Amazon VPC 常見問答集

建立和使用 VPC 本身並不收取其他費用。至於包含 Amazon EC2 在內的其他 Amazon Web Services 使用費，仍會依照這些資源公佈的費率收取，此外還需支付數據傳輸費。如果您使用可選的硬體 VPN 連接將您的 VPC 連接到公司資料中心，定價是依據每 VPN 連線時數 (VPN 連接為「可用」狀態的時間) 計算。 不滿一小時按一小時計費。透過 VPN 連接傳輸的資料，將按照標準 AWS 資料傳輸費收取費用。有關 VPC-VPN 的定價資訊，請瀏覽 Amazon VPC 產品頁面的定價部分。

包含 Amazon EC2 在內的其他 Amazon Web Services 使用費，仍會依照這些資源公佈的費率收取。透過 VPC 的網際網路閘道存取 Amazon S3 等 Amazon Web Services 時，不會產生數據傳輸費。

如果透過您的 VPN 連接存取 AWS 資源，則會產生網際網路數據傳輸費。

您可以將 Amazon VPC 連接到：

• 網際網路 (透過網際網路閘道)
• 公司資料中心 (使用 AWS 站點對站點 VPN 連接，並透過虛擬私有閘道)
• 網際網路和公司資料中心 (利用網際網路閘道和虛擬私有閘道)
• 其他 AWS 服務 (透過網際網路閘道、NAT、虛擬私有閘道或 VPC 端點)
• 其他 Amazon VPC (透過 VPC 對等連線)

沒有公有 IP 地址的執行個體可以透過以下兩種方式之一存取網際網路：

1. 沒有公有 IP 地址的執行個體可以透過 NAT 閘道或 NAT 執行個體路由流量以存取網際網路。這些執行個體使用 NAT 閘道或 NAT 執行個體的公有 IP 地址周遊網際網路。NAT 閘道或 NAT 執行個體允許傳出通訊，但不允許網際網路上的機器啟動對具有私有地址執行個體的連線。
2. 對於具有硬體 VPN 連接或 Direct Connect 連接的 VPC，執行個體可以透過虛擬私有閘道，將其網際網路流量路由到現有的資料中心。其可從該處透過現有的輸出點和網路安全/監控裝置存取網際網路。

否，使用公有 IP 地址時，AWS 中託管的執行個體與服務之間的所有通訊使用 AWS 的私有網路。源自 AWS 網路且目的地在 AWS 網路的封包保留在 AWS 全球網路上，但往返於 AWS 中國區域的流量除外。

此外，連接資料中心和區域的 AWS 全球網路上，所有資料流都會先在實體層自動加密，再傳出我們的安全設施。此外還設有額外的加密層，例如所有 VPC 跨區域對等流量，以及客戶或服務到服務 Transport Layer Security (TLS) 連線。 

您可以使用任何 IPv4 地址範圍，包括適用於主要 CIDR 區塊的 RFC 1918 或公有可路由 IP 範圍。次要 CIDR 區塊需遵守特定限制。 公有可路由 IP 區塊只能透過虛擬私有閘道存取，且無法透過網際網路閘道從網際網路存取。 AWS 不會將客戶擁有的 IP 地址區塊告知網際網路。您可以透過呼叫相關的 API 或透過 AWS 管理主控台，將多達 5 個由 Amazon 提供或 BYOIP IPv6 GUA CIDR 區塊配置給 VPC。

建立 VPC 時可指派一個 Classless Internet Domain Routing (CIDR) IP 地址範圍作為主要 CIDR 區塊，VPC 建立之後最多可新增四 (4) 個次要 CIDR 區塊。然後從這些 CIDR 範圍內為 VPC 中的子網路定址。請注意，雖然您可以建立 IP 地址範圍重疊的多個 VPC，但這樣做會讓您無法透過硬體 VPN 連接將這些 VPC 連接到一般家用網路。因此，我們建議您不要使用重疊的 IP 地址範圍。您最多可以將 5 個 Amazon 提供的或 BYOIP IPv6 CIDR 區塊分配給您的 VPC。

