Amazon VPC 常見問答集

Amazon VPC 讓您能夠在 Amazon Web Services (AWS) 雲端佈建一個在邏輯上隔離的部分，以在自己定義的虛擬網路中啟動 AWS 資源。您可以完全掌控虛擬聯網環境，包括選擇自己的 IP 地址範圍、建立子網路，以及設定路由表和網路閘道。您也可以在公司資料中心和 VPC 之間建立硬體虛擬私人網路 (VPN) 連接，將 AWS 雲端當成公司資料中心的延伸。

您可以輕鬆自訂 Amazon VPC 的網路配置。例如，您可以為可存取網際網路的 Web 伺服器建立公有子網路，而將資料庫或應用程式伺服器等後端系統放在不能存取網際網路的私有子網路。您可以利用安全群組和網路存取控制清單等多種安全層，對各個子網路中 Amazon EC2 執行個體的存取進行控制。

Amazon VPC 是由下列各種物件組成，具備現有網路的客戶對此都很熟悉：

• 虛擬私有雲端：AWS 雲端中邏輯隔離的虛擬網路。您可以從所選的範圍內定義 VPC 的 IP 地址空間。
• 子網路：在 VPC 的 IP 位址範圍內的某個區段，可將隔離資源的群組放入其中。
• 網際網路閘道：公有網際網路連線的 Amazon VPC 端。
• NAT 閘道：一項高可用性受管網路位址轉譯 (NAT) 服務，可供您在私有子網路中的資源存取網際網路。
• 虛擬私有閘道：VPN 連接的 Amazon VPC 端。
• 對等互連：對等互連可讓您透過兩個對等 VPC 之間的私有 IP 位址路由流量。
• VPC 端點：允許透過私有連線從您的 VPC 內連接到 AWS 上託管的服務，無須使用網際網路閘道、VPN、網路位址轉譯 (NAT) 裝置或防火牆代理。
• 只有輸出的網際網路閘道：一種狀態閘道，針對從 VPC 到網際網路的 IPv6 流量提供只有輸出的存取。

您的 AWS 資源會自動佈建在準備就緒的預設 VPC 中。您可以在 AWS 管理主控台的 Amazon VPC 頁面選取 "Start VPC Wizard"，選擇建立其他 VPC。

您將會看到網路架構的四個基本選項。在選擇其中一個選項之後，您可以修改 VPC 及其子網路的規模和 IP 地址範圍。如果選擇含硬體 VPN 存取的選項，您需要指定網路上 VPN 硬體的 IP 地址。您可以修改 VPC 以新增或移除次要 IP 範圍和閘道，或在 IP 範圍新增更多子網路。

四個選項為：

1. 僅含單一公有子網路的 Amazon VPC
2. 含公有子網路和私有子網路的 Amazon VPC
3. 含公有子網路和私有子網路以及 AWS 站點對站點 VPN 存取的 Amazon VPC
4. 只含私有子網路和 AWS Site-to-Site VPN 存取的 Amazon VPC

VPC 端點可讓您透過私有連線將 VPC 連接到 AWS 上託管的服務，無須網際網路閘道、NAT 裝置、VPN 或防火牆代理。端點是具備水平可擴展性和高度可用性的虛擬裝置，允許 VPC 和 AWS 服務中執行個體之間的通訊。Amazon VPC 提供兩種不同類型的端點：閘道類型端點和界面類型端點。

閘道類型端點僅適用於 S3 和 DynamoDB 等 AWS 服務。這些端點會將項目新增到您選擇的路由表，並透過 Amazon 的私有網路將流量路由到支援的服務。

界面類型端點提供的私有連線可連接採用 PrivateLink 的服務、AWS 服務、您自己的服務或 SaaS 解決方案，還支援透過 Direct Connect 連線。這些端點未來將支援更多 AWS 和 SaaS 解決方案。請參閱 VPC 定價以取得界面類型端點的價格。

