络攻击进行逆向工程以及检测并阻止内部滥用或受损的工作负载。

Amazon VPC 目前可以在所有 Amazon EC2 区域的多个可用区中使用。

对于需要 IPv4 寻址的实例，您可以在一个 VPC 中运行任意数量的 Amazon EC2 实例，只要设置的 VPC 大小足以为每个实例分配一个 IPv4 地址。初始状态下，限制一次最多启动 20 个 Amazon EC2 实例，并且 VPC 的大小上限为 /16（65 536 个 IP）。如果要提高这些限制，请填写以下表单。 对于仅 IPv6 实例，/56 的 VPC 大小让您能够启动数量几乎不受限的 Amazon EC2 实例。

您可以在 Amazon VPC 中使用注册区域与您的 VPC 相同的 AMI。例如，您可以将在 us-east-1 中注册的 AMI 用于 us-east-1 中的 VPC。有关更多信息，请参阅 Amazon EC2 区域和可用区常见问题。

可以。如果 Amazon EBS 快照与您的 VPC 位于同一区域中，您就可以使用这些快照。有关更多详细信息，请参阅 Amazon EC2 区域和可用区常见问题。

如果您的 AWS 账户是在 2013 年 3 月 18 日之后创建的，则可以在默认 VPC 中启动资源。请参阅此论坛公告确定哪些区域已经启用默认 VPC 功能集。而对于在所列日期之前创建的账户，则可以在任何已启用默认 VPC 的区域（您未曾在该区域启动过 EC2 实例或预置过 Amazon Elastic Load Balancing、Amazon RDS、Amazon ElastiCache 或 Amazon Redshift 资源）中使用默认 VPC。

请参阅《EC2 用户指南》中的 EC2-Classic 与 EC2-VPC 之间的区别。

可以，但是，如果您在该区域的账户中没有任何 EC2-Classic 资源，我们只能为默认 VPC 启用现有账户。此外，您还必须终止该区域中的所有非 VPC 配置的 Elastic Load Balancer、Amazon RDS、Amazon ElastiCache 和 Amazon Redshift 资源。在为您的账户配置默认 VPC 后，所有未来资源启动（包括通过 Auto Scaling 启动实例）都将在您的默认 VPC 中执行。要申请为您的现有账户设置默认 VPC，请转到账户和账单 -> 服务：账户 -> 类别：将 EC2 Classic 转换为 VPC，然后提出申请。我们会审核您的请求、您现有的 AWS 服务以及 EC2-Classic 情况，以指导您完成后续步骤。

只有当您在自己的账户中为任何 AWS 区域启用了 EC2-Classic 时，此变化才会对您产生影响。您可以使用控制台或 describe-account-attributes 命令检查您是否为 AWS 区域启用了 EC2-Classic；请参阅此文档了解更多详细信息。

如果您没有任何活动 AWS 资源在任何区域中的 EC2-Classic 上运行，我们请求您从账户中对该区域关闭 EC2-Classic。在区域中关闭 EC2-Classic 将使您可从该处启用默认 VPC。为此，转到 AWS Support Center（console.aws.amazon.com/support），选择“创建工单”，然后选择“账户和账单支持”，在“类型”中选择“账户”，在“类别”中选择“将 EC2 Classic 转换为 VPC”，根据需要填写其他详细信息，然后选择“提交”。

对于您自 2021 年 1 月 1 日以来没有任何 AWS 资源（EC2 实例、Amazon Relational Database、AWS Elastic Beanstalk、Amazon Redshift、AWS Data Pipeline、Amazon EMR、AWS OpsWorks）在 EC2-Classic 上运行的 AWS 区域，我们将于 2021 年 10 月 30 日从您的账户中自动关闭 EC2-Classic。

