Amazon VPC 常見問答集

一般問題

Amazon VPC 讓您能夠在 Amazon Web Services (AWS) 雲端佈建一個在邏輯上隔離的部分,以在自己定義的虛擬網路中啟動 AWS 資源。您可以完全掌控虛擬聯網環境,包括選擇自己的 IP 地址範圍、建立子網路,以及設定路由表和網路閘道。您也可以在公司資料中心和 VPC 之間建立硬體虛擬私人網路 (VPN) 連接,將 AWS 雲端當成公司資料中心的延伸。

您可以輕鬆自訂 Amazon VPC 的網路配置。例如,您可以為可存取網際網路的 Web 伺服器建立公有子網路,而將資料庫或應用程式伺服器等後端系統放在不能存取網際網路的私有子網路。您可以利用安全群組和網路存取控制清單等多種安全層,對各個子網路中 Amazon EC2 執行個體的存取進行控制。

Amazon VPC 是由下列各種物件組成,具備現有網路的客戶對此都很熟悉:

  • 虛擬私有雲端:AWS 雲端中邏輯隔離的虛擬網路。您可以從所選的範圍內定義 VPC 的 IP 地址空間。
  • 子網路:在 VPC 的 IP 地址範圍內的某個區段,可將隔離資源的群組放入其中。
  • 網際網路閘道:公有網際網路連線的 Amazon VPC 端。
  • NAT 閘道:一項高可用性受管網路位址轉譯 (NAT) 服務,可供您在私有子網路中的資源存取網際網路。
  • 虛擬私有閘道:VPN 連接的 Amazon VPC 端。
  • 對等互連:對等互連可讓您透過兩個對等 VPC 之間的私有 IP 地址路由流量。
  • VPC 端點:允許透過私有連線從您的 VPC 內連接到 AWS 上託管的服務,無須使用網際網路閘道、VPN、網路位址轉譯 (NAT) 裝置或防火牆代理。
  • 只有輸出的網際網路閘道:一種狀態閘道,針對從 VPC 到網際網路的 IPv6 流量提供只有輸出的存取。
Amazon VPC 讓您能夠在 AWS 雲端中建置虛擬網路,而且不需要 VPN、硬體或實體資料中心。您可以定義自己的網路空間,並控制網路及其中的 Amazon EC2 資源向網際網路公開的方式。您也可以利用 Amazon VPC 中經過強化的安全選項,為虛擬網路中 Amazon EC2 執行個體的進出存取提供更為細緻的存取控制。

您的 AWS 資源會自動佈建在準備就緒的預設 VPC 中。您可以在 AWS 管理主控台的 Amazon VPC 頁面選取 "Start VPC Wizard",選擇建立其他 VPC。

您將會看到網路架構的四個基本選項。在選擇其中一個選項之後,您可以修改 VPC 及其子網路的規模和 IP 地址範圍。如果選擇含硬體 VPN 存取的選項,您需要指定網路上 VPN 硬體的 IP 地址。您可以修改 VPC 以新增或移除次要 IP 範圍和閘道,或在 IP 範圍新增更多子網路。

四個選項為:

  1. 僅含單一公有子網路的 Amazon VPC
  2. 含公有子網路和私有子網路的 Amazon VPC
  3. 含公有子網路和私有子網路以及 AWS 站點對站點 VPN 存取的 Amazon VPC
  4. 只含私有子網路和 AWS 站點對站點 VPN 存取的 Amazon VPC

VPC 端點可讓您透過私有連線將 VPC 連接到 AWS 上託管的服務,無須網際網路閘道、NAT 裝置、VPN 或防火牆代理。端點是具備水平可擴展性和高度可用性的虛擬裝置,允許 VPC 和 AWS 服務中執行個體之間的通訊。Amazon VPC 提供兩種不同類型的端點:閘道類型端點和界面類型端點。

閘道類型端點僅適用於 S3 和 DynamoDB 等 AWS 服務。這些端點會將項目新增到您選擇的路由表,並透過 Amazon 的私有網路將流量路由到支援的服務。

界面類型端點提供的私有連線可連接採用 PrivateLink 的服務、AWS 服務、您自己的服務或 SaaS 解決方案,還支援透過 Direct Connect 連線。這些端點未來將支援更多 AWS 和 SaaS 解決方案。請參閱 VPC 定價以取得界面類型端點的價格。

計費

建立和使用 VPC 本身並不收取其他費用。至於包含 Amazon EC2 在內的其他 Amazon Web Services 使用費,仍會依照這些資源公佈的費率收取,此外還需支付數據傳輸費。如果您使用可選的硬體 VPN 連接將您的 VPC 連接到公司資料中心,定價是依據每 VPN 連線時數 (VPN 連接為「可用」狀態的時間) 計算。 不滿一小時按一小時計費。透過 VPN 連接傳輸的資料,將按照標準 AWS 資料傳輸費收取費用。有關 VPC-VPN 的定價資訊,請瀏覽 Amazon VPC 產品頁面定價部分

包含 Amazon EC2 在內的其他 Amazon Web Services 使用費,仍會依照這些資源公佈的費率收取。透過 VPC 的網際網路閘道存取 Amazon S3 等 Amazon Web Services 時,不會產生數據傳輸費。

如果透過您的 VPN 連接存取 AWS 資源,則會產生網際網路數據傳輸費。

連線

您可以將 Amazon VPC 連接到:

  • 網際網路 (透過網際網路閘道)
  • 公司資料中心 (使用 AWS 站點對站點 VPN 連接,並透過虛擬私有閘道)
  • 網際網路和公司資料中心 (利用網際網路閘道和虛擬私有閘道)
  • 其他 AWS 服務 (透過網際網路閘道、NAT、虛擬私有閘道或 VPC 端點)
  • 其他 Amazon VPC (透過 VPC 對等連線)
Amazon VPC 支援建立網際網路閘道。此閘道可讓 VPC 中的 Amazon EC2 執行個體直接存取網際網路。您還可以使用只有輸出的網際網路閘道,這是一種狀態閘道,針對從 VPC 到網際網路的 IPv6 流量提供只有輸出的存取。
否。網際網路閘道具有水平擴展、冗餘和高度可用三大特點。沒有頻寬限制。
VPC 中的執行個體可以藉助公有 IP 地址,包含彈性 IP 地址 (EIP) 和 IPv6 全域唯一地址 (GUA),直接對外與網際網路通訊,同時從網際網路 (如 Web 伺服器) 接收未經要求的輸入流量。您也可以使用下個問題中的解決方案。
任何 IP 地址若指派給可透過網際網路存取之 VPC 中託管的執行個體或服務,都會被視為公有 IP 地址。只有公有 IPv4 地址,包括彈性 IP 地址 (EIP) 和 IPv6 GUA,可以在網際網路上路由。為此,您需要先將 VPC 連線至網際網路,然後更新路由表,讓其可從網際網路連線/從網際網路存取。

沒有公有 IP 地址的執行個體可以透過以下兩種方式之一存取網際網路:

  1. 沒有公有 IP 地址的執行個體可以透過 NAT 閘道或 NAT 執行個體路由流量以存取網際網路。這些執行個體使用 NAT 閘道或 NAT 執行個體的公有 IP 地址周遊網際網路。NAT 閘道或 NAT 執行個體允許傳出通訊,但不允許網際網路上的機器啟動對具有私有地址執行個體的連線。
  2. 對於具有硬體 VPN 連接或 Direct Connect 連接的 VPC,執行個體可以透過虛擬私有閘道,將其網際網路流量路由到現有的資料中心。其可從該處透過現有的輸出點和網路安全/監控裝置存取網際網路。
是。您可以使用第三方軟體 VPN,利用您的 VPC 經由網際網路閘道建立站台對站台或遠端存取 VPN 連接。

否,使用公有 IP 地址時,AWS 中託管的執行個體與服務之間的所有通訊使用 AWS 的私有網路。源自 AWS 網路且目的地在 AWS 網路的封包保留在 AWS 全球網路上,但往返於 AWS 中國區域的流量除外。

此外,連接資料中心和區域的 AWS 全球網路上,所有資料流都會先在實體層自動加密,再傳出我們的安全設施。此外還設有額外的加密層,例如所有 VPC 跨區域對等流量,以及客戶或服務到服務 Transport Layer Security (TLS) 連線。 

AWS 站點對站點 VPN 連接會將您的 VPC 與資料中心連接。Amazon 支援網際網路協定安全 (IPSec) VPN 連接。VPC 與資料中心之間的資料傳輸會透過加密的 VPN 連接進行路由,協助保護資料傳輸時的機密性和完整性。建立 AWS 站點對站點 VPN 連接不需要網際網路閘道。

IP 定址

您可以使用任何 IPv4 地址範圍,包括適用於主要 CIDR 區塊的 RFC 1918 或公有可路由 IP 範圍。次要 CIDR 區塊需遵守特定限制。 公有可路由 IP 區塊只能透過虛擬私有閘道存取,且無法透過網際網路閘道從網際網路存取。 AWS 不會將客戶擁有的 IP 地址區塊告知網際網路。您可以透過呼叫相關的 API 或透過 AWS 管理主控台,將多達 5 個由 Amazon 提供或 BYOIP IPv6 GUA CIDR 區塊配置給 VPC。

建立 VPC 時可指派一個 Classless Internet Domain Routing (CIDR) IP 地址範圍作為主要 CIDR 區塊,VPC 建立之後最多可新增四 (4) 個次要 CIDR 區塊。然後從這些 CIDR 範圍內為 VPC 中的子網路定址。請注意,雖然您可以建立 IP 地址範圍重疊的多個 VPC,但這樣做會讓您無法透過硬體 VPN 連接將這些 VPC 連接到一般家用網路。因此,我們建議您不要使用重疊的 IP 地址範圍。您最多可以將 5 個 Amazon 提供的或 BYOIP IPv6 CIDR 區塊分配給您的 VPC。

指派給預設 VPC 的 CIDR 範圍為 172.31.0.0/16。預設 VPC 中的預設子網路會被指派 VPC CIDR 範圍內的 /20 個網路區塊。 
是,您可以將公有 IPv4 地址和 IPv6 GUA 地址帶入 AWS VPC,並將它們靜態分配到子網路和 EC2 執行個體。若要透過網際網路存取這些地址,您必須從內部部署網路,將它們公告到網際網路上。您也必須透過 AWS DX 或 AWS VPN 連接,將 VPC 和現場部署網路之間的流量路由到這些地址。您可以使用虛擬私有閘道,從 VPC 路由流量。同樣地,您可以使用路由器,將現場部署網路的流量路由傳回您的 VPC。

Amazon VPC 目前針對 IPv4 支援五 (5) 個 IP 地址範圍,一 (1) 個主要和四 (4) 個次要。每個範圍的大小可介於 /28 (CIDR 標記法) 和 /16 之間。VPC 的 IP 地址範圍不應與現有網路的 IP 地址範圍重疊。

針對 IPv6,VPC 固定大小為 /56 (CIDR 標記法)。VPC 可以同時有與其關聯的 IPv4 和 IPv6 CIDR 區塊。

是。您可以在 VPC 新增四 (4) 個次要 IPv4 IP 範圍 (CIDR) 以擴展現有 VPC,也可以刪除已新增到 VPC 的次要 CIDR 區塊來縮減 VPC。  同樣的,您最多可以為 VPC 新增五 (5) 個額外的 IPv6 IP 範圍 (CIDR)。  您可以刪除這些額外範圍來縮小您的 VPC。