建立和使用 VPC 本身並不收取其他費用。至於包含 Amazon EC2 在內的其他 Amazon Web Services 使用費，仍會依照這些資源公佈的費率收取，此外還需支付數據傳輸費。如果您使用可選的硬體 VPN 連接將您的 VPC 連接到公司資料中心，定價是依據每 VPN 連線時數 (VPN 連接為「可用」狀態的時間) 計算。 不滿一小時按一小時計費。透過 VPN 連接傳輸的資料，將按照標準 AWS 資料傳輸費收取費用。有關 VPC-VPN 的定價資訊，請瀏覽 Amazon VPC 產品頁面的定價部分。

包含 Amazon EC2 在內的其他 Amazon Web Services 使用費，仍會依照這些資源公佈的費率收取。透過 VPC 的網際網路閘道存取 Amazon S3 等 Amazon Web Services 時，不會產生數據傳輸費。

如果透過您的 VPN 連接存取 AWS 資源，則會產生網際網路數據傳輸費。

您可以將 Amazon VPC 連接到：

• 網際網路 (透過網際網路閘道)
• 公司資料中心 (使用 AWS 站點對站點 VPN 連接，並透過虛擬私有閘道)
• 網際網路和公司資料中心 (利用網際網路閘道和虛擬私有閘道)
• 其他 AWS 服務 (透過網際網路閘道、NAT、虛擬私有閘道或 VPC 端點)
• 其他 Amazon VPC (透過 VPC 對等互連)

沒有公有 IP 位址的執行個體可以透過以下兩種方式之一存取網際網路：

1. 沒有公有 IP 地址的執行個體可以透過 NAT 閘道或 NAT 執行個體路由流量以存取網際網路。這些執行個體使用 NAT 閘道或 NAT 執行個體的公有 IP 地址周遊網際網路。NAT 閘道或 NAT 執行個體允許傳出通訊，但不允許網際網路上的機器啟動對具有私有地址執行個體的連線。
2. 對於具有硬體 VPN 連接或 Direct Connect 連接的 VPC，執行個體可以透過虛擬私有閘道，將其網際網路流量路由到現有的資料中心。其可從該處透過現有的輸出點和網路安全/監控裝置存取網際網路。

否，使用公有 IP 位址時，AWS 中託管的執行個體與服務之間的所有通訊使用 AWS 的私有網路。源自 AWS 網路且目的地在 AWS 網路的封包保留在 AWS 全球網路上，但往返於 AWS 中國區域的流量除外。

此外，連接資料中心和區域的 AWS 全球網路上，所有資料流都會先在實體層自動加密，再傳出我們的安全設施。此外還設有額外的加密層，例如所有 VPC 跨區域對等流量，以及客戶或服務到服務 Transport Layer Security (TLS) 連線。 

您可以使用任何 IPv4 地址範圍，包括適用於主要 CIDR 區塊的 RFC 1918 或公有可路由 IP 範圍。次要 CIDR 區塊需遵守特定限制。 公有可路由 IP 區塊只能透過虛擬私有閘道存取，且無法透過網際網路閘道從網際網路存取。 AWS 不會將客戶擁有的 IP 地址區塊告知網際網路。您可以透過呼叫相關的 API 或透過 AWS 管理主控台，將多達 5 個由 Amazon 提供或 BYOIP IPv6 GUA CIDR 區塊配置給 VPC。

建立 VPC 時可指派一個 Classless Internet Domain Routing (CIDR) IP 位址範圍作為主要 CIDR 區塊，VPC 建立之後最多可新增四 (4) 個次要 CIDR 區塊。然後從這些 CIDR 範圍內為 VPC 中的子網路定址。請注意，雖然您可以建立 IP 地址範圍重疊的多個 VPC，但這樣做會讓您無法透過硬體 VPN 連接將這些 VPC 連接到一般家用網路。因此，我們建議您不要使用重疊的 IP 地址範圍。您最多可以將 5 個 Amazon 提供的或 BYOIP IPv6 CIDR 區塊分配給您的 VPC。

Amazon VPC 目前針對 IPv4 支援五 (5) 個 IP 位址範圍，一 (1) 個主要和四 (4) 個次要。每個範圍的大小可介於 /28 (CIDR 標記法) 和 /16 之間。VPC 的 IP 地址範圍不應與現有網路的 IP 地址範圍重疊。

