Amazon Virtual Private Cloud

在 AWS 雲端中邏輯隔離的虛擬網路上進行建置。

Amazon Virtual Private Cloud (Amazon VPC) 服務可讓您在您定義的邏輯隔離虛擬網路中啟動 AWS 資源。您可以完全掌控虛擬聯網環境,包括選擇自己的 IP 地址範圍、建立子網路,以及配置路由表和網路閘道。針對大多數資源,您可在 Virtual Private Cloud 使用 IPv4 與 IPv6,協助確保安全輕鬆地存取資源和應用程式。

Amazon VPC 是 AWS 基礎服務之一,可讓您輕鬆自訂 VPC 的網路組態。您可以為可存取網際網路的 Web 伺服器建立一個公開子網路。您還可以將後端系統 (如資料庫或應用程式伺服器) 放置在無法存取網際網路的私有子網路中。使用 Amazon VPC,您可利用安全群組和網路存取控制清單等多重保護,協助控制對各個子網路中 Amazon EC2 執行個體的存取。

關於 AWS VPC 聯網基礎知識的 2019 AWS 高峰會影片 (40:08)

使用 Amazon Virtual Private Cloud (Amazon VPC) 的優勢

安全且受監控的網路連線

Amazon VPC 可提供進階安全功能,可讓您在執行個體層級和子網路層級進行傳入和傳出流量篩選。此外,您還可以在 Amazon S3 中存放資料並限制存取,以便只能從 VPC 中的執行個體存取這些資料。Amazon VPC 亦具備監控功能,可讓您執行頻外監控和內嵌流量檢查等功能,協助您篩選流量和確保流量安全。

設定和使用簡單

Amazon VPC 設定非常簡單,您只需花費很少的時間來設定、管理和驗證,因此,可以集中精力建置在 VPC 中執行的應用程式。您可使用 AWS 管理主控台命令列界面 (CLI) 輕鬆建立 VPC。從常用的網路設定中選擇,並找到最適合您需求的選項之後,VPC 會自動建立您所需的子網路、IP 範圍、路由表和安全群組。設定網路之後,使用 Reachability Analyzer 便可輕鬆進行驗證。

可自訂的虛擬網路

Amazon VPC 可讓您選擇自己的 IP 地址範圍、建立子網路,以及設定路由表至任何可用閘道,從而協助您掌控虛擬聯網環境。您可為存取網際網路的 Web 伺服器建立一個公開子網路,以此來自訂網路組態。將後端系統 (如資料庫或應用程式伺服器) 放置在私有子網路中。使用 Amazon VPC,可以確保 Virtual Private Cloud 的設定滿足您的特定業務需求。

使用案例

託管簡單的公開網站

在 VPC 中託管部落格這類基本 Web 應用程式或簡單的網站,並獲得 Amazon VPC 提供的額外私隱和安全保護層。您可以建立安全群組規則,在允許 Web 伺服器回應傳入 HTTP 和 SSL 請求的同時,禁止該 Web 伺服器啟動與網際網路的傳出連線,以此保護網站的安全。從 Amazon VPC 主控台精靈中選擇 VPC with a Single Public Subnet Only (僅含單一公有子網路的 VPC),以建立支援此類使用案例的 VPC。

託管多層 Web 應用程式

託管多層 Web 應用程式,在您的 Web 伺服器、應用程式伺服器和資料庫之間嚴格實施存取和安全限制。在公眾可存取的子網路中啟動 Web 伺服器,同時在私有子網路中執行應用程式伺服器和資料庫。這可確保應用程式伺服器和資料庫無法從網際網路直接存取。使用由網路存取控制清單和安全群組提供的傳入和傳出封包篩選功能,控制伺服器和子網路之間的存取。要建立支援此類使用案例的 VPC,您可以在 Amazon VPC 主控台精靈中選擇 VPC with Public and Private Subnets (含公有和私有子網路的 VPC)

