Amazon Virtual Private Cloud

在 Amazon Web Services (AWS) 雲端佈建一個在邏輯上隔離的部分,並在此部分內自己定義的虛擬網路中啟動 AWS 資源

Amazon Virtual Private Cloud (Amazon VPC) 允許您在 AWS 雲端佈建一個在邏輯上隔離的部分,並在自己定義的虛擬網路中啟動 AWS 資源。您可以完全掌控虛擬聯網環境,包括選擇自己的 IP 地址範圍、建立子網路,以及配置路由表和網路閘道。您可以在 VPC 中同時使用 IPv4 與 IPv6 來安全且輕鬆地存取資源和應用程式。

您可以輕鬆自訂 Amazon VPC 的網路配置。例如,您可以為可存取網際網路的 Web 伺服器建立公有子網路,而將資料庫或應用程式伺服器等後端系統放在不能存取網際網路的私有子網路。您可以利用安全群組和網路存取控制清單等多種安全層,對各個子網路中 Amazon EC2 執行個體的存取進行控制。

輕鬆安全地存取 AWS 上託管的服務。

aws_privatelink_logo

優勢

安全

Amazon VPC 提供了安全群組和網路存取控制清單等進階安全功能,以便在執行個體級別和子網路級別啟用對內和對外篩選功能。此外,您還可以在 Amazon S3 中存放資料並限制存取,使其只能從 VPC 中的執行個體存取這些資料。另外,您可以選擇啟動專用執行個體,這會在單一客戶專屬的硬體上執行,以增加額外的隔離。

簡便

您可以透過 AWS 管理主控台快速又方便地建立 VPC。您可以選擇一種最符合需求的常用網路設置,再按 "Start VPC Wizard"。 系統將為您自動建立子網路、IP 範圍、路由表和安全群組,讓您可以專心建立要在 VPC 中執行的應用程式。

AWS 的所有可擴展性和可靠性

Amazon VPC 提供其他 AWS 平台具備的全部優勢。您可以即時擴展或縮小資源、選擇適用於應用程式的 Amazon EC2 執行個體類型和大小,並僅對您使用的資源支付費用 – 一切盡在 Amazon 最為可靠的基礎設施中。

功能

多種連接選擇

您的 Amazon VPC 具有多種連接選擇。您可以依據希望公開的 AWS 資源和希望保持私密的資源,將 VPC 連接到網際網路、您的資料中心或其他 VPC。

  • 直接連接網際網路 (公有子網路) – 您可以將執行個體啟動到公開存取的子網路中,它們可在其中發送和接收與網際網路之間的通訊。
  • 使用網路地址轉換連接網際網路 (私有子網路) – 私有子網路適用於您不希望直接從網際網路尋址的執行個體。私有子網路中的執行個體可以透過公有子網路中的網路位址轉譯 (NAT) 閘道路由其流量,藉此存取網際網路而不暴露其私有 IP 地址。
  • 安全地連接公司資料中心 – 進出 VPC 中執行個體的流量可以透過產業標準的加密 IPsec 硬體 VPN 連接路由到您的公司資料中心。
  • 私下連接到其他 VPC – 對等 VPC 跨越屬於您或其他 AWS 帳戶的多個虛擬網路共享資源。
  • 透過 VPC 端點以私有連線連接到 AWS 服務,無須使用網際網路閘道、NAT 或防火牆代理。可用的 AWS 服務包括 S3、DynamoDB、Kinesis Streams、Service Catalog、AWS Systems Manager、Elastic Load Balancing (ELB) API、Amazon Elastic Compute Cloud (EC2) API 及 SNS。
  • 透過私有連線連接到 AWS PrivateLink 支援的 SaaS 解決方案。
  • 透過私有連線連接不同帳戶中的內部服務和自己組織內的 VPC,可大幅簡化您的內部網路架構。
  • 使用 Amazon VPC 流量鏡射擷取和鏡射 Amazon EC2 執行個體的網路流量

使用案例

託管面向公眾的簡單網站

您可以在 VPC 中託管部落格這類基本 Web 應用程式或簡單的網站,並獲得 Amazon VPC 提供的額外隱私權和安全性。您可以建立安全群組規則,在允許 Web 伺服器回應入站 HTTP 和 SSL 請求的同時,禁止該 Web 伺服器啟動存取網際網路的出站連接,以此鞏固網站的安全保護。從 Amazon VPC 主控台精靈中選擇 "VPC with a Single Public Subnet Only" 即可建立支援此類使用案例的 VPC。

