IP-Adressierung von Amazon EC2-Instances

Amazon EC2 und Amazon VPC unterstützen sowohl die IPv4- als auch IPv6-Adressierungsprotokolle. Standardmäßig verwendet Amazon VPC das IPv4-Adressierungsprotokoll; dieses Verhalten lässt sich nicht deaktivieren. Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 CIDR-Block (einen privaten IPv4-Adressenbereich) angeben. Optional können Sie Ihrer VPC und einen IPv6-CIDR-Block zuordnen und den Instances in Ihrem Subnetz IPv6-Adressen von diesem Block zuweisen.

Wenn Sie eine EC2-Instance starten, können Sie eine VPC und ein Subnetz angeben. Die Instance erhält eine private IPv4-Adresse aus dem CIDR-Bereich des Subnetzes. Sie können Ihre Instances optional mit öffentlichen IPv4-Adressen und IPv6-Adressen konfigurieren. Wenn EC2-Instances in verschiedenen VPCs über öffentliche IP-Adressen kommunizieren, bleibt der Datenverkehr im AWS privaten globalen Netzwerk und durchquert nicht das öffentliche Internet.

Inhalt

• Private IPv4-Adressen

• Öffentliche IPv4-Adressen

• Optimierung von öffentlichen IPv4-Adressen

• IPv6-Adressen

• Mehrere IP-Adressen

• Hostnamen der EC2-Instance

• Link-lokale Adressen

• Arbeiten mit den IPv4-Adressen für Ihre EC2-Instances

• Die IPv6-Adressen für Ihre EC2-Instances verwalten

• Sekundäre IP-Adressen für Ihre EC2-Instances

• Sekundäre private IPv4-Adresse für Windows-Instance konfigurieren

Private IPv4-Adressen

Eine private IPv4-Adresse ist eine IP-Adresse, die nicht über das Internet erreichbar ist. Sie können private IPv4-Adressen zur Kommunikation zwischen Instances im selben VPC verwenden. Weitere Informationen über die Standards und Spezifikationen vom privaten IPv4-Adressen finden Sie unter RFC 1918. Wir reservieren mit DHCP private IPv4-Adressen für Instances.

Anmerkung

Sie können eine VPC mit einem öffentlich routingfähigen CIDR-Block erstellen, der außerhalb der privaten, in RFC 1918 angegebenen IPv4-Adressbereiche fällt. Für die Zwecke dieser Dokumentation bezeichnen wir als private IPv4-Adressen (oder „private IP-Adressen“) die IP-Adressen, die innerhalb des IPv4 CIDR-Bereichs Ihrer VPC liegen.

VPC-Subnetze können einen der folgenden Typen haben:

• Nur-IPv4-Subnetze – Sie können nur Ressourcen in diesen Subnetzen erstellen, denen IPv4-Adressen zugewiesen sind.

• Nur-IPv6-Subnetze – Sie können nur Ressourcen in diesen Subnetzen erstellen, denen IPv6-Adressen zugewiesen sind.

• IPv4- und IPv6-Subnetze – Sie können Ressourcen in diesen Subnetzen erstellen, denen IPv4- oder IPv6-Adressen zugewiesen sind.

Wenn Sie eine EC2-Instance in einem reinen IPv4-oder Dual-Stack-Subnetz (IPv4 und IPv6) starten, erhält die Instance eine primäre private IP-Adresse vom IPv4-Adressbereich des Subnetzes. Weitere Informationen finden Sie unter IP-Adresse im Amazon-VPC-Benutzerhandbuch. Wenn Sie beim Start der Instance keine primäre private IP-Adresse angeben, wählen wir eine verfügbare IP-Adresse im IPv4-Bereich des Subnetzes für Sie aus. Jede Instance hat eine standardmäßige Netzwerkschnittstelle (Index 0), die der primären privaten IPv4-Adresse zugeordnet ist. Sie können auch zusätzliche private IPv4-Adressen angeben, die auch als sekundäre private IPv4-Adressen bezeichnet werden. Im Gegensatz zu privaten IP-Adressen können sekundäre private IP-Adressen von einer Instance zur anderen erneut zugewiesen werden. Weitere Informationen finden Sie unter Mehrere IP-Adressen.

