如何将云计算的灵活性、可扩展性以及自动化这样的优势放在一起呢？一种折中的途径就是IT团队必须舍弃对于基础架构更多的控制。不过幸运的是在亚马逊Web服务云中，可以通过其虚拟私有云继续对网络进行重要的控制。

虚拟私有云（VPC）在亚马逊的云或者其他云中，是一种逻辑上的资源离散集，从属于你的配置规则。你可以创建虚拟机（VM）实例，并将其放入一个虚拟网络中，从而控制IP地址、路由表、网关和子网。

亚马逊虚拟私有云可以让用户在亚马逊云基础架构中创建逻辑上隔离的资源池。系统设计师和管理员可以从逻辑上将多层应用服务器调整到子网中，同时使用符合其特定需求的安全和防火墙配置。

由于你可以按需创建子网，所以可以在不同的网络配置中部署服务器。比如，你可以在访问互联网的子网中部署一套Web服务器以及一个负载均衡器。你也可以在独立于互联网的子网中运行应用和数据库服务器，但是仍旧能够访问你的Web服务器。除了创建公有和私有的子网，你还可以将你的VPC连接到企业的数据中心，而且路由流量贯穿你的本地网络。VPC在以下四中配置中可用：唯一公有子网；公有和私有子网；公有和私有子网以及硬件VPN访问；唯一私有子网和硬件VPN访问。

亚马逊VPC设置和管理

亚马逊Web服务的VPC向导提供了一种创建虚拟私有云的直接方式。这个指导可以帮助你创建一种互联网网关，允许访问互联网以及重要的亚马逊服务，比如简单存储服务（S3）对象存储。正如之前所提到的，你还可以使用这个向导在VPC中创建子网；每一个子网分配一个IP地址范围。你需要的子网的数量和类型取决于你的安全需求，但是通过定义的子网，你可以创建路由规则控制子网和互联网之间的流量流。

亚马逊通过一个抽象的称之为安全群组的服务实现防火墙服务。安全群组是一套和子网相关的入站和出站网络流量规则。创建一个VM实例时，亚马逊VPC的用户可以制定安全群组规则。这些规则定义了安全群组中的服务器允许的流量类型（如HTTP、FTP）。为了启用远程桌面协议或者RDP，对于远程Windows管理员而言，用端口3389指定企业网络公有IP地址范围。

私有IP地址在创建时分配给VM实例。你也可以从你的弹性IP地址池增加一个公有IP地址。

正如其他的亚马逊服务一样，你可以通过亚马逊管理控制台管理VPC，通过命令行接口或者API。

VPC价格问题和详细内容

使用亚马逊虚拟私有云没有额外的费用，除非你实施了硬件VPN连接。如果是这样的话，你需要每连接一小时支付5美分的费用，以及数据传输的费用。当VPN连接准备且可用时就算作一个连接小时。需要注意的是通过你的VPC互联网网关访问AWS服务产生的数据传输不需要付费，但是只针对使用VPN访问AWS服务。在这个付费模型中，在VPC的服务器中访问S3数据时，不产生费用，因为已经通过VPC互联网网关转移。

如果你计划使用VPN，关注亚马逊的信息文档查看你可以在VPC中使用的具体的网关设备类型。

如果你的系统设计是要利用多重可用区，来改善可靠性和性能，你还可以使用VPC。它们可以跨越多重可用区，但是子网受限于一个单独的区域。其他的亚马逊特性和服务，比如CloudWatch、自动扩展和集群都可以在VPC中使用。

然而，在VPC的使用上还是存在一些限制。VPC首先被创建时，是一种默认的配置，你来修改以期符合你的需求。每个AWS账户每个区域至多使用五个非默认的VPC。每个VPC可以创建至多200个子网和十个硬件VPN。