目前每個 VPC 可以建立 200 個子網路。如果您希望建立更多子網路,請在支援中心提交案例

針對 IPv4,子網路的大小下限為 /28 (或 14 個 IP 地址)。子網路不能大於建立這些子網路的 VPC。

針對 IPv6,子網路大小固定為 /64。一個子網路只能配置一個 IPv6 CIDR 區塊。

否。Amazon 會保留每個子網路的前四 (4) 個 IP 地址和最後一 (1) 個 IP 地址,以做為 IP 聯網之用。
當您在並非僅限 IPv6 的子網路中啟動 VPC 中的 Amazon EC2 執行個體時,可以選擇指定該執行個體的主要私有 IPv4 地址。如果不指定主要私有 IPv4 地址,AWS 將從您指派給該子網路的 IPv4 地址範圍中自動定址。您可以在以下時機指派次要私有 IPv4 地址:啟動執行個體時、建立彈性網路介面時,或者啟動執行個體之後或建立界面後的任意時間。如果您在僅限 IPv6 的子網路中啟動 Amazon EC2 執行個體,AWS 會自動從該子網路中 Amazon 提供的 IPv6 GUA CIDR 對其進行尋址。除非您使用適當的安全群組、NACL 和路由表組態,讓執行個體的 IPv6 GUA 可連線網際網路進行存取,否則會將其保持私有。
對於在 IPv4 或雙堆疊子網路中啟動的執行個體,主要私有 IPv4 地址將在執行個體或界面的生命週期內保留。次要私有 IPv4 地址則可隨時指派、取消指派,或者在界面或執行個體之間移動。對於在純 IPv6 子網路中啟動的執行個體,可透過關聯新的 IPv6 GUA 並隨時刪除現有 IPv6 GUA,來修改分配的 IPv6 GUA,這也是執行個體主網路界面上的第一個 IP 地址。
否。只有原先執行的執行個體處於「已終止」狀態時,指派給執行中執行個體的 IPv4 地址才能再次用於其他執行個體。然而,指派給執行中執行個體的 IPv6 GUA 在從第一個執行個體中移除後,即可被另一個執行個體再次使用。
否。您可以在啟動執行個體時,一次指定一個執行個體的 IP 地址。

您可以將任意 IP 地址指派給執行個體,只要符合以下條件:

  • 屬於相關子網路的 IP 地址範圍
  • 並未被 Amazon 保留用於 IP 聯網之用
  • 目前並未指派給其他界面

是。您可以將一或多個次要私有 IP 地址指派給彈性網路界面或 Amazon VPC 中的 EC2 執行個體。您可以指派的次要私有 IP 地址數量取決於執行個體類型。如需每個執行個體類型可以指派的次要私有 IP 地址數量的詳細資訊,請參閱 EC2 使用者指南

是。不過,這些 EIP 地址只能從網際網路存取 (不能透過 VPN 連接存取)。每個 EIP 地址必須與執行個體上的唯一私有 IP 地址關聯。EIP 地址必須只用於設定為將流量直接路由到網際網路閘道的子網路中的執行個體。EIP 無法用於設定為使用 NAT 閘道或 NAT 執行個體存取網際網路的子網路中的執行個體。這只適用於 IPv4。Amazon VPC 此時尚不支援 EIP 用於 IPv6。

使用自有 IP

使用自有 IP (BYOIP) 可讓客戶將所有或部分現有公有可路由傳送 IPv4 或 IPv6 地址空間移至 AWS,搭配其 AWS 資源使用。客戶將持續擁有此 IP 範圍。客戶可以從帶到 AWS 的 IPv4 空間建立彈性 IP,然後將彈性 IP 用於 EC2 執行個體、NAT 閘道以及 Network Load Balancer。客戶也可以將最多 5 個 CIDR 與攜至 AWS 的 IPv6 空間之 VPC 建立關聯。客戶可以繼續存取 Amazon 提供的 IP,也可以選擇使用 BYOIP 彈性 IP、Amazon 提供的 IP,或是兩者同時使用。

您可能會因為以下因素而想要將自己的 IP 地址帶到 AWS:
IP 評價:許多客戶認為其 IP 地址評價是一項策略資產,想要在 AWS 上搭配資源使用這些 IP。例如,維護外送電子郵件 MTA 等服務且擁有高評價 IP 的客戶,現在可以將他們的 IP 空間帶過來,成功維持現有的傳送成功率。

客戶白名單:BYOIP 還能夠讓客戶將仰賴 IP 地址白名單的工作負載移到 AWS,無須使用新的 IP 地址重新建立白名單。

硬性相依關係:部分客戶在裝置中把 IP 固定住了,或是在 IP 上採用架構相依性。BYOIP 可讓這類客戶輕鬆地遷移至 AWS。

監管和合規:許多客戶基於監管和合規因素,必須使用特定 IP。利用 BYOIP 便可免除這層枷鎖。

內部部署 IPv6 網路政策:許多客戶僅能夠在內部部署網路中路由其 IPv6。利用 BYOIP 便可免除這層枷鎖,因為它們可將其專屬 IPv6 範圍指派給 VPC,並選擇使用網際網路或 Direct Connect 來路由內部部署網路。

當您釋出 BYOIP 彈性 IP 時,它會回到原本配置的 IP 集區。

如需有關 BYOIP 可用性的詳細資訊,請參閱我們的 文件

是。您可以搭配相同帳戶中任意數目的 VPC,使用 BYOIP 前綴。
您最多可以將 5 個 IP 範圍帶到您的帳戶。
您可以透過 BYOIP 攜帶的最具體 IPv4 前綴是 /24 IPv4 前綴和 /56 IPv6 前綴。如果您想要在網際網路宣傳 Ipv6 前綴,則最具體的 IPv6 前綴為 /48。
您可以使用 ARIN、RIPE 和 APNIC 已註冊前綴。
我們目前不接受重新指定或重新配置的前綴。IP 範圍必須是直接配置或直接指派的網路類型。
是。只要從目前的區域取消佈建 BYOIP 前綴,然後將其佈建到新的區域即可。

