AWS 新手完整指南：從零開始搞懂 Region、AZ、VPC、Subnet、EC2

Published September 9, 2025 by 徐培鈞

架構

想像你要開一家連鎖咖啡店，你會怎麼規劃？

先選城市（台北、高雄）→ 考慮客群、租金、法規
再選商圈（信義區 A11、信義區新光三越）→ 分散風險，一家店出問題其他還能營業
然後租店面（整層樓當作你的地盤）→ 規劃網路、裝潢、安全系統
接著規劃格局（吧台區、座位區、廚房、倉庫）→ 客人能進的、員工專用的要分開
最後添購設備（咖啡機、收銀機、冰箱）→ 實際營運的工具

AWS 的邏輯完全一樣！

Region = 城市，AZ = 商圈，VPC = 你租的地，Subnet = 房間格局，EC2 = 營運設備

Region：選擇你的營運城市

Region 就是 AWS 在全世界建機房的地點，目前全球有 33 個

常見的 Region：

ap-northeast-1：東京（離台灣最近，延遲約 50-80ms）
ap-southeast-1：新加坡（東南亞樞紐，延遲約 60-100ms）
us-east-1：美國維吉尼亞北部（最便宜，但延遲較高）
ap-southeast-3：雅加達（2022 年新開）

選 Region 要考慮什麼？

網路延遲：離用戶越近越好

台灣用戶 → 東京 Region 最佳
東南亞市場 → 新加坡 Region

法規要求：

中國用戶的資料必須存在中國境內
歐盟 GDPR 要求歐盟用戶資料存在歐盟

服務可用性：不是每個 Region 都有所有服務
價格差異：美國通常最便宜，亞洲相對較貴

Region 的重要特性：

完全獨立：一個 Region 掛掉不會影響其他 Region
不能跨 Region：VPC 不能跨 Region，EC2 不能直接搬到別的 Region
資料不會自動同步：跨 Region 備份需要手動設定

AZ：同城市的不同機房大樓

一個 Region 裡有多個 AZ（Availability Zone），每個 AZ 是獨立的機房群

AZ 的實際意義：

物理分離：不同 AZ 距離至少幾公里，避免同時受災
電力獨立：不共用電力系統，停電不會同時影響
網路獨立：不共用網路基礎設施
高速連接：AZ 之間有高速專線連接（延遲 < 2ms）

東京 Region 的 AZ 分布：

ap-northeast-1 (東京)
├── ap-northeast-1a (可能在東京市區)
├── ap-northeast-1b (可能在千葉縣)  
├── ap-northeast-1c (可能在埼玉縣)
└── ap-northeast-1d (2021年新增)

為什麼需要多個 AZ？

高可用性：一個機房出問題，服務自動切換到另一個
災難復原：地震、火災不會同時影響所有機房
負載分散：流量可以分散到不同機房處理

新手重點：不用背 AZ 名稱，但要知道重要服務要分散到至少 2 個 AZ

VPC：先從你熟悉的家用網路開始理解

第一步：回想一下你家的網路是怎麼運作的

你家的 WiFi 網路：

有一台路由器（那個有天線的盒子）
路由器會分配 IP 地址給每個設備
你的手機可能是 192.168.1.100
你的電腦可能是 192.168.1.101
你的電視可能是 192.168.1.102

家用網路的特色：

所有設備都在「同一個網路」裡
手機可以傳照片給電腦
電腦可以控制智慧電視
但隔壁鄰居連不進來（除非你給他 WiFi 密碼）

第二步：想像把你家的網路搬到雲端

VPC 就是把「家用網路」的概念搬到 AWS 雲端上

你家的網路                    →    AWS 的 VPC
├── 路由器                    →    Virtual Router  
├── WiFi 密碼（隔離鄰居）      →    網路隔離
├── 設備 IP 分配              →    IP 地址規劃
└── 裝置之間可以互連          →    內部服務互連

