一般性问题

问:什么是 Amazon Virtual Private Cloud (VPC)?

Amazon VPC 允许您在 Amazon Web Services (AWS) 云中预置出一个逻辑隔离的部分,让您在自己定义的虚拟网络中启动 AWS 资源。您可以完全掌控您的虚拟联网环境,包括选择自己的 IP 地址范围、创建子网以及配置路由表和网络网关。您也可以在公司数据中心和 VPC 之间创建硬件虚拟专用网络 (VPN) 连接,将 AWS 云用作公司数据中心的扩展。

您可以轻松自定义 Amazon VPC 的网络配置。例如,您可以为可访问 Internet 的 Web 服务器创建公有子网,而将数据库或应用程序服务器等后端系统放在不能访问 Internet 的私有子网中。您可以利用安全组和网络访问控制列表等多种安全层,帮助对各个子网中 Amazon EC2 实例的访问进行控制。

问:Amazon VPC 有哪些组成部分?

Amazon VPC 由多个不同的数据元组成,它们对拥有现有网络的客户而言并不陌生:

  • Virtual Private Cloud:AWS 云中逻辑隔离的虚拟网络。从所选范围内定义 VPC 的 IP 地址空间。
  • 子网:VPC 的 IP 地址范围内的一个区段,其中可放置隔离的资源组。
  • Internet 网关:公有 Internet 连接的 Amazon VPC 端。
  • NAT 网关:一款高度可用的托管网络地址转换 (NAT) 服务,便于私有子网中的资源访问 Internet。
  • 硬件 VPN 连接:您的 Amazon VPC 与数据中心、家庭网络或主机托管设施之间基于硬件的 VPN 连接。
  • 虚拟专用网关:VPN 连接的 Amazon VPC 端。
  • 客户网关:VPN 连接的您这一端。
  • 路由器:路由器用于将子网互连,并在 Internet 网关、虚拟专用网关、NAT 网关和子网之间定向流量。
  • 对等连接:对等连接使您可以通过私有 IP 地址在两个对等 VPC 之间路由流量。
  • VPC 终端节点:可建立从您的 VPC 到 AWS 中托管的服务的私有连接,无需使用 Internet 网关、VPN、网络地址转换 (NAT) 设备或防火墙代理。
  • 仅传出 Internet 网关:有状态网关,仅提供从 VPC 到 Internet 的 IPv6 流量传出访问权限.
 
问:为什么使用 Amazon VPC?
 
Amazon VPC 允许您在 AWS 云中构建虚拟网络,而且不需要 VPN、硬件或物理数据中心。您可以定义自己的网络空间,并控制您的网络以及其中的 Amazon EC2 资源如何在 Internet 上公开。您也可以利用 Amazon VPC 中的增强安全选项,实现对虚拟网络中 Amazon EC2 实例的更为精细的进出访问控制。
 
问:如何开始使用 Amazon VPC?
 
在随时可用的默认 VPC 中,AWS 资源是自动配置的。您也可以转至 AWS 管理控制台的“Amazon VPC”页面并选择“Start VPC Wizard”,以创建其他 VPC。
 
您将会看到用于网络架构的四个基本选项。选择一个选项后,您可以修改 VPC 和其子网的规模和 IP 地址范围。如果选择带有硬件 VPN 访问的选项,您需要指定网络中 VPN 硬件的 IP 地址。您可以修改 VPC 以添加或删除辅助 IP 范围和网关,或将更多子网添加到 IP 范围。
 
四个选项如下:
 
  1. 仅带有单个公有子网的 VPC
  2. 带有公有子网和私有子网的 VPC
  3. 带有公有和私有子网以及硬件 VPC 访问的 VPC
  4. 仅带有私有子网和硬件 VPN 访问的 VPC
 
问:Amazon VPC 上提供哪些不同类型的 VPC 终端节点?
 
借助 VPC 终端节点,您能够建立从您的 VPC 到 AWS 上托管的服务之间的私有连接,无需使用 Internet 网关、NAT 设备、VPN 或防火墙代理。终端节点是可水平扩展且高度可用的虚拟设备,允许 VPC 和 AWS 服务之间的实例进行通信。Amazon VPC 提供两种不同类型的终端节点:网关类终端节点和接口类终端节点。
 
网关类型终端节点仅适用于包括 S3 和 DynamoDB 在内的 AWS 产品。这些终端节点将向您选择的路由表添加一个条目,并通过 Amazon 私有网络将流量路由到支持的服务。
 
接口类型终端节点可建立到 PrivateLink 支持的服务 (如 AWS 产品、您自己的服务或 SaaS 解决方案) 的私有连接,并支持通过 Direct Connect 建立连接。将来,这些终端节点将会支持更多 AWS 和 SaaS 解决方案。请参阅 VPC 定价,了解接口类终端节点的价格。
 

账单

问:Amazon VPC 的使用如何收费和记账?

创建和使用 VPC 本身不另收费用。对包括 Amazon EC2 在内的其他 Amazon Web 的使用依然按照公布的费率收取费用,另外还有数据传输费。如果您使用可选的硬件 VPN 连接将您的 VPC 连接到公司数据中心,定价的依据为 VPN 连接小时数(VPN 连接处于“可用”状态的时长。)未满一小时的按一小时计费。通过 VPN 连接传输的数据按照标准的 AWS 数据传输费率收取费用。有关 VPC-VPN 的定价信息,请访问 Amazon VPC 产品页面定价部分

问:如何定义应计费 VPN 连接小时?

VPN 连接小时数是指按您 VPN 连接处于可用状态的时间计费。您可以通过 AWS 管理控制台、CLI 或 API 确定 VPN 连接的状态。如果您不想再用您的 VPN 连接,您只需终止 VPN 连接以免对其他 VPN 连接时数计费。

问:从 VPC 中的 Amazon EC2 实例使用 Amazon S3 等其他 AWS 服务会产生哪些使用费?

对包括 Amazon EC2 在内的其他 Amazon Web 服务的使用依然按照公布的费率收取费用。通过 VPC 的 Internet 网关访问 Amazon S3 等 Amazon Web Services 服务时,不会产生数据传输费用。

如果您通过 VPN 连接访问 AWS,则会产生互联网数据传输费。

问:你们的价格包括税费吗?

除非另行说明,否则我们的价格不包括适用的税费和税收(包括增值税和适用销售税)。使用日本账单地址的客户若要使用 AWS,则需缴纳日本消费税。了解更多

连接

问:VPC 有哪些连接选择?

