什么是 VPC

• VPC 代表虚拟私有云。
• Amazon Virtual Private Cloud (Amazon VPC) 提供 AWS 云的一个逻辑隔离区域，您可以在该区域中在一个您定义的虚拟网络中启动 AWS 资源。
• 您可以完全控制您的虚拟网络环境，包括选择您的 IP 地址范围、创建子网以及配置路由表和网络网关。
• 您可以轻松地自定义 Amazon Virtual Private Cloud 的网络配置。 例如，您可以为 Web 服务器创建一个面向公网的子网，该子网可以访问互联网，还可以将您的后端系统（如数据库或应用程序服务器）放置在面向私网的子网中。
• 您可以提供多层安全保护，包括安全组和网络访问控制列表，以帮助控制对每个子网中 Amazon EC2 实例的访问。

VPC 的架构

外层线代表区域，区域是 us-east-1。 在区域内部，我们有 VPC，在 VPC 外部，我们有互联网网关和虚拟私有网关。 互联网网关和虚拟私有网关是连接到 VPC 的方式。 这两个连接都连接到 VPC 中的路由器，然后路由器将流量定向到路由表。 然后，路由表会将流量定向到网络 ACL。 网络 ACL 是防火墙或非常像安全组。 网络 ACL 是有状态的，既允许也拒绝角色。 您也可以阻止网络 ACL 上的 IP 地址。 现在，转到安全组，该安全组访问针对 EC2 实例的另一行。 它有两个子网，即公共和私有子网。 在公共子网中，互联网可由 EC2 实例访问，但在私有子网中，EC2 实例无法自行访问互联网。 我们可以连接这些实例。 要连接一个实例，请转到公共子网，然后通过 SSH 连接到私有子网。 这被称为跳板机。 通过这种方式，我们可以将公共子网中的实例连接到私有子网中的实例。

某些范围保留给私有子网

• 10.0.0.0 - 10.255.255.255 (10/8 前缀)
• 172.16.0.0 - 172.31.255.255 (172.16/12 前缀)
• 192.168.0.0 - 192.168.255.255 (192.108/16 前缀)

我们可以用 VPC 做什么？

• 在您选择的子网中启动实例。 我们可以选择我们自己的子网寻址。
• 我们可以在每个子网中分配自定义 IP 地址范围。
• 我们可以在子网之间配置路由表。
• 我们可以创建一个互联网网关并将其连接到我们的 VPC。
• 它提供对您的 AWS 资源更好的安全控制。
• 我们可以为各个实例分配安全组。
• 我们也有子网网络访问控制列表 (ACL)。

VPC 对等连接

• VPC 对等连接是一种网络连接，允许您使用私有 IP 地址通过直接网络路由将一个 VPC 与另一个 VPC 连接。
• 实例的行为就像它们在同一个私有网络上一样。
• 您可以将 VPC 与其他 AWS 账户以及同一账户中的其他 VPC 进行对等连接。
• 对等连接采用星型配置，即 1 个 VPC 与其他 4 个 VPC 对等连接。
• 它没有传递性对等连接!!。

注意：非传递性对等连接意味着您要连接的网络是直接链接的。

• 您可以在区域之间进行对等连接。 假设您在一个区域中有一个 VPC，在另一个区域中有另一个 VPC，那么您可以在不同区域之间进行 VPC 对等连接。

让我们通过一个例子来理解非传递性对等连接的例子。

上图显示 VPC B 已与 VPC A 对等连接，因此 VPC B 中的实例可以与 VPC A 通信。但是，VPC B 无法通过 VPC A 与 VPC C 通信。 这被称为非传递性对等连接，即 VPC C 和 VPC B 都没有直接链接，因此它们无法相互通信。

因此，为了在 VPC B 和 VPC C 之间进行通信，我们需要将它们对等连接，如下图所示。