另一方面，如果您有 AWS 资源在 EC2-Classic 上运行，我们请求您尽快制定将其迁移到 Amazon VPC 的计划。在 2022 年 8 月 15 日之后，您将无法在 EC2-Classic 平台上启动任何实例或 AWS 服务。随着我们于 2022 年 8 月 16 日开始停用该平台，任何运行状态的工作负载或服务都将逐渐丧失对 EC2-Classic 上的所有 AWS 服务的访问权限。

在后面的问题中，您将可找到 AWS 资源的迁移指南。

Amazon VPC 让您能够完全控制自己在 AWS 上的虚拟网络环境，与您的 AWS 账户逻辑隔离。在 EC2-Classic 环境中，您的工作负载与其他客户共享单个扁平网络。与 EC2-Classic 环境相比，Amazon VPC 环境带来了多种其他优势，包括选择自己的 IP 地址空间、公有和私有子网配置以及管理路由表和网络网关的功能。当前在 EC2-Classic 中可用的所有服务和实例在 Amazon VPC 环境中都有类似的服务。Amazon VPC 还可提供比 EC2-Classic 更广泛的新一代实例。关于 Amazon VPC 的更多信息可在此链接中获得。

为了帮助您迁移资源，我们发布了手册并构建了解决方案，您可从下面找到。为了进行迁移，您必须在 VPC 中重新创建 EC2-Classic 资源。首先，您可以使用此脚本识别在账户内为所有区域中的 EC2-Classic 预置的所有资源。然后，您可以使用下面适用于相关 AWS 资源的迁移指南：

• 实例和安全组
• Classic Load Balancer
• Amazon Relational Database Service
• AWS Elastic Beanstalk
• 适用于 DC1 集群迁移的 Amazon Redshift 和其他节点类型
• AWS Data Pipeline 
• Amazon EMR 
• AWS OpsWorks

除了上面的迁移指南之外，我们还提供了高度自动化的直接迁移（更换主机）解决方案：AWS Application Migration Service (AWS MGN)，它可简化和加速应用程序迁移，并降低迁移成本。您可以从此处找到关于 AWS MGN 的相关资源：

• AWS Application Migration Service 入门 
• AWS Application Migration Service 按需技术培训
• 深入探讨 AWS Application Migration Service 特性和功能的文档
• 服务架构和网络架构视频

对于简单的单一 EC2 实例从 EC2-Classic 到 VPC 的迁移，除了 AWS MGN 或实例迁移指南之外，您还可以使用来自“AWS Systems Manager > 自动化”的“AWSSupport-MigrateEC2 ClassicToVPC”运行手册。该 Runbook 可通过创建 EC2-Classic 中的实例的 AMI，在 VPC 中从该 AMI 创建新实例，并可终止 EC2-Classic 实例，以自动执行将实例从 EC2-Classic 迁移到 VPC 所需的步骤。

如果您有任何疑问或顾虑，可以通过 AWS Premium Support 联系 AWS Support 团队。

请注意：如果您在多个 AWS 区域中有 AWS 资源在 EC2-Classic 上运行，建议您在将所有资源迁移到这些区域中的 VPC 之后，立即在每个区域中关闭 EC2-Classic。

我们将在 2022 年 8 月 15 日停用日期之前采取两个重要行动：

• 我们将于 2021 年 10 月 30 日停止对 EC2-Classic 环境发布 3 年期预留实例 (RI) 和 1 年期 RI。已部署到 EC2-Classic 环境中的 RI 将不受此时间影响。设置为 2022 年 8 月 15 日之后到期的 RI 将需要修改为在剩余 租期中使用 Amazon VPC 环境。有关如何修改 RI 的信息，请访问我们的文档。
• 在 2022 年 8 月 15 日，我们将不再允许在 EC2-Classic 环境中创建新实例（Spot 或按需）或其他 AWS 服务。随着我们于 2022 年 8 月 16 日开始停用该平台，任何运行状态的工作负载或服务都将逐渐丧失对 EC2-Classic 上的所有 AWS 服务的访问权限。

