一、VPC高级路由配置：实现跨子网精准流量控制

1.1 路由表优先级与传播规则

VPC路由表遵循最长前缀匹配原则，当存在多个匹配路由时，系统优先选择掩码最长的条目。例如，同时存在0.0.0.0/0（默认路由）和192.168.1.0/24时，目标IP为192.168.1.5的流量会优先匹配子网路由。

通过路由传播（Route Propagation）功能，可将VPN连接或Direct Connect的动态路由自动注入VPC路由表。配置时需在虚拟专用网关（VGW）中启用传播，并在目标路由表中添加传播规则：

# AWS CLI示例：启用路由传播
aws ec2 create-vpn-connection-route --vpn-connection-id vpn-12345678 --destination-cidr-block 10.0.0.0/16

1.2 私有子网NAT优化策略

对于需要访问互联网的私有子网实例，推荐使用NAT网关替代传统NAT实例。NAT网关提供以下优势：

• 自动扩展：单AZ部署可支持最高45Gbps带宽
• 高可用性：AWS自动管理故障转移
• 简化维护：无需管理EC2实例

配置时需注意：

1. 将NAT网关部署在公有子网
2. 更新私有子网路由表，将0.0.0.0/0指向NAT网关
3. 启用弹性IP的流量日志（VPC Flow Logs）监控异常流量

二、安全组与网络ACL的协同防护体系

2.1 安全组高级规则配置

安全组采用白名单机制，支持以下高级特性：

• 引用其他安全组：允许组内成员互相访问特定端口

  {
  "IpPermissions": [
    {
      "IpProtocol": "tcp",
      "FromPort": 22,
      "ToPort": 22,
      "UserIdGroupPairs": [
        {
          "GroupId": "sg-12345678",
          "Description": "Allow SSH from admin group"
        }
      ]
    }
  ]
  }

• 有状态检查：允许返回流量自动通过，无需显式配置
• 多IP范围支持：单个规则可包含多个CIDR块

2.2 网络ACL分层防护

网络ACL作为子网级防火墙，提供以下补充防护：

• 无状态检查：需显式配置入站和出站规则
• 规则顺序优先级：编号较小的规则优先匹配
• Deny优先原则：未明确允许的流量默认拒绝

典型三层防护架构示例：
| 防护层 | 组件 | 规则示例 |
|————|———|—————|
| 第一层 | 网络ACL | 拒绝所有入站流量，仅允许80/443端口 |
| 第二层 | 安全组 | 允许特定IP访问数据库端口 |
| 第三层 | 主机防火墙 | 限制应用层访问权限 |

三、VPC对等连接与Transit Gateway企业级组网

3.1 VPC对等连接跨账户配置

跨账户VPC对等连接需完成以下步骤：

1. 账户A发起对等请求，指定账户B的VPC ID
2. 账户B接受请求，配置路由表指向对等连接
3. 更新双方安全组规则允许跨VPC通信

关键配置参数：

# 创建跨账户对等连接
aws ec2 create-vpc-peering-connection \
  --vpc-id vpc-12345678 \
  --peer-vpc-id vpc-87654321 \
  --peer-owner-id 123456789012

3.2 Transit Gateway集中式组网

对于拥有5个以上VPC的企业，推荐使用Transit Gateway替代传统对等连接：

• 集中路由：单个设备管理所有VPC间路由
• 跨区域支持：可连接不同区域的VPC
• VPN集成：支持混合云架构

典型部署架构：

[On-Premises] --(VPN)-- [Transit Gateway] --(VPC Attachment)-- [VPC1]
                                           |--(VPC Attachment)-- [VPC2]

四、VPC流量监控与故障排查

4.1 VPC Flow Logs深度分析

启用Flow Logs可记录以下信息：

• 源/目标IP和端口
• 动作（ACCEPT/REJECT）
• 流量大小和包数
• 接口ID和子网信息

配置示例：

aws ec2 create-flow-logs \
  --resource-ids vpc-12345678 \
  --resource-type VPC \
  --traffic-type ALL \
  --log-group-name /aws/vpc/flow-logs \
  --deliver-logs-permission-arn arn:aws:iam::123456789012:role/FlowLogsRole

4.2 常见故障排查流程

1. 连通性问题：

   • 检查安全组规则是否允许目标端口
   • 验证路由表是否包含正确路由
   • 确认NAT网关/IGW状态为available

2. 性能问题：

   • 使用CloudWatch监控网络吞吐量
   • 检查跨AZ流量是否产生额外费用
   • 评估是否需要启用加速网络（ENA）

3. 安全事件：

   • 分析Flow Logs中的REJECT记录
   • 检查AWS GuardDuty报警信息
   • 审查IAM权限是否过于宽松

五、最佳实践与成本优化

5.1 多AZ部署策略

对于生产环境，建议采用以下架构：

• 公共子网：每个AZ部署1个NAT网关
• 私有子网：应用实例跨AZ分布
• 数据库层：使用RDS多AZ部署或ElastiCache集群

5.2 成本优化技巧

• 合并相邻子网：减少NAT网关使用数量
• 定时关闭开发环境：使用EC2 Scheduler自动启停
• 预留IP地址：避免因弹性IP闲置产生费用
• 监控数据传输：跨区域流量按GB计费

5.3 自动化运维方案

推荐使用AWS CDK实现基础设施即代码：

// CDK示例：创建带NAT网关的VPC
const vpc = new ec2.Vpc(this, 'ProductionVPC', {
  maxAzs: 3,
  natGateways: 1,
  subnetConfiguration: [
    {
      name: 'Public',
      subnetType: ec2.SubnetType.PUBLIC,
      cidrMask: 24
    },
    {
      name: 'Private',
      subnetType: ec2.SubnetType.PRIVATE_ISOLATED,
      cidrMask: 24
    }
  ]
});

通过系统掌握上述VPC进阶配置，开发者能够构建出既安全又高效的云网络架构。建议从简单环境开始实践，逐步增加复杂度，并充分利用AWS提供的免费层服务进行测试验证。