前言

今天原本預計要讓 EC2 實際跑起來，但在建立實例的過程中，發現卡在「網路設定」這一關。

畫面上滿滿的名詞：VPC、子網路、安全群組、防火牆、CIDR、0.0.0.0/0...

每個都看起來很重要，但完全不知道該怎麼選。

既然這樣，不如就花一整篇文章，好好搞懂這些設定背後的意思。

進入 AWS 的主控台

點擊右下角：使用 EC2 啟動執行個體

就會看到網路設定了

以下一個一個解釋

VPC (Virtual Private Cloud) — 虛擬私有雲

什麼是 VPC？

VPC 是 AWS 雲端中專屬於你的網路環境，就像在雲端建立一座「私有資料中心」。

VPC 的作用：

1. 網路隔離：你的資源與其他用戶完全獨立。
2. IP 管理：可自訂 IP 地址範圍。
3. 路由控制：決定網路流量要往哪走。
4. 安全控制：設定網路層級的安全規則。

可以把 VPC 想成一棟大樓：

• 大樓有自己的地址範圍（IP 範圍）
• 樓層就是子網路
• 門禁系統是安全群組
• 對外的出入口是網際網路閘道

建立 EC2 時可以選「預設 VPC」就好，AWS 會自動幫你建好這一整套環境。

子網路 (Subnet) — 網路分段

什麼是子網路？

子網路是 VPC 內的「區域網段」，就像大樓裡的不同樓層。

子網路的類型：

1. 公有子網路 (Public Subnet)
   • 可直接訪問網際網路
   • 放置需要對外服務的應用（如 Web Server）
2. 私有子網路 (Private Subnet)
   • 無法直接對外連線
   • 放置資料庫或內部服務

實際範例：

VPC: 10.0.0.0/16 (整棟大樓)
├── 公有子網路: 10.0.1.0/24 (1樓，對外開放)
└── 私有子網路: 10.0.2.0/24 (2樓，內部使用)

可用區域 (Availability Zone)

什麼是可用區域？

AWS 在每個地區都設有多個資料中心，稱為「可用區域」。

可以理解為「同一個城市的不同區域」。

作用：

1. 高可用性：若一個區域故障，其他區域仍可運作。
2. 災難備援：資料可跨區域備份。
3. 負載分散：可將不同服務分散至不同區域。

範例：

新加坡區域 (ap-southeast-1)
├── ap-southeast-1a
├── ap-southeast-1b
└── ap-southeast-1c

自動指派公有 IP — 對外門牌號碼

什麼是公有 IP？

公有 IP 是能被外部網路直接連線的 IP，

就像你家的門牌號碼，任何人都能找到。

兩種方式：

• 自動指派公有 IP
  • 實例啟動時自動分配
  • 實例停止後 IP 會改變
  • 免費
• 彈性 IP (Elastic IP)
  • 手動分配，固定不變
  • 實例停止後仍保留
  • 執行中免費，閒置時收費

範例：

自動指派：重啟後 IP 可能從 1.2.3.4 變成 5.6.7.8
彈性 IP：固定為 1.2.3.4，不會改變

安全群組 (Security Group) — 虛擬防火牆

什麼是安全群組？

安全群組是控制 EC2 流量進出的「防火牆規則」。

特點：

1. 狀態感知：會記住連線狀態，回傳流量自動允許。
2. 預設拒絕：沒明確允許的流量，一律擋掉。
3. 可多對多：一台機器可綁多個安全群組。
4. 動態修改：隨時可改規則，立即生效。

常見設定：

允許 SSH (22) 從個人 IP 進入
允許 HTTP (80) 從任何地點進入
允許 HTTPS (443) 從任何地點進入
拒絕其他所有流量

唰！
用EC2來架站就是會有這種麻煩事，做為一名工程師，對於網路這麼不熟，實在慚愧
不過往好處想，有學到架站時針對網路設定的細節。