您可以将 VPC 连接到:

  • Internet(通过 Internet 网关)
  • 您公司中使用硬件 VPN 连接的数据中心(通过虚拟专用网关)
  • Internet 和公司数据中心(同时利用 Internet 网关和虚拟专用网关)
  • 其他 AWS 服务(通过 Internet 网关、NAT、虚拟专用网关或 VPC 终端节点)
  • 其他 VPC (通过 VPC 对等连接)
 
问:如何将 VPC 与 Internet 连接?
 
Amazon VPC 支持创建 Internet 网关。此网关可以让 VPC 中的 Amazon EC2 实例能够直接连接 Internet。
 
问:对 Internet 网关是否设有带宽限制?我需不需要关心其可用性?会不会成为单一故障点?
 
没有。Internet 网关具有水平扩展、冗余和高度可用三大特点。不存在带宽限制。
 
问:VPC 中的实例如何访问 Internet?
 
您可以使用公有 IP 地址 (包括弹性 IP 地址 [EIP]) 让 VPC 中的实例直接与 Internet 进行出站通信,以及从 Internet (例如 Web 服务器) 接收未经请求的入站流量。您也可以使用下一个问题中介绍的解决方案。
 
问:没有公有 IP 地址的实例如何访问 Internet?
 
没有公有 IP 地址的实例可以通过以下两种方式之一访问 Internet:
 
  1. 没有公有 IP 地址的实例可以通过 NAT 网关或 NAT 实例来传输流量,从而访问 Internet。这些实例使用 NAT 网关或 NAT 实例的公有 IP 地址来访问 Internet。NAT 网关或 NAT 实例允许出站通信,但不允许 Internet 上的计算机主动连接具有私有地址的实例。
  2. 对于通过硬件 VPN 或 Direct Connect 进行连接的 VPC,实例可以将其 Internet 流量通过虚拟专用网关下传到现有的数据中心。它可从该处借助现有出口点和网络安全/监控设备访问 Internet。
 
问:可否使用软件 VPN 连接 VPC?
 
可以。您可以使用第三方软件 VPN,利用您的 VPC 经由 Internet 网关创建站到站或远程访问 VPN 连接。
 
问:硬件 VPN 连接如何使用 Amazon VPC?
 
硬件 VPN 连接将 VPC 与数据中心连接。Amazon 支持 Internet 协议安全 (IPsec) VPN 连接。VPC 与数据中心直接的数据传输通过加密的 VPN 连接进行路由,保护数据在传输中的机密性和完整性。建立硬件 VPN 连接不需要 Internet 网关。
 
问:什么是 IPsec?
IPsec 是一个协议套件,通过验证和加密数据流的每个 IP 数据包来保护 Internet 协议 (IP) 通信安全。
 
问:可以使用哪些客户网关设备连接 Amazon VPC?
 
您可以创建的 VPN 连接有两种:静态路由 VPN 连接,以及动态路由 VPN 连接。支持静态路由 VPN 连接的客户网关设备必须能够:
 
  • 使用预共享密钥建立 IKE 安全关联
  • 以隧道模式建立 IPsec 安全关联
  • 使用 AES 128 位或 256 位加密功能
  • 使用 SHA-1 或 SHA-2 (256) 哈希功能
  • 在“Group 2”模式下使用 Diffie-Hellman (DH) Perfect Forward Secrecy 或我们支持的某个其他 DH 组
  • 加密前执行数据包分段
 
除了上述功能外,支持动态路由 VPN 连接的设备还必须能够:
 
  • 建立边界网关协议 (BGP) 对
  • 将隧道绑定到逻辑接口(基于路由的 VPN)
  • 利用 IPsec 失效对端检测
 
问:您支持哪些 Diffie-Hellman 组?
 
我们支持 Phase1 和 Phase2 中的以下 Diffie-Hellman (DH) 组。
 
  • Phase1 DH 组 2、14-18、22、23、24
  • Phase2 DH 组 2、5、14-18、22、23、24
 
问:哪些客户网关设备已知可以使用 Amazon VPC?
 
下列设备符合上述要求,已知可使用硬件 VPN 连接,而且命令行工具也支持自动生成适用于设备的配置文件:
 
请注意,这些示例配置适用于 AES128、SHA1 和 DH 组 2 的最低需求。您需要修改这些示例配置文件才能充分发挥 AES256、SHA256 或其他 DH 组的优势。
 
问:如果没有列出我的设备,何处可以找到有关将它用于 Amazon VPC 的更多信息?
 
建议您查看 Amazon VPC 论坛,因为其他客户可能已在使用相同的设备。
 
问:VPN 连接是否有吞吐量限制?
 
VPN 连接的吞吐量取决于多个因素,如客户网关 (CGW) 的功能、您的连接的容量、平均数据包大小、所用的协议 (TCP 与 UDP),以及您的 CGW 和虚拟专用网关之间的网络延迟。
 
问:有哪些工具可以帮助我对硬件 VPN 配置进行故障排除?
 
DescribeVPNConnection API 可以显示 VPN 连接的状态,包括各个 VPN 隧道的状态 (up/down),并在有隧道处于“down”状态时显示对应的错误消息。AWS 管理控制台中也可显示此类信息。
 
问:如何将 VPC 与我的公司数据中心连接?
 
在现有网络和 Amazon VPC 之间建立硬件 VPN 连接,以便可以和 VPC 中的 Amazon EC2 实例交互,就像它们位于现有网络中一样。在通过硬件 VPN 连接访问 VPC 时,AWS 不会对 Amazon EC2 实例执行 网络地址转 (NAT)
 
问:可以对路由器或防火墙后的 CGW 进行 NAT 吗?
 
可以。您需要启用 NAT-T,并在 NAT 设备上开放 UDP 端口 4500。
 
问:CGW 地址需要使用哪个 IP 地址?

使用 NAT 设备的公有 IP 地址。

问:如何在我的连接上禁用 NAT-T?

您需要在设备上禁用 NAT-T。如果您不打算使用 NAT-T 且不想在设备上禁用它,我们会尝试在 UDP 端口 4500 上建立隧道。如果未开放该端口,则无法建立隧道。

问:我打算在 NAT 后面部署多个 CGW,该如何配置?

您需要为每个连接的 CGW 使用 NAT 设备的公有 IP 地址。此外,还需要确保 UDP 端口 4500 处于开放状态。

问:每条隧道可同时建立多少个 IPsec 安全关联?

AWS VPN 服务是一种基于路由的解决方案,因此当您使用基于路由的配置时,不存在 SA 数量限制。但是,如果您使用的是基于策略的解决方案,则只能使用一个 SA,因为该服务是基于路由的解决方案。

 

IP 寻址

问:VPC 中可以使用哪些 IP 地址范围?