在災難之後備份和復原您的資料

將 Amazon VPC 用於災難復原,您只需花費一小部分費用,便可獲得災難復原網站的所有優勢。您可以定期將關鍵資料從資料中心備份到配有 Amazon Elastic Block Store (EBS) 磁碟區的少量 Amazon EC2 執行個體中,或者將虛擬機器映像匯入到 Amazon EC2。為確保業務連續性,Amazon VPC 可讓您快速啟動 AWS 中的替代運算容量。災害過後,您可以將任務關鍵型資料發回到資料中心,並終止不再需要的 Amazon EC2 執行個體。

將公司網路擴展到雲端中

透過將 VPC 與公司網路連接,將公司應用程式轉移到雲端中、啟動額外的 Web 伺服器,或者增加網路的運算容量。由於 VPC 可以託管在公司防火牆之外,因此您可以將 IT 資源無縫遷移到雲端中,而不必變更使用者對這些應用程式的存取方式。此外,您可在 AWS Outposts 中託管 VPC 子網路。這項服務可將原生 AWS 服務、基礎設施和操作模型用於幾乎所有的資料中心、主機代管空間或內部部署設施。從 Amazon VPC 主控台精靈中選擇 VPC with a Private Subnet Only and Hardware VPN Access (僅含私有子網路和硬體 VPN 存取的 VPC),以建立支援此類使用案例的 VPC。

將雲端應用程式安全地連線至您的資料中心

Amazon VPC 與公司網路之間的 IPsec VPN 連接,有助於加密雲端中應用程式伺服器與資料中心內的資料庫之間進行的所有通訊。您 VPC 中的 Web 伺服器和應用程式伺服器可以利用 Amazon EC2 的彈性功能和 Auto Scaling 功能,根據需要進行擴展和收縮。從 Amazon VPC 主控台精靈中選擇 VPC with a Private Subnet Only and Hardware VPN Access (僅含私有子網路和硬體 VPN 存取的 VPC),以建立支援此類使用案例的 VPC。

合作夥伴

Paloalto Logo
「VM 系列新一代虛擬防火牆與全新的 Amazon VPC 輸入路由功能整合,讓客戶更容易透過我們的威脅防護服務,確保篩選其 VPC 的所有輸入流量。以內嵌方式在其棕地環境插入 VM 系列虛擬防火牆,客戶可以無縫地保護對內流量,免受網際網路及其資料中心的影響。」

- Mukesh Gupta,VM 系列產品管理副總裁

Fortinet_Logo
「Amazon VPC 輸入路由允許 Fortinet 透過對進入其業務關鍵 VPC 的任何流量啟用 Fortinet 網路安全性功能,從而讓客戶更有信心。VPC 輸入路由還提供更為靈活的解決方案,可透過單一 VPC 中的單獨 Fortinet 產品協助保護不同的工作負載。最終,更安全、更靈活的架構將協助客戶減輕與設定錯誤相關的風險,並進一步擴展雲端部署。」

- Lior Cohen, Sr.,Fortinet 雲端安全產品和解決方案總監

CP_logo
「我們的企業客戶通常使用 AWS Transit Gateway 來部署 CloudGuard 進階威脅防禦,但這不適用於 VPC 數量有限的中小型企業。VPC 輸入路由增強功能為客戶提供了更簡單、更有效、更自然的方式,可以為小型部署的客戶提供重新定向流量的功能,以實現進階安全性。」

– Zohar Alon,Check Point 軟體雲端產品負責人

Barracuda_Logo
「VPC 輸入路由讓我們的客戶可以在 Barracuda 的 CloudGen Firewall 到達目的地之前,對其所有外部流量進行篩選。使用 VPC 輸入路由,客戶現在可以根據目的地套用自訂的深度資料包檢查政策。VPC 輸入路由為 Amazon VPC 原生設定,讓我們的客戶更容易部署 Barracuda 的內嵌雲端安全解決方案」