針對 IPv6，VPC 固定大小為 /56 (CIDR 標記法)。VPC 可以同時有與其關聯的 IPv4 和 IPv6 CIDR 區塊。

目前每個 VPC 可以建立 200 個子網路。如果您希望建立更多子網路，請在支援中心提交案例。

針對 IPv4，子網路的大小下限為 /28 (或 14 個 IP 位址)。子網路不能大於建立這些子網路的 VPC。

針對 IPv6，子網路大小固定為 /64。一個子網路只能配置一個 IPv6 CIDR 區塊。

您可以將任意 IP 位址指派給執行個體，只要符合以下條件：

• 屬於相關子網路的 IP 地址範圍
• 並未被 Amazon 保留用於 IP 聯網之用
• 目前並未指派給其他介面

是。您可以將一或多個次要私有 IP 地址指派給彈性網路界面或 Amazon VPC 中的 EC2 執行個體。您可以指派的次要私有 IP 地址數量取決於執行個體類型。如需每個執行個體類型可以指派的次要私有 IP 位址數量的詳細資訊，請參閱 EC2 使用者指南。

您可能會因為以下因素而想要將自己的 IP 位址帶到 AWS：
IP 評價：許多客戶認為其 IP 地址評價是一項策略資產，想要在 AWS 上搭配資源使用這些 IP。例如，維護外送電子郵件 MTA 等服務且擁有高評價 IP 的客戶，現在可以將他們的 IP 空間帶過來，成功維持現有的傳送成功率。

客戶白名單：BYOIP 還能夠讓客戶將仰賴 IP 地址白名單的工作負載移到 AWS，無須使用新的 IP 地址重新建立白名單。

硬性相依關係：部分客戶在裝置中把 IP 固定住了，或是在 IP 上採用架構相依性。BYOIP 可讓這類客戶輕鬆地遷移至 AWS。

監管和合規：許多客戶基於監管和合規因素，必須使用特定 IP。利用 BYOIP 便可免除這層枷鎖。

內部部署 IPv6 網路政策：許多客戶僅能夠在內部部署網路中路由其 IPv6。利用 BYOIP 便可免除這層枷鎖，因為它們可將其專屬 IPv6 範圍指派給 VPC，並選擇使用網際網路或 Direct Connect 來路由內部部署網路。

如需 BYOIP 可用性的詳細資訊，請參閱我們的文件。

AWS IPAM 提供以下功能：
 

• 為大規模網路分配 IP 位址：IPAM 可以根據可設定的商業規則，在數百個帳戶和 VPC 之間自動分配 IP 位址。
   
• 監控整個網路的 IP 使用情況：IPAM 可以監控 IP 位址，並讓您能夠在 IPAM 偵測到潛在問題時收到警示，例如耗盡 IP 位址會阻礙網路成長，或重疊 IP 位址會導致錯誤路由。
   
• 網路疑難排解：IPAM 可以幫助您快速識別連線問題是否是由於 IP 位址設定錯誤或其他問題所造成。
   
• 稽核 IP 位址：IPAM 會自動保留您的 IP 位址監控資料 (最多三年)。您可以使用這些歷史資料對您的網路進行回顧分析和稽核。

以下是 IPAM 的重要組成部分：

• 範圍是指 IPAM 中最高級的容器。IPAM 包含兩個預設範圍。每個範圍代表單個網路的 IP 空間。私有範圍適用於所有私有空間。公有範圍適用於所有公有空間。範圍讓您能夠跨多個未連線的網路重複使用 IP 地址，而不會導致 IP 地址重疊或衝突。您可以在範圍內建立 IPAM 集區。
   
• 集區是連續 IP 位址範圍 (或 CIDR) 的集合。IPAM 集區讓您能夠根據路由和安全性需求來整理 IP 地址。最高級的集區中可以有多個集區。舉例來說，如果您對開發和生產應用程式有單獨的路由和安全性需求，則可以為每個應用程式都建立集區。您可以在 IPAM 集區中將 CIDR 分配至 AWS 資源。
• 分配是從 IPAM 集區到另一個資源或 IPAM 集區的 CIDR 指派。當您建立 VPC 並為 VPC 的 CIDR 選擇 IPAM 集區時，CIDR 會從佈建至 IPAM 集區的 CIDR 進行分配。您可以使用 IPAM 監控和管理分配。