IP Address Manager

Amazon VPC IP Address Manager (IPAM) 是項受管服務,能夠讓您更輕鬆地為 AWS 工作負載規劃、追蹤和監控 IP 地址。您可以使用 IPAM 來根據路由和安全性需求輕鬆地組織 IP 地址,並設定簡單的商業規則來管理 IP 地址指派。您還可以自動將 IP 地址指派給 VPC,而無需使用以試算表為基礎的或自製的 IP 地址規劃應用程式,此類應用程式可能會難以維護且耗時。IPAM 提供了統一的操作檢視,其可以當作您的單一事實來源,讓您能夠快速高效率地執行例行 IP 地址管理活動,例如追蹤 IP 利用率、疑難排解和稽核。
您應該使用 IPAM 來提高 IP 地址管理的效率。利用試算表或自製工具的現有機制需要手動操作且容易出錯。以 IPAM 為例,您可以更快地推出應用程式,因為您的開發人員不再需要等待中央 IP 地址管理團隊指派 IP 地址。您還可以偵測重疊的 IP 地址,並在網路中斷之前進行修正。此外,您可以為 IPAM 建立警示,以在地址集區即將耗盡或資源不符合集區上設定的分配規則時通知您。使用 IPAM 有諸多優勢,以下僅列舉其中的一部分。

AWS IPAM 提供以下功能:
 

  • 為大規模網路分配 IP 地址:IPAM 可以根據可設定的商業規則,在數百個帳戶和 VPC 之間自動分配 IP 地址。
     
  • 監控整個網路的 IP 使用情況:IPAM 可以監控 IP 地址,並讓您能夠在 IPAM 偵測到潛在問題時收到警示,例如耗盡 IP 地址會阻礙網路成長,或重疊 IP 地址會導致錯誤路由。
     
  • 網路疑難排解:IPAM 可以幫助您快速識別連線問題是否是由於 IP 地址設定錯誤或其他問題所造成。
     
  • 稽核 IP 地址:IPAM 會自動保留您的 IP 地址監控資料 (最多三年)。您可以使用這些歷史資料對您的網路進行回顧分析和稽核。

以下是 IPAM 的重要組成部分:

  • 範圍是指 IPAM 中最高級的容器。IPAM 包含兩個預設範圍。每個範圍代表單個網路的 IP 空間。私有範圍適用於所有私有空間。公有範圍適用於所有公有空間。範圍讓您能夠跨多個未連線的網路重複使用 IP 地址,而不會導致 IP 地址重疊或衝突。您可以在範圍內建立 IPAM 集區。
     
  • 集區是連續 IP 地址範圍 (或 CIDR) 的集合。IPAM 集區讓您能夠根據路由和安全性需求來整理 IP 地址。最高級的集區中可以有多個集區。舉例來說,如果您對開發和生產應用程式有單獨的路由和安全性需求,則可以為每個應用程式都建立集區。您可以在 IPAM 集區中將 CIDR 分配至 AWS 資源。
  • 分配是從 IPAM 集區到另一個資源或 IPAM 集區的 CIDR 指派。當您建立 VPC 並為 VPC 的 CIDR 選擇 IPAM 集區時,CIDR 會從佈建至 IPAM 集區的 CIDR 進行分配。您可以使用 IPAM 監控和管理分配。

是。IPAM 支援 BYOIPv4 和 BYOIPv6 地址。BYOIP 是項 EC2 功能,讓您能夠將自己擁有的 IP 地址帶到 AWS。您可以使用 IPAM,跨帳戶和組織直接佈建和分享其 IP 地址區塊。使用 IPv4 的現有 BYOIP 客戶可以將其集區遷移到 IPAM 以簡化 IP 管理。

是,Amazon 會為 VPC 分配提供連續的 IPv6 CIDR 區塊。連續 CIDR 區塊讓您能夠跨網路和安全性建構模組 (例如存取控制清單、路由表、安全群組和防火牆) 在單一進入點中彙總 CIDR。您可以將 Amazon IPv6 CIDR 佈建到公有範圍集區中,並使用所有 IPAM 功能來管理和監控 IP 使用情况。這些 CIDR 區塊的分配以 /52 增量開始,更大的區塊可根據請求提供。舉例來說,您可以從 Amazon 分配 /52 CIDR,並使用 IPAM 跨帳戶分享以及在這些帳戶中建立 VPC。
不可以,Amazon 提供的連續 IPv6 CIDR 區塊目前僅在 IPAM 中受支援。
您可以使用 AWS Resource Access Manager (RAM) 與 AWS Organization 中的其他帳戶分享 IPAM 集區。您還可以與主要 AWS Organization 之外的帳戶分享 IPAM 集區。舉例來說,這些帳戶可以代表您公司的另一個業務線,或者代表您的合作夥伴在另一個 AWS Organization 中託管的受管服務。

拓撲

是。您可以為每個子網路建立預設路由。預設路由可以引導流量透過網際網路閘道、虛擬私有閘道或 NAT 閘道從 VPC 傳出。

安全和篩選

Amazon EC2 安全群組可用來協助確保 Amazon VPC 內執行個體的安全。VPC 中的安全群組可讓您指定允許進出各個 Amazon EC2 執行個體的傳入和傳出網路流量。沒有明確獲允許進出執行個體的流量將會自動被拒絕。

除了安全群組之外,透過網路存取控制清單 (ACL) 也可允許或拒絕進出每個子網路的網路流量。

VPC 中的安全群組指定獲允許進出 Amazon EC2 執行個體的流量。而網路 ACL 會在子網路層級上運作,並評估進出子網路的流量。網路 ACL 可用來設定允許和拒絕規則。網路 ACL 不會篩選相同子網路中執行個體之間的流量。此外,網路 ACL 執行無狀態篩選,而安全群組則執行狀態篩選。

