VPC划分三个子网:

external：该子网内实例具有公网IP，外网可访问该子网，该子网实例也可通过“Internet网关”访问外网。
internal：该子网内实例无公网IP，外网不可访问该子网，该子网实例也可通过“NAT网关”访问外网。
private：该子网内实例无公网IP，外网不可访问该子网，该子网实例也不可访问外网。

控制联网主要通过以下几个组件:
路由表：与子网关联。external子网访问0.0.0.0的下一跳是“Internet网关”。internal子网访问0.0.0.0的吓一跳是“NAT网关”
NAT网关：属于external子网，通过“Internet网关”联通外网。（可以把NAT网关理解为具备NAT功能的一个EC2实例）
Internet网关：与子网关联，实例需要联通外网，必须经过Internet网关。
子网ACL：与子网关联，控制子网的出入流量。
安全组：关联EC2实例，精细化控制出入流量