为什么我们推荐使用VPC

 最近我在跟一些客户沟通的过程中发现有人对使用VPC（Virtual Private Cloud）的优势还不是特别清楚。部分人认为只有那些需要把自己的数据中心与AWS进行连接的企业才需要使用VPC。实际上，我们的确可以通过VPC及其他相关的AWS服务来把企业自己的数据中心与其在AWS上的环境进行集成，构成一个混合云的架构，但是即使不是在这种场景下，VPC本身还有许多功能上的增强。这篇文章就主要把这些VPC的新特点归纳一下。

首先需要明确VPC主要是一个网络层面的功能，其目的是让用户可以在AWS云平台上构建出一个隔离的、自己能够管理配置和策略的虚拟网络环境，从而进一步提升用户在AWS环境中的资源的安全性。用户可以在VPC环境中管理自己的子网结构，IP地址范围和分配方式，网络的路由策略等。由于用户可以掌控并隔离VPC中的资源，因此对用户而言这就像是一个自己私有的云计算环境。

其次，我们可以看到采用VPC是AWS云平台的技术发展方向。AWS从2009年开始在一个区域中引入VPC的概念和技术，然后逐年增加新的VPC特性并推广到其他所有的区域，到今年最终把VPC技术设定为缺省的环境设置。如果你是2013年3月18日之后创建的AWS用户，那么你的账户中会自动包含一个缺省的VPC。另外一种包含缺省VPC的状况是虽然是一个之前创建的老账户，但是之前没有创建EC2等资源的区域中AWS也会提供缺省的VPC环境。自从AWS推出VPC功能后，EC2的计算环境就分成了EC2-Classic和EC2-VPC两种。为给用户提供更为安全、灵活的环境，显然EC2-VPC的使用将越来越普遍。

与传统的EC2-Classic相比，采用EC2-VPC能给用户带来什么好处呢？

1.     实例IP地址的固定

传统的EC2实例启动之后，如果在实例停止后重新启动这个实例，实例私有的IP地址就会发生变化。采用VPC后，你不但能给实例指定分配的私有IP地址，而且这个地址可以在实例的生命周期中保持不变。

2.     给实例分配多个IP地址

传统的EC2实例最多只能有一个私有的IP地址，一个公有的IP地址。但是有些客户有一个实例对应多个IP地址的需求，这个需求可以在VPC环境中实现。根据实例类型的不同，在VPC中我们可以为实例分配不同数量的IP地址，具体数量参见本文最后表格。

3.     定义和添加网络接口

传统的EC2实例只能有一个缺省的网络接口，但是对于在VPC的实例中，除了缺省的主网络接口（Eth0）外，你可以定义多个ENI（Elastic Network Interface）并把它们挂接到EC2实例上。

4.     动态更改安全组（Security Group）

传统的EC2实例在运行后不能添加和删除安全组，但是对于在VPC中的实例，你可以方便的动态修改。VPC中的每个实例可以最多有5个安全组设置。

5.     控制出站（Outbound）通讯

传统EC2实例的安全组只能控制入站（Inbound）通信，但是对于在VPC中实例的安全组，你可以同时控制出站通信和入站通信。

6.     设定网络控制列表（NACL）

在VPC环境中，除了可以通过安全组来设定实例的访问权限外，还可以通过子网的网络控制列表来控制子网内所有的实例的通信规则。安全组只对某个使用它的实例生效，而网络控制列表对其上的所有实例都有效。

7.     专用（Dedicated）硬件模式

传统的EC2实例只能运行在缺省的共享（Shared）硬件模式下。对于部分不希望与其他用户共享硬件的客户，可以选择专用硬件模式，但是这种模式只有在VPC环境中才提供。

VPC除了上述这些特性外，另外一个重要的功能就是可以通过VPC提供的虚拟私有网关或成为VPN网关，然后把用户自己的数据中心或办公环境与AWS上的VPC环境进行连接，从而实现用户自己的内部网络通过VPN或Direct Connection（DX）与AWS上的VPC环境组成一个虚拟的私有网络环境。正因如此，VPC也是AWS云平台实现混合云架构的重要技术之一。

附表：不同实例类型的接口和IP地址数量表