您可以使用主 CIDR 块的任意 IPv4 地址范围,其中包括 RFC 1918 或公有可路由 IP 范围。对于辅助 CIDR 块,则存在一些限制。对于公有可路由 IP 数据块,只能通过虚拟专用网关进行访问,无法通过 Internet 网关从 Internet 访问。AWS 并不向 Internet 公告客户自有的 IP 地址数据块。通过调用相关 API 或通过 AWS 管理控制台,您可以向 VPC 分配 Amazon 提供的 IPv6 CIDR 块。

问:如何向 VPC 分配 IP 地址范围?

您可在创建 VPC 时将单个无类别 Internet 域路由 (CIDR) IP 地址范围指定为主 CIDR 块,并在 VPC 创建完成后添加最多四 (4) 个辅助 CIDR 块。您可以从这些 CIDR 范围内为 VPC 中的子网寻址。请注意,虽然您可以创建 IP 地址范围重叠的多个 VPC,但这样做会妨碍您通过硬件 VPN 连接将这些 VPC 与常用的家庭网络连接。因此,我们建议您不要使用重叠的 IP 地址范围。您可以向 VPC 分配 Amazon 提供的 IPv6 CIDR 块。

问:分配至 VPC 的 IP 地址范围是什么?

默认 VPC 分配有 172.31.0.0/16 的 CIDR 范围。每个默认 VPC 中的默认子网分配有 VPC CIDR 范围内的 /20 个网块。 

问:可否向 Internet 公告我的 VPC 公有 IP 地址范围,并将通过我的数据中心的流量从硬件 VPN 路由到我的 VPC?

可以。您可以通过硬件 VPN 连接路由流量,也可从家庭网络公告该地址范围。

问:可以创建多大的 VPC?

目前,Amazon VPC 支持五 (5) 个 IP 地址范围,一个 (1) 主要和四 (4) 个次要 IPv4 IP 地址范围。每一个范围的大小都介于 /28 (CIDR 表示法) 和 /16 之间。VPC 的 IP 地址范围不能与现有网络的 IP 地址范围重叠。

对于 IPv6,VPC 使用 /56 的固定大小(CIDR 表示法)。VPC 可以同时有 IPv4 和 IPv6 CIDR 块与其关联。

问:是否可以更改 VPC 大小?

可以。您可以通过向现有 VPC 添加四 (4) 个辅助 IPv4 IP 范围 (CIDR) 来扩展 VPC。您也可以通过删除已添加到 VPC 的辅助 CIDR 块来缩小 VPC。但您不能更改 VPC 的 IPv6 地址范围的大小。

问:每个 VPC 可以创建多少个子网?

目前,每个 VPC 可以创建 200 个子网。如果您希望创建更多子网,请在支持中心提交案例

问:子网的大小是否有限制?

子网的大小下限为 /28(或 14 个 IP 地址)。对于 IPv4。子网的大小不能超过在其中创建它们的 VPC。

对于 IPv6,子网大小固定为 /64。仅可将一个 IPv6 CIDR 块分配给一个子网。

问:可否使用分配给某个子网的所有 IP 地址?

不可以。Amazon 会保留各个子网的前面四 (4) 个 IP 地址和最后一 (1) 个 IP 地址,以作 IP 联网之用。 

问:如何将私有 IP 地址分配给 VPC 中的 Amazon EC2 实例?

启动 VPC 中的 Amazon EC2 实例时,您可以选择指定该实例的主要私有 IP 地址。如果不指定主要私有 IP 地址,AWS 将从您分配给该子网的 IP 地址范围中自动寻址。您可以在以下时间分配次要私有 IP 地址:启动实例时、创建弹性网络接口时,或者启动实例后或创建该接口后的任意时间。

问:可否在 VPC 中的 Amazon EC2 实例运行和/或停止时,更改其私有 IP 地址?

在实例或接口的生命周期内,主要私有 IP 地址将一直保留。次要私有 IP 地址则可随时分配、取消分配,或者在接口或实例之间移动。

问:如果停止了 VPC 中的 Amazon EC2 实例,可否在同一 VPC 中启动 IP 地址相同的另一实例?

不可以。只有原先运行的实例处于“已终止”状态时,分配给其的 IP 地址才能用于其他实例。

问:可否同时为多个实例分配 IP 地址?

不可以。您只能一次为一个实例指定 IP 地址(在启动实例时指定)。

问:可否将任意 IP 地址分配给实例?

只要 IP 地址满足以下条件,您便可以将其分配给实例:

  • 属于相关子网的 IP 地址范围
  • 没有被 Amazon 保留用于 IP 联网目的
  • 当前没有分配给其他界面

问:可否将多个 IP 地址分配给一个实例?

可以。您可以将一个或多个次要私有 IP 地址分配给 Amazon VPC 中的弹性网络接口或 EC2 实例。您可以分配的次要私有 IP 地址的数量取决于实例类型。有关可以按不同实例类型分配的辅助私有 IP 地址数量的更多信息,请参阅 EC2 用户指南

问:可否将一个或多个弹性 IP (EIP) 地址分配给基于 VPC 的 Amazon EC2 实例?

可以。不过,这些 EIP 地址只能从 Internet 访问(不能通过 VPN 连接访问)。每个 EIP 地址必须与实例上的一个唯一私有 IP 地址关联。EIP 地址只应该在被配置为将流量直接路由到 Internet 网关的子网中的实例上使用。EIP 无法用于配置为使用 NAT 网关或 NAT 实例访问 Internet 的子网中的实例。这仅适用于 IPv4。目前,Amazon VPC 不支持用于 IPv6 的 EIP。

路由和拓扑

问:Amazon VPC 路由器可以做什么?

Amazon VPC 路由器可以让子网中的 Amazon EC2 实例与同一 VPC 中其他子网内的 Amazon EC2 实例通信。利用 VPC 路由器,子网、Internet 网关和虚拟专用网关也可以互相通信。无法从路由器获得网络使用统计数据,但可使用 Amazon CloudWatch 从实例获取网络使用统计信息。

问:可否修改 VPC 路由表?

可以。您可以创建路由规则,以指定将哪些子网路由到 Internet 网关、虚拟专用网关或其他实例。

问:可否指定哪个子网将使用哪个网关作为其默认网关?

可以。您可以为各个子网创建默认路由。默认路由可以指引流量通过 Internet 网关、虚拟专用网关或 NAT 网关从 VPC 传出。

问:Amazon VPC 是否支持多播广播

不行。

安全和筛选

问:如何确保在 VPC 中运行的 Amazon EC2 实例的安全?