託管多層 Web 應用程式

您可以使用 Amazon VPC 託管多層 Web 應用程式,在您的 Web 伺服器、應用程式伺服器和資料庫之間嚴格實施存取和安全限制。您可以在公眾可存取的子網路中啟動 Web 伺服器,而在非公眾存取的子網路中啟動應用程式伺服器和資料庫。這些應用程式伺服器和資料庫無法從網際網路直接存取,但它們依然可以透過 NAT 閘道存取網際網路,例如,下載修補程式等。您可以使用由網路存取控制清單和安全群組提供的對內和對外資料包篩選功能,控制伺服器和子網路之間的存取。要建立支援此類使用案例的 VPC,您可以在 Amazon VPC 主控台精靈中選擇 "VPC with Public and Private Subnets"。

在已連接您的資料中心的 AWS 雲端中託管可擴展的 Web 應用程式。

您可以建立一個 VPC,其中一個子網路中的執行個體 (如 Web 伺服器) 可與網際網路通訊,而其他子網路中的執行個體 (如應用程式伺服器) 可與公司網路上的資料庫通訊。VPC 與公司網路之間的 IPsec VPN 連接,有助於保護雲端中的應用程式伺服器與資料中心內的資料庫之間進行的所有通訊。您的 VPC 中的 Web 伺服器和應用程式伺服器可以利用 Amazon EC2 的彈性功能和 Auto Scaling 功能,根據需要進行擴展和收縮。從 Amazon VPC 主控台精靈中選擇 "VPC with Public and Private Subnets and Hardware VPN Access" 即可建立支援此類使用案例的 VPC。

將公司網路擴展到雲端中

透過將 VPC 與公司網路連接,您可以將公司應用程式轉移到雲端中、啟動額外的 Web 伺服器,或者增加網路的運算容量。由於 VPC 可以託管在公司防火牆的後方,因此您可以將 IT 資源無縫遷移到雲端中,並且不必變更使用者對這些應用程式的存取方式。從 Amazon VPC 主控台精靈中選擇 "VPC with a Private Subnet Only and Hardware VPN Access" 即可建立支援此類使用案例的 VPC。

災難復原

您可以定期將關鍵任務型資料從資料中心備份到少量配有 Amazon Elastic Block Store (EBS) 磁碟區的 Amazon EC2 執行個體中,或者將虛擬機器映像匯入到 Amazon EC2 中。當自己的資料中心出現災害時,您可以快速地啟動 AWS 中的替代運算容量,確保業務持續性。災害過後,您可以將關鍵任務型資料發回到資料中心,並終止您不再需要的 Amazon EC2 執行個體。透過將 Amazon VPC 應用於災難復原,您可以享有災難復原網站的全部優點,而成本卻只佔正常花費的一小部分。

合作夥伴

「Big Switch Networks – 雲端優先網路公司 – 是將雲端創新帶到企業網路和監控的先鋒。我們適用於可見性和監控的 Big Monitoring Fabric (Big Mon) 解決方案採用雲端優先設計原則,讓企業能夠在安全和合規敏感應用程式加速採用 AWS 公有雲端。Big Mon 與 Amazon VPC 流量鏡射 API 整合,可透過單一 Big Mon 控制器儀表板啟用無代理監控、彈性可見性和流量篩選。使用 AWS 和現場部署環境通用的操作工作流程,IT 組織可在混合雲端實現一致的監控,同時降低成本、增強安全和合規,以及滿足操作 SLA。」

– Big Switch Networks 副總裁兼產品總監 Prashant Gandhi

bigswitch-logo
Blue-Hexagon-Logo-Color (1)
「我們的客戶從採用深度學習技術的威脅保護獲得莫大的好處,可即時阻止企業網路威脅。在雲端環境偵測威脅的能力是我們安全策略自然延伸的一部分。Amazon VPC 流量鏡射可讓我們完整查看所有 VPC 流量,以大幅提升速度、效能,並將採用深度學習技術的威脅保護範圍擴大到所有 AWS 流量。Blue Hexagon 客戶現在可從單一主控台,對各種網路和雲端威脅執行一致的深度學習檢查。」

– Blue Hexagon 首席技術官兼共同創辦人 Saumitra Das。

「Cisco Stealthwatch Cloud 現在完全支援使用 Amazon VPC 流量鏡射和 Amazon VPC 流量日誌存取客戶網路遙測。流量鏡射提供 Stealthwatch Cloud 現在可用的其他網路資訊,同時結合其他 AWS 環境遙測,以判斷可行的安全提醒。」