是。IPAM 支援 BYOIPv4 和 BYOIPv6 地址。BYOIP 是項 EC2 功能，讓您能夠將自己擁有的 IP 地址帶到 AWS。您可以使用 IPAM，跨帳戶和組織直接佈建和分享其 IP 地址區塊。使用 IPv4 的現有 BYOIP 客戶可以將其集區遷移到 IPAM 以簡化 IP 管理。

Amazon EC2 安全群組可用來協助確保 Amazon VPC 內執行個體的安全。VPC 中的安全群組可讓您指定允許進出各個 Amazon EC2 執行個體的傳入和傳出網路流量。沒有明確獲允許進出執行個體的流量將會自動被拒絕。

除了安全群組之外，透過網路存取控制清單 (ACL) 也可允許或拒絕進出每個子網路的網路流量。

狀態篩選會追蹤請求的來源，且可自動允許將請求的回覆傳回來源電腦。例如，允許 Web 伺服器上 TCP 連接埠 80 傳入流量的狀態篩選將允許傳回流量，通常是編號較高的連接埠 (例如，目的地 TCP 連接埠 63、912) 透過用戶端與 Web 伺服器之間的狀態篩選傳送。篩選裝置會維護一個狀態表，用於追蹤來源和目的地連接埠號碼與 IP 地址。篩選裝置上只需要一個規則：允許流量傳入 Web 伺服器的 TCP 連接埠 80。

另一方面，無狀態篩選只會檢查來源或目的地 IP 地址和目的地連接埠，而忽略流量是新請求還是對請求的回覆。在上述範例中，篩選裝置上需要實作兩個規則：一個規則允許流量傳入 Web 伺服器的 TCP 連接埠 80，另一個規則允許來自 Web 伺服器的傳出流量 (TCP 連接埠範圍 49, 152 到 65, 535)。

VPC 流程日誌功能可讓您擷取 VPC 中進出網路界面的 IP 流量相關資訊。流程日誌資料可發佈到 Amazon CloudWatch Logs 或 Amazon S3。您可監控 VPC 流量日誌，以掌握網路相依性和流量模式的運作情況，偵測異常情況和防止資料洩漏，或是解決網路連線和組態問題。流量日誌中豐富的中繼資料可協助您進一步了解有誰啟動了您的 TCP 連線，以及通過 NAT 閘道等中間層之流量的實際封包層級來源和目標。您亦可將流程日誌封存，以達到某些合規要求。若要進一步了解 Amazon VPC 流量日誌，請參閱文件。

是，您可以針對 Transit Gateway 或單一傳輸閘道連接建立 VPC 流量日誌。藉助此功能，Transit Gateway 可匯出詳細資訊，如來源/目的地 IP、連接埠、協定、流量計數器、時間戳記，以及透過 Transit Gateway 周遊的網路流量的各種中繼資料。若要進一步了解適用於 Transit Gateway 的 Amazon VPC 流量日誌支援，請參閱文件。

當您將流程日誌發佈到 CloudWatch Logs 或 Amazon S3 時，會收取自動售貨日誌的資料擷取和封存費用。如需詳細資訊和範例，請參閱 Amazon CloudWatch 定價。您還可以使用成本分配標籤，追蹤發佈流程日誌的費用。

流量鏡射支援在 EC2 執行個體的彈性網路介面 (ENI) 層級擷取網路封包。請參閱 Traffic Mirroring 文件，以了解支援 Amazon VPC Traffic Mirroring 的 EC2 執行個體。

Amazon VPC 流量日誌可讓客戶收集、儲存和分析網路流量日誌。流量日誌中擷取的資訊包含允許和拒絕的流量、來源和目標 IP 位址、連接埠、通訊協定號碼、封包和位元數量，以及動作 (接受或拒絕)。您可以使用此功能疑難排解連線和安全問題，並確保網路存取規則如預期運作。