Amazon EC2 安全组可用来帮助确保 Amazon VPC 内实例的安全。VPC 中的安全组可用于指定允许进出各个 Amazon EC2 实例的进站和出站网络流量。没有显式允许进出实例的流量将自动被拒绝。

除了安全组外,通过网络访问控制列表 (ACL) 也可允许或拒绝进出各个子网的网络流量。

问:VPC 中的安全组和 VPC 中的网络 ACL 有什么区别?

VPC 中的安全组指定允许传入或传出 Amazon EC2 实例的流量。网络 ACL 则在子网级别上运作,评估进出某个子网的流量。网络 ACL 可通过设置允许和拒绝规则来进行使用。Network ACL 不能筛选同一子网中实例之间的流量。此外,网络 ACL 执行无状态筛选,而安全组则执行有状态筛选。

问:有状态筛选和无状态筛选有什么区别?

有状态筛选可跟踪请求的来源,并可自动允许将请求的回复返回到来源计算机。例如,允许入站流量进入 Web 服务器上的 TCP 端口 80 的有状态筛选器将允许返回流量(通常为编号较高的端口,如目标 TCP 端口 63)通过客户端与 Web 服务器之间的有状态筛选器。筛选设备维护一个状态表,跟踪来源和目标端口编号与 IP 地址。筛选设备上仅需要一条规则:允许流量进入 Web 服务器的 TCP 端口 80。

无状态筛选则相反,仅检查来源或目标 IP 地址和目标端口,而忽略流量是新请求还是对请求的回复。上例中的筛选设备上需要实施两条规则:一条规则用于允许流量在 TCP 端口 80 上进入 Web 服务器,另一条规则用于允许流量传出 Web 服务器(TCP 端口范围 49、152 到 65、535)。

问:可否在 Amazon VPC 中使用为 Amazon EC2 中实例创建的 SSH 密钥对,而且反过来也可以?

可以。

问:VPC 中的 Amazon EC2 实例可否与非 VPC 中的 Amazon EC2 实例通信?

可以。如果配置了 Internet 网关,目标为位于 VPC 外部的 Amazon EC2 实例的 Amazon VPC 流量将遍历 Internet 网关,然后进入公有 AWS 网络以到达该 EC2 实例。如果没有配置 Internet 网关,或者如果实例位于被配置为通过虚拟专用网关路由的子网中,流量将遍历 VPN 连接,从您的数据中心中传出,然后再次进入公有 AWS 网络。

问:一个地区的 VPC 中的 Amazon EC2 实例可否与另一地区 VPC 中的 Amazon EC2 实例通信?

可以。一个地区内的实例可使用地区间 VPC 对等连接、公有 IP 地址、NAT 网关、NAT 实例、VPN 连接或 Direct Connect 连接相互通信。

问:VPC 中的 Amazon EC2 实例可否与 Amazon S3 通信?

可以。VPC 中的资源可通过多种方式与 Amazon S3 通信。您可以使用 S3 的 VPC 端点,它可确保将所有流量都保持在 Amazon 的网络中,并使您能够将其他访问策略应用于 Amazon S3 流量。您可以使用 Internet 网关从 VPC 对 Internet 进行访问,并且 VPC 中的实例可以与 Amazon S3 进行通信。您也可以让流向 Amazon S3 的所有流量遍历 Direct Connect 或 VPN 连接,再从数据中心流出,然后重新进入公共 AWS 网络。

问:为何不能 Ping 与我的子网连接的路由器或我的默认网关?

不支持对 VPC 中路由器的 Ping(ICMP 回显请求和回显回复)请求。只要您的操作系统防火墙、VPC 安全组和网络 ACL 允许此类流量,就可对 VPC 中 Amazon EC2 实例间的 Ping 操作予以支持。

问:是否可以监控我的 VPC 中的网络流量?

是的。您可以使用 Amazon VPC Flow Logs 功能来监控 VPC 中的网络流量。

Amazon VPC 与 Amazon EC2

问:可以在哪个 (些) Amazon EC2 地区中使用 Amazon VPC?

Amazon VPC 目前可以在所有 Amazon EC2 地区的多个可用区中使用。

问:一个 VPC 可否跨越多个可用区?

是的。 

问:一个子网可否跨越多个可用区?

不可以。子网必须位于单个可用区中。

问:如何指定在哪个可用区中启动我的 Amazon EC2 实例?

启动 Amazon EC2 实例时,您必须指定要在其中启动该实例的子网。该实例将在与指定子网关联的可用区中启动。

问:如何确定我的子网所在的可用区?

在创建子网时,您必须指定要放置该子网的可用区。使用 VPC 向导时,您可以在向导确认屏幕中选择子网可用区。在使用 API 或 CLI 时,您可以像创建子网时一样指定子网的可用区。如果不指定可用区域,则将选取默认的“No Preference”选项,子网也会在相应地区中已有的可用区域中创建。

问:是否要为不同子网中实例之间的网络带宽支付费用?

如果实例驻留在不同可用区中的子网内,每传输 1GB 数据,您将需要支付 0.01 USD 的传输费。

问:调用 DescribeInstances() 时,可否看到我的所有 Amazon EC2 实例,包括位于 EC2-Classic 和 EC2-VPC 中的实例?

可以。DescribeInstances() 将返回所有运行中的 Amazon EC2 实例。您可以通过子网字段中条目区别 EC2-Classic 实例与 EC2-VPC 实例。如果列出了子网 ID,则该实例位于 VPC 中。 

问:调用 DescribeVolumes() 时,可否看到我的所有 Amazon EBS 卷,包括位于 EC2-Classic 和 EC2-VPC 中的卷?

可以。DescribeVolumes() 将返回您的所有 EBS 卷。

问:一个 VPC 中可使用多少个 Amazon EC2 实例?

您可以在一个 VPC 中运行任意数量的 Amazon EC2 实例,只要 VPC 设置了适当的大小,以便为每个实例分配一个 IP 地址。初始状态下,限制一次最多启动 20 个 Amazon EC2 实例,并且 VPC 的大小上限为 /16(65 536 个 IP)。如果要提高这些限制,请填写以下表单

问:可否在 Amazon VPC 使用现有的 AMI?

您可以在 Amazon VPC 使用注册地区与您的 VPC 相同的 AMI。例如,您可以将注册在 us-east-1 的 AMI 用于 us-east-1 中的 VPC。有关更多信息,请参阅 Amazon EC2 地区和可用区常见问题

问:可否使用现有的 Amazon EBS 快照?

可以。如果 Amazon EBS 快照与您的 VPC 位于同一地区中,您就可以使用它们。有关更多详细信息,请参阅 Amazon EC2 地区和可用区常见问题

问:可否从 Amazon VPC 中的 Amazon EBS 卷启动 Amazon EC2 实例?

