Amazon VPC 常见问题

创建和使用 VPC 本身不另收费用。对包括 Amazon EC2 在内的其他 Amazon Web Services 的使用依然按照公布的费率收取费用，另外还有数据传输费。如果您使用可选的硬件 VPN 连接将您的 VPC 连接到公司数据中心，定价的依据为 VPN 连接小时数（VPN 连接处于“可用”状态的时长。） 未满一小时的按一小时计费。通过 VPN 连接传输的数据按照标准的 AWS 数据传输费率收取费用。有关 VPC-VPN 的定价信息，请访问 Amazon VPC 产品页面的定价部分。

对包括 Amazon EC2 在内的其他 Amazon Web Services 的使用依然按照公布的费率收取费用。通过 VPC 的 Internet 网关访问 Amazon S3 等 Amazon Web Services 服务时，不会产生数据传输费用。

如果您通过 VPN 连接访问 AWS，则会产生互联网数据传输费。

您可以将 Amazon VPC 连接到：

• 互联网（通过互联网网关）
• 使用 AWS 站点到站点 VPN 连接的公司数据中心（通过虚拟私有网关）
• 互联网和公司数据中心（同时利用互联网网关和虚拟私有网关）
• 其他 AWS 服务（通过互联网网关、NAT、虚拟私有网关或 VPC 终端节点）
• 其他 Amazon VPC（通过 VPC 对等连接）

没有公有 IP 地址的实例可以通过以下两种方式之一访问 Internet：

1. 没有公有 IP 地址的实例可以通过 NAT 网关或 NAT 实例来传输流量，从而访问 Internet。这些实例使用 NAT 网关或 NAT 实例的公有 IP 地址来访问 Internet。NAT 网关或 NAT 实例允许出站通信，但不允许 Internet 上的计算机主动连接具有私有地址的实例。
2. 对于通过硬件 VPN 或 Direct Connect 进行连接的 VPC，实例可以将其 Internet 流量通过虚拟私有网关下传到现有的数据中心。它可从该处借助现有出口点和网络安全/监控设备访问 Internet。

否。当使用公有 IP 地址时，托管在 AWS 中的实例与服务之间的所有通信均使用 AWS 的私有网络。来自 AWS 网络且目标在 AWS 网络上的数据包仍留在 AWS 全球网络上，进出 AWS 中国区域的流量除外。

此外，在我们的数据中心和区域互连的 AWS 全球网络中，所有的数据流动在离开我们的安全设施之前，都经过物理层自动加密。另外，还有其他的加密层存在；例如，所有 VPC 跨区域对等流量，以及客户或服务到服务的传输层安全性 (TLS) 连接。 

您可以使用主 CIDR 块的任意 IPv4 地址范围，其中包括 RFC 1918 或公有可路由 IP 范围。对于辅助 CIDR 块，则存在一些限制。 对于公有可路由 IP 数据块，只能通过虚拟私有网关进行访问，无法通过互联网网关从 Internet 访问。 AWS 并不向 Internet 公告客户自有的 IP 地址数据块。通过调用相关 API 或通过 AWS 管理控制台，您可以向 VPC 分配最多 5 个由 Amazon 提供的或 BYOIP 的 IPv6 GUA CIDR 块。

您可在创建 VPC 时将单个无类别互联网域路由（CIDR）IP 地址范围指定为主 CIDR 块，并在 VPC 创建完成后添加最多四（4）个辅助 CIDR 块。您可以从这些 CIDR 范围内为 VPC 中的子网寻址。请注意，虽然您可以创建 IP 地址范围重叠的多个 VPC，但这样做会妨碍您通过硬件 VPN 连接将这些 VPC 与常用的家庭网络连接。因此，我们建议您不要使用重叠的 IP 地址范围。您可以向 VPC 分配最多 5 个由 Amazon 提供的或 BYOIP 的 IPv6 CIDR 块。

目前，Amazon VPC 支持五 (5) 个 IP 地址范围，一 (1) 个主和四 (4) 个辅助 IPv4 IP 地址范围。每一个范围的大小都介于 /28（CIDR 表示法）和 /16 之间。VPC 的 IP 地址范围不能与现有网络的 IP 地址范围重叠。

