AWS使用教程（一）Amazon VPC

一、Amazon VPC 概念

1、VPC 和子网
  Virtual Private Cloud (VPC) 是仅适用于您的 AWS 账户的虚拟网络。它在逻辑上与 AWS 云中的其他虚拟网络隔绝。可在 VPC 中启动 AWS 资源，如 Amazon EC2 实例。您可以为 VPC 指定 IP 地址范围、添加子网、关联安全组以及配置路由表。
  子网是您的 VPC 内的 IP 地址范围。您可以在指定子网内启动 AWS 资源。对必须连接 Internet 的资源使用公有子网，而对将不会连接到 Internet 的资源使用私有子网。
2、支持的平台

通过将实例启动到 VPC (而不是 EC2-Classic)，您能够： 为启动和停止时保持不变的实例分配静态私有 IPv4 地址

• (可选) 将 IPv6 CIDR 块与您的 VPC 关联，并为您的实例分配 IPv6 地址
• 为您的实例分配多个 IP 地址
• 定义网络接口，并将一个或多个网络接口连接到您的实例
• 在实例运行时更改其安全组成员身份
• 控制您的实例的入站流量 (入站筛选) 和出站流量 (出站筛选)
• 以网络访问控制列表 (ACL) 的方式为您的实例添加额外的访问控制层
• 在单租户硬件上运行您的实例

3、正在访问 Internet

• 您的默认 VPC 包含一个 Internet 网关，而且每个默认子网都是一个公有子网。您在默认子网中启动的每个实例都有一个私有 IPv4 地址和一个公有 IPv4 地址。这些实例可以通过 Internet 网关与 Internet 通信。通过 Internet 网关，您的实例可通过 Amazon EC2 网络边界连接到 Internet。
  
• 默认情况下，您启动到非默认子网中的每个实例都有一个私有 IPv4 地址，但没有公有 IPv4 地址，除非您在启动时特意指定一个，或者修改子网的公有 IP 地址属性。这些实例可以相互通信，但无法访问 Internet。
  termark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3podXl1bmllcg==,size_16,color_FFFFFF,t_70)
• 您可以通过以下方式为在非默认子网中启动的实例启用 Internet 访问：将一个 Internet 网关附加到该实例的 VPC (如果其 VPC 不是默认 VPC)，然后将一个弹性 IP 地址与该实例相关联。
• 您也可以为 IPv4 流量使用网络地址转换 (NAT) 设备，以允许 VPC 中的实例发起到 Internet 的出站连接，但阻止来自 Internet 的未经请求的入站连接。NAT 将多个私有 IPv4 地址映射到一个公有 IPv4 地址。NAT 设备有一个弹性 IP 地址，并通过 Internet 网关与 Internet 相连。您可以通过 NAT 设备将私有子网中的实例连接到 Internet，NAT 设备会将来自实例的流量路由到 Internet 网关，并将所有响应路由到该实例。
• 您可以选择将 Amazon 提供的 IPv6 CIDR 块与您的 VPC 关联，并为您的实例分配 IPv6 地址。实例可以通过 Internet 网关经由 IPv6 连接到 Internet。或者，实例也可以使用仅出口 Internet 网关经由 IPv6 发起到 Internet 的出站连接。有关更多信息，请参阅 仅出口 Internet 网关。IPv6 流量独立于 IPv4 流量；您的路由表必须包含单独的 IPv6 流量路由。

4、安全组
  安全组充当虚拟防火墙，为其关联的实例控制数据流。要使用安全组，您可以添加入站规则以控制进入实例的传入流量，添加出站规则以控制来自您的实例的传出流量。要将安全组与实例关联，您可以在启动实例时指定安全组。无论您是添加还是删除安全组规则，我们都会将这些变化自动应用到与安全组相关的实例中。

WebServerSG 安全组规则

下表介绍了 WebServerSG 安全组的入站和出站规则。您将自行添加入站规则。出站规则是默认规则，它允许发送到任何地址的出站通信 — 您无需自行添加此规则。

二、IP地址

1、IPv4 和 IPv6
  IP 地址使 VPC 中的资源能够相互通信以及与 Internet 上的