可以。不过,VPC 中使用由 Amazon EBS 支持的 AMI 启动的实例将在停止和重新启动后保持相同的 IP 地址。这与相似的实例从 VPC 之外启动时相反,那时会获取新的 IP 地址。子网中任何停止的实例的 IP 地址将视为不可用。

问:可否将 Amazon EC2 预留实例用于 Amazon VPC?

可以。您可以在购买预留实例时,在 Amazon VPC 中预留实例。计算账单时,AWS 不区分您的实例是在 Amazon VPC 中还是在标准的 Amazon EC2 中运行。AWS 将自动优化哪些实例按照更低的预留实例费用收费,确保您始终支付最低的金额。不过,您的实例预留将仅限于 Amazon VPC。有关进一步详情,请参阅预留实例页面。

问:可否在 Amazon VPC 中使用 Amazon CloudWatch?

是的。

问:可否在 Amazon VPC 中使用 Auto Scaling?

是的。 

问:是否可以在 VPC 中启动 Amazon EC2 集群实例?

可以。Amazon VPC 支持集群实例,但是并非所有实例类型在所有区域和所有可用区都可用。

 

默认 VPC

问:什么是默认 VPC?

默认 VPC 是 AWS 云中的逻辑独立虚拟网络,在您初次配置 Amazon EC2 资源时,会为您的 AWS 账户自动创建。当您启动实例而未指定子网 ID 时,实例便会在默认 VPC 中启动。

问:默认 VPC 有哪些优势?

当您在默认 VPC 中启动资源时,Amazon VPC (EC2-VPC) 的高级网络功能以及 Amazon EC2 (EC2-Classic) 的易用性可为您提供诸多益处。您可以享用各种功能,包括运行中更改安全组成员、安全组出口过滤、多 IP 地址以及多网络接口,而无需专门创建 VPC 并在其中启动实例。

问:启用默认 VPC 的账户有哪些?

如果您的 AWS 账户是在 2013 年 3 月 18 日之后创建的,则可以在默认 VPC 中启动资源。请参见此论坛公告以确定哪些区域已经启用默认 VPC 功能集。而对于在所列日期之前创建的账户,则可以在任何已启用默认 VPC 的区域(您未曾在该区域启动过 EC2 实例或预置过 Amazon Elastic Load Balancing、Amazon RDS、Amazon ElastiCache 或 Amazon Redshift 资源)中使用默认 VPC。

问:如何确定我的账户是否被配置为使用默认 VPC?

Amazon EC2 控制台会显示在所选地区中您可以启动实例的平台,以及在该地区您是否拥有默认 VPC。检查您要使用的地区已在导航栏中选定。在 Amazon EC2 控制台仪表板上,从“Account Attributes”下找到“Supported Platforms”。如果有两个值,EC2-Classic 和 EC2-VPC,则可以在任一个平台上启动实例。如果有一个值,EC2-VPC,则只能在 EC2-VPC 中启动实例。如果您的账户被配置为使用默认 VPC,则会在“Account Attributes”下列出您的默认 VPC ID。您还可以使用 EC2 DescribeAccountAttributes API 或 CLI 来描述您的受支持平台。

问:是否需要了解一些关于 Amazon VPC 的信息,以便使用默认 VPC?

不用。可以使用 AWS 管理控制台、AWS EC2 CLI 或 Amazon EC2 API 在默认 VPC 中启动和管理 EC2 实例及其他 AWS 资源。AWS 会为您自动创建默认 VPC,并在 AWS 区域中的每个可用区中创建默认子网。您的默认 VPC 将会连接到 Internet 网关,您的实例会自动接收公有 IP 地址,这与 EC2-Classic 类似。

问:EC2-Classic 和 EC2-VPC 中启动的实例有何不同?

请参阅《EC2 用户指南》中的EC2-Classic 与 EC2-VPC 之间的区别

问:是否必须通过 VPN 连接使用默认 VPC?

否。默认 VPC 会附到 Internet 且所有在默认 VPC 的默认子网中启动的实例会自动接收公有 IP 地址。可以将 VPN 连接添加到您选择的默认 VPC 中。

问:能否创建其他 VPC 并与默认 VPC 一同使用?

可以。要在非默认 VPC 中启动实例,必须在实例启动期间指定子网 ID。

问:能否在默认 VPC 中创建其他子网,如私有子网?

可以。要启动并进入非默认子网中,您可以使用控制台或者 CLI、API 或 SDK 中的 --subnet 选项设定启动目标。

问:最多可以拥有多少个默认 VPC?

对于将“Supported Platforms”属性设为“EC2-VPC”的每个 AWS 区域,可以拥有一个默认 VPC。

问:默认 VPC 的 IP 范围是什么?

默认 VPC CIDR 为 172.31.0.0/16。默认子网在默认 VPC CIDR 中使用 /20 CIDR。

问:一个默认 VPC 包含多少个默认子网?

系统会在您的默认 VPC 中为每个可用区创建一个默认子网。

问:能否自行指定默认 VPC?

目前不可以。

问:能否自行指定默认子网?

目前不可以。

问:能否删除默认 VPC?

能,您可以删除默认 VPC。删除后,您可以直接通过 VPC 控制台或使用 CLI 创建新的默认 VPC。这样做将在相应地区创建一个新的默认 VPC,而不会还原之前删除的 VPC。

问:能否删除默认子网?

能,您可以删除默认子网。删除后,您可以使用 CLI 或 SDK 在可用区中创建新的默认子网。这将在指定的可用区中创建新的默认子网,而不会还原之前删除的子网。

问:我现在有一个 EC2-Classic 账户。能否获得默认 VPC?

获得默认 VPC 的最简单方法是,在已启用默认 VPC 的区域中创建一个新账户,或在从未到过的区域中使用现有账户,只要该区域中该账户的“支持的平台”属性设为“EC2-VPC”即可。

问:我很想让我现有的 EC2 账户拥有默认 VPC。是否可行?

可以,但是,如果您在该区域的账户中没有任何 EC2-Classic 资源,我们只能为默认 VPC 启用现有账户。此外,您还必须终止该区域中的所有非 VPC 配置的 Elastic Load Balancer、Amazon RDS、Amazon ElastiCache 和 Amazon Redshift 资源。在为您的账户配置默认 VPC 后,所有未来资源启动(包括通过 Auto Scaling 启动实例)都将在您的默认 VPC 中执行。要申请为您的现有账户设置默认 VPC,请联系 AWS Support。我们会审核您的申请和您的现有 AWS 产品以及 EC2-Classic 的情况,以确定您是否有资格获得默认 VPC。

问:默认 VPC 对 IAM 账户有哪些影响?