– Cisco Stealthwatch Cloud 的 Ron Sterbenz。

Print
corelight-horizontal-logo-rgb
「Corelight Sensors 將網路流量轉換成內容豐富的日誌、擷取的檔案,以及專為安全操作設計的自訂洞見。使用 Amazon VPC 流量鏡射,Corelight 現在可以將此功能延伸到雲端,並協助安全團隊深入了解其 AWS 環境,加速安全調查,以及發揮功能強大的全新偵測威脅功能。」

– Corelight 產品總監 Brian Dye。

「雖然許多客戶將工作負載移轉到雲端,在此之前,他們還不清楚這項移轉對效能和安全有何影響。cPacket 解決方案建立在 Amazon Virtual Private Cloud (Amazon VPC) 流量鏡射的基礎上,移除盲點、提供完整的可見性,以及讓客戶的雲端轉換更加順暢。」

– cPacket Networks 執行長 Brendan O’Flaherty。

cPacket_logo_tagline_trans
Extrahop-Logo-Large-Transparent-Background_2013_11_26
「透過 Reveal(x) Cloud 中的 Amazon VPC 流量鏡射整合,ExtraHop 提供企業與現場部署流量相同等級的洞見,減少了採用雲端的障礙。可見性一直是安全性最重要的一環,將 Reveal(x) 與您在 AWS 中找到的原生安全功能相結合,您將可以獲得比以往更多的可行洞見。」

– Information Security 資深總監 Mike Sheward

「使用 AWS 原生的 Amazon VPC 流量鏡射功能可以輕鬆快速地部署 Fidelis 網路流量分析,以分析 EC2 執行個體的南北和東西通訊。我們在整合測試上與 Amazon 密切合作,並獲得在 Fidelis Network 感應器接收 EC2 網路流量的完全核准,為客戶提供可增強雲端應用程式、工作負載和資料庫可見性和安全監控的解決方案。」

– Fidelis Cybersecurity 產品管理副總裁 Tim Roddy

FID_Logo_RGB_Color_Positive_500
FEYE_RGB_two_color_for_light_bg
「FireEye Network Security and Forensics 將進階威脅保護和入侵偵測與業界最快速的無損網路資料擷取解決方案相結合。搭配集中式分析和視覺化,該解決方案為組織提供真正全方位的偵測和可見性解決方案。使用 Amazon VPC 流量鏡射,FireEye 客戶可以完全放心,無論他們的資產位於現場部署、雲端或兩者的混合環境,都能檢視相同層級的網路詳細資料。」

– FireEye 網路安全產品管理副總裁 Bill Cantrell

「我們非常高興能使用 Amazon VPC 流量鏡射。在 AWS 雲端執行 Flowmon Collector 的客戶現在只要按幾下滑鼠,即可將 Virtual Public Cloud 工作負載轉至透明的環境,並使用與現場部署相同的方式開始解決效能問題、偵測異常狀況和威脅。」

– Flowmon Networks 首席技術官 Pavel Minarik。

Flowmon_bez_claimu
600x400_Gigamon
「封包層級的可見性是最有效的網路安全和效能分析方法。我們非常高興能使用 Amazon VPC 流量鏡射功能。透過我們的聯合解決方案,組織能夠完整的查看網路流量,並充分利用其安全和監控工具堆疊,無論部署於 AWS 或混合環境。分散式數位應用程式之間及內部的流量情報是現代數位應用程式成功的關鍵。」

– Gigamon 產品與技術行銷副總裁 Bassam Khan

「新的 Amazon VPC 流量鏡射功能為 IronDefense 平台提供關鍵虛擬網路資料的原生存取,讓它能夠無縫地監控 AWS 雲端和企業網路的網路異常,以識別進階威脅行動者。透過我們獨有的 IronDome 整體防禦功能,監控混合環境以及自動與雲端和非雲端環境同業分享 IronDefense 威脅洞見的能力,增強了我們大規模保護公司、產業和社會的能力。」

–IronNet 首席技術官 Michael Ehrlich 博士。

New IronNet Primary Logo_web
Jask Master_Black_Horizontal_Transparent
「現代 SOC 需要具備現場部署和雲端工作負載流量的可見性。安全分析師需要看到 OSI 模型的完整網路資料,才能清楚了解威脅或持續攻擊的影響。JASK ASOC 包含網路、日誌和 Windows 感應器,還提供雲端對雲端擷取的支援。有了 Amazon VPC 流量鏡射功能,AWS 持續保有公有雲端領域的主流創新者地位,提供客戶雲端網路流量可見性的價值,讓我們的 JASK ASOC 直接支援無可取代。」