狀態篩選會追蹤請求的來源,且可自動允許將請求的回覆傳回來源電腦。例如,允許 Web 伺服器上 TCP 連接埠 80 傳入流量的狀態篩選將允許傳回流量,通常是編號較高的連接埠 (例如,目的地 TCP 連接埠 63、912) 透過用戶端與 Web 伺服器之間的狀態篩選傳送。篩選裝置會維護一個狀態表,用於追蹤來源和目的地連接埠號碼與 IP 地址。篩選裝置上只需要一個規則:允許流量傳入 Web 伺服器的 TCP 連接埠 80。

另一方面,無狀態篩選只會檢查來源或目的地 IP 地址和目的地連接埠,而忽略流量是新請求還是對請求的回覆。在上述範例中,篩選裝置上需要實作兩個規則:一個規則允許流量傳入 Web 伺服器的 TCP 連接埠 80,另一個規則允許來自 Web 伺服器的傳出流量 (TCP 連接埠範圍 49, 152 到 65, 535)。

是。如果已經設定網際網路閘道,而 Amazon VPC 流量的目標是不在 VPC 中的 Amazon EC2 執行個體,則流量會周遊網際網路閘道,然後進入公有 AWS 網路,以連接該 EC2 執行個體。如果沒有設定網際網路閘道,或是執行個體位於設定為透過虛擬私有閘道路由的子網路,那麼流量將周遊 VPN 連接,從您的資料中心中傳出,再進入公有 AWS 網路。
是。一個區域中的執行個體可以使用區域間 VPC 對等、公有 IP 地址、NAT 閘道、NAT 執行個體、VPN 連接或 Direct Connect 連接互相通訊。
是。有多種方法可讓 VPC 中的資源與 Amazon S3 通訊。您可以使用 S3 的 VPC 端點,確保所有流量保持在 Amazon 的網路內,且讓您能夠在 Amazon S3 流量套用額外的存取政策。您可以使用網際網路閘道啟用從 VPC 存取網際網路,且 VPC 中的執行個體可與 Amazon S3 通訊。您也可以讓 Amazon S3 的所有流量周遊 Direct Connect 或 VPN 連接,從您的資料中心傳出,再重新進入公有 AWS 網路。
是。您可以使用 Amazon VPC 流量鏡射和 Amazon VPC 流量日誌功能,監控 Amazon VPC 中的網路流量。

VPC 流程日誌功能可讓您擷取 VPC 中進出網路界面的 IP 流量相關資訊。流程日誌資料可發佈到 Amazon CloudWatch Logs 或 Amazon S3。您可監控 VPC 流量日誌,以掌握網路相依性和流量模式的運作情況,偵測異常情況和防止資料洩漏,或是解決網路連線和組態問題。流量日誌中豐富的中繼資料可協助您進一步了解有誰啟動了您的 TCP 連線,以及通過 NAT 閘道等中間層之流量的實際封包層級來源和目標。您亦可將流程日誌封存,以達到某些合規要求。若要進一步了解 Amazon VPC 流量日誌,請參閱文件

您可以針對 VPC、子網路或網路介面建立流程日誌。如果您針對子網路或 VPC 建立流程日誌,則該子網路或 VPC 中的每個網路介面都會受到監控。建立流程日誌訂閱時,您可以選擇想要擷取的中繼資料欄位、最大彙總間隔,以及您偏好的日誌目的地。您還可以選擇擷取所有流量,或僅接受或拒絕的流量。您可以使用 CloudWatch Log Insights 或 CloudWatch Contributor Insights 等工具,分析提交至 CloudWatch Logs 的 VPC 流程日誌。您可以使用 Amazon Athena 或 AWS QuickSight,查詢和視覺化提交至 Amazon S3 的 VPC 流程日誌。您還可以建置自訂下游應用程式,以分析您的日誌或使用合作夥伴解決方案,例如 Splunk、Datadog、Sumo Logic、Cisco StealthWatch、Checkpoint CloudGuard、New Relic 等。

是,您可以針對 Transit Gateway 或單一 Transit Gateway 連線建立 VPC 流量日誌。藉助此功能,Transit Gateway 可匯出詳細資訊,如來源/目的地 IP、連接埠、協定、流量計數器、時間戳記,以及透過 Transit Gateway 周遊的網路流量的各種中繼資料。若要進一步了解適用於 Transit Gateway 的 Amazon VPC 流量日誌支援,請參閱文件

由於會在網路流量路徑外部收集流程日誌資料,因此,不會影響網路輸送量或延遲。您可以建立或刪除流程日誌,而不會有影響網路效能的任何風險。

當您將流程日誌發佈到 CloudWatch Logs 或 Amazon S3 時,會收取自動售貨日誌的資料導入和封存費用。如需詳細資訊和範例,請參閱 Amazon CloudWatch 定價。您還可以使用成本分配標籤,追蹤發佈流程日誌的費用。

VPC 流量鏡射

Amazon VPC 流量鏡射可讓客戶輕鬆在 Amazon EC2 執行個體間來回複寫網路流量,然後將該流量轉發到頻外安全和監控設備,以便用於內容檢查、威脅監控和疑難排解等使用案例。這些設備可以部署在單一 EC2 執行個體上,而具有 User Datagram Protocol (UDP) 接聽程式的網路負載平衡器 (NLB) 後方的執行個體叢集也可以部署這些設備。

流量鏡射支援在 EC2 執行個體的彈性網路介面 (ENI) 層級擷取網路封包。請參閱 Traffic Mirroring 文件,以了解支援 Amazon VPC Traffic Mirroring 的 EC2 執行個體。

客戶可以使用開放原始碼工具,或從 AWS Marketplace 提供的多種監控解決方案中選擇。流量鏡射可讓客戶將複寫的流量串流至任何網路封包收集器/代理程式或分析工具,不必再安裝廠商專屬的代理程式。