如果您的 AWS 账户拥有默认 VPC,则与 AWS 账户关联的任何 IAM 账户会使用与 AWS 账户相同的默认 VPC。

 

弹性网络接口

问:可否在 EC2 实例运行时,连接或断开一个或多个网络接口?

可以。

问:一个 EC2 实例可否连接两个以上网络接口?

EC2 实例上可以连接的网络接口总数取决于实例类型。有关不同实例类型允许的网络接口数量的更多信息,请参阅《EC2 用户指南》。

问:可否将一个可用区中的网络接口连接到另一可用区中的实例?

网络接口只能连接到位于相同可用区中的实例。

问:可否将一个 VPC 中的网络接口连接到另一 VPC 中的实例?

网络接口只能连接到该接口所在 VPC 中的实例。

问:可否使用弹性网络接口这种方式在一个实例上托管要求单独 IP 地址的多个网站?

可以。不过,这不是符合多接口的最佳使用案例。相反,您应当为实例分配额外的私有 IP 地址,然后根据需要将 EIP 与这些私有 IP 关联。

问:弹性 IP 地址与网络接口关联,但该网络接口没有连接运行中的实例时,是否会收取费用?

是的。

问:可否断开 EC2 实例上的主要接口 (eth0)?

不可以。您可以连接和断开 EC2 实例上的次要接口 (eth1-ethn),但不能断开 eth0 接口。

 

对等连接

问:可否创建连接到不同地区中的 VPC 的对等连接?

可以。可面向不同地区中的 VPC 创建对等连接。地区间 VPC 对等连接目前在 AWS 美国东部 (弗吉尼亚)、美国东部 (俄亥俄州)、美国西部 (俄勒冈州) 和欧盟 (爱尔兰) 地区受支持。

问:能否将我的 VPC 对等连接到其他 AWS 账户的 VPC?

可以,只要其他 VPC 的所有者接受您的对等连接请求。

问:能否将 IP 地址范围匹配的两个 VPC 进行对等连接?

不能。对等连接的 VPC 必须拥有互不重叠的 IP 范围。

问:VPC 对等连接的成本是多少?

创建 VPC 对等连接并不收取费用,但是对等连接点之间的数据传输要收费。如需了解数据传输费率,请参考 EC2 定价页面中关于数据传输的部分。

问:能否使用 AWS Direct Connect 或硬件 VPN 连接访问我已经对等连接的 VPC?

不能。Amazon VPC 不支持“节点到节点路由”。请参考 VPC Peering Guide 了解详细信息。

问:是否需要 Internet 网关才能使用对等连接?

否。VPC 对等连接不需要 Internet 网关。

问:VPC 对等流量在地区中是否已加密?

不是。对等连接的 VPC 中的实例之间的流量始终是私密而隔离的,这类似于相同 VPC 中两个实例之间流量私密而隔离的情形。

问:如果我删除我这边的对等连接,另一边还能访问我的 VPC 吗?

不能。对等连接两边的任一边随时可以中断对等连接。中断对等连接意味着流量不会在两个 VPC 之间产生。

问:如果将 VPC A 对等连接到 VPC B,再将 VPC B 对等连接到 VPC C,是否表示 VPC A 和 VPC C 已经对等连接?

否。不支持传递对等关系。

问:万一我的对等连接出现故障怎么办?

AWS 使用现有 VPC 基础设施创建 VPC 对等连接,既不是网关,也不是 VPN 连接,因此不依赖某个独立的实体硬件。不存在通讯的单一故障点或带宽瓶颈。

地区间 VPC 对等连接采用当前支持 VPC 的横向扩展、冗余且高度可用的技术。地区间 VPC 对等连接流量经过具有内置冗余和动态带宽分配的 AWS 主干。不会发生单点通信故障。

如果地区间对等连接出现故障,流量将不会通过 Internet 路由。

问:对等连接是否设有带宽限制?

对等连接的 VPC 中的实例之间的带宽与相同 VPC 中的实例之间的带宽无异。注意:置放群组可跨越多个对等连接的 VPC,但是,您不会在对等连接的 VPC 中的实例之间获取全部的等分带宽。 了解有关置放群组的更多信息。

问:地区间 VPC 对等连接流量是否加密?

流量使用现代 AEAD (带关联数据的加密认证) 算法进行加密。密钥协议和密钥管理由 AWS 完成。

问:DNS 翻译如何使用地区间 VPC 对等连接?

默认情况下,如果在不同地区的对等连接 VPC 中查询实例的公有主机名,该查询将解析为公有 IP 地址Route 53 的私有 DNS 可使用地区间 VPC 对等连接解析私有 IP 地址。

问:我能否通过地区间 VPC 对等连接引用安全组?

否。安全组无法通过地区间 VPC 对等连接引用。

问:地区间 VPC 对等连接是否支持 IPv6?

否。地区间 VPC 对等连接不支持 IPv6。

问:地区间 VPC 对等连接能否与 EC2-Classic Link 结合使用?

否。地区间 VPC 对等连接无法与 EC2-ClassicLink 结合使用。

问:是否有某些 AWS 服务无法通过地区间 VPC 对等连接使用?

网络负载均衡器、AWS PrivateLink 和 Elastic File System 无法通过地区间 VPC 对等连接使用。

问:什么是 ClassicLink?

Amazon 虚拟私有云 (VPC) ClassicLink 允许在 EC2-Classic 平台中使用 EC2 实例,以使用私有 IP 地址与 VPC 中的实例进行通信。要使用 ClassicLink,请对账户中的 VPC 启用该功能,然后将 VPC 中的安全组与 EC2-Classic 中的实例进行关联。VPC 安全组的所有规则会应用到 EC2-Classic 中的实例之间的通信,也会应用到 VPC 中的实例之间的通信。 

问:ClassicLink 如何收费?

使用 ClassicLink 不会产生额外的费用,但是现有的可用区之间的数据传输将产生费用。有关更多信息,请访问 EC2 定价页面详细了解。

问:如何使用 ClassicLink?

要使用 ClassicLink,首先要为 ClassicLink 在账户中至少启用一个 VPC。然后将 VPC 中的安全组与目标 EC2-Classic 实例进行关联。EC2-Classic 实例现已与 VPC 关联,并且是 VPC 中所选安全组的一部分。EC2-Classic 实例不能同时关联多个 VPC。

问:EC2-Classic 实例是否是 VPC 的一部分?

