一般問題

問:什麼是 Amazon Virtual Private Cloud?

Amazon VPC 讓您能夠在 Amazon Web Services (AWS) 雲端佈建一個在邏輯上隔離的部分,以在自己定義的虛擬網路中啟動 AWS 資源。您可以完全掌控虛擬聯網環境,包括選擇自己的 IP 地址範圍、建立子網路,以及設定路由表和網路閘道。您也可以在公司資料中心和 VPC 之間建立硬體虛擬私人網路 (VPN) 連接,將 AWS 雲端當成公司資料中心的延伸。

您可以輕鬆自訂 Amazon VPC 的網路配置。例如,您可以為可存取網際網路的 Web 伺服器建立公有子網路,而將資料庫或應用程式伺服器等後端系統放在不能存取網際網路的私有子網路。您可以利用安全群組和網路存取控制清單等多種安全層,對各個子網路中 Amazon EC2 執行個體的存取進行控制。

問:Amazon VPC 由哪些部分組成?

Amazon VPC 是由下列各種物件組成,具備現有網路的客戶對此都很熟悉:

  • 虛擬私有雲端:AWS 雲端中邏輯隔離的虛擬網路。您可以從所選的範圍內定義 VPC 的 IP 地址空間。
  • 子網路:在 VPC 的 IP 地址範圍內的某個區段,可將隔離資源的群組放入其中。
  • 網際網路閘道:公有網際網路連線的 Amazon VPC 端。
  • NAT 閘道:一項高可用性受管網路位址轉譯 (NAT) 服務,可供您在私有子網路中的資源存取網際網路。
  • 硬體 VPN 連接:您的 Amazon VPC 與資料中心、家用網路或主機代管設施之間的硬體 VPN 連接。
  • 虛擬私有閘道:VPN 連接的 Amazon VPC 端。
  • 客戶閘道:您的 VPN 連接端。
  • 路由器:路由器可以互相連接子網路,以及在網際網路閘道、虛擬私有閘道、NAT 閘道和子網路之間引導流量。
  • 對等連線:對等連線可讓您透過兩個對等 VPC 之間的私有 IP 地址路由流量。
  • VPC 端點:允許透過私有連線從您的 VPC 內連接到 AWS 上託管的服務,無須使用網際網路閘道、VPN、網路位址轉譯 (NAT) 裝置或防火牆代理。
  • 只有輸出的網際網路閘道:一種狀態閘道,針對從 VPC 到網際網路的 IPv6 流量提供只有輸出的存取。
 
問:為什麼必須使用 Amazon VPC?
 
Amazon VPC 讓您能夠在 AWS 雲端中建置虛擬網路,而且不需要 VPN、硬體或實體資料中心。您可以定義自己的網路空間,並控制網路及其中的 Amazon EC2 資源向網際網路公開的方式。您也可以利用 Amazon VPC 中經過強化的安全選項,為虛擬網路中 Amazon EC2 執行個體的進出存取提供更為細緻的存取控制。
 
問:如何開始使用 Amazon VPC?
 
您的 AWS 資源會自動佈建在準備就緒的預設 VPC 中。您可以在 AWS 管理主控台的 Amazon VPC 頁面選取 "Start VPC Wizard",選擇建立其他 VPC。
 
您將會看到網路架構的四個基本選項。在選擇其中一個選項之後,您可以修改 VPC 及其子網路的規模和 IP 地址範圍。如果選擇含硬體 VPN 存取的選項,您需要指定網路上 VPN 硬體的 IP 地址。您可以修改 VPC 以新增或移除次要 IP 範圍和閘道,或在 IP 範圍新增更多子網路。
 
四個選項為:
 
  1. 僅含單一公有子網路的 VPC
  2. 含公有子網路和私有子網路的 VPC
  3. 含公有子網路和私有子網路以及硬體 VPN 存取的 VPC
  4. 僅含私有子網路和硬體 VPN 存取的 VPC
 
問:Amazon VPC 有哪些不同類型的 VPC 端點?
 
VPC 端點可讓您透過私有連線將 VPC 連接到 AWS 上託管的服務,無須網際網路閘道、NAT 裝置、VPN 或防火牆代理。端點是具備水平可擴展性和高度可用性的虛擬裝置,允許 VPC 和 AWS 服務中執行個體之間的通訊。Amazon VPC 提供兩種不同類型的端點:閘道類型端點和界面類型端點。
 
閘道類型端點僅適用於 S3 和 DynamoDB 等 AWS 服務。這些端點會將項目新增到您選擇的路由表,並透過 Amazon 的私有網路將流量路由到支援的服務。
 
界面類型端點提供的私有連線可連接採用 PrivateLink 的服務、AWS 服務、您自己的服務或 SaaS 解決方案,還支援透過 Direct Connect 連線。這些端點未來將支援更多 AWS 和 SaaS 解決方案。請參閱 VPC 定價以取得界面類型端點的價格。
 

計費

問:使用 Amazon VPC 如何計價和收費?

建立和使用 VPC 本身並不收取其他費用。至於包含 Amazon EC2 在內的其他 Amazon Web Services 使用費,仍會依照這些資源公佈的費率收取,此外還需支付數據傳輸費。如果您使用可選的硬體 VPN 連接將您的 VPC 連接到公司資料中心,定價是依據每 VPN 連線時數 (VPN 連接為「可用」狀態的時間) 計算。不滿一小時按一小時計費。透過 VPN 連接傳輸的資料,將按照標準 AWS 資料傳輸費收取費用。有關 VPC-VPN 的定價資訊,請瀏覽 Amazon VPC 產品頁面定價部分

問:應計費的 VPN 連接時數是如何定義的?

VPN 連線時數的計費是按照 VPN 連接為可用狀態的任何時間。您可以透過 AWS 管理主控台、CLI 或 API,判斷 VPN 連接的狀態。如果您不想再使用 VPN 連接,只要終止 VPN 連接以避免再被額外 VPN 連線時數計費即可。

問:如果使用其他 AWS 服務,例如從 VPC 中的 Amazon EC2 執行個體使用 Amazon S3,會產生哪些使用費?

包含 Amazon EC2 在內的其他 Amazon Web Services 使用費,仍會依照這些資源公佈的費率收取。透過 VPC 的網際網路閘道存取 Amazon S3 等 Amazon Web Services 時,不會產生數據傳輸費。

如果透過您的 VPN 連接存取 AWS 資源,則會產生網際網路數據傳輸費。

問:價格含稅嗎?

除非另有說明,否則我們的價格不包括適用的稅金和稅收 (包括加值稅和適用的營業稅)。帳單地址在日本的客戶若使用 AWS 服務,則需負擔日本消費稅。進一步了解。

連線能力

問:VPC 有哪些連線選項?