Amazon VPC 流量日誌可讓客戶收集、儲存和分析網路流量日誌。流量日誌中擷取的資訊包含允許和拒絕的流量、來源和目標 IP 位址、連接埠、通訊協定號碼、封包和位元數量,以及動作 (接受或拒絕)。您可以使用此功能疑難排解連線和安全問題,並確保網路存取規則如預期運作。

Amazon VPC 流量鏡射可讓您分析實際流量內容 (包括承載),藉此更深入了解網路流量,並適用於必須分析實際封包以判斷效能問題的根本原因、針對複雜的網路攻擊進行反向工程,或偵測並阻止內部濫用或遭盜用的工作負載等使用案例。

Amazon VPC 與 Amazon EC2

Amazon VPC 目前可以在所有 Amazon EC2 區域的多個可用區域中使用。

是。 
否。子網路必須位於單一可用區域內。
當您啟動 Amazon EC2 執行個體時,必須指定要在其中啟動該執行個體的子網路。該執行個體將在與指定子網路關聯的可用區域中啟動。
當您建立子網路時,必須指定要放置該子網路的可用區域。在使用 VPC 精靈時,您可以在精靈確認畫面中選擇子網路的可用區域。而使用 API 或 CLI 時,您可以像建立子網路時一樣指定子網路的可用區域。如果不指定可用區域,則將選取預設的 "No Preference" 選項,這樣也會在區域中可使用的可用區域中建立子網路。
如果執行個體位於不同可用區域的子網路內,您將需要支付每 GB 0.01 USD 的數據傳輸費。
是。DescribeInstances() 將傳回所有執行中的 Amazon EC2 執行個體。您可以透過子網路欄位中的項目來分辨 EC2-Classic 執行個體與 EC2-VPC 執行個體。如果列出子網路 ID,則表示該執行個體位於 VPC 之中。
是。DescribeVolumes() 將傳回您的所有 EBS 磁碟區。

對於需要 IPv4 地址的執行個體,您可以在 VPC 中執行任意數量的 Amazon EC2 執行個體,只要 VPC 有適當的大小,可將 IPv4 地址指派給每個執行個體。初始限制為一次可啟動 20 個 Amazon EC2 執行個體,而 VPC 的大小上限為 /16 (65,536 個 IP)。如果要提高這些限制,請填寫以下表單。 對於僅限 IPv6 的執行個體,/56 的 VPC 大小讓您能夠啟動幾乎無限數量的 Amazon EC2 執行個體。

您可以在 Amazon VPC 使用註冊區域與您的 VPC 相同的 AMI。例如,您可以將註冊在 us-east-1 的 AMI 用於 us-east-1 中的 VPC。有關更多資訊,請參閱 Amazon EC2 區域和可用區域常見問答集

是,如果 Amazon EBS 快照與您的 VPC 位於相同區域,您可以使用這些快照。有關更多詳細資訊,請參閱 Amazon EC2 區域和可用區域常見問答集

是,不過,VPC 中使用 Amazon EBS 後端 AMI 啟動的執行個體,將在停止和重新啟動後保持相同的 IP 地址。這與在 VPC 外部啟動的類似執行個體相反,這會取得新的 IP 地址。子網路中任何停止的執行個體的 IP 地址將視為不可用。
是。
是。 
是。Amazon VPC 支援叢集執行個體,不過並非所有執行個體類型在所有區域和可用區域都可用。
當您啟動執行個體時,它會被指派給一個主機名稱。有兩個可用的選項,以 IP 為基礎的名稱或以資源為基礎的名稱,並且此參數可在執行個體啟動時設定。以 IP 為基礎的名稱使用私有 IPv4 地址的形式,而以資源為基礎的名稱使用執行個體 ID 的形式。
是的,您可以透過停止執行個體,然後變更以資源為基礎的命名選項,來將以 IP 為基礎的執行個體主機名稱變更以資源為基礎,反之亦然。
是的,執行個體主機名稱可以用作 DNS 主機名稱。對於在僅限 IPv4 或雙堆疊子網路中啟動的執行個體,以 IP 為基礎的名稱始終解析為執行個體主網路界面上的私有 IPv4 地址,並且無法關閉。此外,可以將以資源為基礎的名稱設定為解析至主網路界面上的私有 IPv4 地址,或主網路界面上的第一個 IPv6 GUA,或兩者兼而有之。對於在純 IPv6 子網路中啟動的執行個體,以資源為基礎的名稱將被設定為解析至主網路界面上的第一個 IPv6 GUA。 

預設 VPC

預設 VPC 是 AWS 雲端中的邏輯隔離虛擬網路,在您首次佈建 Amazon EC2 資源時,會為您的 AWS 帳戶自動建立。當您啟動執行個體但未指定子網路 ID 時,執行個體便會在預設 VPC 中啟動。
當您在預設 VPC 中啟動資源時,Amazon VPC (EC2-VPC) 的進階聯網功能以及 Amazon EC2 (EC2-Classic) 的易用性可為您提供許多好處。您可以享用各種功能,例如,執行中變更安全群組成員、安全群組輸出篩選、多個 IP 地址以及多個網路界面,而無須專門建立 VPC 並在其中啟動執行個體。

如果您的 AWS 帳戶在 2013 年 3 月 18 日之後建立,您的帳戶就可以啟動預設 VPC 中的資源。請參閱此論壇公告,以確定哪些區域已經啟用預設 VPC 功能集。此外,在上述日期之前建立的帳戶,則可以在任何已啟用預設 VPC 的區域 (之前未在該區域啟動過 EC2 執行個體,或佈建過 Amazon Elastic Load Balancing、Amazon RDS、Amazon ElastiCache 或 Amazon Redshift 資源) 使用預設 VPC。

