亞馬遜VPC是混合云拼圖中不可或缺的一部分，它使企業能夠控制公有云配置，同時又可以安全地連接到私有數據中心。

　　安全性和控制歷來都是企業高管和IT專業人士在考慮使用公有云服務時的兩大擔憂。而這一問題在網絡方面最嚴重，IT團隊需要在混合云網絡中能夠控制公有云基礎架構的配置以及到私有數據中心的連接安全性。

[[170722]]

　　這些類型的網絡拓撲結構可以很復雜。在一個多層次的設計中應用分散到各個系統，而在每個應用層中都有不同的安全要求。這意味著，各個系統必須在不同的網段中相互隔離，而這在標準云服務中是不可能的。

　　同樣的，無論有多積極的采用AWS，大部分企業都將在相當長的一段時間內仍然在私有數據中心或是托管設施中保留本地的遺留系統。這些系統必須與基于云的資源共享數據，而防火墻和路由器的策略則會小心地控制流量。

　　在完全擁抱公有云之前，大多數企業需要確保他們可以為云托管的應用建立并控制復雜的網絡。同樣，他們也必須確保敏感業務信息不會公開的在互聯網上傳播。正因為如此，亞馬遜創建了亞馬遜虛擬私有云(VPC)，一個提供了設計的靈活性和控制的虛擬私有網絡，能夠在混合云網絡中安全地銜接AWS基礎架構和企業數據中心。

　　VPC VS. 私有云

　　亞馬遜VPC基本上賦予了企業構建私有網絡的能力;然而，當與預留實例組合起來時，它便成為一個極為類似私有云的存在。VPC提供了一個獨立的網絡沙箱，給予AWS用戶網絡配置方面的完全控制，包括子網創建和尋址，路由表，網絡網關和安全設置等。子網自始至終都是私有的，無論他們是否擁有一個網絡地址轉換(NAT)和一個可路由地址的公共互聯網網關。

　　有了VPC，AWS用戶便獲得了一個虛擬路由器，可以創建多個相互隔離的子網，這些子網能夠運行AWS的資源，如彈性計算云(EC2)，彈性塊存儲和關系數據庫服務。VPC端點允許用戶不必使用NAT和互聯網網關就能創建VPC子網和任何AWS產品之間的專用連接。例如，管理員可以在VPC中以更簡單的方式從一個EC2實例訪問簡單存儲服務，只要創建一個VPC端點并指定能夠訪問的bucket，對象和API。

　　亞馬遜VPC提供了比默認的EC2環境更大的網絡設置控制權。亞馬遜VPC提供了：

　　為實例分配靜態的，在停止和重新啟動后仍然保持相同IP的能力。

　　支持每個實例有多個IP地址，包括多個網絡接口。例如，一個實例可以同時存在于多個VPC中。

　　在運行的時候更改實例的安全組成員的能力。

　　每個EC2實例的入站和出站的流量過濾和訪問控制列表的支持。

　　支持EC2專用主機和專用實例。

　　VPC搭配一個虛擬專用網關就組成了混合云網絡的基礎。類似于互聯網的網關，虛擬專用網關提供了一個公開的可路由IP以及通往外部客戶的路徑，虛擬專用網關則通過一個IPSec的VPN來連接亞馬遜VPC和遠程數據中心。網關則使用VPN端點連接到VPC虛擬路由器和一個或多個客戶網絡。這些端點可以是虛擬或物理的設備，諸如思科ISR，Juniper SRX、SonicWALL防火墻或是一個Fortinet UTM設備。

　　VPC和私有網絡之間的連接可以是路由表定義的靜態連接，或使用邊界網關協議(BGP)的動態連接。根據VPC的文檔，如果使用了“一個BGP設備，你不需要替VPN連接指定靜態路由，因為設備會使用BGP來廣播路由給虛擬專用網關。如果你使用的設備不支持BGP，則必須選擇靜態路由，并替你的網絡輸入應該要傳達給虛擬專用網關的路由(IP前綴)。”

　　VPC 聯手AWS Direct Connect

　　VPC是AWS Direct Connect的一個必要補充，它提供了AWS和一個組織內部的基礎架構之間的私有物理層的網絡連接，無論這個基礎架構是駐留在私有數據中心或是托管設施中。管理員可以從主流電信運營商現有的多協議標簽交換WAN來配置Direct Connect連接。

　　從概念上講，VPC加Direct Connect與在公共互聯網上使用IPSec VPN是一樣的，但企業會體驗到更好的性能，更快的帶寬(高達10 Gbps)，更低的延遲(通常遠小于10毫秒)，以及更可靠的網絡質量。就像使用VPN一樣，Direct Connect連接到AWS的虛擬路由器，經由那里，流量可以基于靜態或動態路由的策略被發送到一個或更多的VPC上。

　　其他云競爭者的VPN選項

　　微軟Azure和谷歌云平臺都提供類似的服務，允許企業IT創建多個私有虛擬子網，支持可配置的路由策略，公共互聯網網關，NAT，VPN隧道。類似AWS，Azure和谷歌云平臺也都提供支持BGP的虛擬路由器，能在公有和私有網絡之間做出復雜的動態路由策略。因此，假設該VPN終端的專用端是一個路由器，而不是一個簡單的VPN網關設備，這兩個服務會連接任何私有網絡到云中的一個或多個虛擬子網。

　　推薦和用例

　　亞馬遜VPC，或者同等的Azure和谷歌服務，是任何想要在云中部署復雜的，多層次拓撲結構的多應用的組織的要求。VPC搭配一個VPN網絡和直連對于在云應用和本地資源，如數據庫，文件存儲或遺留應用，之間建立一個可靠，安全的連接來說是不可或缺的。

　　VPC聯網概念對任何IT網絡專家來說應該是很熟悉的，所以主要的學習曲線涉及到理解云管理控制臺或命令行界面。將一個遠程的VPC連接到關鍵任務的企業網絡，特別是當使用BGP的時候，并不是一個簡單的工作。管理員正式涉足混合云網絡之前，應該學習基礎的知識，不斷測試，并保有足夠的謹慎。