本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# VPC
<a name="vpc"></a>

该解决方案为 Amazon VPC 配置提供了两个选项：

1. 让该解决方案为您构建 Amazon VPC。

1. 管理并引入您自己的 Amazon VPC 以在解决方案中使用。

## 让解决方案为您构建 Amazon VPC
<a name="let-the-solution-build-an-amazon-vpc-for-you"></a>

如果您选择让解决方案构建 Amazon VPC 的选项，则默认情况下，它将部署为双可用区架构，CIDR 范围为 10.10.0.0/20。您可以选择使用 [Amazon VPC IP 地址管理器 (IPAM)](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)，每个可用区中有 1 个公有子网和 1 个私有子网。该解决方案在每个公有子网中创建 NAT 网关，并配置 Lambda 函数以在私有子网[ENIs](https://docs.aws.amazon.com/Lambda/latest/dg/foundation-networking.html)中创建。此外，此配置还会创建路由表及其条目、安全组及其规则、网络 ACLs、VPC 终端节点（网关和接口终端节点）。

## 管理您自己的亚马逊 VPC
<a name="managing-your-own-amazon-vpc"></a>

在使用 Amazon VPC 部署解决方案时，您可以选择使用您的 AWS 账户和区域中的现有亚马逊 VPC。为了确保高可用性，我们建议您至少在两个可用区中提供您的 VPC。您的 VPC 还必须具有以下 VPC 终端节点及其关联的 IAM 策略，这些策略适用于您的 VPC 和路由表配置。

### 对于部署控制面板 Amazon VPC
<a name="deployment-dashboard-2"></a>

1.  [DynamoDB 的网关终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-ddb.html)。

1.  [S3 的网关终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html)。

1.  的@@ [接口终端节点 CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatch-logs-and-interface-VPC.html)。

1.  [AWS 的接口终端节点 CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-vpce-bucketnames.html)。

### 对于使用案例 Amazon VPC
<a name="use-cases-2"></a>

1.  [DynamoDB 的网关终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-ddb.html)。

1.  [S3 的网关终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html)。

1.  的@@ [接口终端节点 CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatch-logs-and-interface-VPC.html)。

1.  [Systems Manager 参数存储区的接口端点](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)。
**注意**  
该解决方案仅需要`com.amazonaws.region.ssm`。

1.  [Amazon Bedrock 的接口终端节点（基底运行时、代理运行时、](https://docs.aws.amazon.com/bedrock/latest/userguide/vpc-interface-endpoints.html)）。 bedrock-agent-runtime

1. 可选：如果部署将使用 Amazon Kendra 作为知识库，则需要 A [mazon Kendra 的接口终端节点](https://docs.aws.amazon.com/kendra/latest/dg/vpc-interface-endpoints.html)。

1. 可选：如果部署将使用 Amazon Bedrock 下的任何 LLM，则需要一个适用于 Ama [zon Bedrock 的接口终端节点](https://docs.aws.amazon.com/bedrock/latest/userguide/vpc-interface-endpoints.html)。
**注意**  
该解决方案仅需要`com.amazonaws.region.bedrock-runtime`。

1. 可选：如果部署将使用 Amazon A SageMaker I 进行 LLM，则需要一个适用[于 Amazon A SageMaker I 的接口终端节点](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html)。

**注意**  
使用**自带 VPC 部署选项时，该解决方案不会删除或修改 VPC** 配置。但是，它将删除解决方案在 “为**我创建 VPC” 选项中创建**的所有 VPCs 内容。因此，在跨堆栈/部署共享解决方案托管的 VPC 时，必须谨慎行事。  
例如，部署 A 使用 **“为我创建 VPC**” 选项。部署 B 使用部署 A 创建的 **VPC 使用我自己**的 VPC。如果部署 A 在部署 B 之前被删除，则部署 B 将不再起作用，因为 VPC 已被删除。此外，由于部署 B 使用的是由 Lambda 函数 ENIs 创建的，因此删除部署 A 可能会出现错误并会保留剩余资源。