否。您可以使用 AWS 管理主控台、AWS EC2 CLI 或 Amazon EC2 API,在預設 VPC 中啟動和管理 EC2 執行個體及其他 AWS 資源。AWS 會自動為您建立預設 VPC,並在 AWS 區域的每個可用區域中建立預設子網路。您的預設 VPC 會連接到網際網路閘道,而您的執行個體會自動接收公有 IP 地址,和 EC2-Classic 一樣。

請參閱 EC2 User Guide 中的 Differences between EC2-Classic and EC2-VPC

否。預設 VPC 會連接到網際網路,而且在預設 VPC 的預設子網路中啟動的所有執行個體都會自動接收公有 IP 地址。您可以將 VPN 連接新增到您選擇的預設 VPC 中。
是。要將執行個體啟動到非預設 VPC 中,您必須在執行個體啟動期間指定子網路 ID。
是。要啟動到非預設子網路中,可以使用主控台或是 CLI、API 或 SDK 的 --subnet 選項設定啟動目標。
對於將 Supported Platforms 屬性設為 "EC2-VPC" 的每個 AWS 區域,可以擁有一個預設 VPC。
在您的預設 VPC 中,會為每個可用區域建立一個預設子網路。
目前沒有。
目前沒有。
是,您可以刪除預設 VPC。刪除之後,可以從 VPC 主控台或透過使用 CLI 直接建立新的預設 VPC。這將會在區域中建立新的預設 VPC。這不會恢復之前刪除的 VPC。
是,您可以刪除預設子網路。刪除之後,可以使用 CLI 或軟體開發套件在可用區域建立新的預設子網路。這可在指定的可用區域建立新的預設子網路。這不會恢復之前刪除的子網路。
取得預設 VPC 最簡單的方法是,在已啟用預設 VPC 的區域中建立新帳戶,或在從未使用過的區域中使用現有帳戶,只要該區域中帳戶的 Supported Platforms 屬性設為 "EC2-VPC" 即可。

是,不過我們只能為預設 VPC 啟用現有帳戶,而且您在該區域中的帳戶不能有任何 EC2-Classic 資源。此外,您必須終止該區域中所有非 VPC 佈建的 Elastic Load Balancer、Amazon RDS、Amazon ElastiCache 和 Amazon Redshift 資源。您的帳戶針對預設 VPC 進行設定之後,未來所有的資源啟動,包括透過 Auto Scaling 啟動的執行個體,都將發生在您的預設 VPC 中。若要請求將現有帳戶設定為預設的 VPC,請移至 Account and Billing -> Service: Account -> Category: Convert EC2 Classic to VPC 並提出請求。我們將審核您的請求、現有的 AWS 服務和 EC2-Classic 存在情況,並引導您完成後續步驟。

如果您的 AWS 帳戶擁有預設 VPC,則與 AWS 帳戶關聯的任何 IAM 帳戶都會使用與 AWS 帳戶相同的預設 VPC。

EC2 Classic

EC2-Classic 是我們在 2006 年夏天與 EC2 一起推出的扁平網路。藉由 EC2-Classic,您的執行個體在您與其他客戶共用的單一、扁平網路上執行。隨著時間的推移,受到客戶不斷變化的需求的啟發,我們於 2009 年推出了 Amazon Virtual Private Cloud (VPC),以允許您在邏輯上與您的 AWS 帳戶隔離的虛擬私有云端中執行執行個體。當今,大多數客戶都使用 Amazon VPC,我們有少量客戶仍在使用 EC2-Classic。
我們將於 2022 年 8 月 15 日淘汰 Amazon EC2-Classic,我們需要您在此日期之前將在 EC2-Classic 上執行的任何 EC2 執行個體和其他 AWS 資源遷移到 Amazon VPC。以下部分提供了有關 EC2-Class 淘汰的更多資訊以及可幫助您進行遷移的工具和資源。

僅當您在任何 AWS 區域的帳戶上啟用 EC2-Classic 時,您才會受到此變更的影響。您可以使用主控台或 describe-account-attributes 命令檢查您是否已對 AWS 區域啟用 EC2-Classic ;如需詳細資訊,請參閱此文件

如果您在任何區域都沒有在 EC2-Classic 上執行任何作用中 AWS 資源,我們要求您從該區域的帳戶中關閉 EC2-Classic。在區域中關閉 EC2-Classic 可讓您在其中啟動預設 VPC。若要這樣做,請移至 AWS Support Center console.aws.amazon.com/support,選擇「建立案例」,然後選擇「帳戶和計費支援」,針對「類型」,選擇「帳戶」,針對「類別」,選擇「將 EC2 Classic 轉換為 VPC」,按需填寫其他詳細資訊,然後選擇「提交」。

自 2021 年 1 月 1 日起您在 EC2-Classic 上沒有任何 AWS 資源 (EC2 執行個體、Amazon 關聯式資料庫、AWS Elastic Beanstalk、Amazon Redshift、AWS Data Pipeline、Amazon EMR、AWS OpsWorks) 的 AWS 區域,我們將在 2021 年 10 月 30 日從您的帳戶關閉 EC2-Classic。

另一方面,如果您在 EC2-Classic 上有執行 AWS 資源,我們要求您規劃儘快遷移 Amazon VPC。2022 年 8 月 15 日之後,您將無法在 EC2-Classic 平台上啟動任何執行個體或 AWS 服務。隨著我們從 2022 年 8 月 16 日開始淘汰它們,任何處於執行狀態的工作負載或服務都將逐漸無法存取 EC2-Classic 上的所有 AWS 服務。

您可以在隨後的問題中找到適用於您 AWS 資源的遷移指南。

Amazon VPC 可讓您在 AWS 上完全控制您的虛擬網路環境,從邏輯上與 AWS 帳戶隔離。在 EC2-Classic 環境中,您的工作負載與其他客戶共用單一扁平網路。相較於 EC2-Classic 環境,Amazon VPC 環境提供許多其他優勢,包括能夠選擇自己的 IP 地址空間、公有和私有子網路設定,以及管理路由表和網路閘道。EC2-Classic 中目前可用的所有服務和執行個體在 Amazon VPC 環境中都有類似的可用服務。Amazon VPC 還提供比 EC2-Classic 更廣泛和最新一代的執行個體。有關 Amazon VPC 的進一步資訊請見此連結

