Amazon VPC - 快速指南

---

---

什麼是 Amazon VPC？

Amazon Virtual Private Cloud (VPC) 是 Amazon Web Services (AWS) 的一項關鍵功能，允許您在 AWS 雲中設定自己的隔離網路。

• Amazon VPC 使您可以完全控制您的網路環境。您可以自定義自己的 IP 地址範圍、建立子網以及配置路由表和閘道器。
• 藉助 Amazon VPC，您可以安全地連線您的 AWS 資源，例如 EC2 例項、RDS 資料庫和 Lambda 函式。您還可以維護強大的安全措施，例如網路訪問控制和資料加密。
• 使用 Amazon VPC，您可以選擇您的資源如何相互通訊以及如何與網際網路通訊。它確保您的基礎設施根據您的業務需求進行修改。

簡單來說，Amazon VPC 就像雲中的一個個人資料中心，允許您在安全且受控的環境中構建您的應用程式和服務。

Amazon VPC 的功能

Amazon VPC 具有各種功能，使企業能夠安全有效地管理其雲基礎設施。

下面列出了一些 Amazon VPC 的主要功能：

1. VPC 流日誌

流日誌是一項功能，允許您捕獲和監控 VPC 內的網路流量。它使您能夠監控傳入和傳出流量，這有助於您瞭解網路中資訊流並檢測任何可疑活動。

2. IP 地址管理器 (IPAM)

IPAM 是一項功能，允許您在整個 AWS 環境中規劃、管理和監控 IP 地址。藉助 IPAM，您可以自動化 IP 地址分配。

IPAM 可以防止 IP 衝突，並確保您的資源在需要時擁有正確的 IP 地址可用。

3. IPv4 和 IPv6 支援

Amazon VPC 支援 IPv4 和 IPv6 定址。這就是它使您的應用程式能夠使用最新的網際網路協議進行通訊的方式。它使您可以選擇使用 Amazon 提供的公共 IPv4 地址、彈性 IPv4 地址或 Amazon 提供的 IPv6 子網 CIDR 中的 IP 地址。您還可以在 Amazon VPC 中使用您自己的 IPv4 或 IPv6 地址。

4. 入站路由

此功能允許您控制所有傳入和傳出 Amazon VPC 的流量的路由方式。它使您能夠在流量到達您的業務工作負載之前將其定向到特定的端點（例如防火牆）。

入站路由增強了網路安全性，並支援流量過濾、監控和負載平衡。

5. AWS Direct Connect

AWS Direct Connect 功能顧名思義，在您的本地資料中心和 AWS 之間提供專用且私有的連線。它繞過公共網際網路，因此可以提供更一致的網路效能並增強敏感資料的安全性。

6. 可達性分析器

Amazon VPC 可達性分析器是一種網路診斷工具，您可以藉助它來分析和排除 VPC 內的網路連線問題。它的主要作用是檢查兩個端點（例如 EC2 例項）之間的網路路徑，並檢查它們是否可訪問。

如果連線存在問題，則可達性分析器會識別阻止元件，例如安全組、網路訪問控制列表 (ACL) 或路由表。

7. 網路訪問控制列表 (ACL)

它是 VPC 的一個可選安全層。它實際上充當防火牆，控制一個或多個子網的流量。您可以使用與在 VPC 中設定安全組相同的規則來設定 ACL。

8. 安全組

此功能允許您控制例項級別的傳入和傳出流量，例如 Amazon EC2 例項。它也充當防火牆。建議將您的 Amazon 例項與一個或多個安全組關聯。如果您未指定組，則您的例項將自動與 VPC 的預設組關聯。

Amazon VPC - 元件

Amazon Virtual Private Cloud (VPC) 允許您在 AWS 雲中設定自己的隔離網路。它就像傳統的本地網路設定。

藉助 Amazon VPC，您可以安全地連線您的 AWS 資源，例如 EC2 例項，這些例項位於 AWS 雲的邏輯隔離部分。瞭解 Amazon VPC 的關鍵元件對於有效設定和管理您的雲基礎設施非常重要。