对于 IPv6，VPC 使用 /56 的固定大小（CIDR 表示法）。VPC 可以同时有 IPv4 和 IPv6 CIDR 块与其关联。

目前，每个 VPC 可以创建 200 个子网。如果您希望创建更多子网，请在支持中心提交案例。

对于 IPv4，子网的大小下限为 /28（或 14 个 IP 地址）。子网的大小不能超过在其中创建它们的 VPC。

对于 IPv6，子网大小固定为 /64。仅可将一个 IPv6 CIDR 块分配给一个子网。

只要 IP 地址满足以下条件，您便可以将其分配给实例：

• 属于相关子网的 IP 地址范围
• 没有被 Amazon 保留用于 IP 联网目的
• 当前没有分配给其他界面

符合。您可以将一个或多个辅助私有 IP 地址分配给 Amazon VPC 中的弹性网络接口或 EC2 实例。您可以分配的辅助私有 IP 地址的数量取决于实例类型。有关可以按不同实例类型分配的辅助私有 IP 地址数量的更多信息，请参阅 EC2 用户指南。

由于以下原因，您可能需需要将自己的 IP 地址引入 AWS：
IP 声誉：许多客户认为其 IP 地址声誉是一项战略资产，希望在 AWS 上使用这些 IP 及其资源。例如，拥有出站电子邮件 MTA 等服务且 IP 声誉较高的客户现在可以引入自己的 IP 空间，并继续保持其现有发送成功率。

客户白名单：借助 BYOIP，客户还可以将依赖 IP 地址白名单的工作负载迁移到 AWS，而无需使用新的 IP 地址重新建立白名单。

硬编码依赖项：一些客户在设备中使用硬编码 IP 或对其 IP 采用了架构依赖项。BYOIP 使这类客户能够轻松迁移到 AWS。

监管和合规性：出于监管和合规性原因，许多客户必须使用特定 IP。他们也可以使用 BYOIP 来解除这一限制。

本地 IPv6 网络策略：许多客户只能在本地网络上路由其 IPv6。这些客户可以通过 BYOIP 解除这一限制，因为他们可以将自己的 IPv6 范围分配给 VPC，并选择使用 Internet 或 Direct Connect 路由至本地网络。

有关 BYOIP 可用性的详细信息，请参阅我们的 文档。

AWS IPAM 提供以下功能：
 

• 为大规模网络分配 IP 地址：IPAM 可以根据可配置的业务规则在数百个账户和 VPC 之间自动分配 IP 地址。
   
• 监控网络中的 IP 使用情况：IPAM 可以监控 IP 地址，并使您能够在 IPAM 检测到潜在问题时收到警报，例如耗尽可能阻碍网络增长的 IP 地址或可能导致错误路由的重叠 IP 地址。
   
• 排除网络故障：IPAM 可以帮助您快速确定连接问题是由于 IP 地址配置错误还是其他问题引起的。
   
• 审核 IP 地址：IPAM 会自动保留您的 IP 地址监控数据（最多三年）。可以使用此历史数据对您的网络进行回顾性分析和审核。

以下是 IPAM 的主要组成部分：

• 作用域是 IPAM 中最高级别的容器。IPAM 包含两个默认作用域。每个作用域代表单个网络的 IP 空间。私有作用域适用于所有私有空间。公共作用域适用于所有公共空间。作用域使您能够在多个未连接的网络中重复使用 IP 地址，而不会导致 IP 地址重叠或冲突。您可以在一个作用域内创建多个 IPAM 池。
   
• 池是连续 IP 地址范围（或 CIDR）的集合。IPAM 池使您能够根据路由和安全需求来组织 IP 地址。您可以在顶级池中拥有多个池。例如，如果您对开发和生产应用程序有单独的路由和安全需求，则可以为每个应用程序创建一个池。在 IPAM 池中，您可以为 AWS 资源分配 CIDR。
• 分配是从 IPAM 池到另一个资源或 IPAM 池的 CIDR 分配。当您创建 VPC 并为 VPC 的 CIDR 选择 IPAM 池时，CIDR 将从配置的 CIDR 分配到 IPAM 池。您可以使用 IPAM 监视和管理分配。

符合。IPAM 支持 BYOIPv4 和 BYOIPv6 地址。BYOIP 是一项 EC2 功能，允许您将自有的 IP 地址带到 AWS。使用 IPAM，您可以跨账户和组织直接配置和共享他们的 IP 地址块。使用 IPv4 的现有 BYOIP 客户可以将他们的池迁移到 IPAM 以简化 IP 管理。

Amazon EC2 安全组可用来帮助确保 Amazon VPC 内实例的安全。VPC 中的安全组可用于指定允许进出各个 Amazon EC2 实例的进站和出站网络流量。没有显式允许进出实例的流量将自动被拒绝。