您可以將 VPC 連接到:

  • 網際網路 (透過網際網路閘道)
  • 公司資料中心 (使用硬體 VPN 連接,並透過虛擬私有閘道)
  • 網際網路和公司資料中心 (利用網際網路閘道和虛擬私有閘道)
  • 其他 AWS 服務 (透過網際網路閘道、NAT、虛擬私有閘道或 VPC 端點)
  • 其他 VPC (透過 VPC 對等連線)
 
問:如何將 VPC 連接到網際網路?
 
Amazon VPC 支援建立網際網路閘道。此閘道可讓 VPC 中的 Amazon EC2 執行個體直接存取網際網路。
 
問:網際網路閘道是否有頻寬限制?是否需要考慮其可用性?是否會成為單一故障點?
 
否。網際網路閘道具有水平擴展、冗餘和高度可用三大特點。沒有頻寬限制。
 
問:VPC 中的執行個體如何存取網際網路?
 
VPC 中的執行個體可以藉助公有 IP 地址,包含彈性 IP 地址 (EIP),直接對外與網際網路通訊,同時從網際網路 (如 Web 伺服器) 接收未經要求的輸入流量。您也可以使用下個問題中的解決方案。
 
問:沒有公有 IP 地址的執行個體如何存取網際網路?
 
沒有公有 IP 地址的執行個體可以透過以下兩種方式之一存取網際網路:
 
  1. 沒有公有 IP 地址的執行個體可以透過 NAT 閘道或 NAT 執行個體路由流量以存取網際網路。這些執行個體使用 NAT 閘道或 NAT 執行個體的公有 IP 地址周遊網際網路。NAT 閘道或 NAT 執行個體允許傳出通訊,但不允許網際網路上的機器啟動對具有私有地址執行個體的連線。
  2. 對於具有硬體 VPN 連接或 Direct Connect 連接的 VPC,執行個體可以透過虛擬私有閘道,將其網際網路流量路由到現有的資料中心。其可從該處透過現有的輸出點和網路安全/監控裝置存取網際網路。
 
問:是否能使用軟體 VPN 連接到 VPC?
 
是。您可以使用第三方軟體 VPN,利用您的 VPC 經由網際網路閘道建立站台對站台或遠端存取 VPN 連接。
 
問:硬體 VPN 連接如何與 Amazon VPC 搭配使用?
 
硬體 VPN 連接會將您的 VPC 與資料中心連接。Amazon 支援網際網路協定安全 (IPsec) VPN 連接。VPC 與資料中心之間的資料傳輸會透過加密的 VPN 連接進行路由,協助保護資料傳輸時的機密性和完整性。建立硬體 VPN 連接不需要網際網路閘道。
 
問:什麼是 IPsec?
IPsec 是一個通訊協定組合,其透過驗證和加密資料流的每個 IP 封包來保護網際網路通訊協定 (IP) 通訊安全。
 
問:可以使用哪種客戶閘道裝置連接到 Amazon VPC?
 
您可以建立兩種 VPN 連接:靜態路由 VPN 連接與動態路由 VPN 連接。支援靜態路由 VPN 連接的客戶閘道裝置必須能夠:
 
  • 使用預先共用金鑰建立 IKE 安全關聯
  • 以通道模式建立 IPsec 安全關聯
  • 使用 AES 128 位元或 256 位元加密函數
  • 使用 SHA-1 或 SHA-2 (256) 雜湊函數
  • 在 "Group 2" 模式中使用 Diffie-Hellman (DH) 完全向前保密,或是我們支援的其他 DH 群組。
  • 在加密前執行封包分段
 
除了上述能力之外,支援動態路由 VPN 連接的裝置還必須能夠:
 
  • 建立邊界閘道協定 (BGP) 對等
  • 將通道綁定到邏輯界面 (以路由為基礎的 VPN)
  • 利用 IPsec 失效對等檢測
 
問:支援哪種 Diffie-Hellman 群組?
 
我們支援在 Phase1 和 Phase2 的以下 Diffie-Hellman (DH) 群組。
 
  • Phase1 DH 群組 2、14-18、22、23、24
  • Phase2 DH 群組 2、5、14-18、22、23、24
 
問:已知有哪些客戶閘道裝置可用於 Amazon VPC?
 
以下裝置符合前述要求,已知可用於硬體 VPN 連接,而且命令列工具中也支援自動產生適用於裝置的設定檔:
 
請注意,這些範例設定適用於 AES128、 SHA1 和 DH Group 2 的最低需求。您需要修改這些範例設定檔案,以利用 AES256、SHA256 或其他 DH 群組的優點。
 
問:如果沒有列出我的裝置,哪裡可以找到關於裝置與 Amazon VPC 搭配使用的更多資訊?
 
建議您查看 Amazon VPC 論壇,因為可能有其他客戶已在使用相同的裝置。
 
問:VPN 連接是否有輸送量限制?
 
VPN 連接輸送量可取決於多個因素,像是客戶閘道 (CGW) 的功能、連線的容量、平均封包大小、使用的協定 (TCP 還是 UDP),以及 CGW 與虛擬私有閘道 (VGW) 之間的網路延遲。
 
問:有哪些工具可以協助對硬體 VPN 設定進行故障排除?
 
DescribeVPNConnection API 可以顯示 VPN 連接的狀態,包括各 VPN 通道的狀態 ("up"/"down"),並在有通道處於 "down" 狀態時顯示對應的錯誤訊息。AWS 管理主控台也會顯示此資訊。
 
問:如何將 VPC 與我的公司資料中心連接?
 
在現有網路和 Amazon VPC 之間建立硬體 VPN 連接,可讓您與 VPC 中的 Amazon EC2 執行個體互動,就如同它們位於您現有的網路內。在透過硬體 VPN 連接存取的 VPC 中,AWS 不會在 Amazon EC2 執行個體上執行 網路位址轉譯 (NAT)
 
問:是否可以在路由器或防火牆後方對我的 CGW 進行 NAT?
 
是。您將需要在 NAT 裝置上啟用 NAT-T 和開啟 UDP 連接埠 4500。
 
問:我的 CGW 地址使用何種 IP 地址?

您將使用 NAT 裝置上的公有 IP 地址。

問:如何停用連接上的 NAT-T?

您將需要在裝置上停用 NAT-T。如果您不打算使用 NAT-T 且裝置未停用此功能,我們將嘗試在 UDP 連接埠 4500 建立通道。如果連接埠未開啟,就不會建立通道。

問:我想在 NAT 後方擁有多個 CGW,需要怎麼做才能設定該功能?

您將為每個連接的 CGW 使用 NAT 裝置的公有 IP 地址。您也需要確定 UDP 連接埠 4500 已開啟。

問:每個通道可以同時建立幾個 IPsec 安全關聯?

AWS VPN 服務是以路由為基礎的解決方案,因此使用以路由為基礎的組態時,就不會受限於 SA 限制。不過,如果您使用以政策為基礎的解決方案,則必須限制為單一 SA,因為服務是以路由為基礎的解決方案。

 

IP 定址

問:VPC 中可以使用哪些 IP 地址範圍?