Amazon VPC 的關鍵元件包括子網、路由表、網際網路閘道器和 NAT 閘道器。在本章中，讓我們詳細瞭解這些重要元件：

什麼是子網？

子網基本上是 VPC 內的細分，允許您組織和管理您的資源。換句話說，子網是 VPC 中的一個 IP 地址範圍。

您在子網中啟動您的 AWS 資源。每個子網都必須位於一個可用區 (AZ) 中，並且不能跨越到其他 AZ。將您的資源保留在不同的 AZ 中可以保護您的應用程式免受單個 AZ 故障的影響。

子網型別

根據您如何配置子網的路由，子網可以分為以下四類：

• 公有子網 - 這些子網透過網際網路閘道器直接連線到網際網路。公有子網中的資源（如 Web 服務）可以訪問公共網際網路。
• 私有子網 - 與公有子網相反，私有子網未直接連線到網際網路。要訪問網際網路，這些子網中的資源需要 NAT 裝置。
• 僅 VPN 子網 - 顧名思義，僅 VPN 子網透過虛擬專用閘道器具有到站點到站點 VPN 連線的路由。它們沒有到網際網路閘道器的路由。
• 隔離子網 - 顧名思義，隔離子網沒有到其 VPC 外任何目的地的路由。隔離子網中的資源只能由同一 VPC 中的其他資源訪問。

請參閱下圖以更好地瞭解這些關鍵元件在 Amazon VPC 中的工作原理和放置位置。

路由表

VPC 的另一個關鍵元件是路由表。路由表的主要目的是確定 VPC 內流量的路由。路由表包含一組規則或路由，這些規則或路由指定網路流量的路徑。

當子網中的例項（例如 Amazon EC2）接收流量時，路由表將根據目標 IP 地址決定該流量應去往何處。

VPC 可能具有以下路由表：

• 主路由表 - 主路由表是每個 VPC 附帶的預設路由表，並且預設情況下，VPC 中的所有子網都與此路由表關聯。
• 自定義路由表 - 顧名思義，自定義路由表是使用者為其 VPC 建立的表。

網際網路閘道器

網際網路閘道器允許 VPC 中的資源與網際網路通訊。顧名思義，它充當閘道器，將流量從公有子網路由到網際網路，以及將流量從網際網路路由到公有子網中的例項。

VPC 中網際網路閘道器的兩個主要問題是：

• 啟用網際網路訪問 - 網際網路閘道器使公有子網中的資源能夠訪問網際網路。
• 安全性 - 透過網際網路閘道器連線的資源可以透過配置安全組和網路訪問控制列表 (ACL) 來保護。

NAT 閘道器

NAT 閘道器是一種網路地址轉換 (NAT) 服務，它為私有子網內的資源提供訪問許可權。

NAT 允許私有子網中的例項（例如 Amazon EC2 例項）向網際網路傳送出站流量以下載軟體更新或連線到外部 API。此時，它們會阻止傳入的網際網路流量啟動與這些資源的連線。

建立你的第一個 VPC

在本章中，讓我們瞭解您可以按照哪些步驟使用 AWS 管理控制檯建立自己的自定義 Amazon Virtual Private Cloud (VPC)。

建立和配置您自己的自定義 VPC

自定義 VPC 允許使用者完全控制其網路環境，包括子網、路由表和閘道器。

步驟 1：登入 AWS 管理控制檯

首先，單擊連結https://aws.amazon.com/console/轉到 AWS 控制檯。接下來，使用您的憑據登入到您的 AWS 帳戶。

在 AWS 控制檯的主頁上，在頂部的搜尋欄中鍵入“VPC”，然後從下拉列表中選擇“VPC”服務。

步驟 2：建立自定義 VPC

在 VPC 儀表板中，單擊“建立 VPC”按鈕以開始建立您自己的 VPC 的過程。

在“建立 VPC”嚮導中，選擇“僅 VPC”選項。這允許您手動配置 VPC 的 CIDR 塊和其他設定。

步驟 3：配置您的 VPC

您首先需要為您的 VPC 提供一個描述性名稱（例如，“MyCustomVPC”）。接下來，為您的 VPC 選擇 IPv4 CIDR 塊。例如，您可以使用 10.0.0.0/16 為您的 VPC 建立一個大型 IP 地址範圍。