- Klaus Gheri,Barracuda Networks 網路安全總經理/副總裁

Sophos_Logo
「隨著網路犯罪分子越來越多地針對這些雲端環境,並對其啟動進階攻擊,組織保護雲端基礎架構 (包括內部流量) 絕對至關重要。AWS 和 Sophos 正著手應對雲端安全性。憑藉對輸入路由的擴展支援,Sophos UTM 提供了附加安全層,以確保流入和流出 VPC 和其他虛擬設備的流量受到保護。」

- Andy Miller,Sophos 全球公共雲端高級總監

Aviatrix Logo
「利用全新 Amazon VPC 輸入路由增強功能,客戶現在可以將 VPC 網路流量路由至進階內嵌服務。Aviatrix 雲端原生網路軟體包含並擴展了原生 AWS 服務,在這種情況下,全新 VPC 輸入路由與 AWS GuardDuty 服務相結合,可透過 Aviatrix 閘道提供輸入和輸出實施政策。」

- Sherry Wei,Aviatrix 創始人兼執行長

citrix-logo-black
「如今,使用者不關心在何處託管執行其任務所需的應用程式。他們只希望以一致、可靠的方式來執行,以便完成任務。透過整合 Citrix®ADC 和 AWS 的 Amazon VPC 輸入路由,我們可以使用便捷的交付模型,將經過驗證的企業級解決方案帶給大眾,並提供高效能體驗,讓人們能夠在工作中大展身手。」

- Mihir Maniar,Citrix 網路產品管理副總裁

Trend Micro Logo
「Trend Micro 為 AWS 成千上萬的客戶提供多層混合雲端安全性。Amazon VPC 輸入路由為我們的雲端網路安全解決方案帶來了廣泛採用和增強的部署靈活性,讓我們的客戶能夠在不中斷業務應用程式的情況下,快速、大規模地保護其 AWS VPC。」

- Steve Quane,Trend Micro 網路防禦和混合雲端安全執行副總裁

Fire Eye Logo.1e32bd3851f0c10b78513de3684c90b37469f0ab
「能夠將進階威脅防護和違規偵測套用於 AWS 環境,讓 FireEye Network Security 客戶大受裨益。Amazon VPC 輸入路由的推出讓 FireEye Network Security 解決方案在 AWS 中的部署更加輕鬆。這項新功能讓客戶能夠透過網際網路閘道和虛擬私有閘道,將流入和流出 VPC 的南北流量重新定向至第三方設備,而無須使用 NAT 閘道。這樣一來,客戶可以將流量定向至特定設備以進行專門的掃描。能夠更加輕鬆地部署和緊密地整合內部部署、私有和公有雲端資料中心,讓 FireEye 客戶獲益良多。」

- Ramesh Gupta,FireEye 網路安全產品總經理

Versa Logo
「Versa 的 SD-WAN 管理和協調平台提供端對端工作流程自動化,包括在 AWS 上具現化和啟用 WAN 邊緣裝置。現在,客戶還可以使用 Amazon VPC 輸入路由,透過網際網路閘道和虛擬私有閘道將流入和流出 VPC 的流量重新定向至內部部署 Versa 的 NGFW 安全設備。」

- Versa Networks 營銷長

ShieldX_Logo
「ShieldX Elastic Security Platform (ESP) 旨在保護現代的多雲端資料中心。ESP 是一種無代理程式、與雲端無關的解決方案,旨在提供全面且一致的安全控制,隨時隨地保護動態資料中心、雲端基礎架構、應用程式和資料。作為 AWS 合作夥伴,ShieldX 與 AWS 網路功能整合,例如 VPC 流量鏡像和 VPC 輸入路由,以實現連續資產發現、自動網路安全政策產生和第 7 層檢查。這些共同為企業提供了一種全面的解決方案,以監控和防止網路流量在 AWS 公共雲端內部東西南北四處周遊。

- Ken Levine,ShieldX 執行長

Vectra Logo
「Amazon VPC 輸入路由允許我們的客戶在流量到達子網路之前屏蔽所有外部流量。它是 Amazon VPC 的原生產品,能讓我們的客戶更輕鬆地為雲端部署網路偵測和回應。」