Amazon VPC Traffic Mirroring 讓您分析實際流量內容 (包括承載)，藉此更深入了解網路流量，並適用於必須分析實際封包以判斷效能問題的根本原因、針對複雜的網路攻擊進行反向工程，或偵測並阻止內部濫用或遭盜用的工作負載等使用案例。

Amazon VPC 目前可以在所有 Amazon EC2 區域的多個可用區域中使用。

對於需要 IPv4 地址的執行個體，您可以在 VPC 中執行任意數量的 Amazon EC2 執行個體，只要 VPC 有適當的大小，可將 IPv4 地址指派給每個執行個體。初始限制為一次可啟動 20 個 Amazon EC2 執行個體，而 VPC 的大小上限為 /16 (65,536 個 IP)。如果要提高這些限制，請填寫以下表單。 對於僅限 IPv6 的執行個體，/56 的 VPC 大小讓您能夠啟動幾乎無限數量的 Amazon EC2 執行個體。

您可以在 Amazon VPC 使用註冊區域與您的 VPC 相同的 AMI。例如，您可以將註冊在 us-east-1 的 AMI 用於 us-east-1 中的 VPC。有關更多資訊，請參閱 Amazon EC2 區域和可用區域常見問答集。

是，如果 Amazon EBS 快照與您的 VPC 位於相同區域，您可以使用這些快照。有關更多詳細資訊，請參閱 Amazon EC2 區域和可用區域常見問答集。

如果您的 AWS 帳戶在 2013 年 3 月 18 日之後建立，您的帳戶就可以啟動預設 VPC 中的資源。請參閱此論壇公告，以確定哪些區域已經啟用預設 VPC 功能集。此外，在上述日期之前建立的帳戶，則可以在任何已啟用預設 VPC 的區域 (之前未在該區域啟動過 EC2 執行個體，或佈建過 Amazon Elastic Load Balancing、Amazon RDS、Amazon ElastiCache 或 Amazon Redshift 資源) 使用預設 VPC。

請參閱 EC2 User Guide 中的 Differences between EC2-Classic and EC2-VPC。

是，不過我們只能為預設 VPC 啟用現有帳戶，而且您在該區域中的帳戶不能有任何 EC2-Classic 資源。此外，您必須終止該區域中所有非 VPC 佈建的 Elastic Load Balancer、Amazon RDS、Amazon ElastiCache 和 Amazon Redshift 資源。您的帳戶針對預設 VPC 進行設定之後，未來所有的資源啟動，包括透過 Auto Scaling 啟動的執行個體，都將發生在您的預設 VPC 中。若要請求將現有帳戶設定為預設的 VPC，請移至 Account and Billing -> Service: Account -> Category: Convert EC2 Classic to VPC 並提出請求。我們將審核您的請求、現有的 AWS 服務和 EC2-Classic 存在情況，並引導您完成後續步驟。

僅當您在任何 AWS 區域的帳戶上啟用 EC2-Classic 時，您才會受到此變更的影響。您可以使用主控台或 describe-account-attributes 命令檢查您是否已對 AWS 區域啟用 EC2-Classic ；如需詳細資訊，請參閱此文件。

如果您在任何區域都沒有在 EC2-Classic 上執行任何作用中 AWS 資源，我們要求您從該區域的帳戶中關閉 EC2-Classic。在區域中關閉 EC2-Classic 可讓您在其中啟動預設 VPC。若要這樣做，請移至 AWS Support Center console.aws.amazon.com/support，選擇「建立案例」，然後選擇「帳戶和計費支援」，針對「類型」，選擇「帳戶」，針對「類別」，選擇「將 EC2 Classic 轉換為 VPC」，按需填寫其他詳細資訊，然後選擇「提交」。

自 2021 年 1 月 1 日起您在 EC2-Classic 上沒有任何 AWS 資源 (EC2 執行個體、Amazon 關聯式資料庫、AWS Elastic Beanstalk、Amazon Redshift、AWS Data Pipeline、Amazon EMR、AWS OpsWorks) 的 AWS 區域，我們將在 2021 年 10 月 30 日從您的帳戶關閉 EC2-Classic。