Amazon VPC 目前針對 IPv4 支援五 (5) 個 IP 地址範圍，一 (1) 個主要和四 (4) 個次要。每個範圍的大小可介於 /28 (CIDR 標記法) 和 /16 之間。VPC 的 IP 地址範圍不應與現有網路的 IP 地址範圍重疊。

針對 IPv6，VPC 固定大小為 /56 (CIDR 標記法)。VPC 可以同時有與其關聯的 IPv4 和 IPv6 CIDR 區塊。

目前每個 VPC 可以建立 200 個子網路。如果您希望建立更多子網路，請在支援中心提交案例。

針對 IPv4，子網路的大小下限為 /28 (或 14 個 IP 地址)。子網路不能大於建立這些子網路的 VPC。

針對 IPv6，子網路大小固定為 /64。一個子網路只能配置一個 IPv6 CIDR 區塊。

您可以將任意 IP 地址指派給執行個體，只要符合以下條件：

• 屬於相關子網路的 IP 地址範圍
• 並未被 Amazon 保留用於 IP 聯網之用
• 目前並未指派給其他界面

是。您可以將一或多個次要私有 IP 地址指派給彈性網路界面或 Amazon VPC 中的 EC2 執行個體。您可以指派的次要私有 IP 地址數量取決於執行個體類型。如需每個執行個體類型可以指派的次要私有 IP 地址數量的詳細資訊，請參閱 EC2 使用者指南。

您可能會因為以下因素而想要將自己的 IP 地址帶到 AWS：
IP 評價：許多客戶認為其 IP 地址評價是一項策略資產，想要在 AWS 上搭配資源使用這些 IP。例如，維護外送電子郵件 MTA 等服務且擁有高評價 IP 的客戶，現在可以將他們的 IP 空間帶過來，成功維持現有的傳送成功率。

客戶白名單：BYOIP 還能夠讓客戶將仰賴 IP 地址白名單的工作負載移到 AWS，無須使用新的 IP 地址重新建立白名單。

硬性相依關係：部分客戶在裝置中把 IP 固定住了，或是在 IP 上採用架構相依性。BYOIP 可讓這類客戶輕鬆地遷移至 AWS。

監管和合規：許多客戶基於監管和合規因素，必須使用特定 IP。利用 BYOIP 便可免除這層枷鎖。

內部部署 IPv6 網路政策：許多客戶僅能夠在內部部署網路中路由其 IPv6。利用 BYOIP 便可免除這層枷鎖，因為它們可將其專屬 IPv6 範圍指派給 VPC，並選擇使用網際網路或 Direct Connect 來路由內部部署網路。

如需有關 BYOIP 可用性的詳細資訊，請參閱我們的 文件。

AWS IPAM 提供以下功能：
 

• 為大規模網路分配 IP 地址：IPAM 可以根據可設定的商業規則，在數百個帳戶和 VPC 之間自動分配 IP 地址。
   
• 監控整個網路的 IP 使用情況：IPAM 可以監控 IP 地址，並讓您能夠在 IPAM 偵測到潛在問題時收到警示，例如耗盡 IP 地址會阻礙網路成長，或重疊 IP 地址會導致錯誤路由。
   
• 網路疑難排解：IPAM 可以幫助您快速識別連線問題是否是由於 IP 地址設定錯誤或其他問題所造成。
   
• 稽核 IP 地址：IPAM 會自動保留您的 IP 地址監控資料 (最多三年)。您可以使用這些歷史資料對您的網路進行回顧分析和稽核。

以下是 IPAM 的重要組成部分：

• 範圍是指 IPAM 中最高級的容器。IPAM 包含兩個預設範圍。每個範圍代表單個網路的 IP 空間。私有範圍適用於所有私有空間。公有範圍適用於所有公有空間。範圍讓您能夠跨多個未連線的網路重複使用 IP 地址，而不會導致 IP 地址重疊或衝突。您可以在範圍內建立 IPAM 集區。
   
