此白皮書僅供歷史參考。有些內容可能已過時，有些連結可能無法使用。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 網路組態
<a name="network-configuration"></a>

 使用 Amazon Virtual Private Cloud (Amazon VPC)，您可以佈建 帳戶 AWS 雲端 專用的邏輯隔離區段。您可以完全控制虛擬聯網環境，包括選擇您自己的 IP 地址範圍、子網路的建立、安全設定，以及路由表和網路閘道的組態。

 *子網路*是 Amazon VPC 中的 IP 地址範圍。您可以在您選取的子網路中啟動 AWS 資源。針對必須連線至網際網路的資源使用公有子網，並針對不會連線至網際網路的資源使用私有子網。

 若要保護每個子網路中的 AWS 資源，您可以使用多層安全，包括安全群組和網路存取控制清單 ACLs)。

 下表說明安全群組和網路 ACLs之間的基本差異。


|  **安全群組**  |  **網路 ACL**  | 
| --- | --- | 
|  在執行個體層級運作 (第一層防護)  |  在子網路層級運作 (第二層防護)  | 
|  支援僅允許規則  |  支援允許規則和拒絕規則  | 
|  狀態：自動允許傳回流量，無論任何規則為何  |  無狀態：傳回流量必須經規則明確允許  | 
|  在決定是否允許流量前，先評估所有規則  |  在決定是否允許流量前，先依照數字順序處理規則  | 
|  若某人於啟動執行個體時指定安全群組，或在啟動後將安全群組與執行個體建立關聯，才會套用至執行個體。 |  自動套用至與其相關聯子網路中的所有執行個體 (備份防護層，因此您不必依賴其他人指定安全群組)  | 

 

 Amazon VPC 提供隔離、額外的安全性，以及將 Amazon EC2 執行個體分隔為子網路的能力，並允許使用私有 IP 地址。所有這些都對資料庫實作很重要。

在私有子網路中部署 Oracle 資料庫執行個體，並僅允許 Amazon VPC 內的應用程式伺服器或 Amazon VPC 內的堡壘主機存取資料庫執行個體。

建立適當的安全群組，僅允許透過指定的連接埠存取特定 IP 地址。無論您使用的是 Amazon RDS 還是 Amazon EC2，這些建議都適用於 Oracle 資料庫。

![\[Amazon VPC 私有子網路中的 Oracle 資料庫\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/oracle-database-aws-best-practices/images/oracle-db-private-subnet.png)


 

 Amazon VPC 私有子網路中的 Oracle 資料庫