您可以使用任何 IPv4 地址範圍,包括適用於主要 CIDR 區塊的 RFC 1918 或公有可路由 IP 範圍。次要 CIDR 區塊需遵守特定限制。公有可路由 IP 區塊只能透過虛擬私有閘道存取,且無法透過網際網路閘道從網際網路存取。AWS 不會將客戶擁有的 IP 地址區塊告知網際網路。您可以透過呼叫相關的 API 或透過 AWS 管理主控台,將 Amazon 提供的 IPv6 CIDR 區塊配置給 VPC。

問:如何將 IP 地址範圍指派給 VPC?

建立 VPC 時可指派一個 Classless Internet Domain Routing (CIDR) IP 地址範圍做為主要 CIDR 區塊,VPC 建立之後最多可新增四 (4) 個次要 CIDR 區塊。然後從這些 CIDR 範圍內為 VPC 中的子網路定址。請注意,雖然您可以建立 IP 地址範圍重疊的多個 VPC,但這樣做會讓您無法透過硬體 VPN 連接將這些 VPC 連接到一般家用網路。因此,我們建議您不要使用重疊的 IP 地址範圍。您可以配置 Amazon 提供的 IPv6 CIDR 區塊給您的 VPC。

問:指派給預設 VPC 的 IP 地址範圍是什麼?

指派給預設 VPC 的 CIDR 範圍為 172.31.0.0/16。預設 VPC 中的預設子網路會被指派 VPC CIDR 範圍內的 /20 個網路區塊。 

問:是否可將我的 VPC 公有 IP 地址範圍告知網際網路,並經由我的資料中心透過硬體 VPN 將流量路由到我的 VPC?

是,您可以透過硬體 VPN 連接路由流量,並從家用網路公告該地址範圍。

問:可以建立多大的 VPC?

Amazon VPC 目前針對 IPv4 支援五 (5) 個 IP 地址範圍,一 (1) 個主要和四 (4) 個次要。每個範圍的大小可介於 /28 (CIDR 標記法) 和 /16 之間。VPC 的 IP 地址範圍不應與現有網路的 IP 地址範圍重疊。

針對 IPv6,VPC 固定大小為 /56 (CIDR 標記法)。VPC 可以同時有與其關聯的 IPv4 和 IPv6 CIDR 區塊。

問:是否可變更 VPC 的大小?

是。您可以在 VPC 新增四 (4) 個次要 IPv4 IP 範圍 (CIDR) 以擴展現有 VPC,也可以刪除已新增到 VPC 的次要 CIDR 區塊來縮減 VPC。但是,不能變更 VPC IPv6 地址範圍的大小。

問:每個 VPC 可以建立多少個子網路?

目前每個 VPC 可以建立 200 個子網路。如果您希望建立更多子網路,請在支援中心提交案例

問:子網路的大小是否有限制?

針對 IPv4,子網路的大小下限為 /28 (或 14 個 IP 地址)。子網路不能大於建立這些子網路的 VPC。

針對 IPv6,子網路大小固定為 /64。一個子網路只能配置一個 IPv6 CIDR 區塊。

問:是否可使用我指派給某個子網路的所有 IP 地址?

否。Amazon 會保留每個子網路的前四 (4) 個 IP 地址和最後一 (1) 個 IP 地址,以做為 IP 聯網之用。 

問:如何將私有 IP 地址指派給 VPC 中的 Amazon EC2 執行個體?

當您啟動 VPC 中的 Amazon EC2 執行個體時,可以選擇指定該執行個體的主要私有 IP 地址。如果不指定主要私有 IP 地址,AWS 將從您指派給該子網路的 IP 地址範圍中自動定址。您可以在以下時機指派次要私有 IP 地址:啟動執行個體時、建立彈性網路界面時,或者啟動執行個體之後或建立界面後的任意時間。

問:是否可在 VPC 中的 Amazon EC2 執行個體執行和/或停止時,變更其私有 IP 地址?

主要私有 IP 地址在執行個體或界面的存留期內會保持不變。次要私有 IP 地址則可隨時指派、取消指派,或者在界面或執行個體之間移動。

問:如果停止 VPC 中的 Amazon EC2 執行個體,是否可在同一個 VPC 中啟動 IP 地址相同的另一個執行個體?

否。只有原先執行的執行個體處於「已終止」狀態時,指派給執行中執行個體的 IP 地址才能再次用於其他執行個體。

問:是否可同時為多個執行個體指派 IP 地址?

否。您可以在啟動執行個體時,一次指定一個執行個體的 IP 地址。

問:是否可將任意 IP 地址指派給執行個體?

您可以將任意 IP 地址指派給執行個體,只要符合以下條件:

  • 屬於相關子網路的 IP 地址範圍
  • 並未被 Amazon 保留用於 IP 聯網之用
  • 目前並未指派給其他界面

問:是否可將多個 IP 地址指派給一個執行個體?

是。您可以將一或多個次要私有 IP 地址指派給彈性網路界面或 Amazon VPC 中的 EC2 執行個體。您可以指派的次要私有 IP 地址數量取決於執行個體類型。如需每個執行個體類型可以指派的次要私有 IP 地址數量的詳細資訊,請參閱 EC2 User Guide

問:是否可將一或多個彈性 IP (EIP) 地址指派給以 VPC 為基礎的 Amazon EC2 執行個體?

是。不過,這些 EIP 地址只能從網際網路存取 (不能透過 VPN 連接存取)。每個 EIP 地址必須與執行個體上的唯一私有 IP 地址關聯。EIP 地址必須只用於設定為將流量直接路由到網際網路閘道的子網路中的執行個體。EIP 無法用於設定為使用 NAT 閘道或 NAT 執行個體存取網際網路的子網路中的執行個體。這只適用於 IPv4。Amazon VPC 此時尚不支援 EIP 用於 IPv6。

路由和拓撲

問:Amazon VPC 路由器的作用為何?

Amazon VPC 路由器可以讓子網路中的 Amazon EC2 執行個體與相同 VPC 中其他子網路內的 Amazon EC2 執行個體通訊。VPC 路由器也可讓子網路、網際網路閘道和虛擬私有閘道互相通訊。雖然無法從路由器取得網路用量資料,但可以使用 Amazon CloudWatch 從執行個體取得網路用量統計資料。

問:是否可修改 VPC 路由表?

是。您可以建立路由規則,以指定將哪些子網路路由到網際網路閘道、虛擬私有閘道或其他執行個體。

問:是否可指定哪個子網路將用哪個閘道作為其預設閘道?

是。您可以為每個子網路建立預設路由。預設路由可以引導流量透過網際網路閘道、虛擬私有閘道或 NAT 閘道從 VPC 傳出。

問:Amazon VPC 是否支援多點傳送廣播

否。

安全和篩選

問:如何保障在 VPC 中執行的 Amazon EC2 執行個體的安全?