Eine private IPv4-Adresse, unabhängig davon, ob es sich um eine primäre oder sekundäre Adresse handelt, bleibt der Netzwerkschnittstelle zugeordnet, wenn die Instance angehalten und neu gestartet oder in den Ruhezustand versetzt und gestartet wird, und wird freigegeben, wenn die Instance beendet wird.

Öffentliche IPv4-Adressen

Eine öffentliche IP-Adresse ist eine IPv4-Adresse, die über das Internet erreichbar ist. Sie können öffentliche Adressen zur Kommunikation zwischen Ihren Instances und dem Internet verwenden.

Wenn Sie eine Instance in einer Standard-VPC starten, weisen wir ihr standardmäßig eine öffentliche IP-Adresse zu. Wenn Sie eine Instance in einer nicht standardmäßigen VPC starten, hat Ihr Subnetz ein Attribut, durch das festgelegt wird, ob in diesem Subnetz gestartete Instances eine öffentliche IP-Adresse aus dem Pool öffentlicher IPv4-Adressen erhalten. Standardmäßig weisen wir Instances, die in einem nicht standardmäßigen Subnetz gestartet wurden, keine öffentliche IP-Adresse zu.

Anhand der folgenden Schritte können Sie kontrollieren, ob Ihre Instance eine öffentliche IP-Adresse erhält:

• Ändern Sie das öffentliche IP-Adressierungsattributs Ihres Subnetzes. Weitere Informationen finden Sie unter Ändern des öffentlichen IPv4-Adressierungsattributs für Ihr Subnetz im Amazon-VPC-Benutzerhandbuch.

• Aktivieren oder deaktivieren Sie das Adressierungs-Feature für öffentliche IP-Adressen während dem Start. Dadurch wird das öffentliche IP-Adressierungsattribut des Subnetzes überschrieben. Weitere Informationen finden Sie unter Eine öffentliche IPv4-Adresse beim Start zuweisen.

• Heben Sie nach dem Start die Zuweisung einer öffentlichen IP-Adresse an Ihre Instance auf. Weitere Informationen finden Sie unter Die IP-Adressen für Ihre Netzwerkschnittstellen verwalten.

Eine öffentliche IP-Adresse wird Ihrer Instance aus dem Pool öffentlicher IPv4-Adressen von Amazon zugewiesen. Diese Adresse ist nicht mit Ihrem AWS-Konto verknüpft. Wenn eine öffentliche IP-Adresse von Ihrer Instance getrennt wurde, wird sie an den Pool öffentlicher IPv4-Adressen zurückgegeben, und Sie können sie nicht erneut verwenden.

Wir geben die öffentliche IP-Adresse Ihrer Instance frei und weisen ihr eine neue zu, wenn einer der folgenden Fälle eintritt:

• Wir geben die öffentliche IP-Adresse für frei, wenn die Instance angehalten ist, in den Ruhezustand versetzt wurde oder beendet wird. Wir weisen eine neue öffentliche IP-Adresse zu, wenn Sie Ihre angehaltene oder den Ruhezustand versetzte Instance starten.

• Wir geben die öffentliche IP-Adresse frei, wenn Sie der Instance eine Elastic-IP-Adresse zuordnen. Wir weisen eine neue öffentliche IP-Adresse zu, wenn Sie die Elastic-IP-Adresse von der Instance trennen.

• Wenn wir die öffentliche IP-Adresse Ihrer Instance freigeben und sie über eine sekundäre Netzwerkschnittstelle verfügt, weisen wir keine neue öffentliche IP-Adresse zu.