网络接口只能连接到位于同一账户下 VPC 中的实例。

创建 VPC 对等连接并不收取费用，但是对等连接点之间的数据传输要收费。如需了解数据传输费率，请参阅 EC2 定价页面中的“数据传输”部分。

AWS 使用现有 VPC 基础设施创建 VPC 对等连接，既不是网关，也不是 VPN 连接，因此不依赖某个独立的实体硬件。不会发生单点通信故障或带宽瓶颈。

区域间 VPC 对等连接采用当前支持 VPC 的横向扩展、冗余且高度可用的技术。区域间 VPC 对等连接流量经过具有内置冗余和动态带宽分配的 AWS 主干。不会发生单点通信故障。

如果区域间对等连接出现故障，流量将不会通过互联网路由。

对等连接的 VPC 中的实例之间的带宽与相同 VPC 中的实例之间的带宽无异。注意：置放群组可跨越多个对等连接的 VPC，但是，您不会在对等连接的 VPC 中的实例之间获取全部的等分带宽。阅读有关置放群组的更多信息。

使用 ClassicLink 不会产生额外的费用，但是现有的可用区之间的数据传输将产生费用。有关更多信息，请参阅 EC2 定价页面。

作为服务用户，您需要为 PrivateLink 支持的服务创建接口类 VPC 端点。这些服务终端节点将在 VPC 中显示为带私有 IP 的弹性网络接口 (ENI)。这些终端节点创建后，目标为这些 IP 的所有流量都将以私有方式路由到相应 AWS 产品。

作为服务拥有者，您可以在您的服务前面部署网络负载均衡器 (NLB) 并创建 PrivateLink 服务以在其中注册 NLB，从而将您的服务加入到 AWS PrivateLink 中。在您将客户的账户和 IAM 角色加入白名单之后，他们能够在他们的 VPC 中建立端点以连接到您的服务。

以下 AWS 服务均支持此功能：Amazon Elastic Compute Cloud（EC2）、弹性负载均衡（ELB）、Kinesis Streams、Service Catalog、EC2 Systems Manager、Amazon SNS 和 AWS DataSync。许多 SaaS 解决方案也支持此功能。有关 AWS PrivateLink 支持的更多 SaaS 产品的信息，请访问 AWS Marketplace。

有关 VPC 限制的信息，请参阅 Amazon VPC 用户指南。

可以。有关 AWS 支持的更多信息，请单击此处。

通过 ElasticFox 管理 Amazon VPC 不再受官方支持。Amazon VPC 支持可通过 AWS API、命令行工具、AWS 管理控制台以及许多第三方实用程序提供。

一项安全与合规性功能，可提供集中控制，进而在区域中的 VPC 内部和之间监控和强制执行流量加密。欲了解更多信息，请在此处阅读文档。

监控模式（用于查看、评测和启动迁移）和强制模式（用于防止未加密流量）。

安全管理员和云架构师，尤其是在需要遵守 HIPAA、FedRAMP 和 PCI DSS 等标准的行业中。

同时使用应用层加密和 AWS Nitro System 硬件的内置加密功能来确保加密强制执行。

监控模式提供对流量加密状态的可见性，帮助识别不合规的资源，并使用加密状态信息填充 VPC 流日志。开启监控模式后，网络负载均衡器、应用程序负载均衡器、Fargate 集群、EKS 控制面板等资源将自动逐步迁移到原生支持加密的硬件。

通过：

• 具有 encryption-status 字段的 VPC 流日志
• 控制台控制面板
• GetVpcResourcesBlockingEncryptionEnforcement 命令