簡單來說：VPC = 你在雲端的專屬 WiFi 網路

第三步：為什麼需要 VPC？

🏠 情境 A：住公寓大樓（沒有 VPC）

你和鄰居共用網路：
├── 大家都用同一個 WiFi
├── 鄰居可能看到你的檔案
├── 鄰居下載太多會影響你的網速
└── 鄰居中毒可能感染你的電腦

🏘️ 情境 B：住透天厝（有 VPC）

你有自己的網路：
├── 自己的路由器和 WiFi
├── 鄰居完全進不來
├── 網速不會被別人影響
└── 安全性完全由你控制

AWS 讓你選擇情境 B：每個人都有自己的虛擬網路

第四步：VPC 能讓你做什麼？

🔧 1. 決定網路的「門牌號碼」系統

就像你可以決定家裡設備的編號：
├── 客廳電視：192.168.1.10
├── 主臥電腦：192.168.1.20  
├── 廚房音響：192.168.1.30
└── 書房 NAS：192.168.1.40

AWS VPC 也是一樣：
├── 網站伺服器：10.0.1.10
├── 資料庫：10.0.2.10
└── 備份伺服器：10.0.3.10

🚪 2. 決定「誰可以連到哪裡」

在家裡你可以設定：
├── 客人的手機：只能上網，不能存取 NAS
├── 你的電腦：可以存取所有設備
└── 小孩的平板：晚上 10 點後斷網

AWS VPC 也能這樣設定：
├── 外部用戶：只能存取網站，不能碰資料庫
├── 網站伺服器：可以讀取資料庫
└── 資料庫：完全不對外開放

🌐 3. 決定「哪些設備可以上網」

在家裡：
├── 手機、電腦：可以上網
├── NAS：不需要上網（安全考量）
└── 監控攝影機：只能內網存取

AWS VPC：
├── 網站伺服器：需要上網（讓用戶存取）
├── 資料庫：不上網（安全考量）
└── 備份系統：偶爾上網同步資料

第五步：VPC 的基本組件（用家用網路比喻）

🏠 你家的設備 → 🌐 VPC 的組件

路由器 → VPC 本身（網路容器）
網路線/WiFi 訊號 → Subnet（網路區域）
大門 → Internet Gateway（上網出口）
門禁系統 → Security Group（防火牆）

實際例子：架設一個部落格網站

用現代網站架構來理解：

🌐 部落格網站架構（VPC）
│
├── 🔌 網際網路連接（Internet Gateway）
├── 🛡️ 防火牆規則（Security Groups）
│
├── 前台展示區（Public Subnet）
│   └── 🖥️ 網頁伺服器（Web Server）
│       ├── 處理用戶請求
│       ├── 顯示部落格文章
│       └── 處理留言功能
│
└── 後台資料區（Private Subnet）
    └── 💾 資料庫伺服器（Database Server）
        ├── 存放文章內容
        ├── 用戶資料
        └── 系統設定

運作流程：

讀者造訪：透過網址進入你的部落格
網頁伺服器：接收請求，決定要顯示什麼內容
資料調取：向資料庫請求文章、圖片等資料
頁面組裝：將資料組合成完整的網頁
回傳顯示：把完成的頁面送回給讀者

安全設計：

✅ 讀者：只能看到已發布的文章和頁面
✅ 網頁伺服器：可以讀取資料庫內容來組裝頁面
✅ 資料庫：完全隔離在後台，外部無法直接存取
✅ 管理後台：只有你能登入編輯文章

這樣的好處：

🔒 駭客無法直接攻擊資料庫
🚀 網站載入速度快
📊 可以輕鬆擴展流量
🛠️ 維護和備份都很方便

第六步：新手該怎麼開始？

🎯 推薦：先用 AWS 的「預設 VPC」

就像買房子時選擇「精裝修」：
├── AWS 已經幫你設定好基本網路
├── 路由器、網路線都已經接好  
├── 防火牆有基本設定
└── 你只需要把「設備」（EC2）放進去就能用