Amazon EC2 安全群組可用來協助確保 Amazon VPC 內執行個體的安全。VPC 中的安全群組可讓您指定允許進出各個 Amazon EC2 執行個體的傳入和傳出網路流量。沒有明確獲允許進出執行個體的流量將會自動被拒絕。

除了安全群組之外,透過網路存取控制清單 (ACL) 也可允許或拒絕進出每個子網路的網路流量。

問:VPC 中的安全群組和 VPC 中的網路 ACL 有什麼差異?

VPC 中的安全群組指定獲允許進出 Amazon EC2 執行個體的流量。而網路 ACL 會在子網路層級上運作,並評估進出子網路的流量。網路 ACL 可用來設定允許和拒絕規則。網路 ACL 不會篩選相同子網路中執行個體之間的流量。此外,網路 ACL 執行無狀態篩選,而安全群組則執行狀態篩選。

問:狀態篩選和無狀態篩選有什麼差異?

狀態篩選會追蹤請求的來源,且可自動允許將請求的回覆傳回來源電腦。例如,允許 Web 伺服器上 TCP 連接埠 80 傳入流量的狀態篩選將允許傳回流量,通常是編號較高的連接埠 (例如,目的地 TCP 連接埠 63、912) 透過用戶端與 Web 伺服器之間的狀態篩選傳送。篩選裝置會維護一個狀態表,用於追蹤來源和目的地連接埠號碼與 IP 地址。篩選裝置上只需要一個規則:允許流量傳入 Web 伺服器的 TCP 連接埠 80。

另一方面,無狀態篩選只會檢查來源或目的地 IP 地址和目的地連接埠,而忽略流量是新請求還是對請求的回覆。在上述範例中,篩選裝置上需要實作兩個規則:一個規則允許流量傳入 Web 伺服器的 TCP 連接埠 80,另一個規則允許來自 Web 伺服器的傳出流量 (TCP 連接埠範圍 49, 152 到 65, 535)。

問:是否可在 Amazon VPC 中使用為 Amazon EC2 中的執行個體所建立的 SSH 金鑰對,或是在 Amazon EC2 中使用為 Amazon VPC 中的執行個體所建立的 SSH 金鑰對?

是。

問:VPC 中的 Amazon EC2 執行個體是否可與不在 VPC 中的 Amazon EC2 執行個體通訊?

是。如果已經設定網際網路閘道,而 Amazon VPC 流量的目標是不在 VPC 中的 Amazon EC2 執行個體,則流量會周遊網際網路閘道,然後進入公有 AWS 網路,以連接該 EC2 執行個體。如果沒有設定網際網路閘道,或是執行個體位於設定為透過虛擬私有閘道路由的子網路,那麼流量將周遊 VPN 連接,從您的資料中心中傳出,再進入公有 AWS 網路。

問:不同區域的 VPC 中的 Amazon EC2 執行個體是否可互相通訊?

是。一個區域中的執行個體可以使用區域間 VPC 對等、公有 IP 地址、NAT 閘道、NAT 執行個體、VPN 連接或 Direct Connect 連接互相通訊。

問:VPC 中的 Amazon EC2 執行個體是否可與 Amazon S3 通訊?

是。有多種方法可讓 VPC 中的資源與 Amazon S3 通訊。您可以使用 S3 的 VPC 端點,確保所有流量保持在 Amazon 的網路內,且讓您能夠在 Amazon S3 流量套用額外的存取政策。您可以使用網際網路閘道啟用從 VPC 存取網際網路,且 VPC 中的執行個體可與 Amazon S3 通訊。您也可以讓 Amazon S3 的所有流量周遊 Direct Connect 或 VPN 連接,從您的資料中心傳出,再重新進入公有 AWS 網路。

問:為什麼無法 Ping 到與我的子網路連接的路由器或我的預設閘道?

因為對 VPC 中路由器的 Ping (ICMP 回應要求和回應回覆) 請求不受支援。只要您的作業系統的防火牆、VPC 安全群組和網路 ACL 允許此流量,即支援在 VPC 內的 Amazon EC2 執行個體之間進行 Ping。

問:是否能監控 VPC 中的網路流量?

是。您可以使用 Amazon VPC Flow Logs 功能來監控 VPC 中的網路流量。

Amazon VPC 與 Amazon EC2

問:可以在哪些 Amazon EC2 區域中使用 Amazon VPC?

Amazon VPC 目前可以在所有 Amazon EC2 區域的多個可用區域中使用。

問:VPC 是否可跨越多個可用區域?

是。 

問:子網路是否可跨越可用區域?

否。子網路必須位於單一可用區域內。

問:如何指定在哪個可用區域啟動我的 Amazon EC2 執行個體?

當您啟動 Amazon EC2 執行個體時,必須指定要在其中啟動該執行個體的子網路。該執行個體將在與指定子網路關聯的可用區域中啟動。

問:如何確定我的子網路所在的可用區域?

當您建立子網路時,必須指定要放置該子網路的可用區域。在使用 VPC 精靈時,您可以在精靈確認畫面中選擇子網路的可用區域。而使用 API 或 CLI 時,您可以像建立子網路時一樣指定子網路的可用區域。如果不指定可用區域,則將選取預設的 "No Preference" 選項,這樣也會在區域中可使用的可用區域中建立子網路。

問:是否需要支付不同子網路中執行個體之間的網路頻寬費用?

如果執行個體位於不同可用區域的子網路內,您將需要支付每 GB 0.01 USD 的數據傳輸費。

問:呼叫 DescribeInstances() 時,是否可看到我的所有 Amazon EC2 執行個體,包括位於 EC2-Classic 和 EC2-VPC 中的執行個體?

是。DescribeInstances() 將傳回所有執行中的 Amazon EC2 執行個體。您可以透過子網路欄位中的項目來分辨 EC2-Classic 執行個體與 EC2-VPC 執行個體。如果列出子網路 ID,則表示該執行個體位於 VPC 之中。 

問:呼叫 DescribeVolumes() 時,是否能看到我的所有 Amazon EBS 磁碟區,包括位於 EC2-Classic 和 EC2-VPC 中的磁碟區?

是。DescribeVolumes() 將傳回您的所有 EBS 磁碟區。

問:VPC 中可使用多少 Amazon EC2 執行個體?

您可以在 VPC 中執行任意數量的 Amazon EC2 執行個體,只要 VPC 有適當的大小,可將 IP 地址指派給每個執行個體。初始限制為一次可啟動 20 個 Amazon EC2 執行個體,而 VPC 的大小上限為 /16 (65,536 個 IP)。如果要提高這些限制,請填寫以下表單

問:是否可在 Amazon VPC 使用現有的 AMI?

您可以在 Amazon VPC 使用註冊區域與您的 VPC 相同的 AMI。例如,您可以將註冊在 us-east-1 的 AMI 用於 us-east-1 中的 VPC。有關更多資訊,請參閱 Amazon EC2 區域和可用區域常見問答集

問:是否可使用現有的 Amazon EBS 快照?