另一方面，如果您在 EC2-Classic 上有執行 AWS 資源，我們要求您規劃儘快遷移 Amazon VPC。2022 年 8 月 15 日之後，您將無法在 EC2-Classic 平台上啟動任何執行個體或 AWS 服務。隨著我們從 2022 年 8 月 16 日開始淘汰它們，任何處於執行狀態的工作負載或服務都將逐漸無法存取 EC2-Classic 上的所有 AWS 服務。

您可以在隨後的問題中找到適用於您 AWS 資源的遷移指南。

Amazon VPC 可讓您在 AWS 上完全控制您的虛擬網路環境，從邏輯上與 AWS 帳戶隔離。在 EC2-Classic 環境中，您的工作負載與其他客戶共用單一扁平網路。相較於 EC2-Classic 環境，Amazon VPC 環境提供許多其他優勢，包括能夠選擇自己的 IP 地址空間、公有和私有子網路設定，以及管理路由表和網路閘道。EC2-Classic 中目前可用的所有服務和執行個體在 Amazon VPC 環境中都有類似的可用服務。Amazon VPC 還提供比 EC2-Classic 更廣泛和最新一代的執行個體。有關 Amazon VPC 的進一步資訊請見此連結。

為協助您遷移資源，我們已發佈手冊和建立解決方案，您可在下方找到。若要遷移，您必須在 VPC 中重新建立 EC2-Classic 資源。首先，您可以使用此指令碼識別跨所有區域的 EC2-Classic 中您的帳戶佈建的所有資源。然後，可以使用以下相關 AWS 資源的遷移指南：

• 執行個體和安全群組
• Classic Load Balancer
• Amazon Relational Database Service
• AWS Elastic Beanstalk
• Amazon Redshift 用於遷移 DC1 叢集和其他節點類型
• AWS Data Pipeline 
• Amazon EMR 
• AWS OpsWorks

除了以上遷移指南，我們還會提供高度自動化的搬遷 (重新託管) 解決方案 AWS Application Migration Service (AWS MGN)，它可簡化、加速和降低遷移應用程式的成本。您可在此處找到有關 AWS MGN 的資源。

• AWS Application Migration Service 入門 
• AWS Application Migration Service 隨需技術訓練
• 深入研究 AWS Application Migration Service 特色和功能的文件
• 翻牆架構和網路架構影片

對於從 EC2-Classic 到 VPC 的簡單單個 EC2 執行個體遷移，除了 AWS MGN 或 Instances Migration Guide 之外，您還可以使用「AWS Systems Manager > Automation」中的「AWSSupport-MigrateEC2 ClassicToVPC」執行手冊。此 Runbook 透過在 EC2-Classic 中建立執行個體的 AMI、在 VPC 中從 AMI 建立新執行個體以及可選地終止 EC2-Classic 執行個體，自動執行將執行個體從 EC2-Classic 遷移到 VPC 所需的步驟。

如果您有任何問題或疑慮，可以透過 AWS Premium Support 聯絡 AWS Support 團隊。

請注意：如果您有 AWS 資源在多個 AWS 區域的 EC2-Classic 上執行，建議您在將所有資源遷移至其中的 VPC 後，立即為每個區域關閉 EC2-Classic。

我們將在 2022 年 8 月 15 日淘汰日期之前採取以下兩個動作：

• 我們將在 2021 年 10 月 30 日停止為 EC2-Classic 環境發行 3 年預留執行個體和 1 年 (RI)。EC2-Classic 環境中已經存在的 RI 目前不會受到影響。設定為 2022 年 8 月 15 日之後到期的 RI 需要修改，以便在剩餘租賃期間使用 Amazon VPC 環境。如需如何修改 RI 的相關資訊，請瀏覽我們的文件。
• 2022 年 8 月 15 日，我們將不再允許在 EC2-Classic 環境中建立新執行個體 (Spot 或隨需) 或其他 AWS 服務。隨著我們從 2022 年 8 月 16 日開始淘汰它們，任何處於執行狀態的工作負載或服務都將逐漸無法存取 EC2-Classic 上的所有 AWS 服務。