⚙️ 之後再學「自建 VPC」

就像買「毛胚屋」自己裝潢：
├── 你決定網路架構怎麼設計
├── 你決定防火牆怎麼設定
├── 你決定哪些區域要隔離
└── 適合有經驗後，需要精細控制的時候

新手重點整理

VPC 其實就是：

你在 AWS 雲端的專屬網路空間
就像你家的 WiFi，但功能更強大
可以決定哪些設備能互相連線
可以決定哪些設備能上網
其他人完全進不來

現階段你只需要記住：

AWS 有預設 VPC，新手直接用就好
VPC 像是你的專屬網路環境
可以保護你的伺服器不被外人入侵
之後有需要再學自建 VPC

不用擔心的事：

不用立刻搞懂所有細節
預設設定對新手來說已經夠用
可以先專注在 EC2（虛擬電腦）的使用上

預設 VPC vs 自定義 VPC：

預設 VPC：AWS 自動建立，設定簡單，適合新手
自定義 VPC：自己設計，可以更精細控制，適合正式環境

Subnet：把你的店面分成不同區域

想像 VPC 就像你租下的整間店面，而 Subnet 就是把這間店分成不同的「營業區域」。

想像你的店面有兩個區域：

展示區（Public）→ 客人可以自由進出，用來展示商品、結帳
後台辦公室（Private）→ 只有店員能進入，處理重要業務

兩種區域類型：展示區 vs 後台

🌐 Public Subnet = 展示區（開放區域）

特色：

外面的客人可以直接進來參觀購買
適合放「給客人使用」的設備

適合放什麼：

💻 商品展示螢幕 → 就像展示櫃，給客人瀏覽商品
📱 自助結帳機 → 讓客人自己完成購買
📡 店內廣播系統 → 管理店內資訊流通

風險：

直接面對外部客流，比較容易出狀況
需要設定安全措施防止偷竊或破壞

🔒 Private Subnet = 後台辦公室（私人區域）

特色：

外面的客人完全進不來
只有店員和內部設備可以使用

適合放什麼：

💾 客戶資料保險箱 → 就像店面保險箱，存放重要資料
🖥️ 庫存管理系統 → 處理訂單、計算營收的電腦
🖨️ 出貨標籤機 → 處理後台作業的設備

如果需要對外聯絡：

要透過展示區的網路系統（NAT Gateway）
就像後台要透過店面的電話線對外聯絡

實際例子：實體店面的區域分配

想像你開了一家實體服飾店：

🏪 我的服飾店（VPC）
│
├── 🚪 店面大門（Internet Gateway）
├── 📡 店內網路系統（NAT Gateway）
│
├── 🛋️ 店面展示區（Public Subnet）
│   ├── 📺 商品展示螢幕 → 展示商品頁面（網站伺服器）
│   ├── 📱 自助結帳機 → 讓客人下單（購物車系統）
│   └── 📡 店內 WiFi 路由器 → 管理網路流量（負載平衡器）
│
└── 📚 後台辦公室（Private Subnet）
    ├── 💻 收銀系統電腦 → 處理訂單（API 伺服器）
    ├── 💾 客戶資料保險箱 → 會員資料（資料庫）
    └── 🖨️ 出貨標籤機 → 處理出貨（背景作業）

安全邏輯：誰可以進入哪個區域

客人：

✅ 可以在店面展示區自由活動（瀏覽網站）
✅ 可以使用自助結帳機購買（使用購物功能）
❌ 不能進入後台辦公室（無法直接存取資料庫）

店員：

✅ 可以在店面接待客人
✅ 可以在後台處理訂單、管理庫存
✅ 後台設備可以透過店內網路系統對外聯絡

為什麼要這樣分區域？

🛡️ 安全考量

如果全部放展示區（都用 Public）：
❌ 客人可能直接接觸到收銀系統
❌ 客戶資料容易被看到或偷取

分區管理（Public + Private）：
✅ 客人只能在展示區活動，進不了辦公室
✅ 重要資料被保護在後台辦公室裡

⚡ 效能考量

展示區負責：
├── 展示商品給客人看
└── 處理客人的瀏覽、結帳需求

後台辦公室負責：
├── 複雜的價格計算
├── 查詢庫存和客戶資料
└── 處理出貨和會計作業

新手該怎麼開始？

🎯 簡單版：小店模式

如果你剛開店：
├── 先用一個展示區（Public Subnet）
├── 把收銀、庫存系統都放展示區
├── 用門禁管制（Security Group）保護
└── 功能能用就好，之後再擴充