是,如果 Amazon EBS 快照與您的 VPC 位於相同區域,您可以使用這些快照。有關更多詳細資訊,請參閱 Amazon EC2 區域和可用區域常見問答集

問:是否可從 Amazon VPC 中的 Amazon EBS 磁碟區啟動 Amazon EC2 執行個體?

是,不過,VPC 中使用 Amazon EBS 後端 AMI 啟動的執行個體,將在停止和重新啟動後保持相同的 IP 地址。這與在 VPC 外部啟動的類似執行個體相反,這會取得新的 IP 地址。子網路中任何停止的執行個體的 IP 地址將視為不可用。

問:是否可將 Amazon EC2 預留執行個體用於 Amazon VPC?

是。您可以在購買預留執行個體時,在 Amazon VPC 中預訂執行個體。計算帳單時,AWS 並不會區分您的執行個體是在 Amazon VPC 中還是在標準 Amazon EC2 中執行。AWS 會自動優化哪些執行個體按照較低的預留執行個體費率收費,確保您始終支付最低的金額。不過,您的執行個體保留將僅限於 Amazon VPC。有關進一步的詳細資訊,請參閱預留執行個體頁面。

問:是否可在 Amazon VPC 中使用 Amazon CloudWatch?

是。

問:是否可在 Amazon VPC 中使用 Auto Scaling?

是。 

問:是否可在 VPC 中啟動 Amazon EC2 叢集執行個體?

是。Amazon VPC 支援叢集執行個體,不過並非所有執行個體類型在所有區域和可用區域都可用。

 

預設 VPC

問:什麼是預設 VPC?

預設 VPC 是 AWS 雲端中的邏輯隔離虛擬網路,在您首次佈建 Amazon EC2 資源時,會為您的 AWS 帳戶自動建立。當您啟動執行個體但未指定子網路 ID 時,執行個體便會在預設 VPC 中啟動。

問:預設 VPC 有哪些優點?

當您在預設 VPC 中啟動資源時,Amazon VPC (EC2-VPC) 的進階聯網功能以及 Amazon EC2 (EC2-Classic) 的易用性可為您提供許多好處。您可以享用各種功能,例如,執行中變更安全群組成員、安全群組輸出篩選、多個 IP 地址以及多個網路界面,而無須專門建立 VPC 並在其中啟動執行個體。

問:哪些帳戶可以使用預設 VPC?

如果您的 AWS 帳戶在 2013 年 3 月 18 日之後建立,您的帳戶就可以啟動預設 VPC 中的資源。請參閱此論壇公告,以確定哪些區域已經啟用預設 VPC 功能集。此外,在上述日期之前建立的帳戶,則可以在任何已啟用預設 VPC 的區域 (之前未在該區域啟動過 EC2 執行個體,或佈建過 Amazon Elastic Load Balancing、Amazon RDS、Amazon ElastiCache 或 Amazon Redshift 資源) 使用預設 VPC。

問:如何確定我的帳戶是否設定為使用預設 VPC?

Amazon EC2 主控台會指出在所選區域中您可以啟動執行個體的平台,以及在該區域您是否擁有預設 VPC。確認是否已在瀏覽列中選定要使用的區域。在 Amazon EC2 主控台儀表板上,在 "Account Attributes" 下尋找 "Supported Platforms"。如果有兩個值 (EC2-Classic 和 EC2-VPC),可以將執行個體啟動到任何一個平台中。如果有一個值 (EC2-VPC),則只能將執行個體啟動到 EC2-VPC 中。如果您的帳戶設定為使用預設 VPC,則會在 "Account Attributes" 下列出您的預設 VPC ID。您還可以使用 EC2 DescribeAccountAttributes API 或 CLI 來描述您的受支援平台。

問:是否需要了解一些關於 Amazon VPC 的資訊才能使用預設 VPC?

否。您可以使用 AWS 管理主控台、AWS EC2 CLI 或 Amazon EC2 API,在預設 VPC 中啟動和管理 EC2 執行個體及其他 AWS 資源。AWS 會自動為您建立預設 VPC,並在 AWS 區域的每個可用區域中建立預設子網路。您的預設 VPC 會連接到網際網路閘道,而您的執行個體會自動接收公有 IP 地址,和 EC2-Classic 一樣。

問:EC2-Classic 和 EC2-VPC 中啟動的執行個體有何不同?

請參閱 EC2 User Guide 中的 Differences between EC2-Classic and EC2-VPC

問:是否必須要有 VPN 連接才能使用預設 VPC?

否。預設 VPC 會連接到網際網路,而且在預設 VPC 的預設子網路中啟動的所有執行個體都會自動接收公有 IP 地址。您可以將 VPN 連接新增到您選擇的預設 VPC 中。

問:除了預設 VPC 以外,是否能建立其他 VPC 並使用?

是。要將執行個體啟動到非預設 VPC 中,您必須在執行個體啟動期間指定子網路 ID。

問:是否可在預設 VPC 中建立其他子網路,如私有子網路?

是。要啟動到非預設子網路中,可以使用主控台或是 CLI、API 或 SDK 的 --subnet 選項設定啟動目標。

問:可以擁有多少個預設 VPC?

對於將 Supported Platforms 屬性設為 "EC2-VPC" 的每個 AWS 區域,可以擁有一個預設 VPC。

問:預設 VPC 的 IP 範圍是什麼?

預設 VPC CIDR 為 172.31.0.0/16。預設子網路在預設 VPC CIDR 中使用 /20 CIDR。

問:預設 VPC 中有多少預設子網路?

在您的預設 VPC 中,會為每個可用區域建立一個預設子網路。

問:是否可自行指定預設 VPC?

目前不可以。

問:是否可自行指定預設子網路?

目前不可以。

問:是否能刪除預設 VPC?

是,您可以刪除預設 VPC。刪除之後,可以從 VPC 主控台或透過使用 CLI 直接建立新的預設 VPC。這將會在區域中建立新的預設 VPC。這不會恢復之前刪除的 VPC。

問:是否能刪除預設子網路?

是,您可以刪除預設子網路。刪除之後,可以使用 CLI 或軟體開發套件在可用區域建立新的預設子網路。這可在指定的可用區域建立新的預設子網路。這不會恢復之前刪除的子網路。

問:我現在有一個 EC2-Classic 帳戶。是否能取得預設 VPC?

取得預設 VPC 最簡單的方法是,在已啟用預設 VPC 的區域中建立新帳戶,或在從未使用過的區域中使用現有帳戶,只要該區域中帳戶的 Supported Platforms 屬性設為 "EC2-VPC" 即可。

問:我很想讓我現有的 EC2 帳戶擁有預設 VPC。是否可行?

