什么是VPC，AWS中的子网

Question

我知道这是一个非常基本的问题。但是，我是AWS和n / w概念的初学者。

什么是VPC [虚拟私有云]实际上，它是如何实现目的的？这是否必须在VPC中启动实例？

什么是子网，为什么必须拥有它？子网是否对应于特定区域？

我为这些问题做过研究并得到了一些解释，但老实说无法理解？

拜托，我希望在这里得到最好的答案。

提前致谢。

Answer 1

在较高的层面上，您可以将AWS中的VPC视为一个逻辑容器，将您创建的资源与Amazon Cloud中的其他客户分开。您在亚马逊中定义自己的网络。您可以将VPC视为一个公寓，其中您的家具和物品类似于数据库和实例。公寓的墙壁隔离并保护您的物品不被公寓大楼的其他租户所接触。

子网将类似于您公寓中的不同房间。它们是VPC中的容器，用于分割您在VPC中定义的CIDR块的片段。子网允许您提供不同的访问规则，并将资源放在应该应用这些规则的不同容器中。你不会在淋浴间的浴室里有一个大的开着的窗户，所以人们可以看到你赤身裸体，就像你不会在公共子网中放置一个包含秘密信息的数据库，允许任何和所有的网络流量。您可以将该数据库放在私有子网（即锁定的壁橱）中。

Answer 2

我尝试在this video中解释VPC的基础

Answer 3

Amazon虚拟私有云（VPC）是Cloud中的逻辑数据中心或虚拟数据中心。它提供了一个单独的区域来托管您的计算机.VPC是区域，Internet网关（IG），路由表，ACL，安全组，子网，实例的集合.VPC为我们提供了一个完全独立的环境，我们可以在其中放置计算机我们自己的方式。每个VPC仅一个Internet网关。

如您所见，VPC是Internet网关，路由器，网络ACL，EC2，子网，路由表等的集合。让我们快速了解一下个人。

区域：Amazon EC2在全球的多个位置托管。这些位置由区域和可用区组成。每个地区都是一个单独的地理区域。每个地区都有多个孤立的位置，称为可用区。 Amazon EC2使您能够在多个位置放置资源，例如实例和数据。

Internet网关是一个水平扩展，冗余且高度可用的VPC组件，它允许VPC中的实例与Internet之间进行通信。 Internet网关有两个目的：在VPC路由表中为可路由Internet的流量提供目标，并对已分配了公共IPv4地址的实例执行网络地址转换（NAT）。 路由表包含一组称为路由的规则，用于确定将网络流量定向到何处。 VPC中的每个子网都必须与路由表关联；该表控制子网的路由。一个子网一次只能与一个路由表关联，但是您可以将多个子网与同一路由表关联。

网络访问控制列表（ACL）是VPC的可选安全层，用作控制一个或多个子网内外流量的防火墙。您可以使用与您的安全组类似的规则设置网络ACL，以便为VPC添加额外的安全层.VPC自动带有可修改的默认网络ACL。默认情况下，它允许所有入站和出站IPv4通信以及IPv6通信（如果适用）。一个子网只能与一个ACL连接，但是一个ACL可以具有多个子网。

子网或子网是IP网络的逻辑分区。将网络分为两个或多个网络的做法称为子网划分。AWS提供两种类型的子网划分：一种是公网，允许Internet访问该计算机，另一种是私网的，它是对Internet隐藏的。

实例是AWS云中的虚拟服务器。借助Amazon EC2，您可以设置和配置在实例上运行的操作系统和应用程序。

有关更多详细信息，请参阅我的中篇文章 https://medium.com/@das.ranbir/create-a-secure-aws-vpc-architecture-fd4aeb0f0b25

Answer 4

VPC是Cloud中的逻辑数据中心或虚拟数据中心。它提供了一个隔离的区域来托管您的计算机.VPC是区域，IG，路由表，ACL，安全组，子网，实例的集合。您可以添加所有类似安全矩阵的安全组等.vpc为我们提供了一个完全独立的环境中，我们可以用自己的方式放置机器。

