本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 您 VPC 的子網
*子網*是您的 VPC 中的 IP 地址範圍。您可以在特定子網路中建立 AWS 資源,例如 EC2 執行個體。
**Topics**
+ [子網基本概念](#subnet-basics)
+ [子網安全](#subnet-security)
+ [建立子網](create-subnets.md)
+ [從您的子網路中新增或移除 IPv6 CIDR 區塊](subnet-associate-ipv6-cidr.md)
+ [修改子網路的公有 IP 位址屬性](subnet-public-ip.md)
+ [子網路 CIDR 保留](subnet-cidr-reservation.md)
+ [路由表](VPC_Route_Tables.md)
+ [中間設備路由精靈](middlebox-routing-console.md)
+ [刪除子網路](subnet-deleting.md)
## 子網基本概念
各個子網必須完全位於某一可用區域內,不得跨越多個區域。藉由在單獨的可用區域中啟動 AWS 資源,您可以保護應用程式免於發生單一可用區域故障。
**Topics**
+ [子網路 IP 地址範圍](#subnet-ip-address-range)
+ [子網類型](#subnet-types)
+ [子網圖表](#subnet-diagram)
+ [子網路由](#subnet-routing)
+ [子網設定](#subnet-settings)
### 子網路 IP 地址範圍
建立子網時,您要根據 VPC 的組態指定其 IP 地址:
+ **僅 IPv4** – 該子網路具有 IPv4 CIDR 區塊,但沒有 IPv6 CIDR 區塊。僅 IPv4 子網中的資源必須透過 IPv4 進行通訊。
+ **雙堆疊** – 該子網路具有 IPv4 CIDR 區塊和 IPv6 CIDR 區塊。VPC 必須具有 IPv4 CIDR 區塊和 IPv6 CIDR 區塊。雙堆疊子網中的資源可透過 IPv4 和 IPv6 進行通訊。
+ **僅 IPv6** – 該子網路具有 IPv6 CIDR 區塊,但沒有 IPv4 CIDR 區塊。該 VPC 必須具有 IPv6 CIDR 區塊。僅 IPv6 子網中的資源必須透過 IPv6 進行通訊。
**注意**
僅 IPV6 子網路中的資源會獲得從 CIDR 區塊 169.254.0.0/16 指派的 IPv4 連結本地位址。使用這些位址來與僅在 VPC 中使用的服務進行通訊。如需範例,請參閱*《Amazon EC2 使用者指南》*中的[鏈結本端位址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#link-local-addresses)。
如需更多詳細資訊,請參閱 [您 VPC 和子網路的 IP 定址](vpc-ip-addressing.md)。
### 子網類型
子網路類型取決於您如何設定子網路的路由。例如:
+ **公有子網路** – 子網路會直接路由至[網際網路閘道](VPC_Internet_Gateway.md)。公有子網路中的資源可以存取公有網際網路。
+ **私有子網路** – 此子網路不會直接路由至網際網路閘道。私有子網路中的資源需要 [NAT 裝置](vpc-nat.md)才能存取公有網際網路。
+ **僅 VPN 子網路** – 子網路會透過虛擬私有閘道路由至 [Site-to-Site VPN 連線](https://docs.aws.amazon.com/vpn/latest/s2svpn/)。子網路不會路由到網際網路閘道。
+ **隔離子網路** — 子網路沒有其 VPC 外部目的地的路由。隔離子網路中的資源僅能進行存取,或讓相同 VPC 中的其他資源存取。
+ **EVS 子網路** – 此類型子網使用 Amazon EVS 建立。如需詳細資訊,請參閱 *Amazon EVS User Guide* 中的 [VLAN subnet](https://docs.aws.amazon.com/evs/latest/userguide/concepts.html#concepts-evs-network)。
### 子網圖表
下圖顯示顯示一個具有兩個可用區域子網路和一個網際網路閘道的 VPC。每個可用區域都有一個公用子網路和一個私有子網路。
如需顯示 Local Zones 和 Wavelength Zones 中子網路的圖表,請參閱 [AWS Local Zones 的運作方式](https://docs.aws.amazon.com/local-zones/latest/ug/how-local-zones-work.html)和 [AWS Wavelength 的運作方式](https://docs.aws.amazon.com/wavelength/latest/developerguide/how-wavelengths-work.html)。
### 子網路由
每個子網都必須具有關聯的路由表,指定離開子網之傳出流量的允許路由。每個您建立的子網都會自動與 VPC 的主路由表建立關聯。您可以變更關聯,也可以變更主路由表的內容。如需更多詳細資訊,請參閱 [設定路由表](VPC_Route_Tables.md)。
### 子網設定
所有子網都有可修改的屬性,決定在該子網中建立的網路界面是否獲派公有 IPv4 地址及 IPv6 地址 (若適用的話)。這包含您在該子網路中啟動執行個體時,為執行個體建立的主要網路介面 (例如 eth0)。無論子網的屬性為何,您仍然可以在啟動時覆寫特定執行個體的此設定。
建立子網路之後,您就可以修改子網路的下列設定。
+ **自動指派 IP 設定**:可讓您調整自動指派 IP 設定以自動要求此子網中的新網路介面的公有 IPv4 或 IPv6 地址。
+ **以資源為基礎的名稱 (RBN) 設定**:可讓您指定此子網中 EC2 執行個體的主機名稱類型,以及設定 DNS A 和 AAAA 記錄查詢的處理方式。如需詳細資訊,請參閱[《Amazon EC2 使用者指南》](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-naming.html)中的 *Amazon EC2 執行個體主機名稱類型*。
## 子網安全
為保護您的 AWS 資源,建議您使用私有子網路。使用堡壘託管或 NAT 裝置,以提供網際網路存取權限給私有子網路中的資源 (例如 EC2 執行執行個體)。
AWS 提供可用於提升 VPC 中資源安全性的功能。*安全群組*會允許關聯資源 (例如 EC2 執行個體) 的傳入和傳出流量。*網路 ACL* 會允許或拒絕子網路層級的傳入和傳出流量。在大多數情況下,安全群組可以滿足您的需求。但是,如果您想多一層安全,可以使用網路 ACL。如需更多詳細資訊,請參閱 [比較安全群組和網路 ACL](infrastructure-security.md#VPC_Security_Comparison)。
根據設計,每個子網都必須與一個網路 ACL 相關聯。每個您建立的子網都會自動與 VPC 的預設網路 ACL 建立關聯。預設的網路 ACL 會允許所有外傳和傳入流量。您可以更新預設的網路 ACL,或建立自訂網路 ACL,並將其和您的子網路建立關聯。如需更多詳細資訊,請參閱 [使用網路存取控制清單控制子網路流量](vpc-network-acls.md)。
您可以在您的 VPC 或子網上建立流程日誌,以擷取流入或流出您 VPC 或子網中網路界面的流量。您也可以在個別網路界面上建立流程日誌。如需更多詳細資訊,請參閱 [使用 VPC 流量日誌來記錄 IP 流量](flow-logs.md)。