是,不過我們只能為預設 VPC 啟用現有帳戶,而且您在該區域中的帳戶不能有任何 EC2-Classic 資源。此外,您必須終止該區域中所有非 VPC 佈建的 Elastic Load Balancer、Amazon RDS、Amazon ElastiCache 和 Amazon Redshift 資源。您的帳戶針對預設 VPC 進行設定之後,未來所有的資源啟動,包括透過 Auto Scaling 啟動的執行個體,都將發生在您的預設 VPC 中。如需要求將您的現有帳戶設定為含預設 VPC,請聯絡 AWS Support。我們會審核您的要求和現有的 AWS 服務以及 EC2-Classic 的情況,以確定您是否有資格獲得預設 VPC。

問:預設 VPC 對 IAM 帳戶有哪些影響?

如果您的 AWS 帳戶擁有預設 VPC,則與 AWS 帳戶關聯的任何 IAM 帳戶都會使用與 AWS 帳戶相同的預設 VPC。

 

彈性網路界面

問:是否可在 EC2 執行個體執行時,連接或分離一或多個網路界面?

是。

問:是否可在 EC2 執行個體上連接兩個以上的網路界面?

EC2 執行個體上可以連接的網路界面總數取決於執行個體類型。每個執行個體類型允許的網路界面數量的詳細資訊,請參閱 EC2 User Guide。

問:是否可將一個可用區域中的網路界面連接到另一個可用區域中的執行個體?

網路界面只能連接到位於相同可用區域中的執行個體。

問:是否可將一個 VPC 中的網路界面連接到另一個 VPC 中的執行個體?

網路界面只能連接到與界面位於相同 VPC 的執行個體。

問:是否可使用彈性網路界面這種方式,在單一執行個體上託管要求單獨 IP 地址的多個網站?

是,不過,這不是最適用於多個界面的使用案例。您應該為執行個體指派額外的私有 IP 地址,然後視需要將 EIP 與這些私有 IP 關聯。

問:彈性 IP 地址與網路界面關聯,但該網路界面沒有連接執行中的執行個體時,是否會收取費用?

是。

問:是否可分離 EC2 執行個體上的主要界面 (eth0)?

否。您可以連接和分離 EC2 執行個體上的次要界面 (eth1-ethn),但不能分離 eth0 界面。

 

對等連線

問:是否能建立不同區域中 VPC 的對等連線?

是。對等連線可以利用不同區域中的 VPC 建立。目前在美國東部 (維吉尼亞)、美國東部 (俄亥俄)、美國西部 (奧勒岡) 和歐洲 (愛爾蘭) 等 AWS 區域支援區域間 VPC 對等。

問:是否能將我的 VPC 對等連接到其他 AWS 帳戶的 VPC?

是,只要其他 VPC 的擁有者接受您的對等連線請求即可。

問:是否可對等連接 IP 地址範圍相符的兩個 VPC?

否。對等 VPC 必須擁有互不重疊的 IP 範圍。

問:VPC 對等連線的成本是多少?

建立 VPC 對等連線是免費的,但是對等連線之間的數據傳輸則要收費。如需了解數據傳輸費率,請參閱 EC2 定價頁面的數據傳輸部分。

問:是否能使用 AWS Direct Connect 或硬體 VPN 連接,以存取對等連接的 VPC?

否。Amazon VPC 不支援「節點到節點路由」。有關詳細資訊,請參閱 VPC Peering Guide

問:是否需要網際網路閘道才能使用對等連線?

否。VPC 對等連線不需要網際網路閘道。

問:VPC 對等流量在區域中是否是加密的?

否。對等 VPC 中的執行個體之間的流量會保持私密且隔離,和相同 VPC 中兩個執行個體之間的流量是私密且隔離的情形類似。

問:如果刪除我的對等連線端,另一端是否還能存取我的 VPC?

否。對等連線的任一端隨時可以中斷對等連線。中斷對等連線表示不會在兩個 VPC 之間產生流量。

問:如果將 VPC A 對等連接到 VPC B,再將 VPC B 對等連接到 VPC C,是否表示 VPC A 和 VPC C 已經對等連接?

否。不支援轉移對等關係。

問:如果我的對等連線發生故障,該怎麼辦?

AWS 使用現有的 VPC 基礎設施建立 VPC 對等連線,既不是閘道,也不是 VPN 連接,而且不倚賴某個獨立的實體硬體。因此不會有通訊的單一故障點或頻寬瓶頸問題。

區域間 VPC 對等使用與目前支援 VPC 的相同水平擴展、冗餘及高度可用技術操作。區域間 VPC 對等流量經由擁有內建冗餘和動態頻寬分配的 AWS 骨幹傳送,不會有通訊的單一故障點問題。

如果區域間對等連線中斷,流量不會透過網際網路路由。

問:對等連線是否有任何頻寬限制?

對等 VPC 中的執行個體之間的頻寬與相同 VPC 中的執行個體之間的頻寬沒有任何區別。注意:置放群組可跨越對等 VPC;不過,您不會在對等 VPC 中的執行個體之間取得全等分頻寬。請參閱更多有關置放群組的資訊。

問:區域間 VPC 對等流量是否會加密?

會使用現代 AEAD (相關資料的驗證加密) 演算法加密流量。金鑰協議和金鑰管理由 AWS 處理。

問:DNS 轉譯與區域間 VPC 對等如何搭配運作?

根據預設,針對不同區域中對等 VPC 執行個體公有主機名稱的查詢會解析為公有 IP 地址。Route 53 私有 DNS 可用來解析為含區域間 VPC 對等的私有 IP 地址。

問:是否可跨區域間 VPC 對等連線參考安全群組?

否。不能跨區域間 VPC 對等連線參考安全群組。

問:區域間 VPC 對等是否支援 IPv6?

否。區域間 VPC 對等不支援 IPv6。

問:區域間 VPC 對等是否可與 EC2-Classic Link 搭配使用?

否。區域間 VPC 對等不能與 EC2-ClassicLink 搭配使用。

問:有哪些 AWS 服務不能透過區域間 VPC 對等使用?

Network Load Balancer、AWS PrivateLink 和 Elastic File System 不能透過區域間 VPC 對等使用。

問:什麼是 ClassicLink?

Amazon Virtual Private Cloud (VPC) ClassicLink 可讓 EC2-Classic 平台中的 EC2 執行個體,使用私有 IP 地址與 VPC 中的執行個體進行通訊。若要使用 ClassicLink,請為帳戶中的 VPC 啟用此功能,然後將該 VPC 中的安全群組與 EC2-Classic 中的執行個體建立關聯。VPC 安全群組的所有規則都會套用到 EC2-Classic 中執行個體之間的通訊,也會套用到 VPC 中執行個體之間的通訊。 

問:ClassicLink 如何收費?

使用 ClassicLink 並不收取其他費用,但會收取現有可用區域之間的數據傳輸費。如需詳細資訊,請瀏覽 EC2 定價頁面

問:如何使用 ClassicLink?

若要使用 ClassicLink,必須先在帳戶中為 ClassicLink 至少啟用一個 VPC。然後將 VPC 中的安全群組與所需的 EC2-Classic 執行個體建立關聯。EC2-Classic 執行個體現在連結到 VPC,而且是 VPC 中所選安全群組的成員。EC2-Classic 執行個體不能同時連結到多個 VPC。

問:EC2-Classic 執行個體是否會成為 VPC 的成員?