- Kevin Sheu,Vectra 產品行銷副總裁

IBM Security Logo
「IBM Security 協助客戶最大程度地增強其 AWS 原生安全控制的有效性。我們憑藉安全架構設計,以及選擇和部署可提供最高安全級別的 AWS 控件來協助客戶。Amazon VPC 輸入路由讓我們能夠靈活地在 VPC 邊緣部署安全解決方案,從而能夠在流量到達 VPC 所包含的工作負載之前,對其進行篩选並攔截南北流量。」

- Mike Sanders,IBM Security Services 雲端安全產品策略計劃總監

Lastline Logo
「藉助我們的雲端原生網路偵測和回應平台,Lastline 與 AWS 緊密合作,為 AWS 中的客戶資料提供安全性改進。Amazon VPC 輸入路由讓我們能夠為客戶提供其 AWS 網路上無與倫比的靈活性和內嵌流量可視性。」

– Christopher Kruegel,博士,Lastline 聯合創始人兼產品長

Netscout Logo black
「最近宣佈推出的 Amazon VPC 輸入路由增強功能,結合 Amazon VPC 流量鏡像功能,讓 NETSCOUT 可以有效地監控 AWS 中的 VPC 區域內和區域間流量,並有效地用於在內部部署資料中心、AWS 和混合雲端中提供無邊界的可視性。」

- Bruce Kelley, Jr.,NETSCOUT 高級副總裁、技術長、服務供應商

Valtix_Logo
「Valtix 首先探索應用程式,再部署網路安全性,然後在 AWS 區域間持續防禦這些應用程式,徹底改變了內嵌雲端網路的安全性。憑藉 Amazon VPC 輸入路由,Valtix 雲端原生防火牆叢集可進入網際網路和 VPC 內子網路的應用程式流量路徑,從而為 AWS 中執行的企業應用程式提供全面的網路流量可視性。」

- Vijay Chander,Valtix 技術長

128T Logo
「企業需要在其資料中心與 Amazon VPC 間建立安全、可靠的連接,而 128 Technology 的 Session Smart™ 路由器為客戶提供了更高級別的安全性、可靠性以及降低的複雜性。透過新增 VPC 輸入路由,我們的客戶能夠更好地控制進入其 Amazon VPC 的流量。128 Technology 很高興成為支援這項服務的生態系統精選合作者群體中的一員。」

- Andy Ory,128 Technology 執行長

Forcepoint
「如今的世界具有高度流動性的勞動力,以及全球分佈的業務環境,Forcepoint 基於雲端的 NGFW 可隨時隨地提供對關鍵資料和智慧財產權安全且通暢的存取,同時降低了組織的混合 IT 堆疊上,遭受零日攻擊和其他新出現的威脅風險。憑藉 Amazon VPC 輸入路由功能,Forcepoint NGFW 客戶可在其網路安全分割中享受更多樣化的便利,同時充分利用其安全功能,類似於我們在 Forcepoint 安全平台中用其來提供動態邊緣保護服務的方式。」

- Nicolas Fischbach,Forcepoint 全球技術長

開始使用 Amazon VPC

您可以在準備就緒的預設 VPC 中自動佈建 AWS 資源。藉由新增或刪除子網路、連接網路閘道、變更預設路由表和修改網路 ACL 來設定此 VPC。

在 AWS 管理主控台的 Amazon VPC 頁面中選取「啟動 VPC 精靈」按鈕,選擇建立其他 VPC。您會看到四種基本網路拓撲。選擇與您要建立的網路拓撲最相似的一種,然後按一下「建立 VPC」按鈕。然後進一步自訂拓撲,以更細緻地滿足您的需求。很快即可開始在 VPC 內啟動 Amazon EC2 執行個體。

部落格和文章

日期
  • 日期
1

進一步了解 Amazon VPC

瀏覽產品詳細資訊頁面
準備好開始建立?
開始使用 Amazon VPC
還有其他問題嗎?
連絡我們