Amazon Virtual Private Cloud

在 AWS 雲端佈建一個在邏輯上隔離的部分,並在此部分內自己定義的虛擬網路中啟動 AWS 資源

Amazon Virtual Private Cloud (Amazon VPC) 允許您在 AWS 雲端佈建一個在邏輯上隔離的部分,並在自己定義的虛擬網路中啟動 AWS 資源。您可以完全掌控虛擬聯網環境,包括選擇自己的 IP 地址範圍、建立子網路,以及配置路由表和網路閘道。您可以在 VPC 中同時使用 IPv4 與 IPv6 來安全且輕鬆地存取資源和應用程式。

您可以輕鬆自訂 Amazon VPC 的網路配置。例如,您可以為可存取網際網路的 Web 伺服器建立一個公開子網路。您還可以將後端系統 (如資料庫或應用程式伺服器) 放置在無法存取網際網路的專用子網路中。您可以利用安全群組和網路存取控制清單等多種安全層,對各個子網路中 Amazon EC2 執行個體的存取進行控制。

VPC 基礎知識和連線選項 (50:50)

優勢

安全

Amazon VPC 提供了安全群組和網路存取控制清單等進階安全功能,以便在執行個體和子網路級別啟用對內和對外篩選功能。此外,您還可以在 Amazon S3 中存放資料並限制存取,使其只能從 VPC 中的執行個體存取這些資料。為了提升安全性,您可以在硬體級建立與其他 AWS 帳戶實體隔離的專用執行個體

簡便

透過 AWS 管理主控台快速又方便地建立 VPC。從常用的網路設定中選擇,並找到最適合您需求的選項。子網路、IP 範圍、路由表和安全群組即會自動建立。您可以花費更少時間來設定和管理,因此,您可以集中精力建置在 VPC 中執行的應用程式。

可自訂

掌控虛擬聯網環境,包括選擇自己的 IP 地址範圍、建立子網路,以及配置路由表和網路閘道。自訂網路組態,例如為可存取網際網路的 Web 伺服器建立公開子網路,而將資料庫或應用程式伺服器等後端系統放在不能存取網路的專用子網路中。

使用案例

託管面向公眾的簡單網站

在 VPC 中託管部落格這類基本 Web 應用程式或簡單的網站,並獲得 Amazon VPC 提供的額外隱私權和安全性。您可以建立安全群組規則,在允許 Web 伺服器回應入站 HTTP 和 SSL 請求的同時,禁止該 Web 伺服器啟動存取網際網路的出站連接,以此鞏固網站的安全保護。從 Amazon VPC 主控台精靈中選擇 "VPC with a Single Public Subnet Only" 即可建立支援此類使用案例的 VPC。

託管多層 Web 應用程式

託管多層 Web 應用程式,在您的 Web 伺服器、應用程式伺服器和資料庫之間嚴格實施存取和安全限制。在可公開存取的子網路中啟動 Web 伺服器,同時在專用子網路中執行應用程式伺服器和資料庫,以便無法直接從網際網路存取應用程式伺服器和資料庫。使用由網路存取控制清單和安全群組提供的對內和對外資料包篩選功能,控制伺服器和子網路之間的存取。要建立支援此類使用案例的 VPC,您可以在 Amazon VPC 主控台精靈中選擇 "VPC with Public and Private Subnets"。

災難復原

透過將 Amazon VPC 應用於災難復原,您可以享有災難復原網站的全部優點,而成本卻只佔花費的一小部分。您可以定期將關鍵資料從資料中心備份到少量配有 Amazon Elastic Block Store (EBS) 磁碟區的 Amazon EC2 執行個體中,或者將虛擬機器映像匯入到 Amazon EC2 中。為確保業務連續性,您可以快速地啟動 AWS 中的替代運算容量。災害過後,您可以將關鍵任務型資料發回到資料中心,並終止您不再需要的 Amazon EC2 執行個體。