• 集區是連續 IP 地址範圍 (或 CIDR) 的集合。IPAM 集區讓您能夠根據路由和安全性需求來整理 IP 地址。最高級的集區中可以有多個集區。舉例來說，如果您對開發和生產應用程式有單獨的路由和安全性需求，則可以為每個應用程式都建立集區。您可以在 IPAM 集區中將 CIDR 分配至 AWS 資源。
• 分配是從 IPAM 集區到另一個資源或 IPAM 集區的 CIDR 指派。當您建立 VPC 並為 VPC 的 CIDR 選擇 IPAM 集區時，CIDR 會從佈建至 IPAM 集區的 CIDR 進行分配。您可以使用 IPAM 監控和管理分配。

是。IPAM 支援 BYOIPv4 和 BYOIPv6 地址。BYOIP 是項 EC2 功能，讓您能夠將自己擁有的 IP 地址帶到 AWS。您可以使用 IPAM，跨帳戶和組織直接佈建和分享其 IP 地址區塊。使用 IPv4 的現有 BYOIP 客戶可以將其集區遷移到 IPAM 以簡化 IP 管理。

Amazon EC2 安全群組可用來協助確保 Amazon VPC 內執行個體的安全。VPC 中的安全群組可讓您指定允許進出各個 Amazon EC2 執行個體的傳入和傳出網路流量。沒有明確獲允許進出執行個體的流量將會自動被拒絕。

除了安全群組之外，透過網路存取控制清單 (ACL) 也可允許或拒絕進出每個子網路的網路流量。

狀態篩選會追蹤請求的來源，且可自動允許將請求的回覆傳回來源電腦。例如，允許 Web 伺服器上 TCP 連接埠 80 傳入流量的狀態篩選將允許傳回流量，通常是編號較高的連接埠 (例如，目的地 TCP 連接埠 63、912) 透過用戶端與 Web 伺服器之間的狀態篩選傳送。篩選裝置會維護一個狀態表，用於追蹤來源和目的地連接埠號碼與 IP 地址。篩選裝置上只需要一個規則：允許流量傳入 Web 伺服器的 TCP 連接埠 80。

另一方面，無狀態篩選只會檢查來源或目的地 IP 地址和目的地連接埠，而忽略流量是新請求還是對請求的回覆。在上述範例中，篩選裝置上需要實作兩個規則：一個規則允許流量傳入 Web 伺服器的 TCP 連接埠 80，另一個規則允許來自 Web 伺服器的傳出流量 (TCP 連接埠範圍 49, 152 到 65, 535)。

VPC 流程日誌功能可讓您擷取 VPC 中進出網路界面的 IP 流量相關資訊。流程日誌資料可發佈到 Amazon CloudWatch Logs 或 Amazon S3。您可監控 VPC 流量日誌，以掌握網路相依性和流量模式的運作情況，偵測異常情況和防止資料洩漏，或是解決網路連線和組態問題。流量日誌中豐富的中繼資料可協助您進一步了解有誰啟動了您的 TCP 連線，以及通過 NAT 閘道等中間層之流量的實際封包層級來源和目標。您亦可將流程日誌封存，以達到某些合規要求。若要進一步了解 Amazon VPC 流量日誌，請參閱文件。

是，您可以針對 Transit Gateway 或單一 Transit Gateway 連線建立 VPC 流量日誌。藉助此功能，Transit Gateway 可匯出詳細資訊，如來源/目的地 IP、連接埠、協定、流量計數器、時間戳記，以及透過 Transit Gateway 周遊的網路流量的各種中繼資料。若要進一步了解適用於 Transit Gateway 的 Amazon VPC 流量日誌支援，請參閱文件。

