權力與鑰匙都分配好了，但我們總不能讓忠誠的部下們在荒郊野外辦公吧？今天，我們就要來當地產大亨，在 AWS 的廣袤土地上，圈出屬於我們自己的領地，並蓋起高聳的城牆。這就是 VPC (Virtual Private Cloud) 和 Security Group 的任務。

VPC：我們在雲端的「獨立王國」

想像一下，整個 AWS 雲端是一塊巨大的共享大陸，所有使用者都在上面活動。而 VPC，就是你用魔法畫出的一個結界，在這塊大陸上圈出一片完全屬於你的、與他人隔離的「獨立王國」。

在這個王國內，你就是國王，你可以：

1. 自訂地址系統 (CIDR Block)：你可以決定王國內的地址格式，例如 10.0.0.0/16。這代表你王國內所有的建築（伺服器、資料庫等）都會有 10.0.x.x 這樣的門牌號碼，外人無法輕易窺探。
2. 劃分行政區 (Subnet)：一個王國不能亂糟糟的。你可以把領地劃分成不同的「行政區」，也就是 Subnet。最重要的劃分是：
   • Public Subnet (公共區)：這個區域的建築可以直接跟外面的世界（網際網路）溝通。通常我們會把需要直接對外服務的設施放在這裡，例如網站伺服器。它就像我們王國的「港口」，需要一個 Internet Gateway 來與外面的航線連接。
   • Private Subnet (私人禁區)：這是我們存放核心資產的地方，例如交易機器人、資料庫。這裡的建築無法被外界直接訪問，大大提升了安全性。它們如果需要更新軟體或存取外部 API，則需要透過一個叫做 NAT Gateway 的「海關」來進行，只出不進，嚴格控管。

Security Group：每個建築的「貼身保鑣」

如果說 VPC 是我們王國的宏偉城牆，那 Security Group 就是你為王國內每一棟重要建築（例如一台 EC2 伺服器）配備的「貼身保鑣」。

這個保鑣非常盡責，而且有點一根筋，你必須給他非常明確的指示，他才會放行。這些指示分為兩種：

• Inbound Rules (訪客規則)：定義了「誰」可以從「哪個門」進來。例如，你可以告訴保鑣：「只允許來自 IP 位址是 x.x.x.x 的訪客，使用 22 號門（SSH 遠端連線）進來維修。」其他任何人、想從任何其他門進來的人，一律擋下！
• Outbound Rules (外出規則)：定義了建築裡的人可以去哪裡。預設情況下，保鑣比較寬容，允許裡面的人去任何地方。但你也可以嚴格規定：「你只能去 api.bybit.com 的 443 號碼頭（HTTPS），其他地方不准去！」

關鍵特性：Stateful (有記憶的)

這個保鑣記性很好。只要是你允許的「訪客」，他進來後，回程時保鑣會自動放行，不用再另外設定外出規則。這讓我們管理起來方便很多。

今天，我們建立起了王國的雛形：有了領地 (VPC)、劃分了區域 (Subnets)，還為未來的建築配備了保鑣 (Security Groups)。我們的帝國不再是空有其名，而是有了實實在在的防禦工事。

明天，我們就要在這片安全的土地上，召喚我們的第一個僕人：ECS Task Definition，來為我們的第一個容器服務做準備！