Answer 5

Amazon Virtual Private Cloud（Amazon VPC）使您可以将AWS资源启动到已定义的虚拟网络中。该虚拟网络非常类似于您在自己的数据中心中运行的传统网络，具有使用AWS的可扩展基础架构的好处。 Amazon VPC是Amazon EC2的网络层。

以下是VPC的关键概念：

虚拟私有云（VPC）是专用于您的AWS账户的虚拟网络。

子网是VPC中的IP地址范围。

路由表包含一组称为路由的规则，用于确定将网络流量定向到何处。

Internet网关是水平缩放，冗余且高度可用的VPC组件，它允许VPC中的实例与Internet之间进行通信。因此，它对网络流量没有任何可用性风险或带宽限制。

VPC终结点使您可以将VPC私有连接到受PrivateLink支持的AWS服务和VPC终结点服务，而无需Internet网关，NAT设备，VPN连接或AWS Direct Connect连接。 VPC中的实例不需要公共IP地址即可与服务中的资源进行通信。您的VPC与其他服务之间的流量不会离开Amazon网络。

下图显示了已在多个可用区中配置了子网的VPC。 1A，1B，2A和3A是VPC中的实例。一个IPv6 CIDR块与VPC相关联，一个IPv6 CIDR块与子网1相关联。Internet网关支持通过Internet进行通信，而虚拟专用网络（VPN）连接则可以与企业网络进行通信。

如果将子网的流量路由到Internet网关，则该子网称为公共子网。在此图中，子网1是公共子网。如果您希望您的公共子网中的实例通过IPv4与Internet通信，则它必须具有公共IPv4地址或弹性IP地址（IPv4）。如果您希望您的公共子网中的实例通过IPv6与Internet通信，则它必须具有IPv6地址。

如果子网没有到Internet网关的路由，则该子网称为私有子网。在此图中，子网2是专用子网。

如果子网没有到Internet网关的路由，但是将其流量路由到用于站点到站点VPN连接的虚拟专用网关，则该子网称为仅VPN子网。在此图中，子网3是仅VPN子网。

路由表： 路由表的工作方式 您的VPC具有隐式路由器，您可以使用路由表来控制将网络流量定向到何处。 VPC中的每个子网都必须与一个路由表关联，该路由表控制该子网的路由（子网路由表）。您可以将子网与特定的路由表明确关联。否则，子网将与主路由表隐式关联。一个子网一次只能与一个路由表关联，但是您可以将多个子网与同一子网路由表关联。

您可以选择将路由表与Internet网关或虚拟专用网关（网关路由表）相关联。这样，您可以为通过网关进入VPC的入站流量指定路由规则。

Internet网关 Internet网关是水平扩展，冗余且高度可用的VPC组件，它允许VPC中的实例与Internet之间进行通信。因此，它对网络流量没有任何可用性风险或带宽限制。

Internet网关有两个目的：在VPC路由表中为可路由Internet的流量提供目标，并对已分配了公共IPv4地址的实例执行网络地址转换（NAT）。

Internet网关支持IPv4和IPv6流量。

NAT： 您可以使用NAT设备使专用子网中的实例能够连接到Internet（例如，用于软件更新）或其他AWS服务，但可以阻止Internet启动与实例的连接。 NAT设备将流量从专用子网中的实例转发到Internet或其他AWS服务，然后将响应发送回实例。当流量流向Internet时，源IPv4地址将替换为NAT设备的地址，类似地，当响应流量流向这些实例时，NAT设备会将地址转换回这些实例的私有IPv4地址。

IPv6通信不支持NAT设备-请使用仅出口的Internet网关

AWS提供两种NAT设备-NAT网关或NAT实例，但建议使用 NAT网关，因为它们提供了比NAT实例更好的可用性和带宽。