除了安全组外，通过网络访问控制列表 (ACL) 也可允许或拒绝进出各个子网的网络流量。

有状态筛选可跟踪请求的来源，并可自动允许将请求的回复返回到来源计算机。例如，允许入站流量进入 Web 服务器上的 TCP 端口 80 的有状态筛选器将允许返回流量（通常为编号较高的端口，如目标 TCP 端口 63、912）通过客户端与 Web 服务器之间的有状态筛选器。筛选设备维护一个状态表，跟踪来源和目标端口编号与 IP 地址。筛选设备上仅需要一条规则：允许流量进入 Web 服务器的 TCP 端口 80。

无状态筛选则相反，仅检查来源或目标 IP 地址和目标端口，而忽略流量是新请求还是对请求的回复。上例中的筛选设备上需要实施两条规则：一条规则用于允许流量在 TCP 端口 80 上进入 Web 服务器，另一条规则用于允许流量传出 Web 服务器（TCP 端口范围 49、152 到 65、535）。

VPC 流日志是一项功能，允许您捕获有关进出 VPC 中网络接口的 IP 流量的信息。流日志数据可以发布到 Amazon CloudWatch Logs 或 Amazon S3 中。您可以监控 VPC 流日志，以获取对网络依赖性和流量模式的操作可见性，检测异常并防止数据泄露，或者对网络连接和配置问题进行故障排除。流日志中丰富的元数据可帮助您进一步了解谁发起了 TCP 连接，以及流经中间层（如 NAT 网关）的流量的实际数据包级源和目的地。您还可以存档流日志，以满足合规性要求。有关 Amazon VPC 流日志的更多信息，请参阅该文档。

支持，您可以为 Transit Gateway 或单独的中转网关连接创建 VPC 流日志。通过此功能，Transit Gateway 可以导出详细的信息，如源/目标 IP 地址、端口、协议、流量计数器、时间戳以及通过 Transit Gateway 遍历的网络流的各种元数据。要了解有关 Amazon VPC 流日志对 Transit Gateway 支持的更多信息，请参阅文档。

当您将流日志发布到 CloudWatch Logs 或 Amazon S3 时，将收取对公开日志的数据提取和存档费用。有关更多信息和示例，请参阅 Amazon CloudWatch 定价。您还可以使用成本分配标签跟踪发布流日志的费用。

流量镜像支持在 EC2 实例的弹性网络接口 (ENI) 级别捕获的网络数据包。请参阅 Traffic Mirroring 文档了解支持 Amazon VPC Traffic Mirroring 的 EC2 实例。

借助 Amazon VPC 流日志，客户可以收集、存储和分析网络流日志。流日志中捕获的信息包括关于允许和拒绝的流量、源和目标 IP 地址、端口、协议编号、数据包和字节数以及操作（接受或拒绝）的信息。您可以使用此功能对连接和安全问题进行故障排除，并确保网络访问规则按预期工作。

借助 Amazon VPC 流量镜像，您可以分析实际流量内容（包括负载），从而深入了解网络流量。它的使用案例包括分析实际数据包以确定性能问题的根本原因、对复杂的网络攻击进行逆向工程以及检测并阻止内部滥用或受损的工作负载。

Amazon VPC 目前可以在所有 Amazon EC2 区域的多个可用区中使用。

对于需要 IPv4 寻址的实例，您可以在一个 VPC 中运行任意数量的 Amazon EC2 实例，只要设置的 VPC 大小足以为每个实例分配一个 IPv4 地址。初始状态下，限制一次最多启动 20 个 Amazon EC2 实例，并且 VPC 的大小上限为 /16（65 536 个 IP）。如果要提高这些限制，请填写以下表单。 对于仅 IPv6 实例，/56 的 VPC 大小让您能够启动数量几乎不受限的 Amazon EC2 实例。

您可以在 Amazon VPC 中使用注册区域与您的 VPC 相同的 AMI。例如，您可以将注册在 us-east-1 的 AMI 用于 us-east-1 中的 VPC。有关更多信息，请参阅 Amazon EC2 区域和可用区常见问题。

可以。如果 Amazon EBS 快照与您的 VPC 位于同一区域中，您就可以使用它们。有关更多详情，请参阅 Amazon EC2 区域和可用区常见问题。

如果您的 AWS 账户是在 2013 年 3 月 18 日之后创建的，则可以在默认 VPC 中启动资源。请参阅此论坛公告以确定哪些区域已经启用默认 VPC 功能集。而对于在所列日期之前创建的账户，则可以在任何已启用默认 VPC 的区域（您未曾在该区域启动过 EC2 实例或预置过 Amazon Elastic Load Balancing、Amazon RDS、Amazon ElastiCache 或 Amazon Redshift 资源）中使用默认 VPC。