EC2-Classic 实例不是 VPC 的一部分,而是与实例关联的 VPC 安全组的一部分。VPC 安全组的所有规则和引用会应用到 EC2-Classic 实例中的实例之间的通信,也会应用到 VPC 中的资源之间的通信。

问:能否使用 EC2-Classic 实例和 EC2-VPC 实例中的 EC2 公有 DNS 主机名称来使用私有 IP 进行通信?

不能。当从 EC2-Classic 实例发起查询时,EC2 公有 DNS 主机名称将无法解析 EC2-VPC 实例的私有 IP 地址,反向操作一样行不通。

问:有没有无法启用 ClassicLink 的 VPC?

有的。如果 VPC 使用无类域间路由 (CIDR) 的方式且在 10.0.0.0/8 的范围内 (10.0.0.0/16 和 10.1.0.0/16 除外),则该 VPC 无法启用 ClassicLink。此外,如果 VPC 包含的路由表条目指向 10.0.0.0/8 CIDR 空间而非“本地”目标,则该 VPC 无法启用 ClassicLink。

问:来自 EC2-Classic 实例的流量能否通过 Amazon VPC 并经 Internet 网关、虚拟专用网关流出,或进入对等 VPC?

从 EC2-Classic 实例出来的流量只能路由到 VPC 中的私有 IP 地址。它们不能路由到 VPC 外部的任何目标,包括 Internet 网关、虚拟专用网关或对等 VPC 目标。

问:ClassicLink 是否会对 EC2-Classic 实例以及 EC2-Classic 平台中的其他实例的访问控制造成影响?

ClassicLink 不会改变通过 EC2-Classic 平台中现有的安全组对 EC2-Classic 实例定义的访问控制。

问:在停止/开始循环中,EC2-Classic 实例中的 ClassicLink 设置是否会持续存在?

ClassicLink 连接在 EC2-Classic 实例的停止/开始循环中不会持续存在。当 EC2-Classic 实例停止再开始后,您需要将其再次与 VPC 进行关联。但是,ClassicLink 连接在实例重启循环中不会中断。

问:当我启用 ClassicLink 后,我的 EC2-Classic 实例会不会分配到新的私有 IP 地址?

不存在分配给 EC2-Classic 实例的新的私有 IP 地址。当您对 EC2-Classic 实例启用 ClassicLink 后,实例还会使用既有的私有 IP 地址与 VPC 中的资源进行通信。

问:ClassicLink 是否允许 EC2-Classic 安全组规则引用 VPC 安全组,或者反向引用是否可行?

ClassicLink 不允许 EC2-Classic 安全组规则引用 VPC 安全组,反向引用也不行。

Virtual Private Gateway – 自带自治系统编号

问:这是什么功能?

对于任何新 VGW 来说,借助可配置的私有自治系统编号 (ASN),客户可为 VPN 和 AWS Direct Connect 私有 VIF 在 BGP 会话的 Amazon 端设置 ASN。

问:使用这个功能的费用是多少?

此功能无需支付额外费用。

问:如何将要公开的 ASN 配置/指定为 Amazon 端 ASN?

您可以在创建新的虚拟私有网关 (VGW) 期间将某个要公开的 ASN 配置/指定为 Amazon 端 ASN。您可以使用 VPC 控制台或 EC2/CreateVpnGateway API 调用创建 VGW。

问:在推出该功能之前,Amazon 指定了什么 ASN?

Amazon 指定了以下 ASN:欧洲西部 (都柏林) 9059;亚太地区 (新加坡) 17493 和亚太地区 (东京) 10124。所有其他地区均指定了 ASN 7224;这些 ASN 被称为地区的“早期公有 ASN”。

问:我能否使用 ASN – 公有和私有?

您可以将任意私有 ASN 指定给 Amazon 端。在 2018 年 6 月 30 日之前,您可以指定地区的“早期公有 ASN”,但不能指定任何其他公有 ASN。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。

问:我为什么不能在 BGP 会话中途为 Amazon 指定公有 ASN?

Amazon 不会验证 ASN 的所有权,因此我们将 Amazon 端 ASN 限定为私有 ASN。我们要保护客户免受欺诈。

问:我可以选择什么 ASN?

您可以选择任何私有 ASN。16 位私有 ASN 的范围是从 64512 到 65534。您还可以提供介于 4200000000 与 4294967294 之间的 32 位 ASN。

如果您没有选择 ASN,Amazon 将为 VGW 提供默认 ASN。在 2018 年 6 月 30 日之前,Amazon 将继续提供地区的“早期公有 ASN”。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。

问:如果我尝试在 BGP 会话中途向 Amazon 指定公有 ASN,会发生什么?

一旦您尝试创建 VGW,我们就会要求您重新输入私有 ASN,除非它是地区的“早期公有 ASN”。

问:如果我不在 BGP 会话中途为 Amazon 提供 ASN,那么我可以期待 Amazon 会为我指定什么 ASN 呢?

如果您没有选择 ASN,Amazon 将为 VGW 提供一个 ASN。在 2018 年 6 月 30 日之前,Amazon 将继续提供地区的“早期公有 ASN”。2018 年 6 月 30 日之后,Amazon 将提供 ASN 64512。

问:我可以在哪里查看 Amazon 端 ASN?

您可以在 VPC 控制台的 VGW 页面和 EC2/DescribeVpnGateways API 响应中查看 Amazon 端 ASN。

问:如果我有公有 ASN,它是否会与 AWS 端的私有 ASN 搭配使用?

是,您可以将 BGP 会话的 Amazon 端配置为私有 ASN,将您的这一端配置为公有 ASN。

问:我已配置了私有 VIF,并且想要在现有 VIF 中为 BGP 会话设置其他 Amazon 端 ASN。我应如何进行此项更改?

您将需要创建使用所需 ASN 的新 VGW,并使用新创建的 VGW 创建新 VIF。您的设备配置还需要做出相应更改。

问:我已配置 VPN 连接,并且想要为这些 VPN 的 BGP 会话修改 Amazon 端 ASN。我应如何进行此项更改?

您将需要创建使用所需 ASN 的新 VGW,并在客户网关和新创建的 VGW 之间重新创建 VPN 连接。

问:我已使用 Amazon 指定的公有 ASN 7224 配置了 VGW 和私有 VIF/VPN 连接。如果 Amazon 自动生成用于新私有 VGW 的 ASN,那么 Amazon 会为我指定什么 Amazon 端 ASN?

Amazon 将为用于新 VGW 的 Amazon 端 ASN 指定 64512。

问:我已使用 Amazon 指定的公有 ASN 配置了 VGW 和私有 VIF/VPN 连接。我想将 Amazon 指定的同一公有 ASN 用于我创建的新私有 VIF/VPN 连接。应如何操作?