當您將流程日誌發佈到 CloudWatch Logs 或 Amazon S3 時，會收取自動售貨日誌的資料導入和封存費用。如需詳細資訊和範例，請參閱 Amazon CloudWatch 定價。您還可以使用成本分配標籤，追蹤發佈流程日誌的費用。

流量鏡射支援在 EC2 執行個體的彈性網路介面 (ENI) 層級擷取網路封包。請參閱 Traffic Mirroring 文件，以了解支援 Amazon VPC Traffic Mirroring 的 EC2 執行個體。

Amazon VPC 流量日誌可讓客戶收集、儲存和分析網路流量日誌。流量日誌中擷取的資訊包含允許和拒絕的流量、來源和目標 IP 位址、連接埠、通訊協定號碼、封包和位元數量，以及動作 (接受或拒絕)。您可以使用此功能疑難排解連線和安全問題，並確保網路存取規則如預期運作。

Amazon VPC 流量鏡射可讓您分析實際流量內容 (包括承載)，藉此更深入了解網路流量，並適用於必須分析實際封包以判斷效能問題的根本原因、針對複雜的網路攻擊進行反向工程，或偵測並阻止內部濫用或遭盜用的工作負載等使用案例。

Amazon VPC 目前可以在所有 Amazon EC2 區域的多個可用區域中使用。

對於需要 IPv4 地址的執行個體，您可以在 VPC 中執行任意數量的 Amazon EC2 執行個體，只要 VPC 有適當的大小，可將 IPv4 地址指派給每個執行個體。初始限制為一次可啟動 20 個 Amazon EC2 執行個體，而 VPC 的大小上限為 /16 (65,536 個 IP)。如果要提高這些限制，請填寫以下表單。 對於僅限 IPv6 的執行個體，/56 的 VPC 大小讓您能夠啟動幾乎無限數量的 Amazon EC2 執行個體。

您可以在 Amazon VPC 使用註冊區域與您的 VPC 相同的 AMI。例如，您可以將註冊在 us-east-1 的 AMI 用於 us-east-1 中的 VPC。有關更多資訊，請參閱 Amazon EC2 區域和可用區域常見問答集。

是，如果 Amazon EBS 快照與您的 VPC 位於相同區域，您可以使用這些快照。有關更多詳細資訊，請參閱 Amazon EC2 區域和可用區域常見問答集。

如果您的 AWS 帳戶在 2013 年 3 月 18 日之後建立，您的帳戶就可以啟動預設 VPC 中的資源。請參閱此論壇公告，以確定哪些區域已經啟用預設 VPC 功能集。此外，在上述日期之前建立的帳戶，則可以在任何已啟用預設 VPC 的區域 (之前未在該區域啟動過 EC2 執行個體，或佈建過 Amazon Elastic Load Balancing、Amazon RDS、Amazon ElastiCache 或 Amazon Redshift 資源) 使用預設 VPC。

請參閱 EC2 User Guide 中的 Differences between EC2-Classic and EC2-VPC。

是，不過我們只能為預設 VPC 啟用現有帳戶，而且您在該區域中的帳戶不能有任何 EC2-Classic 資源。此外，您必須終止該區域中所有非 VPC 佈建的 Elastic Load Balancer、Amazon RDS、Amazon ElastiCache 和 Amazon Redshift 資源。您的帳戶針對預設 VPC 進行設定之後，未來所有的資源啟動，包括透過 Auto Scaling 啟動的執行個體，都將發生在您的預設 VPC 中。若要請求將現有帳戶設定為預設的 VPC，請移至 Account and Billing -> Service: Account -> Category: Convert EC2 Classic to VPC 並提出請求。我們將審核您的請求、現有的 AWS 服務和 EC2-Classic 存在情況，並引導您完成後續步驟。

僅當您在任何 AWS 區域的帳戶上啟用 EC2-Classic 時，您才會受到此變更的影響。您可以使用主控台或 describe-account-attributes 命令檢查您是否已對 AWS 區域啟用 EC2-Classic ；如需詳細資訊，請參閱此文件。