將公司網路擴展到雲端中

透過將 VPC 與公司網路連接,將公司應用程式轉移到雲端中、啟動額外的 Web 伺服器,或者增加網路的運算容量。由於 VPC 可以託管在公司防火牆的後方,因此您可以將 IT 資源無縫遷移到雲端中,並且不必變更使用者對這些應用程式的存取方式。從 Amazon VPC 主控台精靈中選擇 "VPC with a Private Subnet Only and Hardware VPN Access" 即可建立支援此類使用案例的 VPC。

將雲端應用程式安全地連線至您的資料中心

Amazon VPC 與公司網路之間的 IPsec VPN 連接,有助於加密雲端中應用程式伺服器與資料中心內的資料庫之間進行的所有通訊。您的 VPC 中的 Web 伺服器和應用程式伺服器可以利用 Amazon EC2 的彈性功能和 Auto Scaling 功能,根據需要進行擴展和收縮。從 Amazon VPC 主控台精靈中選擇 "VPC with Public and Private Subnets and Hardware VPN Access" 即可建立支援此類使用案例的 VPC。

頻外和內嵌流量檢查

Amazon VPC 流量鏡像可複制 EC2 執行個體的彈性網路界面 (ENI) 的流量,以及完整的有效負載資料,並將其傳遞至頻外監控和安全分析工具。

Amazon VPC 輸入路由可讓您輕鬆地部署網路和安全設備,包括第三方產品,內嵌至對內或對外 Amazon VPC 流量。內嵌流量檢查可協助您篩选和確保流量安全,以保護您的工作負載免受惡意人士的侵害。

合作夥伴

Paloalto Logo
「VM 系列新一代虛擬防火牆與全新的 Amazon VPC 輸入路由功能整合,讓客戶更容易透過我們的威脅防護服務,確保篩選其 VPC 的所有輸入流量。以內嵌方式在其棕地環境插入 VM 系列虛擬防火牆,客戶可以無縫地保護對內流量,免受網際網路及其資料中心的影響。」

- Mukesh Gupta,VM 系列產品管理副總裁

Fortinet_Logo
「Amazon VPC 輸入路由允許 Fortinet 透過對進入其業務關鍵 VPC 的任何流量啟用 Fortinet 網路安全性功能,從而讓客戶更有信心。VPC 輸入路由還提供更為靈活的解決方案,可透過單一 VPC 中的單獨 Fortinet 產品協助保護不同的工作負載。最終,更安全、更靈活的架構將協助客戶減輕與設定錯誤相關的風險,並進一步擴展雲端部署。」

- Lior Cohen, Sr.,Fortinet 雲端安全產品和解決方案總監

CP_logo
「我們的企業客戶通常使用 AWS Transit Gateway 來部署 CloudGuard 進階威脅防禦,但這不適用於 VPC 數量有限的中小型企業。VPC 輸入路由增強功能為客戶提供了更簡單、更有效、更自然的方式,可以為小型部署的客戶提供重新定向流量的功能,以實現進階安全性。」

– Zohar Alon,Check Point 軟體雲端產品負責人

Barracuda_Logo
「VPC 輸入路由讓我們的客戶可以在 Barracuda 的 CloudGen Firewall 到達目的地之前,對其所有外部流量進行篩選。使用 VPC 輸入路由,客戶現在可以根據目的地套用自訂的深度資料包檢查政策。VPC 輸入路由為 Amazon VPC 原生設定,讓我們的客戶更容易部署 Barracuda 的內嵌雲端安全解決方案」

- Klaus Gheri,Barracuda Networks 網路安全總經理/副總裁

Sophos_Logo
「隨著網路犯罪分子越來越多地針對這些雲端環境,並對其啟動進階攻擊,組織保護雲端基礎架構 (包括內部流量) 絕對至關重要。AWS 和 Sophos 正著手應對雲端安全性。憑藉對輸入路由的擴展支援,Sophos UTM 提供了附加安全層,以確保流入和流出 VPC 和其他虛擬設備的流量受到保護。」