這是可選的，但如果您想使用IPv6，則可以啟用它，Amazon 會自動分配一個IPv6 CIDR 塊。

現在，您可以選擇“預設”或“專用”租戶。預設租戶允許在例項之間共享租戶。專用租戶將例項分配給為您的帳戶保留的硬體。

配置完所有這些設定後，您可以單擊頁面底部的“建立 VPC”按鈕。

步驟 4：配置子網

子網允許您將 VPC 分割成更小的網路。轉到 VPC 儀表板的“子網”部分，然後單擊“建立子網”。

接下來，您需要為子網選擇一個名稱，併為其選擇一個可用區 (例如，us-west-1a) 以駐留其中。每個子網都必須位於一個可用區中。

然後，為子網定義一個 CIDR 塊。嘗試從主 VPC CIDR 塊（例如，10.0.1.0/24）為子網選擇一個較小的範圍。

如果需要多個子網，可以重複上述步驟。

步驟 5：配置網際網路閘道器

首先，我們將建立一個網際網路閘道器。在 VPC 儀表板中，轉到“網際網路閘道器”部分，然後單擊“建立網際網路閘道器”。建立完成後，現在透過選擇閘道器並選擇“附加到 VPC”將網際網路閘道器附加到您的 VPC。

步驟 6：設定路由表

設定子網和網際網路閘道器後，您需要設定路由表。轉到“路由表”部分，然後單擊“建立路由表”。接下來，您需要將路由表分配給您在上一步中建立的子網。

最後，新增一條路由以透過網際網路閘道器引導流量。例如，為 0.0.0.0/0 新增一條路由，並將其指向您的網際網路閘道器。

步驟 7：配置安全組

現在，您需要建立安全組。為此，首先轉到“安全組”部分，然後建立一個組，該組定義允許 VPC 中資源之間傳入和傳出的流量型別。

建立安全組後，需要指定規則來控制訪問，例如允許特定埠上的 HTTP 和 HTTPS 流量。

步驟 8：在您的 VPC 中啟動資源

現在您的 VPC 已設定完畢，您可以開始在 VPC 中啟動 AWS 資源，例如 EC2 例項。

首先，透過點選 EC2 部分並選擇“啟動例項”來啟動 EC2 例項。接下來，選擇您在 VPC 中建立的子網之一。

步驟 9：測試連線

啟動 EC2 例項後，需要測試連線以確保一切按預期工作。如果您的 Internet 閘道器和路由表設定正確，您的例項應該可以訪問網際網路。

公有子網與私有子網

子網是 VPC 中的細分，允許您組織和管理您的資源。簡單來說，子網允許您將 VPC 分割成更小的網路。在建立自定義 VPC 時，配置子網是重要步驟之一。

從更廣泛的意義上講，我們可以將子網分為兩類，即**私有子網**和**公共子網**。要使用 Amazon VPC，您必須清楚地瞭解這些子網。

公共子網和私有子網的區別

下表重點介紹了公共子網和私有子網之間的區別：

公共子網的使用場景

公共子網非常適合：

• 託管 Web 伺服器
• 面向公眾的應用程式
• 任何其他需要直接訪問網際網路的資源

私有子網的使用場景

私有子網非常適合：

• 託管資料庫
• 後端伺服器
• 不需要直接訪問網際網路的敏感資料或應用程式

Amazon VPC - 安全組

在 Amazon 虛擬私有云 (VPC) 中，安全性是保護您的資源免受未經授權訪問的最重要因素。

AWS 為您的 VPC 網路提供了以下兩個主要安全層：

• 安全組 (SG)
• 網路訪問控制列表 (NACL)

這兩個元件協同工作以控制進入和離開 VPC 的流量。它們確保了雲基礎設施的嚴格安全配置。您還可以根據需要自定義安全設定。

在本章中，我們將重點介紹安全組，在下一章中，我們將討論如何配置網路訪問控制列表。

什麼是安全組？

**安全組**充當 VPC 中例項的虛擬防火牆。它控制入站和出站流量。

配置安全組

在本節中，我們將提供一個分步指南，指導您為 VPC 配置安全組：

步驟 1：訪問 Amazon VPC 控制檯

首先，點選連結https://aws.amazon.com/console/轉到 AWS 控制檯。然後，使用您的憑據登入到您的 AWS 賬戶並轉到 VPC 儀表板。