如果您在任何區域都沒有在 EC2-Classic 上執行任何作用中 AWS 資源，我們要求您從該區域的帳戶中關閉 EC2-Classic。在區域中關閉 EC2-Classic 可讓您在其中啟動預設 VPC。若要這樣做，請移至 AWS Support Center console.aws.amazon.com/support，選擇「建立案例」，然後選擇「帳戶和計費支援」，針對「類型」，選擇「帳戶」，針對「類別」，選擇「將 EC2 Classic 轉換為 VPC」，按需填寫其他詳細資訊，然後選擇「提交」。

自 2021 年 1 月 1 日起您在 EC2-Classic 上沒有任何 AWS 資源 (EC2 執行個體、Amazon 關聯式資料庫、AWS Elastic Beanstalk、Amazon Redshift、AWS Data Pipeline、Amazon EMR、AWS OpsWorks) 的 AWS 區域，我們將在 2021 年 10 月 30 日從您的帳戶關閉 EC2-Classic。

另一方面，如果您在 EC2-Classic 上有執行 AWS 資源，我們要求您規劃儘快遷移 Amazon VPC。2022 年 8 月 15 日之後，您將無法在 EC2-Classic 平台上啟動任何執行個體或 AWS 服務。隨著我們從 2022 年 8 月 16 日開始淘汰它們，任何處於執行狀態的工作負載或服務都將逐漸無法存取 EC2-Classic 上的所有 AWS 服務。

您可以在隨後的問題中找到適用於您 AWS 資源的遷移指南。

Amazon VPC 可讓您在 AWS 上完全控制您的虛擬網路環境，從邏輯上與 AWS 帳戶隔離。在 EC2-Classic 環境中，您的工作負載與其他客戶共用單一扁平網路。相較於 EC2-Classic 環境，Amazon VPC 環境提供許多其他優勢，包括能夠選擇自己的 IP 地址空間、公有和私有子網路設定，以及管理路由表和網路閘道。EC2-Classic 中目前可用的所有服務和執行個體在 Amazon VPC 環境中都有類似的可用服務。Amazon VPC 還提供比 EC2-Classic 更廣泛和最新一代的執行個體。有關 Amazon VPC 的進一步資訊請見此連結。

為協助您遷移資源，我們已發佈手冊和建立解決方案，您可在下方找到。若要遷移，您必須在 VPC 中重新建立 EC2-Classic 資源。首先，您可以使用此指令碼識別跨所有區域的 EC2-Classic 中您的帳戶佈建的所有資源。然後，可以使用以下相關 AWS 資源的遷移指南：

• 執行個體和安全群組
• Classic Load Balancer
• Amazon Relational Database Service
• AWS Elastic Beanstalk
• Amazon Redshift 用於遷移 DC1 叢集和其他節點類型
• AWS Data Pipeline 
• Amazon EMR 
• AWS OpsWorks

除了以上遷移指南，我們還會提供高度自動化的搬遷 (重新託管) 解決方案 AWS Application Migration Service (AWS MGN)，它可簡化、加速和降低遷移應用程式的成本。您可在此處找到有關 AWS MGN 的資源。

• AWS Application Migration Service 入門 
• AWS Application Migration Service 隨需技術訓練
• 深入研究 AWS Application Migration Service 特色和功能的文件
• 翻牆架構和網路架構影片

對於從 EC2-Classic 到 VPC 的簡單單個 EC2 執行個體遷移，除了 AWS MGN 或 Instances Migration Guide 之外，您還可以使用「AWS Systems Manager > Automation」中的「AWSSupport-MigrateEC2 ClassicToVPC」Runbook。此 Runbook 透過在 EC2-Classic 中建立執行個體的 AMI、在 VPC 中從 AMI 建立新執行個體以及可選地終止 EC2-Classic 執行個體，自動執行將執行個體從 EC2-Classic 遷移到 VPC 所需的步驟。