EC2-Classic 執行個體不會成為 VPC 的成員,而是會成為與執行個體關聯的 VPC 安全群組的成員。VPC 安全群組的所有規則和參考都會套用到 EC2-Classic 執行個體中執行個體之間的通訊,也會套用到 VPC 中資源之間的通訊。

問:是否能使用 EC2-Classic 執行個體和 EC2-VPC 執行個體中的 EC2 公有 DNS 主機名稱互相定址,以使用私有 IP 進行通訊?

否。從 EC2-Classic 執行個體查詢時,EC2 公有 DNS 主機名稱將無法解析為 EC2-VPC 執行個體的私有 IP 地址,反之亦然。

問:是否有無法啟用 ClassicLink 的 VPC?

是。如果 VPC 使用無類別網域間路由選擇 (CIDR) 的方式,且在 10.0.0.0/8 的範圍內 (10.0.0.0/16 和 10.1.0.0/16 除外),則該 VPC 無法啟用 ClassicLink。此外,如果任何 VPC 包含的路由表項目指向 10.0.0.0/8 CIDR 空間而非「本機」目標,則該 VPC 無法啟用 ClassicLink。

問:來自 EC2-Classic 執行個體的流量是否能透過 Amazon VPC 傳輸,並經由網際網路閘道、虛擬私有閘道輸入,或輸出到對等 VPC?

來自 EC2-Classic 執行個體的流量只能路由到 VPC 中的私有 IP 地址。這些流量不能路由到 VPC 之外的任何目的地,包括網際網路閘道、虛擬私有閘道或對等 VPC 目的地。

問:ClassicLink 是否會對 EC2-Classic 執行個體以及 EC2-Classic 平台中的其他執行個體的存取控制造成影響?

ClassicLink 不會變更透過 EC2-Classic 平台中現有安全群組對 EC2-Classic 執行個體定義的存取控制。

問:在停止/開始循環中,EC2-Classic 執行個體上的 ClassicLink 設定是否會持續存在?

ClassicLink 連線在 EC2-Classic 執行個體的停止/開始循環中不會持續存在。EC2-Classic 執行個體停止再開始後,您需要將它連結回 VPC。不過,ClassicLink 連線在執行個體重新啟動循環中會持續存在。

問:當我啟用 ClassicLink 後,是否會對我的 EC2-Classic 執行個體指派新的私有 IP 地址?

不會對 EC2-Classic 執行個體指派新的私有 IP 地址。當您對 EC2-Classic 執行個體啟用 ClassicLink 後,執行個體會保留,並使用現有的私有 IP 地址與 VPC 中的資源進行通訊。

問:ClassicLink 是否允許 EC2-Classic 安全群組規則參考 VPC 安全群組,或允許 VPC 安全群組規則參考 EC2-Classic 安全群組?

ClassicLink 不允許 EC2-Classic 安全群組規則參考 VPC 安全群組,也不允許 VPC 安全群組規則參考 EC2-Classic 安全群組。

虛擬私有閘道 – 使用自有自發系統編號

問:這個功能是什麼?

對於任何新的 VGW,客戶可透過可設定的私有自發系統編號 (ASN) 在 BGP 工作階段的 Amazon 端為 VPN 和 AWS Direct Connect 私有 VIF 設定 ASN。

問:使用此功能的費用是多少?

使用此功能無須額外付費。

問:如何設定/指派我的 ASN 將其公告為 Amazon 端 ASN?

您可以在建立新的虛擬私有閘道 (VGW) 時設定/指派 ASN 將其公告為 Amazon 端 ASN。您可以使用 VPC 主控台或 EC2/CreateVpnGateway API 呼叫建立 VGW。

問:Amazon 在這個功能之前指派哪一個 ASN?

Amazon 指派以下 ASN:西歐 (都柏林) 9059;亞太區域 (新加坡) 17493 以及亞太區域 (東京) 10124。所有其他區域指派的 ASN 都是 7224;這些 ASN 稱為區域的「傳統公有 ASN」。

問:是否可使用任何 ASN – 公有和私有?

您可以將任何私有 ASN 指派到 Amazon 端。到 2018 年 6 月 30 日為止可以指派區域的「傳統公有 ASN」,但您不能指派任何其他公有 ASN。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。

問:為什麼不能在 BGP 工作階段的 Amazon 端指派公有 ASN?

Amazon 不會驗證 ASN 的擁有權,所以我們將 Amazon 端的 ASN 限制為私有 ASN。我們希望保護客戶不受 BGP 詐騙的危害。

問:我可以選擇哪一種 ASN?

您可以選擇任何私有 ASN。16 位元私有 ASN 的範圍包含 64512 到 65534。您也可以提供 32 位元的 ASN,範圍介於 4200000000 和 4294967294 之間。

如果您沒有選擇,Amazon 會為 VGW 提供預設 ASN。到 2018 年 6 月 30 日為止,Amazon 會持續提供區域的「傳統公有 ASN」。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。

問:如果我嘗試指派公有 ASN 到BGP 工作階段的 Amazon 端,會發生什麼情況?

一旦您嘗試建立 VGW,我們就會要求您重新輸入私有 ASN,除非它是區域的「傳統公有 ASN」。

問:如果我沒有為 BGP 工作階段的 Amazon 端提供 ASN,Amazon 會為我指派哪一個 ASN?

如果您沒有選擇,Amazon 會為 VGW 提供 ASN。到 2018 年 6 月 30 日為止,Amazon 會持續提供區域的「傳統公有 ASN」。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。

問:我可以在哪裡檢視 Amazon 端 ASN?

您可以在 VPC 主控台的 VGW 頁面和 EC2/DescribeVpnGateways API 的回應中檢視 Amazon 端 ASN。

問:如果我有公有 ASN,是否可以在 AWS 端搭配私有 ASN 使用?

是,您可以在 BGP 工作階段的 Amazon 端設定私有 ASN,並在您這一端設定公有 ASN。

問:我已經設定了私有 VIF,希望在現有 VIF 上為 BGP 工作階段設定不同的 Amazon 端 ASN。要如何執行這項變更?

您必須以所需的 ASN 建立新的 VGW,再以新建立的 VGW 建立新的 VIF。您的裝置組態也需要進行適當的變更。

問:我已經設定了 VPN 連接,希望修改這些 VPN 的 BGP 工作階段 Amazon 端 ASN。要如何執行這項變更?

您必須以所需的 ASN 建立新的 VGW,再重新建立客戶閘道與新建立的 VGW 之間的 VPN 連接。

問:我已經使用 Amazon 指派的公有 ASN 7224 設定 VGW 和私有 VIF/VPN 連接。如果 Amazon 自動為新的私有 VGW 產生 ASN,會為我指派哪一個 Amazon 端 ASN?