不会，您需要创建新的流日志，手动添加 encryption-status 字段。还建议添加 traffic-path 和 flow-direction 字段。

VPC 进入强制模式后，会阻止在 VPC 边界内创建或附加允许未加密流量的资源。您将被禁止运行不支持原生 Nitro 加密的实例。

不可以，您必须首先：

• 启用监控模式
• 识别不合规资源
• 修改或创建不合规资源的排除项
• 然后切换到强制模式

您必须从八种支持的排除项类型中为该资源创建排除项。在开启强制模式之前，必须将其他不支持的资源迁出 VPC 或删除。在启用强制之前，必须将加密控制支持的资源迁移到符合加密条件的实例。

请按照以下步骤执行操作：

• 审核流日志和资源合规性
• 规划必要的资源迁移
• 切换到强制模式时配置所需的排除项

可以，除非您在两个 VPC 之间建立 VPC 对等连接且没有任何排除项。在这种情况下，您必须删除两个 VPC 之间的 VPC 对等连接，然后进入监控模式。

使用 GetVpcResourcesBlockingEncryptionEnforcement 命令标识会阻止强制执行的任何资源。或者，您可以使用控制台查找未加密的资源。

支持八种排除项：

• 互联网网关
• NAT 网关
• 仅出口互联网网关
• 与未强制加密的 VPC 的 VPC 对等连接
• 虚拟私有网关
• Lambda 函数
• VPC Lattice
• Elastic File System

0：未加密
1：Nitro 加密
2：应用程序加密
3：Nitro 加密和应用程序加密
(-)：未知/VPC 加密控制已关闭

要对启用了加密控制的 VPC 之间的流量进行加密，您可以使用 VPC Peering 或 Transit Gateway。使用 Transit Gateway 时，您需要使用控制台或 modify-transit-gateway 命令明确开启加密支持。在 Transit Gateway 上开启加密没有单独的费用，但对于与 Transit Gateway 关联的所有 VPC，会产生标准 VPC 加密控制费用（无论您是否在这些 VPC 上开启加密控制）。

使用 'modify-transit-gateway' 命令或通过 AWS 管理控制台启用。您必须在 Transit Gateway 上明确启用加密支持，才能对开启加密控制的 VPC 之间的流量进行加密。

在现有 TGW 上启用加密不会中断现有流量，VPC 附件将无缝自动迁移到加密通道。您可以在 Transit Gateway 上启用加密支持，进而加密 VPC 之间的流量。强制模式（无排除项）下的两个 VPC 之间的流量通过 TGW 进行端到端加密。Transit Gateway 上的加密还允许您连接两个处于不同加密控制模式的 VPC。

因情况而异。强制模式（无排除项）下的两个 VPC 之间的流量通过 TGW 进行端到端加密。Transit Gateway 上的加密还允许您连接两个处于不同加密控制模式的 VPC。当您想在连接到未强制加密的 VPC 的 VPC 中强制执行加密控制时，应使用此模式。在这种情况下，您在强制加密的 VPC 内的所有流量，包括 VPC 间的流量，都经过加密。VPC 间的流量在强制加密的 VPC 中的资源和 Transit Gateway 之间进行加密。除此之外，加密取决于非强制 VPC 中流量流向的资源，不能保证会被加密（因为 VPC 不处于强制模式）。所有 VPC 必须位于同一个区域。

可以，流量将保持加密状态，直到到达非强制 VPC 中的 TGW 附件。无论目标 VPC 的加密状态如何，在到达目标 VPC 中的 TGW 附件之前，来自源的流量都将保持加密状态。

在保持现有连接的同时在 TGW 上启用加密，过渡将自动处理。在 TGW 上启用加密不会中断现有流量。

可以，TGW 通过在过渡期间处理加密和未加密流量来支持增量迁移。

不可以。只有 AWS 服务支持具有 VPC 加密控制的 Private Link。非 AWS 服务的 VPC 端点不能保留在您想要强制加密的 VPC 中。在 VPC 上进入强制模式之前，您必须删除这些端点。在强制模式下运行的 VPC 可以连接到 VPC Peering 或 Transit Gateway，进而保证端到端加密。