– JASK 首席技術官 Rob Fry。

「Kentik 是 AWS 合作夥伴,充分利用 Amazon 提供的豐富資料來源,能夠透過 Amazon VPC 流量日誌增強和關聯網路流量資料,並利用 AWS 標記與 Amazon EKS Kubernetes 服務映射建立內容,為我們的客戶提供 AWS 基礎設施效能和用量的即時可見性。現在,透過 Amazon VPC 流量鏡射功能,Kentik 的強大功能網路分析平台可提供更多方式,讓企業和服務供應商深入了解其流量,取得關於效能、成本和安全問題的快速、可行洞見。」

– Kentik 首席技術官 Jonah Kowall

kentik-black-small
NETSCOUT GCP Logo png
「NETSCOUT 的創新智慧資料技術可讓 IT 和 SecOps 確保現場部署資料中心和 AWS 雲端基礎設施的應用程式效能並提高企業安全。Amazon VPC 流量鏡射功能提供連線資料的無代理存取,讓 NETSCOUT 能夠在 AWS 混合雲端環境有效率地交付「無邊界」的應用程式和安全可見性。AWS 中的核心 NETSCOUT 功能包括針對網路和應用程式效能與安全威脅管理提出穩健的早期警告和快速問題分類。」

– NETSCOUT Systems Inc. 營運長 Michael Szabados

「Nubeva Prisms 搭配 Amazon VPC 流量鏡射功能,在 AWS 實現快速、安全的用戶端和伺服器封包串流解密。當 Amazon VPC 流量鏡射功能從工作負載複製網路流量並傳送到工具目的地,Nubeva Prisms TLS 解密解決方案會擷取並存放金鑰,將解密的流量即時交付至 Amazon VPC 流量鏡射的工具目的地。然後,Amazon VPC 流量鏡射和 Nubeva Prisms TLS 解密解決方案共同提供各地 AWS 公有雲端的全部 TLS 可見性和安全性。」

– Nubeva 執行長 Randy Chou

nubeva_logo_wide_1600_blue
PWP_Security_Palo Alto Networks
「企業需要有穩定的雲端安全,而且不會犧牲部署彈性和選擇。除了內嵌威脅防禦功能,VM-Series 虛擬化防火牆與新宣布的 Amazon VPC 流量鏡射功能整合,讓組織可選擇在 AWS 雲端針對應用程式可見性和進階威脅偵測部署頻外防火牆。」

– Palo Alto Networks 產品管理副總裁 Mukesh Gupta

「Riverbed 的 SteelCentral AppResponse Cloud 使用 Amazon Virtual Private Cloud (Amazon VPC) 流量鏡射功能,在 AWS 雲端提供深度網路和應用程式可見性。Riverbed 讓 IT 作業能夠快速地精確指出雲端和混合網路中的效能降低和高延遲、自動地識別超過 2,000 個應用程式以詳細分析應用程式,還可以透過彙總流量更輕鬆快速地識別問題和進行故障排除。身為數位體驗和數位效能管理解決方案的產業領導者,而且在 Gartner Magic Quadrant for Network Performance Management and Diagnostics 六次獲得領導者評價,我們非常榮幸能與 AWS 合作,為市場帶來如此重要的解決方案。」

– SteelCentral, Riverbed 資深副總裁兼總經理 Mike Sargent。

RVBD-Q118-OrangeLogo-RGB
vectra-logo-w-security-that-thinks-tagline-pantone
「當企業將其高價值資料和服務移往雲端,就必須降低可能損及業務的網路風險。Amazon VPC 流量鏡射功能可讓 Vectra Cognito 平台為企業提供對其雲端攻擊的可見性、支援確切的威脅獵捕,以及實現更快的事件回應。」

– Vectra 總裁兼執行長 Hitesh Sheth

開始使用 Amazon VPC

您的 AWS 資源會自動佈建在已為您建立的準備就緒預設 VPC 中。您可以藉由新增或刪除子網路、連接網路閘道、變更預設路由表和修改網路 ACL 來設定此 VPC。

您可以在 AWS 管理主控台的 Amazon VPC 頁面選取 "Start VPC Wizard" 按鈕,選擇建立其他 VPC。您將會看到四種基本網路拓撲。選擇與您要建立的網路拓撲最相似的一種,然後選擇 "Create VPC" 按鈕。VPC 建立之後,您就可以開始將 Amazon EC2 執行個體啟動到 VPC 中。

部落格和文章

Debugging tool for network connectivity from Amazon VPC
作者:Bhavin Desai
 
2019 年 1 月 19 日
VPC sharing: A new approach to multiple accounts and VPC management
作者:Evgeny Vaganov  
 
2019 年 1 月 11 日

進一步了解 Amazon VPC

瀏覽產品詳細資訊頁面
準備好開始建立?
開始使用 Amazon VPC
還有其他問題嗎?
聯絡我們