AWS上的Linux和windows实例

如何在AWS上创建VPC/子网，并在同一子网中启动Windows实例和Linux实例。每当我尝试创建vpc时，它都不会授予ssh对其他终端的访问权限，即使我在路由表中授予了权限。

这可能是很多事情。我可能建议查看安全组（从您的IP地址添加TCP/22入站），并根据您的设置（确保连接了IGW），确保为您的实例分配了公共IP地址（如果您的实例还没有弹性IP，请添加弹性IP）。没有关于您的环境的更多信息，我只能提供一些背景知识来帮助您进行故障排除

VPC中实例的网络路径如下所示：

互联网->AWS边界->专有网络边界->专有网络路由器->子网边界->弹性网络接口

AWS边界 大多数时候，这部分并不重要。从互联网，最终你的流量将被路由到亚马逊自主系统。这通常是透明的。但是如果您有一个公共类型的Direct Connect，连接的Amazon端会将您转储到这里。在这个区域中，您可以访问公共API端点，但如果不进一步深入，您无法访问VPC中的任何内容。见下文

专有网络边界 这是流量进入/离开专有网络的点。有很多方法可以实现这一点

互联网网关（IGW） 这将在amazon拥有的公共可路由IP地址和VPC内部私有IP地址之间执行一对一NAT（请不要将其与NAT网关混淆，因为这是不同的，并将在下文中介绍）。只有分配了公共IP地址的实例才能使用IGW。作为1对1 NAT，从实例的角度来看，它是其私有IP地址和Internet可路由IP之间的连接。从外部看，它是到实例公共IP地址的连接。要强调的是，没有分配公共IP地址（弹性IP或其他）的实例将无法通过IGW在任何方向与Internet通信。相反，如果您没有IGW，那么实例上的公共IP地址就没有用处。还值得一提的是，还有一些只允许出口的网关，它们只允许对出站启动的连接进行IPv6连接

虚拟专用网关（VGW） 这可以看作是某种路由器。如果您有一个VPN连接到AWS的VPN服务，或者如果您使用的是专用直接连接，它将遍历此虚拟设备，该虚拟设备将与VPC关联。值得注意的是，这是一种对等，使用专有网络专用IP地址进行通信。您不需要公共IP地址就可以通过VGW进行通信，并且您不能通过使用VPC中实例的公共IP地址来遍历VGW

VPC对等连接（PCX） 这与VGW非常相似。它只能连接两个VPC（使用传输网关，我想这是一个过分简化的方法），并且它在私有IP地址层上连接它们。您不能使用公共IP地址跨PCX引用资源

VPC端点（VPC-E） 这只能在连接断开的情况下从VPC内部访问（显然是通过此返回流量，但是。它是到AWS公共边界内特定AWS端点的连接（如S3 API端点）。这不使用实例的公共IP地址

专有网络路由器 所有进出VPC的流量都会点击此路由器，它会路由到/从VPC边界的所有出口/入口点，并路由到/从每个子网。您可以调整此路由器以控制哪些流量流向何处，并且您可以为每个子网设置不同的路由表。因此，“公共”子网是VPC中具有IGW且具有到该IGW的默认路由（0.0.0.0/0）的子网。专用子网没有到IGW的路由。如果没有到IGW的路由，则在实例上拥有公共IP地址是无用和浪费的

如果您想控制VPC内的流量并将其发送到EC2实例（web代理/IDS/流量捕获等），也可以路由到ENI但是，ENI必须驻留在具有不同路由表的子网中，否则其自身的出站流量将路由回自身。所有进出任何子网的流量以及进出专有网络的流量都会穿过此路由器，并受您配置的路由约束。您无法在子网内、任何pa内配置路由专用于VPC专用IP空间内地址的cket将自动路由到该特定子网，您不能用更具体的路由覆盖此功能

子网边界 在子网边界，流量受网络访问控制列表（NACL）的约束。这是一个无状态、基于规则的防火墙。默认情况下，它是完全开放的，不需要配置来允许流量。没有允许“现有连接”的规则因此，如果您开始使用NACL锁定子网，您可能需要在预期返回流量的方向上打开所有临时端口。同一子网内实例之间的任何流量都不会影响NACL。但任何离开或进入子网的流量都会影响NACL（无论它是去同一VPC中的另一个子网，还是完全离开VPC）都会影响NACL并受其规则的约束。通常不要管这些，除非您需要在子网级别保护流量，否则NACL有点笨拙

弹性网络接口（ENI） 最后，流量通过ENI，在ENI中受安全组的约束。这是一个有状态隐式拒绝防火墙，您只能为其添加允许规则。如果安全组没有允许来自实例的出站流量的规则，则该流量将永远不会离开ENI。如果安全组没有允许某种入站流量，这种入站流量将永远不会发送到实例（即操作系统将无法检测到它）

纳特盖特瓦