本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置 VPC
<a name="configure-vpcs"></a>

VPC 是 AWS 中逻辑隔离的网络，类似于传统的数据中心网络。一个强大的网络通常在网络账户中包含三个不同的 VPC：
+ 防火墙 VPC
+ 入站 VPC
+ 出站 VPC

其中每个 VPC 均指定用于特定用途。除本指南中所述之外，不应在这些 VPC 中部署应用程序或其他服务。

创建这些 VPC 时，请选择**仅限 VPC** 选项。然后，选择 **IPAM 分配的 IPv4 CIDR 数据块**选项，选择相关的 IPAM 池，并输入相应的网络掩码。

## 防火墙 VPC
<a name="firewall-vpc"></a>

防火墙 VPC 专用于使用 AWS Network Firewall 创建和配置防火墙。在防火墙 VPC 中，创建六个私有子网：
+ 三个子网专用于中转网关连接
+ 三个子网专用于防火墙

## 入站 VPC
<a name="inbound-vpc"></a>

配置网络账户时，请考虑托管在 AWS 上的服务的传入流量。在入站 VPC 中，您可以托管应用程序负载均衡器。您还可以配置组织的标准 AWS WAF 防火墙和其他安全相关服务，以帮助防止可能危及安全的恶意活动。在入站 VPC 中，创建六个子网：
+ 三个用于托管应用程序负载均衡器的公有子网
+ 三个中转网关连接子网，您将在其中为除入站 VPC CIDR 数据块之外的任何其他网络 CIDR 数据块配置到防火墙的路由

## 出站 VPC
<a name="outbound-vpc"></a>

出站 VPC 控制从网络账户发出的流量。在出站 VPC 中，创建以下六个子网：
+ 位于三个不同可用区的三个公有子网，每个子网中都有一个 NAT 网关。
+ 位于三个可用区的三个私有子网，每个子网都包含一个路由表，配置为 0.0.0.0/0，路由到相应公有子网中创建的 NAT 网关 ID。将中转网关连接到私有子网。

将任意私有托管区与出站 VPC 关联。

## Amazon VPC 流日志
<a name="vpc-flow-logs"></a>

要记录对网络接口的所有请求以供将来分析，请配置 VPC 流日志。有关更多信息，请参阅 [Amazon VPC 文档](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)和 [Configure VPC Flow Logs for centralization across AWS 账户](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/configure-vpc-flow-logs-for-centralization-across-aws-accounts.html) 模式。