• Wenn wir die öffentliche IP-Adresse Ihrer Instance freigeben und sie über eine sekundäre private IP-Adresse verfügt, die einer Elastic-IP-Adresse zugeordnet ist, weisen wir keine neue öffentliche IP-Adresse zu.

Wenn Sie eine persistente öffentliche IP-Adresse benötigen, die Instances nach Bedarf zugeordnet werden kann, verwenden Sie eine Elastic IP-Adresse.

Wenn Sie dynamisches DNS verwenden, um einen existierenden DNS-Namen der öffentlichen IP-Adresse einer neuen Instance zuzuordnen, kann es bis zu 24 Stunden dauern, bis die IP-Adresse im Internet übernommen wird. Infolgedessen erhalten neue Instances möglicherweise keinen Datenverkehr, während beendete Instances weiterhin Anfragen erhalten. Verwenden Sie eine Elastic IP-Adresse, um dieses Problem zu lösen. Sie können Ihre eigene Elastic IP-Adresse zuweisen und sie mit Ihrer Instance verknüpfen. Weitere Informationen finden Sie unter Elastic-IP-Adressen.

Wenn Sie Amazon VPC IP Address Manager (IPAM) verwenden, können Sie einen zusammenhängenden Block von öffentlichen IPv4-Adressen von AWS abrufen und ihn verwenden, um AWS-Ressourcen Elastic-IP-Adressen zuzuweisen. Die Verwendung von zusammenhängenden IPv4-Adressblöcken kann den Verwaltungsaufwand für Sicherheitszugriffskontrolllisten erheblich reduzieren und die Zuweisung und Verfolgung von IP-Adressen für Unternehmen, die auf AWS skalieren, vereinfachen. Weitere Informationen finden Sie unter Zuweisen sequenzieller Elastic IP-Adressen aus einem IPAM-Pool im Amazon VPC IPAM-Benutzerhandbuch.

Überlegungen

• AWS berechnet Gebühren für alle öffentlichen IPv4-Adressen, einschließlich öffentlicher IPv4-Adressen, die mit laufenden Instances verknüpft sind, und Elastic-IP-Adressen. Weitere Informationen finden Sie auf der Registerkarte Öffentliche IPv4-Adresse auf der Seite Preise für Amazon VPC.

• Für Instances, die auf andere Instances über ihre öffentliche NAT-IP-Adresse zugreifen, werden Gebühren für regionale oder Internet-Datenübertragung berechnet, je nachdem, ob sich die Instances in derselben Region befinden.

Optimierung von öffentlichen IPv4-Adressen

AWS berechnet Gebühren für alle öffentlichen IPv4-Adressen, einschließlich öffentlicher IPv4-Adressen, die mit laufenden Instances verknüpft sind, und Elastic-IP-Adressen. Weitere Informationen finden Sie auf der Registerkarte Öffentliche IPv4-Adresse auf der Seite Preise für Amazon VPC.

Die folgende Liste enthält Maßnahmen, die Sie ergreifen können, um die Anzahl der von Ihnen verwendeten öffentlichen IPv4-Adressen zu optimieren:

• Verwenden Sie einen Elastic Load Balancer, um den Datenverkehr zu Ihren EC2-Instances zu verteilen, und deaktivieren Sie die automatische Zuweisung öffentlicher IP-Adressen auf der primären ENI, die den Instances zugewiesen ist. Load Balancer verwenden eine einzige öffentliche IPv4-Adresse. Dadurch wird die Anzahl Ihrer öffentlichen IPv4-Adressen reduziert. Möglicherweise möchten Sie auch vorhandene Load Balancer konsolidieren, um die Anzahl der öffentlichen IPv4-Adressen weiter zu reduzieren.

• Wenn der einzige Grund für die Verwendung eines NAT-Gateways die SSH-Verbindung zu einer EC2-Instance in einem privaten Subnetz für Wartungs- oder Notfälle ist, sollten Sie stattdessen EC2-Instance-Connect-Endpunkt verwenden. Mit dem EC2-Instance-Connect-Endpunkt können Sie eine Verbindung zu einer Instance herstellen, ohne dass die Instance eine öffentliche IPv4-Adresse haben muss.