如果您有任何問題或疑慮，可以透過 AWS Premium Support 聯絡 AWS Support 團隊。

請注意：如果您有 AWS 資源在多個 AWS 區域的 EC2-Classic 上執行，建議您在將所有資源遷移至其中的 VPC 後，立即為每個區域關閉 EC2-Classic。

我們將在 2022 年 8 月 15 日之前採取以下兩個動作：

• 我們將在 2021 年 10 月 30 日停止為 EC2-Classic 環境發行 3 年預留執行個體和 1 年 (RI)。EC2-Classic 環境中已經存在的 RI 目前不會受到影響。設定為 2022 年 8 月 15 日之後到期的 RI 需要修改，以便在剩餘租賃期間使用 Amazon VPC 環境。如需如何修改 RI 的相關資訊，請瀏覽我們的文件。
• 2022 年 8 月 15 日，我們將不再允許在 EC2-Classic 環境中建立新執行個體 (Spot 或隨需) 或其他 AWS 服務。隨著我們從 2022 年 8 月 16 日開始淘汰它們，任何處於執行狀態的工作負載或服務都將逐漸無法存取 EC2-Classic 上的所有 AWS 服務。

網路界面只能連接到相同帳戶中 VPC 的執行個體。

建立 VPC 對等連線是免費的，但是對等連線之間的數據傳輸則要收費。請參閱 EC2 定價頁面的資料傳輸部分，以了解資料傳輸費率。

AWS 使用現有的 VPC 基礎設施建立 VPC 對等連線，既不是閘道，也不是 VPN 連接，而且不倚賴某個獨立的實體硬體。因此不會有通訊的單一故障點或頻寬瓶頸問題。

區域間 VPC 對等使用與目前支援 VPC 的相同水平擴展、冗餘及高度可用技術操作。區域間 VPC 對等流量經由擁有內建冗餘和動態頻寬分配的 AWS 骨幹傳送，不會有通訊的單一故障點問題。

如果區域間對等連線中斷，流量不會透過網際網路路由。

對等 VPC 中的執行個體之間的頻寬與相同 VPC 中的執行個體之間的頻寬沒有任何區別。注意：置放群組可跨越對等 VPC；不過，您不會在對等 VPC 中的執行個體之間取得全等分頻寬。請參閱更多有關置放群組的資訊。

使用 ClassicLink 並不收取其他費用，但會收取現有可用區域之間的數據傳輸費。如需詳細資訊，請瀏覽 EC2 定價頁面。

您身為服務使用者，需要為採用 PrivateLink 技術的服務建立界面類型 VPC 端點。這些服務端點會顯示為彈性網路界面 (ENI) 並包含您 VPC 的私有 IP。建立這些端點之後，傳送到這些 IP 的所有流量都會以私有方式路由到對應的 AWS 服務。

做為服務擁有者，您可以透過建立 Network Load Balancer (NLB) 做為服務的前端，然後建立 PrivateLink 服務並註冊到 NLB，即可將您的服務加入 AWS PrivateLink。將客戶的帳戶和 IAM 角色加入白名單之後，他們就能在自己的 VPC 中建立端點以連接您的服務。

下列 AWS 服務支援這項功能：Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Kinesis Streams、Service Catalog、EC2 Systems Manager、Amazon SNS 及 AWS DataSync。許多 SaaS 解決方案也支援這項功能。請瀏覽 AWS Marketplace 取得更多採用 AWS PrivateLink 技術的 SaaS 產品。

請參閱 Amazon VPC 使用者指南，以了解有關 VPC 限制的資訊。

是。如需有關 AWS Support 的詳細資訊，請按一下這裡。

官方已不再支援透過 ElasticFox 管理 Amazon VPC。現在可透過 AWS API、命令列工具和 AWS 管理主控台，以及多種第三方公用程式支援 Amazon VPC。