然後，在“安全”下，點選“安全組”。

步驟 2：建立新的安全組

要建立新的安全組，請點選“建立安全組”按鈕。然後，輸入安全組的**名稱**和**描述**。

現在，您需要選擇要應用此安全組的**VPC**。

步驟 3：配置入站規則

入站規則指定允許進入例項的流量型別。要新增入站規則，請按照以下步驟操作：

首先，在“入站規則”下，點選“新增規則”。從下拉選單中選擇**流量型別**（例如，HTTP、SSH、MySQL）。

接下來，您需要為流量指定源 IP 範圍或地址。您還可以根據需要為不同型別的流量新增多個入站規則。

步驟 4：配置出站規則

出站規則控制離開例項的流量。預設情況下，安全組允許所有出站流量。但是，如果要限制出站連線，也可以指定出站規則。請按照以下步驟操作：

首先，在“出站規則”下，點選“新增規則”。然後，選擇出站連線的**流量型別**和**目標**。

步驟 5：檢視並建立安全組

首先，檢視您的入站和出站規則以確保它們滿足您的安全要求。要儲存您的設定，請點選“建立安全組”。

步驟 6：將安全組分配給 EC2 例項

建立安全組後，必須將其附加到您的 EC2 例項：

首先，轉到**EC2 儀表板**。選擇要分配安全組的**例項**。在“操作”下，點選“網路 > 更改安全組”。

最後，選擇您剛剛建立的**安全組**，然後點選“分配安全組”。

網路訪問控制列表

**網路訪問控制列表 (NACL)**提供了另一層安全性，但在子網級別。與安全組不同，NACL 是無狀態的，這意味著每個請求和響應都必須由單獨的規則顯式允許。

如何配置網路訪問控制列表？

以下是如何為您的 VPC 配置 NACL 的分步指南：

步驟 1：訪問 Amazon VPC 控制檯

首先，點選連結https://aws.amazon.com/console/轉到 AWS 控制檯。使用您的憑據登入到您的 AWS 賬戶並轉到 VPC 儀表板。在“安全”下，點選“網路 ACL”。

步驟 2：建立新的 NACL

點選“建立網路 ACL”按鈕。首先，您需要為您的 NACL 提供一個**名稱**。現在，選擇將應用 NACL 的**VPC**。最後，點選“建立”。

步驟 3：將 NACL 與子閘道器聯

建立 NACL 後，需要將其與一個或多個子閘道器聯。

首先，選擇您剛剛建立的**NACL**。然後，點選“子閘道器聯”選項卡，然後點選“編輯子閘道器聯”。最後，選擇要應用 NACL 的子網，然後點選“儲存”。

步驟 4：配置入站規則

入站規則控制允許進入子網的流量。您需要為要允許或拒絕的每種流量型別定義規則。

首先，在“入站規則”下，點選“編輯入站規則”。然後，點選“新增規則”併為每個規則定義以下內容

• **規則編號** - 規則的數字識別符號。
• **型別** - 您需要選擇流量型別（例如，HTTP、HTTPS、SSH）。
• **協議** - 選擇協議（例如，TCP、UDP、ICMP）。您還可以選擇“所有流量”。
• **埠範圍** - 用於定義特定埠範圍（例如，HTTP 為 80，HTTPS 為 443，SSH 為 22）。
• **源** - 此欄位用於指定允許的源 IP 範圍（例如，所有 IP 為 0.0.0.0/0 或特定 IP 範圍）。
• **允許/拒絕** - 您可以選擇允許或拒絕流量。

步驟 5：配置出站規則

出站規則控制允許離開子網的流量。

在“出站規則”下，點選“編輯出站規則”。點選“新增規則”並定義規則引數：

• **規則編號** - 唯一的識別符號。
• **型別** - 流量型別（例如，HTTP、HTTPS）。
• **協議** - 選擇協議（TCP、UDP、ICMP）。
• **埠範圍** - 定義埠範圍。
• **目標** - 指定允許的目標 IP 範圍。
• **允許/拒絕** - 選擇允許或拒絕流量。