• Wenn sich Ihre EC2-Instances in einem öffentlichen Subnetz befinden, dem öffentliche IP-Adressen zugewiesen sind, sollten Sie erwägen, die Instances in ein privates Subnetz zu verschieben, die öffentlichen IP-Adressen zu entfernen und ein öffentliches NAT-Gateway zu verwenden, um den Zugriff auf und von Ihren EC2-Instances zu ermöglichen. Bei der Verwendung von NAT-Gateways gibt es Kostenüberlegungen. Verwenden Sie diese Berechnungsmethode, um zu entscheiden, ob NAT-Gateways kosteneffektiv sind. Sie können die für diese Berechnung erforderlichen Number of public IPv4 addresses abrufen, indem Sie einen Bericht zu AWS-Abrechnungskosten und -nutzung erstellen.

  NAT gateway per hour + NAT gateway public IPs + NAT gateway transfer / Existing public IP cost

  Wobei Folgendes gilt:

  • NAT gateway per hour = $0.045 * 730 hours in a month * Number of Availability Zones the NAT gateways are in

  • NAT gateway public IPs = $0.005 * 730 hours in a month * Number of IPs associated with your NAT gateways

  • NAT gateway transfer = $0.045 * Number of GBs that will go through the NAT gateway in a month

  • Existing public IP cost = $0.005 * 730 hours in a month * Number of public IPv4 addresses

  Wenn die Summe weniger als 1 ist, sind NAT-Gateways günstiger als öffentliche IPv4-Adressen.

• Verwenden Sie AWS PrivateLink, um private Verbindungen zu AWS-Services oder Services herzustellen, die von anderen AWS-Konten gehostet werden, anstatt öffentliche IPv4-Adressen und Internet-Gateways zu verwenden.

• Bringen Sie Ihren eigenen IP-Adressbereich (BYOIP) zu AWS und verwenden Sie den Bereich für öffentliche IPv4-Adressen, anstatt öffentliche IPv4-Adressen im Besitz von Amazon zu verwenden.

• Schalten Sie Automatische Zuordnung der öffentlichen IPv4-Adresse zur Instance, die in Subnetzen gestartet wird aus. Diese Option ist in der Regel standardmäßig für VPCs deaktiviert, wenn Sie ein Subnetz erstellen. Sie sollten jedoch Ihre vorhandenen Subnetze überprüfen, um sicherzustellen, dass sie deaktiviert ist.

• Wenn Sie über EC2-Instances verfügen, die keine öffentlichen IPv4-Adressen benötigen, überprüfen Sie, ob für die Netzwerkschnittstellen, die an Ihre Instances angeschlossen sind, die automatische Zuweisung öffentlicher IP-Adressen deaktiviert ist.

• Konfigurieren Sie Accelerator-Endpunkte in AWS Global Accelerator für EC2-Instances in privaten Subnetzen, damit der Internetverkehr direkt zu den Endpunkten in Ihren VPCs fließen kann, ohne dass öffentliche IP-Adressen erforderlich sind. Sie können auch Ihre eigenen Adressen zu AWS Global Accelerator bringen und Ihre eigenen IPv4-Adressen für die statischen IP-Adressen Ihres Accelerators verwenden.

IPv6-Adressen

IPv6-Adressen sind global eindeutig und können so konfiguriert werden, dass sie privat oder über das Internet erreichbar sind. Sowohl öffentliche als auch private IPv6-Adressierung ist verfügbar in AWS:

• Private IPv6: Als private IPv6-Adressen werden solche Adressen von AWS betrachtet, für die keine Werbung im Internet gemacht wurde und von denen aus auch nicht im Internet Werbung gemacht werden kann von AWS.