為協助您遷移資源,我們已發佈手冊和建立解決方案,您可在下方找到。若要遷移,您必須在 VPC 中重新建立 EC2-Classic 資源。首先,您可以使用此指令碼識別跨所有區域的 EC2-Classic 中您的帳戶佈建的所有資源。然後,可以使用以下相關 AWS 資源的遷移指南:

除了以上遷移指南,我們還會提供高度自動化的搬遷 (重新託管) 解決方案 AWS Application Migration Service (AWS MGN),它可簡化、加速和降低遷移應用程式的成本。您可在此處找到有關 AWS MGN 的資源。

對於從 EC2-Classic 到 VPC 的簡單單個 EC2 執行個體遷移,除了 AWS MGN 或 Instances Migration Guide 之外,您還可以使用「AWS Systems Manager > Automation」中的「AWSSupport-MigrateEC2 ClassicToVPC」Runbook。此 Runbook 透過在 EC2-Classic 中建立執行個體的 AMI、在 VPC 中從 AMI 建立新執行個體以及可選地終止 EC2-Classic 執行個體,自動執行將執行個體從 EC2-Classic 遷移到 VPC 所需的步驟。

如果您有任何問題或疑慮,可以透過 AWS Premium Support 聯絡 AWS Support 團隊。

請注意:如果您有 AWS 資源在多個 AWS 區域的 EC2-Classic 上執行,建議您在將所有資源遷移至其中的 VPC 後,立即為每個區域關閉 EC2-Classic。

我們將在 2022 年 8 月 15 日之前採取以下兩個動作:

  • 我們將在 2021 年 10 月 30 日停止為 EC2-Classic 環境發行 3 年預留執行個體和 1 年 (RI)。EC2-Classic 環境中已經存在的 RI 目前不會受到影響。設定為 2022 年 8 月 15 日之後到期的 RI 需要修改,以便在剩餘租賃期間使用 Amazon VPC 環境。如需如何修改 RI 的相關資訊,請瀏覽我們的文件
  • 2022 年 8 月 15 日,我們將不再允許在 EC2-Classic 環境中建立新執行個體 (Spot 或隨需) 或其他 AWS 服務。隨著我們從 2022 年 8 月 16 日開始淘汰它們,任何處於執行狀態的工作負載或服務都將逐漸無法存取 EC2-Classic 上的所有 AWS 服務。

彈性網路界面

是。
網路界面只能連接到位於相同可用區域中的執行個體。
網路界面只能連接到與界面位於相同 VPC 的執行個體。
是,不過,這不是最適用於多個界面的使用案例。您應該為執行個體指派額外的私有 IP 地址,然後視需要將 EIP 與這些私有 IP 關聯。
否。您可以連接和分離 EC2 執行個體上的次要界面 (eth1-ethn),但不能分離 eth0 界面。

對等連線

是。對等連線可以利用不同區域中的 VPC 建立。 區域間 VPC 對等可在全球所有商業區域使用 (不包含中國)。
是,只要其他 VPC 的擁有者接受您的對等連線請求即可。

建立 VPC 對等連線是免費的,但是對等連線之間的數據傳輸則要收費。請參閱 EC2 定價頁面的資料傳輸部分,以了解資料傳輸費率。

否。VPC 對等連線不需要網際網路閘道。
否。對等 VPC 中的執行個體之間的流量會保持私密且隔離,和相同 VPC 中兩個執行個體之間的流量是私密且隔離的情形類似。
否。對等連線的任一端隨時可以中斷對等連線。中斷對等連線表示不會在兩個 VPC 之間產生流量。
否。不支援轉移對等關係。

AWS 使用現有的 VPC 基礎設施建立 VPC 對等連線,既不是閘道,也不是 VPN 連接,而且不倚賴某個獨立的實體硬體。因此不會有通訊的單一故障點或頻寬瓶頸問題。

區域間 VPC 對等使用與目前支援 VPC 的相同水平擴展、冗餘及高度可用技術操作。區域間 VPC 對等流量經由擁有內建冗餘和動態頻寬分配的 AWS 骨幹傳送,不會有通訊的單一故障點問題。

如果區域間對等連線中斷,流量不會透過網際網路路由。

對等 VPC 中的執行個體之間的頻寬與相同 VPC 中的執行個體之間的頻寬沒有任何區別。注意:置放群組可跨越對等 VPC;不過,您不會在對等 VPC 中的執行個體之間取得全等分頻寬。請參閱更多有關置放群組的資訊。

會使用現代 AEAD (相關資料的驗證加密) 演算法加密流量。金鑰協議和金鑰管理由 AWS 處理。
根據預設,針對不同區域中對等 VPC 執行個體公有主機名稱的查詢會解析為公有 IP 地址。Route 53 私有 DNS 可用來解析為含區域間 VPC 對等的私有 IP 地址。
否。不能跨區域間 VPC 對等連線參考安全群組。
是。區域間 VPC 對等支援 IPv6。
否。區域間 VPC 對等不能與 EC2-ClassicLink 搭配使用。

其他問題

是。您可以使用 AWS 管理主控台管理 Amazon VPC 物件,如 VPC、子網路、路由表、網際網路閘道和 IPSec VPN 連接。此外,您也可以使用簡單的精靈來建立 VPC。

請參閱 Amazon VPC 使用者指南,以了解有關 VPC 限制的資訊。

是。如需有關 AWS Support 的詳細資訊,請按一下這裡

官方已不再支援透過 ElasticFox 管理 Amazon VPC。現在可透過 AWS API、命令列工具和 AWS 管理主控台,以及多種第三方公用程式支援 Amazon VPC。