Amazon VPC
在 AWS 云中构建逻辑隔离的虚拟网络,完全控制 IP 地址范围、路由和安全的服务
概述
Amazon Virtual Private Cloud (VPC) 允许在 AWS 云中创建逻辑隔离的虚拟网络。您可以完全控制 IP 地址范围(CIDR)、子网划分、路由表和网络网关的配置。安全组和网络 ACL 提供多层网络安全控制。VPC 是几乎所有 AWS 资源(EC2、RDS、Lambda 等)的网络基础。
子网划分与多层防御设计
VPC 的子网分为公有子网(关联的路由表有指向 Internet Gateway 的路由)和私有子网(无直接互联网路由)。典型的三层架构:公有子网放置 ALB(接收互联网流量)、私有子网放置应用服务器(EC2/ECS)、隔离子网放置数据库(RDS)。每层通过安全组控制入站/出站流量,网络 ACL 作为子网级别的无状态防火墙提供额外防护。多 AZ 部署要求每层在至少 2 个可用区各有子网,确保单 AZ 故障时服务不中断。CIDR 规划需预留扩展空间——VPC CIDR 创建后不可缩小(可扩展),子网 CIDR 不可变更。建议使用 /16 的 VPC CIDR,子网使用 /24 或更小。
VPC 端点与 NAT Gateway 的成本控制
VPC 端点(VPC Endpoint)允许私有子网中的资源直接访问 AWS 服务(S3、DynamoDB、SQS 等),无需经过 NAT Gateway 或互联网。网关端点(Gateway Endpoint,S3 和 DynamoDB 专用)完全免费;接口端点(Interface Endpoint,其他服务)按小时和数据处理量计费,但通常比 NAT Gateway 便宜。NAT Gateway 每小时 0.045 美元 + 每 GB 0.045 美元的数据处理费,是 VPC 成本的主要来源之一。成本优化策略:为高流量 AWS 服务创建 VPC 端点(尤其是 S3)、合并多个 VPC 的出站流量到共享 NAT Gateway(通过 Transit Gateway)、使用 NAT Instance(EC2)替代 NAT Gateway(适合开发环境低流量场景)。
Transit Gateway 与混合连接
多 VPC 环境的互连方式:VPC 对等连接(点对点,免费但 N×N 复杂度)和 Transit Gateway(中心辐射型,按连接和数据量计费)。4 个以上 VPC 互连时 Transit Gateway 更易管理。混合云连接:Site-to-Site VPN(加密隧道,通过互联网,分钟级建立)和 Direct Connect(专线,低延迟高带宽,数周建立)。VPN 适合快速建立连接或作为 Direct Connect 的备份;Direct Connect 适合大数据传输和延迟敏感的工作负载。PrivateLink 允许将 VPC 中的服务以端点形式暴露给其他 VPC 或账户,无需 VPC 对等或公网暴露。Flow Logs 记录 VPC 网络流量元数据(源/目标 IP、端口、协议、允许/拒绝),用于安全分析和故障排查。