網路界面只能連接到相同帳戶中 VPC 的執行個體。

建立 VPC 對等互連是免費的，但是對等互連之間的資料傳輸則要收費。請參閱 EC2 定價頁面的資料傳輸部分，以了解資料傳輸費率。

AWS 使用現有的 VPC 基礎設施建立 VPC 對等互連，既不是閘道，也不是 VPN 連接，而且不倚賴某個獨立的實體硬體。因此不會有通訊的單一故障點或頻寬瓶頸問題。

區域間 VPC 對等使用與目前支援 VPC 的相同水平擴展、冗餘及高度可用技術操作。區域間 VPC 對等流量經由擁有內建冗餘和動態頻寬分配的 AWS 骨幹傳送，不會有通訊的單一故障點問題。

如果區域間對等連線中斷，流量不會透過網際網路路由。

對等 VPC 中的執行個體之間的頻寬與相同 VPC 中的執行個體之間的頻寬沒有任何區別。注意：置放群組可跨越對等 VPC；不過，您不會在對等 VPC 中的執行個體之間取得全等分頻寬。請參閱更多有關置放群組的資訊。

使用 ClassicLink 並不收取其他費用，但會收取現有可用區域之間的數據傳輸費。如需詳細資訊，請瀏覽 EC2 定價頁面。

您身為服務使用者，需要為採用 PrivateLink 技術的服務建立界面類型 VPC 端點。這些服務端點會顯示為彈性網路界面 (ENI) 並包含您 VPC 的私有 IP。建立這些端點之後，傳送到這些 IP 的所有流量都會以私有方式路由到對應的 AWS 服務。

做為服務擁有者，您可以透過建立 Network Load Balancer (NLB) 做為服務的前端，然後建立 PrivateLink 服務並註冊到 NLB，即可將您的服務加入 AWS PrivateLink。將客戶的帳戶和 IAM 角色加入白名單之後，他們就能在自己的 VPC 中建立端點以連接您的服務。

下列 AWS 服務支援這項功能：Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Kinesis Streams、Service Catalog、EC2 Systems Manager、Amazon SNS 及 AWS DataSync。許多 SaaS 解決方案也支援這項功能。請瀏覽 AWS Marketplace 取得更多採用 AWS PrivateLink 技術的 SaaS 產品。

請參閱 Amazon VPC 使用者指南，以了解有關 VPC 限制的資訊。

是。如需有關 AWS Support 的詳細資訊，請按一下這裡。

官方不再支援使用 ElasticFox 來管理您的 Amazon VPC。您可透過 AWS API、命令列工具、AWS 管理主控台以及各種第三方公用程式來取得 Amazon VPC 支援。

這是一項安全與合規功能，提供集中式控制，以監控並強制執行區域內 VPC 內部及跨 VPC 的流量流向加密。如需更多資訊，請閱讀此處的文件。

監控模式 (用於可視性、評估及啟動遷移) 與強制執行模式 (用於防止未加密流量)。

安全管理員與雲端架構師，特別是身處需符合 HIPAA、FedRAMP 和 PCI DSS 等標準之產業的人員。

它同時運用應用層加密與 AWS Nitro System 硬體內建的加密功能，以確保強制執行加密。

監控模式提供流量流向加密狀態的可視性，協助識別不合規資源，並將加密狀態資訊填入 VPC 流量日誌。開啟監控模式後，Network Load Balancer、Application Load Balancer、Fargate 叢集及 EKS 控制平面等資源，就會自動逐步遷移至原生支援加密的硬體。

透過以下方式：

• 包含 encryption-status 欄位的 VPC 流量日誌
• 主控台儀表板
• GetVpcResourcesBlockingEncryptionEnforcement 命令

不會，您需要手動建立新的流量日誌並新增 encryption-status 欄位。亦建議新增 traffic-path 和 flow-direction 欄位。

VPC 一旦進入強制執行模式，就會阻止在 VPC 邊界內建立或連接允許未加密流量的資源。系統會封鎖您執行不支援原生 Nitro 加密的執行個體。

不行，您必須先執行以下步驟：

• 啟用監控模式
• 識別不合規的資源
• 針對不合規資源修改或建立排除項目
• 然後切換至強制執行模式

您必須從八種支援的排除類型中，為該資源建立排除項目。其他不支援的資源必須在開啟強制執行模式之前，從 VPC 遷移出去或刪除。支援加密控制的資源，必須在開啟強制執行之前遷移至加密合規的執行個體。