🏪 進階版：展示區 + 後台分離

當生意變好後：
├── Public Subnet：放展示設備
├── Private Subnet：放重要資料系統
├── 設定權限只允許展示區存取後台資料
└── 這樣更安全，也是正式店面的標準做法

常見問題

Q：為什麼後台（Private Subnet）的設備還能上網？

A：就像店面後台可以透過店內網路系統對外聯絡（叫貨、報帳）一樣，Private Subnet 的設備可以透過 NAT Gateway 上網，但外面的人無法直接進來後台。

Q：我一定要分這麼細嗎？

A：不一定！如果你只是開個人小店或練習，用一個展示區就夠了。但如果是正式營業，建議一定要把重要資料系統放後台。

Q：怎麼知道要規劃幾個區域？

A：

小店面：1 個展示區 + 1 個後台就夠
中型店面：多規劃幾個區域分類管理
大型店面：每個功能都有專屬區域

記住：先求能營業，再求營業好！一套基本設備就能讓你體驗完整的店面營運流程。

EC2：你搬進虛擬家的各種電器設備

EC2 就是雲端電腦，但更厲害

還記得我們的家用網路比喻嗎？如果 VPC 是你的家，Subnet 是不同房間，那 EC2 就是你搬進每個房間的「電器設備」。

跟家裡買電器一樣：

🖥️ 桌上型電腦 → 用來工作、寫程式
📺 智慧電視 → 用來展示內容給客人看
💾 NAS 儲存設備 → 用來存檔案和資料
🖨️ 印表機 → 用來處理特定工作

AWS EC2 也是這樣：

💻 網站伺服器 → 用來展示網站
🗄️ 資料庫伺服器 → 用來存資料
⚙️ 處理伺服器 → 用來跑各種程式

EC2 就像買設備開店：選對位置、選對規格

🏪 第一步：決定設備要放在店裡哪裡

🏪 我的網路商店（VPC）
│
├── 🛋️ 店面展示區（Public Subnet）：
│   ├── 📺 商品展示螢幕 → 網站伺服器
│   ├── 📱 自助結帳機 → 購物車系統
│   └── 📡 店內 WiFi 路由器 → 負載平衡器
│
└── 📚 後台辦公室（Private Subnet）：
    ├── 💻 收銀系統電腦 → API 處理伺服器
    ├── 💾 資料保險箱 → 資料庫伺服器
    └── 🖨️ 自動標籤機 → 背景處理工作

💰 第二步：選擇設備規格（就像買設備選配備）

🏃‍♂️ 入門款（適合小店）：

t3.micro → 就像買基本款收銀機，便宜但夠用
適合： 個人小店、測試用途
比喻： 基本款 POS 機，處理少量訂單沒問題

🚗 標準款（一般商店）：

t3.medium → 就像買中階 POS 系統，效能不錯
適合： 中小型網路商店、API 服務
比喻： 主流收銀系統，處理大部分交易都順暢

🏎️ 高效能款（大型商店）：

m5.large → 就像買高階商用系統，什麼都能處理
適合： 大型購物網站、複雜應用
比喻： 企業級 ERP 系統，跑複雜業務邏輯也不卡

🧠 特殊需求款：

記憶體加強版（r5.large） → 就像買大容量快取系統
適合：需要快速存取大量商品資料
比喻：超大容量的商品資料庫，查詢超快速
運算加強版（c5.large） → 就像買高速運算設備
適合：需要大量計算（價格計算、庫存分析）
比喻：高速運算伺服器，專門處理複雜的業務邏輯

