A. VPC Endpoint (Gateway & Interface)
- 核心功能: 讓 VPC 內的機器不透過網際網路,直接經由 AWS 內部骨幹網路連線到 AWS 的託管服務。
- 應用場景:Gateway Endpoint (免費): 私有子網路的 EC2 需要將日誌備份到 S3 或存取 DynamoDB,為了省錢(省去 NAT Gateway 流量費)並提高安全性(流量不出公網),使用此服務。Interface Endpoint (需付費): 私有子網路的 EC2 需要呼叫 AWS Kinesis、SNS 或 CloudWatch Logs API。
B. NAT Gateway
- 核心功能: 單向網際網路存取(私有出,公網進不來)。
- 應用場景:私有子網路中的資料庫伺服器需要下載安全性修補程式 (Patch)。後端伺服器需要呼叫外部第三方的 API(如金流服務、天氣資訊)。容器化應用程式 (EKS/ECS) 需要從 Docker Hub 拉取映像檔。
C. Amazon PrivateLink
- 核心功能: 是 Interface VPC Endpoint 的底層技術。它允許將「服務」暴露給其他 AWS 帳戶或 VPC,而無需將服務暴露在公網上。
- 應用場景:SaaS 供應商: 您開發了一套軟體服務 (SaaS) 託管在 AWS,希望賣給其他企業客戶。客戶可以透過 PrivateLink 直接從他們的 VPC 連到您的 VPC,完全走內網,符合銀行或醫療業的高合規要求。
D. VPC Peering
- 核心功能: 連接兩個 VPC,讓它們像在同一個區域網路內一樣互通。
- 應用場景:公司併購: 公司 A 買了公司 B,雙方的 AWS 環境需要互通資料。共享服務架構: 建立一個「管理用 VPC」來放置 Jenkins 或監控工具,並與其他「應用程式 VPC」進行 Peering 以進行部署或監控。限制: 不具備傳遞性 (Transitive),即 A 連 B,B 連 C,A 不能直接連 C。
混合雲連線 (地端 <-> AWS)
- AWS Site-to-Site VPN:透過加密通道 (IPsec) 經由公網連接公司辦公室與 AWS VPC。適合流量較小或備援使用。
- AWS Direct Connect (DX):透過實體專線連接公司機房與 AWS。適合大流量、低延遲、高資安要求的場景(不經過公網)。
- AWS Client VPN:讓遠端工作的員工透過 OpenVPN 客戶端安全地連入公司 AWS VPC 內部。
多 VPC 與廣域網路管理
- AWS Transit Gateway (TGW):雲端路由器樞紐。 解決 VPC Peering 複雜的網狀結構。如果您有 100 個 VPC 需要互連,或需要連接多個 VPN/DX,使用 TGW 可以像「赫輻式 (Hub-and-Spoke)」架構一樣統一管理流量。
- AWS Cloud WAN:用於建立跨越多個 AWS Region 和地端位置的統一全球網路。