您可以在创建新的虚拟私有网关 (VGW) 期间将某个要公开的 ASN 配置/指定为 Amazon 端 ASN。您可以使用控制台或 EC2/CreateVpnGateway API 调用创建 VGW。正如之前提到的,我们允许对您新创建的 VGW 使用“早期公有 ASN”。

问:我已使用 Amazon 指定的公有 ASN 7224 配置了 VGW 和私有 VIF/VPN 连接。如果 Amazon 使用同一 VGW 来自动生成用于新私有 VIF/VPN 连接的 ASN,那么 Amazon 会为我指定什么 Amazon 端 ASN?

Amazon 将为用于新 VIF/VPN 连接的 Amazon 端 ASN 指定 7224。用于新私有 VIF/VPN 连接的 Amazon 端 ASN 继承的是您现有的 VGW 并默认为该 ASN。

问:我向单个 VGW 连接了多个私有 VIF。每个 VIF 能否拥有单独的 Amazon 端 ASN?

不能,您可以为每个 VGW 而不是每个 VIF 指定/配置单独的 Amazon 端 ASN。用于 VIF 的 Amazon 端 ASN 继承的是所连接 VGW 的 Amazon 端 ASN。

问:我对单个 VGW 创建了多个 VPN 连接。每个 VPN 连接能否拥有单独的 Amazon 端 ASN?

不能,您可以为每个 VGW 而不是每个 VPN 连接指定/配置单独的 Amazon 端 ASN。用于 VPN 连接的 Amazon 端 ASN 继承的是 VGW 的 Amazon 端 ASN。

问:我可以在哪里选择我自己的 ASN?

在 VPC 控制台中创建 VGW 时,取消选中询问您是否需要自动生成的 Amazon BGP ASN 并在 BGP 会话中途为 Amazon 提供您自己的私有 ASN 的框。VGW 配置了 Amazon 端 ASN 后,使用 VGW 创建的私有 VIF 或 VPN 连接将使用您的 Amazon 端 ASN。

问:我目前使用的是 CloudHub。我日后是不是一定要调整配置?

您不需要进行任何更改。

问:我想选择 32 位 ASN。32 位私有 ASN 的范围是什么?

我们支持介于 4200000000 与 4294967294 之间的 32 位 ASN。

问:VGW 创建后,我能否更改或修改 Amazon 端 ASN?

不能,创建 VGW 后,您将无法修改 Amazon 端 ASN。您可以删除该 VGW,再重新创建使用所需 ASN 的新 VGW。

问:是否可以为 Amazon 端 ASN 配置/指定新的 API?

不可以。您可以使用与之前相同的 API (EC2/CreateVpnGateway) 执行该操作。我们刚向该 API 添加了新的参数 (amazonSideAsn)。

问:是否可以使用新的 API 来查看 Amazon 端 ASN?

不可以。您可以使用相同的 EC2/DescribeVpnGateways API 来查看 Amazon 端 ASN。我们刚向该 API 添加了新的参数 (amazonSideAsn)。

 

问:什么是 AWS PrivateLink?

AWS PrivateLink 使客户能够通过高度可用且可扩展的方式来访问托管在 AWS 上的服务,同时将所有网络流量限制在 AWS 网络内。服务用户可借此从他们的 Amazon Virtual Private Cloud (VPC) 或本地对 PrivateLink 支持的服务进行私有访问,而无需使用公有 IP,也不需要让流量遍历整个 Internet。服务拥有者可以将自己的网络负载均衡器注册到 PrivateLink 服务中,将服务提供给其他 AWS 客户。

问:如何能使用 AWS PrivateLink?

作为服务用户,您需要为 PrivateLink 支持的服务创建接口类型 VPC 终端节点。这些服务终端节点将在 VPC 中显示为带私有 IP 的弹性网络接口 (ENI)。这些终端节点创建后,目标为这些 IP 的所有流量都将以私有方式路由到相应 AWS 服务。

作为服务拥有者,您可以在您的服务前面部署网络负载均衡器 (NLB) 并创建 PrivateLink 服务以在其中注册 NLB,从而将您的服务加入到 AWS PrivateLink 中。在您将客户的账户和 IAM 角色加入白名单之后,他们能够在他们的 VPC 中建立终端节点以连接到您的服务。

问:PrivateLink 中目前有哪些 AWS 产品?

以下 AWS 产品均支持此功能:Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Kinesis Streams、Service Catalog 和 EC2 Systems Manager。许多 SaaS 解决方案也支持此功能。有关 AWS PrivateLink 支持的更多 SaaS 产品的信息,请访问 AWS Marketplace

问:能否通过 AWS Direct Connect 对由 AWS PrivateLink 提供支持的服务进行私有访问?

可以。您的本地应用程序可通过 AWS Direct Connect 连接到 Amazon VPC 中的服务终端节点。这些服务终端节点会自动将流量定向到由 AWS PrivateLink 提供支持的 AWS 产品。

其他问题

问:可否使用 AWS 管理控制台控制和管理 Amazon VPC?

可以。您可以使用 AWS 管理控制台管理 Amazon VPC 数据元,如 VPC、子网、路由表、Internet 网关和 IPSec VPN 连接。此外,您也可以使用一个简单向导来创建 VPC。

问:我可以创建多少个 VPC、子网、弹性 IP 地址、Internet 网关、客户网关、虚拟专用网关和 VPN 连接?

数量如下:

  • 每个区域每个 AWS 账户 5 个 Amazon VPC
  • 每个 Amazon VPC 200 个子网
  • 每个区域每个 AWS 账户 5 个 Amazon VPC 弹性 IP 地址
  • 每个 VPC 1 个 Internet 网关
  • 每个区域的每个 AWS 账户 5 个虚拟专用网关
  • 每个区域的每个 AWS 账户 50 个客户网关
  • 每个虚拟专用网关 10 个 IPsec VPN 连接

有关 VPC 限制的更多信息,请参阅 VPC 用户指南

问:Amazon VPC VPN 连接是否有服务等级协议 (SLA)?

暂时不能。 

问:可否为 Amazon VPC 获取 AWS Support?

可以。有关 AWS Support 的更多信息,请点击此处

问:可否将 ElasticFox 用于 Amazon VPC?

通过 ElasticFox 管理 Amazon VPC 不再受官方支持。Amazon VPC 支持可通过 AWS API、命令行工具、AWS 管理控制台以及许多第三方实用程序提供。

 

了解 Amazon VPC 的更多信息

访问产品详细信息页面
准备好开始使用?
注册
还有更多问题?
联系我们