本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 VPCs
<a name="configure-vpcs"></a>

VPC 是邏輯上隔離的網路 AWS ，類似於傳統的資料中心網路。強大的網路通常在網路帳戶中包含三個不同的 VPCs：
+ 防火牆 VPC
+ 傳入 VPC
+ 傳出 VPC

每個 VPCs都指定用於特定用途。除了本指南中所述VPCs 中。

當您建立這些 VPCs時，請選擇**僅限 VPC** 選項。然後，選擇 **IPAM 配置的 IPv4 CIDR 區塊**選項，選取相關的 IPAM 集區，然後輸入適當的網路遮罩。

## 防火牆 VPC
<a name="firewall-vpc"></a>

防火牆 VPC 專用於使用 建立和設定防火牆 AWS Network Firewall。在防火牆 VPC 中，建立六個私有子網路：
+ 三個專用於傳輸閘道連接的子網路
+ 防火牆專用的三個子網路

## 傳入 VPC
<a name="inbound-vpc"></a>

設定網路帳戶時，請考慮 上託管之 服務的流量 AWS。在傳入 VPC 中，您會託管 Application Load Balancer。您也可以設定組織的標準 AWS WAF 防火牆和其他安全相關服務，以協助防止可能危及安全的惡意活動。在傳入 VPC 中，建立六個子網路：
+ 用於託管 Application Load Balancer 的三個公有子網路
+ 除了傳入 VPC 的 CIDR 區塊之外，您將為任何其他網路 CIDR 區塊設定防火牆路由的三個傳輸閘道連接子網路

## 傳出 VPC
<a name="outbound-vpc"></a>

傳出 VPC 控制從網路帳戶傳出的流量。在傳出 VPC 中，建立下列六個子網路：
+ 三個不同可用區域中的三個公有子網路，每個子網路都有一個 NAT 閘道。
+ 三個可用區域中的三個私有子網路，每個子網路都包含路由表，並以 0.0.0.0/0 路由設定為在個別公有子網路中建立的 NAT 閘道 ID ID。將傳輸閘道連接至私有子網路。

將任何私有託管區域與傳出 VPC 建立關聯。

## VPC 流量日誌
<a name="vpc-flow-logs"></a>

若要記錄對網路介面的所有請求以供未來分析，請設定 VPC 流程日誌。如需詳細資訊，請參閱 [Amazon VPC 文件](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)和[設定 VPC 流程日誌以跨模式集中化 AWS 帳戶](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/configure-vpc-flow-logs-for-centralization-across-aws-accounts.html)。