步驟 6：儲存並檢視規則

配置完入站和出站規則後，點選“儲存”按鈕以應用更改。

Amazon VPC - 流日誌

流日誌是一項功能，允許您捕獲和監控 VPC 內的網路流量。它使您能夠監控傳入和傳出流量，這有助於您瞭解網路中資訊流並檢測任何可疑活動。

VPC 流日誌主要記錄以下詳細資訊：

• 源和目標 IP 地址
• 埠
• 協議
• 流量方向（入站或出站）
• 根據安全組和網路訪問控制列表 (NACL) 規則做出的允許/拒絕決策

啟用 VPC 流日誌以監控網路流量

按照以下步驟為您的 VPC 啟用 VPC 流日誌以監控網路流量：

步驟 1：訪問 VPC 管理控制檯

首先，您需要登入到 AWS 管理控制檯。然後，在搜尋欄中輸入“VPC”，並從下拉列表中選擇“VPC 儀表板”。

步驟 2：建立 VPC 流日誌

從左側導航窗格中選擇“您的 VPC”。您需要選擇要為其啟用流日誌的 VPC。

點選“操作”按鈕，然後從下拉選單中選擇“建立流日誌”。

步驟 3：配置流日誌設定

在“建立流日誌”中，我們需要配置幾個設定來控制流日誌將捕獲哪些資料。

讓我們看看要配置什麼以及如何配置：

• **過濾器** - 它提供各種選項來選擇要記錄的流量型別。
  • **全部** - 捕獲所有流量。
  • **拒絕** - 只捕獲被拒絕的流量。
  • **接受** - 只捕獲被接受的流量。
• **目標** - 它提供將流日誌資料傳送到何處的選項。
  • **Amazon CloudWatch Logs** - 有助於即時監控和分析。
  • **Amazon S3** - 適用於長期儲存和大型日誌分析。
• **IAM 角色** - 選擇或建立允許 VPC 流日誌服務將日誌釋出到 CloudWatch 或 S3 的 IAM 角色。
• **日誌格式（可選）** - 它是可選的，但如果需要，您可以自定義日誌格式，以捕獲特定欄位，例如例項 ID、協議、流量方向等。
• **標籤（可選）** - 也是可選的。您可以為流日誌新增標籤以方便識別。

配置完成後，點選“建立流日誌”。

步驟 4：檢視 VPC 流日誌

對於**CloudWatch**，請按照以下步驟操作：

• 如果您將日誌傳送到 CloudWatch Logs，請轉到 CloudWatch 儀表板。
• 選擇“日誌”，然後選擇儲存 VPC 流日誌的日誌組。

• 在這裡，您可以檢視、篩選和分析日誌資料。

對於Amazon S3，請按照以下步驟操作 -

• 如果您選擇Amazon S3作為目標，請導航到您指定的 S3 儲存桶。
• 在該儲存桶中，您將看到可以下載並離線分析的日誌檔案。

Amazon VPC - 端點

Amazon VPC 端點允許使用者將其 VPC 私有連線到受支援的 AWS 服務以及由 AES PrivateLink 提供支援的 VPC 端點服務，而無需 Internet 閘道器、NAT 裝置、VPN 連線或 AWS Direct Connect。

VPC 端點提供了一種更安全、更高效的方式來與 AWS 服務互動，因為 VPC 與服務之間所有流量都保持在 AWS 網路內。

VPC 端點的型別

VPC 端點有兩種型別 -

1. 介面端點

這些 VPC 端點在您的子網中建立一個彈性網路介面，透過 AWS PrivateLink 連線到服務。受支援服務的示例包括 Amazon S3、DynamoDB 等。

2. 閘道器端點

這些 VPC 端點適用於特定的 AWS 服務，例如 Amazon S3 和 DynamoDB。它們更像是路由表條目，將來自您 VPC 的流量定向到指定的 AWS 服務。

