Amazon Virtual Private Cloud (Amazon VPC) 允许您在 Amazon Web Services (AWS) 云中预置一个逻辑隔离分区,让您在自己定义的虚拟网络中启动 AWS 资源。您可以完全掌控您的虚拟联网环境,包括选择自有的 IP 地址范围、创建子网,以及配置路由表和网关。

您可以轻松自定义 Amazon Virtual Private Cloud 的网络配置。例如,您可以为可访问 Internet 的 Web 服务器创建公有子网,而将数据库或应用程序服务器等后端系统放在不能访问 Internet 的私有子网中。您可以利用安全组和网络访问控制列表等多种安全层,帮助对各个子网中 Amazon EC2 实例的访问进行控制。

此外,您也可以在公司数据中心和 VPC 之间创建硬件虚拟专用网络 (VPN) 连接,将Amazon AWS 云用作公司数据中心的扩展。

开始免费使用 AWS

创建免费账户
或登录到控制台

获得 12 个月的 AWS 免费套餐,同时享受 AWS 的基本支持功能,包括全年全天候无休客户服务、支持论坛及更多。

请注意,AWS 免费套餐目前不包括 Amazon VPC

您现在可以使用网络地址转换 (NAT) 网关这项高度可用的 AWS 托管服务,轻松将 AWS VPC 私有子网中的实例连接到 Internet。了解更多 >>

您的 Amazon Virtual Private Cloud 具有多种连接选择。您可以将 VPC 连接到 Internet、您的数据中心或其他 VPC,具体可依据您希望公开的 AWS 资源和希望保持私密的资源而定。

  • 直接连接 Internet (公有子网) – 您可以将实例推送到公开访问的子网中,它们可在其中发送和接收与 Internet 之间的通信。
  • 通过网络地址转换连接 Internet (私有子网) – 私有子网可用于您不希望能直接从 Internet 寻址的实例。私有子网中的实例无需暴露其私有 IP 地址即可访问 Internet,具体方法是在公有子网中通过网络地址转换 (NAT) 网关路由其流量。
  • 安全地连接公司数据中心 – 进出 VPC 中实例的流量可以通过行业标准的加密 IPsec 硬件 VPN 连接路由到您的公司数据中心。
  • 私下连接到其他 VPC (对等 VPC) 来跨属于您或其他 AWS 账户的多个虚拟网络分享资源。
  • 连接到 Amazon S3 而不使用互联网网关或 NAT,并控制通过 VPC 端点为 S3 提供的存储桶、请求、用户或组。
  • 通过组合连接方式满足应用程序需求 – 您可以将 VPC 同时与 Internet 和公司数据中心连接,并配置 Amazon VPC 路由表将所有流量定向到其正确的目的地。

Amazon VPC 提供了安全组和网络访问控制列表等高级安全功能,以便在实例级别和子网级别启用入站和出站筛选功能。此外,您还可以在 Amazon S3 中存储数据并重定向访问,使得只能从 VPC 中的实例访问这些数据。另外,您可以选择启用专用实例,使其在单个客户专属使用的硬件上运行,实现附加隔离。

您可以通过 AWS 管理控制台快速又方便地创建 VPC。您可以选择一种最符合您需求的常用网络设置,再按“Start VPC Wizard”。系统将为您自动创建子网、IP 范围、路由表和安全组,让您可以专心创建要在 VPC 中运行的应用程序。

Amazon VPC 提供了其余 AWS 平台所具有的全部优势。您可以即时扩展您的资源,选择应用程序所适用的 Amazon EC2 实例类型和大小,并且仅支付所用资源的费用 – 一切尽在 Amazon 最为可靠的基础设施中。

您可以在 VPC 中托管日志等基本 Web 应用程序或简单的网站,获得 Amazon VPC 提供的额外隐私保护和安全性。您可以创建安全组规则,在允许 Web 服务器响应入站 HTTP 和 SSL 请求的同时,禁止该 Web 服务器发起访问 Internet 的出站连接,以此巩固网站的安全保护。从 Amazon VPC 控制台向导中选择“VPC with a Single Public Subnet Only”即可创建支持此类使用案例的 VPC。

您可以使用 Amazon VPC 托管多层 Web 应用程序,在您的 Web 服务器、应用程序服务器和数据库之间严格实施访问和安全限制。您可以在公众可访问的子网中启动 Web 服务器,而在公众无法访问的子网中启动应用程序服务器和数据库。这些应用程序服务器和数据库无法通过 Internet 直接访问,但它们仍可通过 NAT 网关访问 Internet,例如,下载补丁程序等。您可以使用由网络访问控制列表和安全组提供的入站和出站数据包筛选功能,控制服务器和子网之间的访问。要创建支持此类使用案例的 VPC,您可以在 Amazon VPC 控制台向导中选择“VPC with Public and Private Subnets”。

您可以创建一个 VPC,其中一个子网中的实例 (如 Web 服务器) 可与 Internet 通信,同时其他子网中的实例 (如应用程序服务器) 可与公司网络上的数据库通信。VPC 与公司网络之间的 IPsec VPN 连接,有助于保护中的应用程序服务器与数据中心内的数据库之间进行的所有通信。您的 VPC 中的 Web 服务器和应用程序服务器可以利用 Amazon EC2 的弹性功能和“自动扩展”功能,根据需要进行扩展和收缩。从 Amazon VPC 控制台向导中选择“VPC with Public and Private Subnets and Hardware VPN Access”即可创建支持此类使用案例的 VPC。

通过将 VPC 与公司网络连接,您可以将公司应用程序转移到中、启动额外的 Web 服务器,或者增加网络的计算容量。由于 VPC 可以托管在公司防火墙的后方,因此您可以将 IT 资源无缝迁移到云中,并且不必更改用户对这些应用程序的访问方式。从 Amazon VPC 控制台向导中选择“VPC with a Private Subnet Only and Hardware VPN Access”即可创建支持此类使用案例的 VPC。

您可以定期将关键任务型数据从数据中心备份到少量配有 Amazon Elastic Block Store (EBS) 卷的 Amazon EC2 实例中,或者将虚拟机映像导入到 Amazon EC2 中。当自己的数据中心出现灾难时,您可以快速地启动 AWS 中的替代计算容量,确保业务持续性。灾难过后,您可以将关键任务型数据发回到数据中心,并终止您不再需要的 Amazon EC2 实例。通过将 Amazon VPC 应用于灾难恢复,您可以享有灾难恢复站点的全部优点,而成本却只占正常花费的一小部分。