请参阅《EC2 用户指南》中的 EC2-Classic 与 EC2-VPC 之间的区别。

可以，但是，如果您在该区域的账户中没有任何 EC2-Classic 资源，我们只能为默认 VPC 启用现有账户。此外，您还必须终止该区域中的所有非 VPC 配置的 Elastic Load Balancer、Amazon RDS、Amazon ElastiCache 和 Amazon Redshift 资源。在为您的账户配置默认 VPC 后，所有未来资源启动（包括通过 Auto Scaling 启动实例）都将在您的默认 VPC 中执行。要申请为您的现有账户设置默认 VPC，请转到账户和账单 -> 服务：账户 -> 类别：将 EC2 Classic 转换为 VPC，然后提出申请。我们会审核您的申请、您现有的 AWS 产品以及 EC2-Classic 情况，以指导您完成后续步骤。

只有当您在自己的账户中为任何 AWS 区域启用了 EC2-Classic 时，此变化才会对您产生影响。您可以使用控制台或 describe-account-attributes 命令检查您是否为 AWS 区域启用了 EC2-Classic；请参阅此文档以了解更多详细信息。

如果您没有任何活动 AWS 资源在任何区域中的 EC2-Classic 上运行，我们请求您从账户中对该区域关闭 EC2-Classic。在区域中关闭 EC2-Classic 将使您可从该处启用默认 VPC。为此，转到 AWS Support Center（console.aws.amazon.com/support），选择 Create case（创建案例），然后选择 Account and billing support（账户和账单支持），在 Type（类型）中选择 Account（账户），在 Category（类别）中选择 Convert EC2 Classic to VPC（将 EC2 Classic 转换为 VPC），根据需要填写其他详细信息，然后选择 Submit（提交）。

对于您自 2021 年 1 月 1 日以来没有任何 AWS 资源（EC2 实例、Amazon Relational Database、AWS Elastic Beanstalk、Amazon Redshift、AWS Data Pipeline、Amazon EMR、AWS OpsWorks）在 EC2-Classic 上运行的 AWS 区域，我们将于 2021 年 10 月 30 日从您的账户中自动关闭 EC2-Classic。

另一方面，如果您有 AWS 资源在 EC2-Classic 上运行，我们请求您尽快制定将其迁移到 Amazon VPC 的计划。在 2022 年 8 月 15 日之后，您将无法在 EC2-Classic 平台上启动任何实例或 AWS 服务。随着我们于 2022 年 8 月 16 日开始停用该平台，任何运行状态的工作负载或服务都将逐渐丧失对 EC2-Classic 上的所有 AWS 服务的访问权限。

在后面的问题中，您将可找到 AWS 资源的迁移指南。

Amazon VPC 让您能够完全控制自己在 AWS 上的虚拟网络环境，与您的 AWS 账户逻辑隔离。在 EC2-Classic 环境中，您的工作负载与其他客户共享单个扁平网络。与 EC2-Classic 环境相比，Amazon VPC 环境带来了多种其他优势，包括选择自己的 IP 地址空间、公有和私有子网配置以及管理路由表和网络网关的功能。当前在 EC2-Classic 中可用的所有服务和实例在 Amazon VPC 环境中都有类似的服务。Amazon VPC 还可提供比 EC2-Classic 更广泛的新一代实例。关于 Amazon VPC 的更多信息可在此链接中获得。

为了帮助您迁移资源，我们发布了手册并构建了解决方案，您可从下面找到。为了进行迁移，您必须在 VPC 中重新创建 EC2-Classic 资源。首先，您可以使用此脚本识别在账户内为所有区域中的 EC2-Classic 预置的所有资源。然后，您可以使用下面适用于相关 AWS 资源的迁移指南：

• 实例和安全组
• Classic Load Balancer
• Amazon Relational Database Service
• AWS Elastic Beanstalk
• 适用于 DC1 集群迁移的 Amazon Redshift 和其他节点类型
• AWS Data Pipeline 
• Amazon EMR 
• AWS OpsWorks

除了上面的迁移指南之外，我们还提供了高度自动化的直接迁移（更换主机）解决方案：AWS Application Migration Service (AWS MGN)，它可简化和加速应用程序迁移，并降低迁移成本。您可以从此处找到关于 AWS MGN 的相关资源：