請依循下列步驟：

• 檢閱流量日誌與資源合規性
• 規劃必要的資源遷移
• 切換至強制執行模式時，設定必要的排除項目

可以，但在兩個 VPC 之間已建立 VPC 對等互連且未設定任何排除項目的情況除外。在此情況下，您必須先刪除兩個 VPC 之間的 VPC 對等互連，然後才能切換至監控模式。

使用 GetVpcResourcesBlockingEncryptionEnforcement 命令識別任何會阻擋強制執行的資源。或者，您可以使用主控台尋找未加密的資源。

支援的排除項目共有八種：

• 網際網路閘道
• NAT 閘道
• 僅限輸出的網際網路閘道
• 連接至未強制執行加密 VPC 的 VPC 對等互連連線
• 虛擬私有閘道
• Lambda 函式
• VPC Lattice
• Elastic File System

0：未加密
1：Nitro 加密
2：應用程式加密
3：同時進行 Nitro 與應用程式加密
(-)：未知/VPC 加密控制已關閉

若要加密已啟用加密控制的 VPC 之間的流量，您可以使用 VPC 對等互連或 Transit Gateway。使用 Transit Gateway 時，您需要透過主控台或 modify-transit-gateway 指令，明確開啟加密支援。開啟 Transit Gateway 上的加密功能無需額外付費，但您仍需為所有與該 Transit Gateway 關聯的 VPC 支付標準的 VPC 加密控制費用 (無論您是否在這些 VPC 上開啟加密控制)。

使用 'modify-transit-gateway' 指令或透過 AWS Console 啟用。您必須明確在 Transit Gateway 上啟用加密支援，以加密已開啟加密控制的 VPC 之間的流量。

在現有 Transit Gateway 上啟用加密功能不會中斷現有的流量流向，且 VPC 連接遷移至加密通道的過程將自動且無縫地進行。您可以在 Transit Gateway 上啟用加密支援，以加密 VPC 之間的流量。處於強制執行模式 (無排除項目) 的兩個 VPC 之間的流量，會透過 Transit Gateway 進行端對端加密。Transit Gateway 上的加密功能亦允許您連接處於不同加密控制模式的兩個 VPC。

視情況而定。處於強制執行模式 (無排除項目) 的兩個 VPC 之間的流量，會透過 Transit Gateway 進行端對端加密。Transit Gateway 上的加密功能亦允許您連接處於不同加密控制模式的兩個 VPC。當您希望在連接至未強制執行加密 VPC 的 VPC 中強制執行加密控制時，應使用此功能。在此情境下，您強制執行加密 VPC 內的所有流量 (包含 VPC 間的流量) 皆已加密。在強制執行加密 VPC 內的資源與 Transit Gateway 之間，VPC 間的流量已加密。在此範圍之外，加密狀態取決於未強制執行 VPC 中接收流量的資源，且不保證已加密 (因為該 VPC 未處於強制執行模式)。所有 VPC 必須位於同一區域。

可以，流量在到達未強制執行加密 VPC 中的 TGW 連接之前，將維持加密狀態。無論目的地 VPC 的加密狀態為何，流量從來源直到目的地 VPC 中的 TGW 連接，皆維持加密狀態。

在 Transit Gateway 上啟用加密，同時維持現有的連接 - 轉換過程將自動處理。在 Transit Gateway 上啟用加密不會中斷現有的流量流向。

可以，TGW 支援逐步遷移，會在過渡期間同時處理加密與未加密的流量。

不行。搭配 VPC 加密控制的 PrivateLink 僅支援 AWS 服務。若您希望在 VPC 中強制執行加密，則連接至非 AWS 服務的 VPC 端點無法保留在該 VPC 中。在該 VPC 進入強制執行模式之前，您必須先刪除這些端點。以強制執行模式運作的 VPC 可透過 VPC 對等互連或 Transit Gateway 進行連接，以保證端對端加密。