實際例子：你的網路商店需要哪些設備？

完整的網路商店設備配置：

🏪 我的網路服飾店
│
├── 🛋️ 店面展示區（客人會來的地方）
│   ├── 📺 大型展示螢幕（網站伺服器）→ t3.medium
│   │   └── 展示商品給客人看、處理瀏覽請求
│   ├── 📱 多台自助結帳機（購物系統）→ t3.small  
│   │   └── 讓客人選購商品、下單付款
│   └── 📡 智能分流系統（負載平衡）
│       └── 客人太多時自動分配到不同結帳機
│
└── 📚 後台辦公室（員工工作的地方）
    ├── 💻 業務處理電腦（API 伺服器）→ m5.large
    │   └── 處理訂單、計算價格、發送確認信
    ├── 💾 主要資料保險箱（資料庫）→ r5.large
    │   └── 存放客戶資料、商品資料、訂單記錄
    └── 🖨️ 自動作業機（背景工作）→ c5.medium
        └── 自動列印出貨單、處理退款作業

重要規則：設備不能隨便搬位置

就像實體店面的設備一樣：

📺 展示螢幕放在店面 → EC2 在 Public Subnet 有對外 IP
💻 收銀電腦放在辦公室 → EC2 在 Private Subnet 只有內網 IP
🔌 換位置要重新安裝線路 → 換 Subnet 要重新設定網路

AWS 的限制：

EC2 一旦放在某個區域（Subnet），就不能直接搬到另一個區域
要搬只能「重買一套設備」放到新區域，再把舊的汰換
就像店面重新裝潢，大型設備通常是汰舊換新，而不是搬移

新手建議：從簡單開始

🎯 第一階段：一機多用的小店模式

小店起步配置：
├── 位置：店面展示區（Public Subnet）
├── 設備：t3.small（基本款 POS 系統）
├── 功能：網站展示 + 訂單處理 + 簡單資料存放
└── 成本：一個月大約 $20 美金

好處：

✅ 設定簡單，一套設備搞定
✅ 成本低，適合創業初期
✅ 出問題容易排除

缺點：

❌ 安全性較差（資料暴露在店面）
❌ 效能有限（一套設備處理所有工作）

🏪 第二階段：店面辦公室分離模式

標準商店配置：
├── 店面：t3.medium（展示設備）
├── 辦公室：t3.medium（資料處理設備）
├── 安全性：客戶資料隱藏在辦公室，外人進不來
└── 成本：一個月大約 $60 美金

好處：

✅ 安全性大幅提升
✅ 效能更好（工作分工處理）
✅ 符合正式商店營運標準

常見新手問題

Q：我怎麼知道要選哪種設備規格？

A：就像開店買設備一樣：

剛開始創業 → 選便宜的 t3.micro（AWS 有免費試用）
小型網路商店 → 選 t3.small 或 t3.medium
業務成長再升級 → AWS 可以隨時換更好的設備