- Andy Miller,Sophos 全球公共雲端高級總監

Aviatrix Logo
「利用全新 Amazon VPC 輸入路由增強功能,客戶現在可以將 VPC 網路流量路由至進階內嵌服務。Aviatrix 雲端原生網路軟體包含並擴展了原生 AWS 服務,在這種情況下,全新 VPC 輸入路由與 AWS GuardDuty 服務相結合,可透過 Aviatrix 閘道提供輸入和輸出實施政策。」

- Sherry Wei,Aviatrix 創始人兼執行長

citrix-logo-black
「如今,使用者不關心在何處託管執行其任務所需的應用程式。他們只希望以一致、可靠的方式來執行,以便完成任務。透過整合 Citrix®ADC 和 AWS 的 Amazon VPC 輸入路由,我們可以使用便捷的交付模型,將經過驗證的企業級解決方案帶給大眾,並提供高效能體驗,讓人們能夠在工作中大展身手。」

- Mihir Maniar,Citrix 網路產品管理副總裁

Trend Micro Logo
「Trend Micro 為 AWS 成千上萬的客戶提供多層混合雲端安全性。Amazon VPC 輸入路由為我們的雲端網路安全解決方案帶來了廣泛採用和增強的部署靈活性,讓我們的客戶能夠在不中斷業務應用程式的情況下,快速、大規模地保護其 AWS VPC。」

- Steve Quane,Trend Micro 網路防禦和混合雲端安全執行副總裁

Fire Eye Logo.1e32bd3851f0c10b78513de3684c90b37469f0ab
「能夠將進階威脅防護和違規偵測套用於 AWS 環境,讓 FireEye Network Security 客戶大受裨益。Amazon VPC 輸入路由的推出讓 FireEye Network Security 解決方案在 AWS 中的部署更加輕鬆。這項新功能讓客戶能夠透過網際網路閘道和虛擬私有閘道,將流入和流出 VPC 的南北流量重新定向至第三方設備,而無須使用 NAT 閘道。這樣一來,客戶可以將流量定向至特定設備以進行專門的掃描。能夠更加輕鬆地部署和緊密地整合內部部署、私有和公有雲端資料中心,讓 FireEye 客戶獲益良多。」

- Ramesh Gupta,FireEye 網路安全產品總經理

Versa Logo
「Versa 的 SD-WAN 管理和協調平台提供端對端工作流程自動化,包括在 AWS 上具現化和啟用 WAN 邊緣裝置。現在,客戶還可以使用 Amazon VPC 輸入路由,透過網際網路閘道和虛擬私有閘道將流入和流出 VPC 的流量重新定向至內部部署 Versa 的 NGFW 安全設備。」

- Versa Networks 營銷長

ShieldX_Logo
「ShieldX Elastic Security Platform (ESP) 旨在保護現代的多雲端資料中心。ESP 是一種無代理程式、與雲端無關的解決方案,旨在提供全面且一致的安全控制,隨時隨地保護動態資料中心、雲端基礎架構、應用程式和資料。作為 AWS 合作夥伴,ShieldX 與 AWS 網路功能整合,例如 VPC 流量鏡像和 VPC 輸入路由,以實現連續資產發現、自動網路安全政策產生和第 7 層檢查。這些共同為企業提供了一種全面的解決方案,以監控和防止網路流量在 AWS 公共雲端內部東西南北四處周遊。

- Ken Levine,ShieldX 執行長

Vectra Logo
「Amazon VPC 輸入路由允許我們的客戶在流量到達子網路之前屏蔽所有外部流量。它是 Amazon VPC 的原生產品,能讓我們的客戶更輕鬆地為雲端部署網路偵測和回應。」