Amazon 會為新的 VGW 指派 64512 給 Amazon 端 ASN。

問:我已使用 Amazon 指派的公有 ASN 設定 VGW 和私有 VIF/VPN 連接。現在希望為我建立的新私有 VIF/VPN 連接使用 Amazon 指派的相同公有 ASN。要怎麼做?

您可以在建立新的虛擬私有閘道 (VGW) 時設定/指派 ASN 將其公告為 Amazon 端 ASN。您可以使用主控台或 EC2/CreateVpnGateway API 呼叫建立 VGW。如前所述,我們允許新建立的 VGW 使用「傳統公有 ASN」。

問:我已使用 Amazon 指派的公有 ASN 7224 設定 VGW 和私有 VIF/VPN 連接。如果 Amazon 使用相同的 VGW 自動為新的私有 VIF/VPN 連接產生 ASN,會為我指派哪一個 Amazon 端 ASN?

Amazon 會為新的 VIF/VPN 連接指派 7224 給 Amazon 端 ASN。新私有 VIF/VPN 連接的 Amazon 端 ASN 是繼承現有的 VGW 而來,且預設為該 ASN。

問:我將多個私有 VIF 連接到單一 VGW。每個 VIF 是否可有個別的 Amazon 端 ASN?

否,您可以為每個 VGW 而不是每個 VIF 指派/設定個別的 Amazon 端 ASN。VIF 的 Amazon 端 ASN 是繼承自連接的 VGW 的 Amazon 端 ASN。

問:我建立多個連接到單一 VGW 的 VPN 連接。每個 VPN 連接是否可有個別的 Amazon 端 ASN?

否,您可以為每個 VGW 而不是每個 VPN 連接指派/設定個別的 Amazon 端 ASN。VPN 連接的 Amazon 端 ASN 是繼承自 VGW 的 Amazon 端 ASN。

問:我可以在哪裡選取自己的 ASN?

在 VPC 主控台建立 VGW 時,取消核取詢問您是否要自動產生的 Amazon BGP ASN 的方塊,並為 BGP 工作階段的 Amazon 端提供您自己的私有 ASN。透過 Amazon 端 ASN 設定 VGW 後,使用該 VGW 建立的私有 VIF 或 VPN 連接都將使用您的 Amazon 端 ASN。

問:我目前使用 CloudHub。未來是否需要調整組態?

您不需要做任何變更。

問:我想選取 32 位元 ASN。32 位元私有 ASN 的範圍為何?

我們支援從 4200000000 到 4294967294 的 32 位元 ASN。

問:VGW 建立之後,是否可變更或修改 Amazon 端 ASN?

否,建立之後就不能修改 Amazon 端 ASN。您可以刪除 VGW,再用所需的 ASN 重新建立新的 VGW。

問:是否有新的 API 可設定/指派 Amazon 端 ASN?

否。您可以使用和之前相同的 API (EC2/CreateVpnGateway) 執行此動作。我們剛在這個 API 加入了新的參數 (amazonSideAsn)。

問:是否有新的 API 可檢視 Amazon 端 ASN?

否。您可以使用相同的 EC2/DescribeVpnGateways API 檢視 Amazon 端 ASN。我們剛在這個 API 加入了新的參數 (amazonSideAsn)。

 

問:什麼是 AWS PrivateLink?

AWS PrivateLink 可讓客戶以高度可用和可擴展的方式存取 AWS 上託管的服務,同時將所有網路流量保留在 AWS 網路內。服務使用者可利用這項技術從他們的 Amazon Virtual Private Cloud (VPC) 或自己的現場部署以私有方式存取 PrivateLink 支援的服務,無須使用公有 IP,流量也無須周遊網際網路。服務擁有者可以將他們的 Network Load Balancer 註冊到 PrivateLink 服務,然後提供給其他 AWS 客戶使用。

問:如何使用 AWS PrivateLink?

您身為服務使用者,需要為採用 PrivateLink 技術的服務建立界面類型 VPC 端點。這些服務端點會顯示為彈性網路界面 (ENI) 並包含您 VPC 的私有 IP。建立這些端點之後,傳送到這些 IP 的所有流量都會以私有方式路由到對應的 AWS 服務。

做為服務擁有者,您可以透過建立 Network Load Balancer (NLB) 做為服務的前端,然後建立 PrivateLink 服務並註冊到 NLB,即可將您的服務加入 AWS PrivateLink。將客戶的帳戶和 IAM 角色加入白名單之後,他們就能在自己的 VPC 中建立端點以連接您的服務。

問: PrivateLink 目前提供哪些 AWS 服務?

下列 AWS 服務支援這項功能:Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Kinesis Streams、Service Catalog 和 EC2 Systems Manager。許多 SaaS 解決方案也支援這項功能。請瀏覽 AWS Marketplace 取得更多採用 AWS PrivateLink 技術的 SaaS 產品。

問:是否可透過 AWS Direct Connect 以私有方式存取採用 AWS PrivateLink 技術的服務?

是。現場部署中的應用程式可透過 AWS Direct Connect 連接到 Amazon VPC 中的服務端點。這些服務端點會自動將流量導向採用 AWS PrivateLink 技術的 AWS 服務。

其他問題

問:是否可使用 AWS 管理主控台控制和管理 Amazon VPC?

是。您可以使用 AWS 管理主控台管理 Amazon VPC 物件,如 VPC、子網路、路由表、網際網路閘道和 IPSec VPN 連接。此外,您也可以使用簡單的精靈來建立 VPC。

問:可以建立多少個 VPC、子網路、彈性 IP 地址、網際網路閘道、客戶閘道、虛擬私有閘道和 VPN 連接?

數量如下:

  • 每個區域的每個 AWS 帳戶 5 個 Amazon VPC
  • 每個 Amazon VPC 200 個子網路
  • 每個區域的每個 AWS 帳戶 5 個 Amazon VPC 彈性 IP 地址
  • 每個 VPC 1 個網際網路閘道
  • 每個區域的每個 AWS 帳戶 5 個虛擬私有閘道
  • 每個區域的每個 AWS 帳戶 50 個客戶閘道
  • 每個虛擬私有閘道 10 個 IPsec VPN 連接

請參閱 VPC User Guide 以了解 VPC 限制的詳細資訊。

問:Amazon VPC VPN 連接是否有服務水準協議 (SLA)?

目前沒有。 

問:是否可取得 Amazon VPC 的 AWS Support?

是。有關 AWS Support 的詳細資訊,請按一下這裡

問:是否可將 ElasticFox 用於 Amazon VPC?

官方已不再支援透過 ElasticFox 管理 Amazon VPC。現在可透過 AWS API、命令列工具和 AWS 管理主控台,以及多種第三方公用程式支援 Amazon VPC。

 

進一步了解 Amazon VPC

瀏覽產品詳細資訊頁面
準備好開始使用了嗎?
註冊
還有其他問題嗎?
聯絡我們