• AWS Application Migration Service 入门 
• AWS Application Migration Service 按需技术培训
• 深入探讨 AWS Application Migration Service 特性和功能的文档
• 服务架构和网络架构视频

对于简单的单一 EC2 实例从 EC2-Classic 到 VPC 的迁移，除了 AWS MGN 或《实例迁移指南》之外，您还可以使用来自“AWS Systems Manager > 自动化”的“AWSSupport-MigrateEC2 ClassicToVPC”运行手册。该 Runbook 可通过创建 EC2-Classic 中的实例的 AMI，在 VPC 中从该 AMI 创建新实例，并可终止 EC2-Classic 实例，以自动执行将实例从 EC2-Classic 迁移到 VPC 所需的步骤。

如果您有任何疑问或顾虑，可以通过 AWS Premium Support 联系 AWS Support 团队。

请注意：如果您在多个 AWS 区域中有 AWS 资源在 EC2-Classic 上运行，建议您在将所有资源迁移到这些区域中的 VPC 之后，立即在每个区域中关闭 EC2-Classic。

我们将在 2022 年 8 月 15 日停用日期之前采取两个重要行动：

• 我们将于 2021 年 10 月 30 日停止对 EC2-Classic 环境发布 3 年期预留实例 (RI) 和 1 年期 RI。已部署到 EC2-Classic 环境中的 RI 将不受此时间影响。设置为 2022 年 8 月 15 日之后到期的 RI 将需要修改为在剩余 租期中使用 Amazon VPC 环境。有关如何修改 RI 的信息，请访问我们的文档。
• 在 2022 年 8 月 15 日，我们将不再允许在 EC2-Classic 环境中创建新实例（Spot 或按需）或其他 AWS 服务。随着我们于 2022 年 8 月 16 日开始停用该平台，任何运行状态的工作负载或服务都将逐渐丧失对 EC2-Classic 上的所有 AWS 服务的访问权限。

网络接口只能连接到位于同一账户下 VPC 中的实例。

创建 VPC 对等连接并不收取费用，但是对等连接点之间的数据传输要收费。如需了解数据传输费率，请参阅 EC2 定价页面中的“数据传输”部分。

AWS 使用现有 VPC 基础设施创建 VPC 对等连接，既不是网关，也不是 VPN 连接，因此不依赖某个独立的实体硬件。不会发生单点通信故障或带宽瓶颈。

区域间 VPC 对等连接采用当前支持 VPC 的横向扩展、冗余且高度可用的技术。区域间 VPC 对等连接流量经过具有内置冗余和动态带宽分配的 AWS 主干。不会发生单点通信故障。

如果地区间对等连接出现故障，流量将不会通过 Internet 路由。

对等连接的 VPC 中的实例之间的带宽与相同 VPC 中的实例之间的带宽无异。注意：置放群组可跨越多个对等连接的 VPC，但是，您不会在对等连接的 VPC 中的实例之间获取全部的等分带宽。阅读有关置放群组的更多信息。

使用 ClassicLink 不会产生额外的费用，但是现有的可用区之间的数据传输将产生费用。有关更多信息，请参阅 EC2 定价页面。

作为服务用户，您需要为 PrivateLink 支持的服务创建接口类 VPC 终端节点。这些服务终端节点将在 VPC 中显示为带私有 IP 的弹性网络接口 (ENI)。这些终端节点创建后，目标为这些 IP 的所有流量都将以私有方式路由到相应 AWS 服务。

作为服务拥有者，您可以在您的服务前面部署网络负载均衡器 (NLB) 并创建 PrivateLink 服务以在其中注册 NLB，从而将您的服务加入到 AWS PrivateLink 中。在您将客户的账户和 IAM 角色加入白名单之后，他们能够在他们的 VPC 中建立终端节点以连接到您的服务。

以下 AWS 服务均支持此功能：Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Kinesis Streams、Service Catalog、EC2 Systems Manager、Amazon SNS 和 AWS DataSync。许多 SaaS 解决方案也支持此功能。有关 AWS PrivateLink 支持的更多 SaaS 产品的信息，请访问 AWS Marketplace。

有关 VPC 限制的信息，请参阅 Amazon VPC 用户指南。

符合。有关 AWS 支持的更多信息，请单击此处。

通过 ElasticFox 管理 Amazon VPC 不再受官方支持。Amazon VPC 支持可通过 AWS API、命令行工具、AWS 管理控制台以及许多第三方实用程序提供。