剖析AWS虚拟私有云 (VPC)

---

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 将 AWS 资源启动到指定的虚拟网络中。利用 AWS 可扩展基础设施的优势，此虚拟网络与您在自己的数据中心管理的传统网络非常相似。

Amazon Virtual Private Cloud (VPC) 的功能

Amazon Virtual Private Cloud 具有以下多种功能：

虚拟私有云

公共云的内部私有云计算环境称为虚拟私有云 (VPC)。VPC 创建公共云的逻辑隔离区域，以提供虚拟私有环境。与公共云类似，VPC 利用共享基础设施。但是，VPC 能够在共享资源的云用户之间实现一定程度的分离。私有 IP 子网或虚拟局域网 (VLAN) 创建了这一隔离层。需要私有云环境但又希望获得公共云资源和降低成本的企业，最能从 VPC 中获益。

子网

子网络或子网是在另一个网络中包含的网络。子网提高了网络效率。由于子网划分，网络通信可以传输更短的距离，而无需多余的路由器。在您的 VPC 中，子网是一组 IP 地址。一个子网只能包含在一个可用区中。创建子网后，您可以在 VPC 中部署 AWS 资源。

互联网协议地址

为了理解子网，我们必须立即建立 IP 地址。连接到互联网的数十亿台设备中，每台设备都有一个唯一的 IP（互联网协议）地址，这使得通过网络发送的数据能够识别正确的设备。即使计算机将 IP 地址理解为二进制信息，它们通常也表示为字母数字字符的字符串（一系列 1 和 0）。

路由

跨一个或多个网络选择路径称为网络路由。一般来说，任何网络，包括电话网络和公共交通，都可以使用路由。在像互联网这样的分组交换网络中，路由决定互联网协议 (IP) 数据包从一个地方到另一个地方的路径。路由器是专门的网络设备，可以做出这些互联网路由决策。

网关端点

您可以通过 VPC 端点将您的 VPC 连接到您的 AWS 服务，而无需互联网网关、NAT 设备、VPN 或 AWS Direct Connect 连接。对于与 AWS 服务的通信，VPC 中的实例不需要公共 IP 地址；而是使用 VPC 端点。

流量镜像

您可以使用称为流量镜像的 Amazon VPC 功能，复制来自接口类型为接口的弹性网络接口的网络流量。然后，可以将流量发送到设备，以便进行带外安全性和监控，用于内容审查、威胁监控和故障排除。可以使用网络负载均衡器（在网络负载均衡器、网关负载均衡器或网络负载均衡实例集群上具有 UDP 侦听器）来安装安全性和监控设备。流量镜像提供过滤器和数据包截断功能，以便您只能提取您感兴趣的流量来使用您选择的监控工具进行监控。

转接网关

您可以通过转接网关（一个网络转接中心）连接您的虚拟私有云 (VPC) 和本地网络。当您的云基础设施在全球范围内扩展时，转接网关使用 AWS 全球架构进行区域间对等连接。您的信息始终加密，并且永远不会通过公共网络发送。

AWS VPN

您可以在 VPC 和外部网络之间建立 IPsec VPN 连接。站点到站点 VPN 连接的 AWS 端的虚拟私有或转接网关为自动故障转移提供两个 VPN 端点（隧道）。您在站点到站点 VPN 连接的远端设置客户端网关设备。

使用 Amazon VPC

您可以使用以下任何 API 来构建和管理您的 VPC：

AWS 管理控制台 - AWS 管理控制台是一个在线应用程序，包含并引用许多用于控制 AWS 服务的服务控制台。

AWS 命令行界面 (AWS CLI) - AWS 命令行界面 (AWS CLI) 是一个用于集中管理 AWS 服务的工具。

AWS SDK - 它提供特定于语言的 API，并处理许多与连接相关的方面，例如计算签名、管理请求重试和解决错误。

查询 API - 提供您可以使用 HTTPS 请求调用的基本 API 操作。使用查询 API 是联系 Amazon VPC 最直接的简单方法，但是这样做需要您的应用程序处理低级别方面，例如创建用于签署请求的哈希值和错误处理。

结论

使用 Amazon Virtual Private Cloud (Amazon VPC)，您可以完全控制您的虚拟网络环境，包括资源分配、连接和安全。要开始使用，请在 AWS 服务面板中配置您的 VPC。稍后添加资源，包括 Amazon Relational Database Service (RDS) 实例和 Amazon Elastic Compute Cloud (EC2) 实例。确定您的 VPC 如何相互交互，无论它们位于不同的账户、可用区还是 AWS 区域。您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 将 AWS 资源启动到指定的虚拟网络中。