- Kevin Sheu,Vectra 產品行銷副總裁

IBM Security Logo
「IBM Security 協助客戶最大程度地增強其 AWS 原生安全控制的有效性。我們憑藉安全架構設計,以及選擇和部署可提供最高安全級別的 AWS 控件來協助客戶。Amazon VPC 輸入路由讓我們能夠靈活地在 VPC 邊緣部署安全解決方案,從而能夠在流量到達 VPC 所包含的工作負載之前,對其進行篩选並攔截南北流量。」

- Mike Sanders,IBM Security Services 雲端安全產品策略計劃總監

Lastline Logo
「藉助我們的雲端原生網路偵測和回應平台,Lastline 與 AWS 緊密合作,為 AWS 中的客戶資料提供安全性改進。Amazon VPC 輸入路由讓我們能夠為客戶提供其 AWS 網路上無與倫比的靈活性和內嵌流量可視性。」

– Christopher Kruegel,博士,Lastline 聯合創始人兼產品長

Netscout Logo black
「最近宣佈推出的 Amazon VPC 輸入路由增強功能,結合 Amazon VPC 流量鏡像功能,讓 NETSCOUT 可以有效地監控 AWS 中的 VPC 區域內和區域間流量,並有效地用於在內部部署資料中心、AWS 和混合雲端中提供無邊界的可視性。」

- Bruce Kelley, Jr.,NETSCOUT 高級副總裁、技術長、服務供應商

Valtix_Logo
「Valtix 首先探索應用程式,再部署網路安全性,然後在 AWS 區域間持續防禦這些應用程式,徹底改變了內嵌雲端網路的安全性。憑藉 Amazon VPC 輸入路由,Valtix 雲端原生防火牆叢集可進入網際網路和 VPC 內子網路的應用程式流量路徑,從而為 AWS 中執行的企業應用程式提供全面的網路流量可視性。」

- Vijay Chander,Valtix 技術長

128T Logo
「企業需要在其資料中心與 Amazon VPC 間建立安全、可靠的連接,而 128 Technology 的 Session Smart™ 路由器為客戶提供了更高級別的安全性、可靠性以及降低的複雜性。透過新增 VPC 輸入路由,我們的客戶能夠更好地控制進入其 Amazon VPC 的流量。128 Technology 很高興成為支援這項服務的生態系統精選合作者群體中的一員。」

- Andy Ory,128 Technology 執行長

Forcepoint
「如今的世界具有高度流動性的勞動力,以及全球分佈的業務環境,Forcepoint 基於雲端的 NGFW 可隨時隨地提供對關鍵資料和智慧財產權安全且通暢的存取,同時降低了組織的混合 IT 堆疊上,遭受零日攻擊和其他新出現的威脅風險。憑藉 Amazon VPC 輸入路由功能,Forcepoint NGFW 客戶可在其網路安全分割中享受更多樣化的便利,同時充分利用其安全功能,類似於我們在 Forcepoint 安全平台中用其來提供動態邊緣保護服務的方式。」

- Nicolas Fischbach,Forcepoint 全球技術長

開始使用 Amazon VPC

您可以在準備就緒的預設 VPC 中自動佈建 AWS 資源。藉由新增或刪除子網路、連接網路閘道、變更預設路由表和修改網路 ACL 來設定此 VPC。

在 AWS 管理主控台的 Amazon VPC 頁面中選取「啟動 VPC 精靈」按鈕,選擇建立其他 VPC。您會看到四種基本網路拓撲。選擇與您要建立的網路拓撲最相似的一種,然後按一下「建立 VPC」按鈕。然後進一步自訂拓撲,以更細緻地滿足您的需求。很快即可開始在 VPC 內啟動 Amazon EC2 執行個體。

部落格和文章

Debugging tool for network connectivity from Amazon VPC
作者:Bhavin Desai
 
2019 年 1 月 19 日
VPC sharing: A new approach to multiple accounts and VPC management
作者:Evgeny Vaganov  
 
2019 年 1 月 11 日

進一步了解 Amazon VPC

瀏覽產品詳細資訊頁面
準備好開始建立?
開始使用 Amazon VPC
還有其他問題嗎?
聯絡我們