AWS- SAA认证：VPC、子网、ENI

我们用一种「城市+街区+楼房+插座」的比喻方式来帮助你建立直觉，然后再讲技术原理。

---

快速比喻：城市 → 街区 → 楼房 → 插座

比喻角色	AWS 实际概念	说明
城市	VPC	你的专属网络空间，IP 范围你来定
街区	子网（Subnet）	VPC 里的小区或片区，划分网络用途（如公网、内网）
楼房	EC2 实例	实际运行服务的机器
插座	ENI（弹性网络接口）	EC2 的“网口”，绑定 IP，挂载安全组
门卫室	Security Group	控制“谁能进出这栋楼”，每个 ENI 绑定的防火墙
社区大门	NACL	控制“哪些车能进入这个街区”，绑定子网的规则

---

✅ VPC → Subnet → ENI → EC2 的真实关系

我们按网络结构自上而下梳理一遍：

1. VPC（虚拟私有云）

• 你创建 VPC 时，会指定一个 CIDR（IP 范围），比如 10.0.0.0/16
• VPC 就是你在 AWS 上的“虚拟局域网”，后续所有资源都放里面

2. Subnet（子网）

• 在 VPC 中划分子网（比如：10.0.1.0/24，10.0.2.0/24）
• 子网用于区分不同用途的资源：公网（有 Internet 网关）、内网、安全区等
• 每个子网必须绑定一个 NACL（默认创建时会自动绑定默认 NACL）

3. ENI（弹性网络接口）

• 每个 EC2 实例至少有一个 ENI
• ENI 是网卡，负责分配私有 IP、公有 IP、安全组等
• 一个 ENI 属于一个子网（从该子网的 IP 范围中拿 IP）

4. EC2 实例

• 当你启动一台 EC2 实例时：

  • 它会放在一个子网里（属于某个 VPC）
  • 分配一个 ENI，ENI 决定它的 IP、安全组等网络属性

---

✅ 结构图

VPC（10.0.0.0/16）
│
├── Subnet A（10.0.1.0/24）── 绑定 NACL-A
│   └── EC2 实例1
│       └── ENI（IP: 10.0.1.10，安全组 SG-A）
│
├── Subnet B（10.0.2.0/24）── 绑定 NACL-B
│   └── EC2 实例2
│       └── ENI（IP: 10.0.2.20，安全组 SG-B）

---

总结一句话

VPC 是网络的根，Subnet 是局域网片区，ENI 是 EC2 的网口，Security Group 和 NACL 分别控制楼门和街区进出。

---