如何設定和使用 VPC 端點？

在您的 VPC 中設定和使用 VPC 端點的過程非常簡單。請按照以下步驟操作 -

步驟 1：開啟 VPC 管理控制檯

首先，您需要登入到AWS 管理控制檯。在搜尋欄中，鍵入VPC，然後選擇VPC 儀表盤。

步驟 2：選擇 VPC 端點

現在，檢查左側導航窗格。單擊虛擬私有云下的端點。要建立 VPC 端點，請單擊建立端點按鈕。

步驟 3：選擇 AWS 服務

現在，在服務名稱部分，您需要選擇要連線到的 AWS 服務。例如，Amazon S3 或DynamoDB。

• 對於 Amazon S3 和 DynamoDB，您需要建立一個閘道器端點。
• 對於其他服務，例如 EC2 或 SQS，您將使用介面端點。

步驟 4：選擇 VPC

現在，轉到VPC部分並選擇要在其中建立端點的 VPC。

首先，選擇要在其中建立端點介面的子網。這僅適用於介面端點。

對於閘道器端點，您需要選擇路由表而不是子網，這會將端點作為路由新增到您的路由表中。

步驟 5：建立端點

設定完配置後，單擊建立端點按鈕。Amazon AWS 將建立 VPC 端點，您將在端點列表中看到它。

步驟 6：修改路由表（僅限閘道器端點）

如果您正在建立閘道器端點，則需要執行此步驟。

首先，轉到 VPC 儀表盤中的路由表。查詢與需要訪問該服務的子閘道器聯的路由表。最後，新增一個指向VPC 閘道器端點的所選 AWS 服務的路由。

Amazon VPC - 對等連線

什麼是 VPC 對等連線？

Amazon VPC 對等連線是一種網路連線，允許您在 AWS 網路中的兩個虛擬私有云 (VPC) 之間建立通訊。

VPC 對等連線使用私有 IPv4 或 IPv6 地址。此連線允許不同 VPC 中的例項相互通訊，就像它們在同一網路中一樣。AWS 允許我們建立您自己的 VPC 之間或不同 AWS 賬戶之間的 VPC 對等連線。

下圖顯示了兩個虛擬私有云之間的 VPC 對等連線 -

VPC 對等連線非常安全，因為 VPC 之間的流量保持在 AWS 網路內。它們不需要穿越公共網際網路。

設定 VPC 對等連線以實現 VPC 間通訊

請按照以下步驟設定 VPC 對等連線 -

步驟 1：建立 VPC 對等連線

首先，登入到 AWS 管理控制檯，然後導航到VPC 儀表盤。在左側，選擇對等部分下的對等連線。

單擊建立對等連線按鈕。在表單中，選擇請求方 VPC。您還需要指定接受方 VPC。您可以選擇您 AWS 賬戶中的 VPC，或輸入來自另一個 AWS 賬戶的 VPC ID。

完成後，單擊建立對等連線按鈕。

步驟 2：接受 VPC 對等請求

建立對等連線後，轉到 VPC 儀表盤中的對等連線部分。現在，找到新建立的對等連線。

接下來，選擇對等連線並單擊操作 > 接受請求。請求被接受後，狀態將更改為活動。

如果接受方 VPC 位於另一個賬戶中，則接受方 VPC 的所有者需要登入到其賬戶以接受該請求。

步驟 3：修改路由表

建立對等連線後，我們需要更新兩個 VPC 中的路由表以允許流量在它們之間流動。請按照以下步驟修改路由表

要修改路由表，首先轉到路由表部分。從那裡，選擇與需要與其他 VPC 通訊的子網關聯的路由表。

單擊編輯路由，然後單擊新增路由。在目標欄位中，輸入對等 VPC 的CIDR 塊。在目標欄位中，選擇對等連線並選擇相關的對等連線。最後，要應用更改，請單擊儲存路由。

在另一個 VPC 中重複上述步驟，更新其路由表以允許流量流回原始 VPC。

步驟 4：更新安全組

修改路由表後，我們需要更新兩個 VPC 中的安全組。請按照以下步驟修改安全組 -

在 VPC 儀表盤中，轉到安全組。

選擇與將與對等 VPC 通訊的資源關聯的安全組。單擊編輯入站規則並新增一條規則以允許來自對等 VPC 的 CIDR 塊的流量。同樣，編輯出站規則以允許流量到對等 VPC。

步驟 5：測試 VPC 對等連線

要測試 VPC 對等連線，請嘗試 ping 對等 VPC 中的例項或建立連線。