Q：我可以把所有功能放在一套設備嗎？

A：可以！就像小店可以用一套 POS 系統做所有事情。但成長後建議分開：

展示系統掛掉不會影響資料處理
升級某項功能不用重開整套系統
安全性更好（客戶資料不會暴露）

Q：設備關機就不用付錢了嗎？

A：是的！就像店面設備不用就關電源省電費。但要注意：

💾 資料儲存空間還是會收費（就像租倉庫放庫存）
📱 固定 IP 位址可能會收費（就像店面門號月租費）

記住：先求會開店，再求開好店！一套 t3.small 就能讓你體驗完整的網路商店營運流程。

把所有概念串起來：我的網路商店完整規劃

還記我們的比喻嗎？現在來看看一個完整的連鎖服飾店是怎麼搭建的：

🌏 東京（Region）
│
└── 🏢 我的連鎖服飾店總部（VPC）
    │
    ├── 🚪 總部大門（Internet Gateway）
    ├── 📡 總部網路系統（NAT Gateway）
    │
    ├── 🏪 新宿區分店（AZ-1a）
    │   ├── 🛋️ 店面展示區（Public Subnet）
    │   │   ├── 📺 商品展示螢幕（網站伺服器）
    │   │   ├── 📱 自助結帳機（負載平衡器）
    │   │   └── 📡 店內 WiFi 分享器（NAT Gateway）
    │   └── 📚 後台辦公室（Private Subnet）
    │       ├── 💻 收銀系統電腦（API 伺服器）
    │       └── 🗄️ 小型保險箱（Redis 快取）
    │
    ├── 🏪 涉谷區分店（AZ-1b）
    │   ├── 🛋️ 店面展示區（Public Subnet）
    │   │   └── 📺 備用展示螢幕（備用網站）
    │   └── 📚 後台辦公室（Private Subnet）
    │       ├── 💻 備用收銀系統（備用 API）
    │       └── 💾 主要資料保險箱（MySQL 資料庫）
    │
    └── 🏪 銀座區倉庫（AZ-1c）
        └── 📦 倉儲區（Private Subnet）
            └── 🗃️ 備份資料倉庫（資料庫備份）

實際案例：開一家網路服飾店

你的需求很簡單

想賣衣服給台灣和東南亞的客人
預計會有幾萬個客人
希望網站不要掛掉
客人的信用卡資料要安全

第一步：選地點開店

主要店面：東京

離台灣近，客人連線速度快
AWS 服務最齊全
價格合理

備用店面：新加坡

萬一東京出問題，客人還能在新加坡買到東西
服務東南亞客人也方便

第二步：租房子規劃網路

就像在東京租了一整棟大樓一樣：

我的東京總部大樓：
├── 大門：讓客人進來
├── 網路系統：分配網路給所有樓層
└── 管制規則：決定誰可以到哪一層

第三步：樓層分配

新宿區分店（主要營業樓層）：

一樓店面：放展示螢幕和自助結帳機（客人看得到的）
地下室辦公室：放工作電腦和小型保險箱（客人看不到的）

涉谷區分店（備用營業樓層）：

一樓店面：放備用展示螢幕（萬一主店掛掉）
地下室辦公室：放備用電腦和主要保險箱（重要資料）

銀座區倉庫（備份專用樓層）：

倉儲區：放備份資料（萬一資料遺失）

第四步：買設備

店面設備（客人會用到的）：

📺 中等規格展示螢幕 2 台：展示商品、處理訂單
📱 智能分流系統：客人太多時自動分配到不同螢幕

辦公室設備（後台處理用的）：

💻 高效能工作站 2 台：處理複雜運算、發送確認信
💾 高容量保險箱：存放客戶資料、商品資料

安全措施（保護資料用的）：

🔒 多層門禁系統：客人只能到店面，進不了辦公室
🛡️ 監控系統：記錄誰進來、做了什麼

第五步：設定網路規則

店面網路（Public）：

客人可以直接連上網路
可以瀏覽商品、下訂單
有基本的安全防護

辦公室網路（Private）：

只有內部員工能使用
處理敏感的客戶資料
要透過特殊通道才能連到網路
有最高等級的安全防護

這樣一來，你的網路服飾店就有了：

高可用性：三個不同區域，一個掛掉其他還能運作
安全性：客人碰不到重要資料
擴展性：客人變多時可以加設備
經濟性：只買需要的設備，用多少付多少

進階功能：讓你的店更聰明

自動調整營業規模

平常時間：
└── 2 台電視夠用（節省電費）

週末促銷：
├── 自動開啟 4-6 台電視
└── 客人多就多開，客人少就關掉

雙 11 大促銷：
└── 最多可以開到 10 台電視

自動故障處理

如果信義區店面的電視壞了：
├── 自動把客人導到內湖區店面
├── 30 秒內客人就能正常購物
└── 你甚至不會知道出問題了

資料備份保護

每天晚上 3 點：
├── 自動備份客戶資料
├── 重要資料同步到新加坡店面
└── 保留最近 7 天的備份

現在你已經懂了 AWS 的基本邏輯！接下來就是動手實作，記住：Region 是城市、AZ 是區域、VPC 是房子、Subnet 是房間、EC2 是設備 – 這個口訣會讓你在 AWS 的世界裡不迷路。