• Öffentliches IPv6: AWS berücksichtigt öffentliche IPv6-Adressen, von denen aus im Internet Werbung gemacht wird von AWS.

Weitere Informationen zu IPv6-Adressen finden Sie unter IPv6-Adressen im Amazon-VPC-Benutzerhandbuch.

Alle Instance-Typen unterstützen IPv6-Adressen, außer den folgenden: C1, M1, M2, M3 und T1.

Ihre EC-2 Instance erhält eine IPv6-Adresse, wenn Ihrer VPC und Ihrem Subnetz ein IPv6 CIDR-Block zugewiesen ist und eines der Folgenden zutrifft:

• Ihr Subnetz ist so konfiguriert, dass einer Instance beim Start automatisch eine IPv6-Adresse zugewiesen wird. Weitere Informationen finden Sie unter Ändern des öffentlichen IP-Adressierungsattributs Ihres Subnetzes.

• Sie weisen Ihrer Instance beim Start manuell eine IPv6-Adresse zu.

• Sie weisen der primären Netzwerkschnittstelle Ihrer Instance nach dem Start eine IPv6-Adresse zu.

• Sie weisen einer Netzwerkschnittstelle eine IPv6-Adresse im gleichen Subnetz zu und fügen die Netzwerkschnittstelle nach dem Start Ihrer Instance hinzu.

Wenn Ihre Instance beim Start eine IPv6-Adresse erhält, wird die Adresse mit der primären Netzwerkschnittstelle (Index 0) der Instance verknüpft. Sie können die IPv6-Adressen der primären Netzwerkschnittstelle Ihrer Instance auf folgende Weise verwalten:

• Zuweisung und Aufhebung der Zuweisung von IPv6-Adressen an der Netzwerkschnittstelle. Die Anzahl der IPv6-Adressen, die Sie einer Netzwerkschnittstelle zuweisen können, und die Anzahl der Netzwerkschnittstellen, die Sie einer Instance zuweisen können, ist abhängig vom Instance-Typ. Weitere Informationen finden Sie unter Maximale IP-Adressen pro Netzwerkschnittstelle.

• Aktivieren Sie eine primäre IPv6-Adresse. Mit einer primären IPv6-Adresse können Sie eine Unterbrechung des Datenverkehrs zu Instances oder ENIs vermeiden. Weitere Informationen finden Sie unter Eine Netzwerkschnittstelle für Ihre EC2-Instance erstellen oder Die IP-Adressen für Ihre Netzwerkschnittstellen verwalten.

Eine IPv6-Adresse bleibt beim Anhalten und Starten oder beim Versetzen in den Ruhezustand und Starten Ihrer Instance bestehen und wird beim Beenden Ihrer Instance freigegeben. Solange eine IPv6-Adresse einer anderen Netzwerkschnittstelle zugewiesen ist, können Sie sie nicht erneut zuordnen – Sie müssen die Zuweisung zunächst aufheben.

Sie können kontrollieren, ob Instances über ihre IPv6-Adressen erreichbar sind, indem Sie entweder das Routing Ihres Subnetzes steuern oder Sicherheitsgruppen und Netzwerk-ACL-Regeln verwenden. Weitere Informationen finden Sie unter Datenschutz im Internet-Netzwerk im Amazon VPC-Benutzerhandbuch.

Weitere Informationen über reservierte IPv6-Adressbereiche finden Sie unter IANA IPv6 Special-Purpose Address Registry und RFC4291.

Mehrere IP-Adressen

Sie können Sie mehrere private IPv4- und IPv6-Adressen für Ihre Instances angeben. Die Anzahl von Netzwerkschnittstellen und privaten IPv4- und IPv6-Adressen, die Sie für eine Instance angeben können, hängt vom Instance-Typ ab. Weitere Informationen finden Sie unter Maximale IP-Adressen pro Netzwerkschnittstelle.

Anwendungsfälle

• Hosten mehrerer Websites auf einem einzelnen Server, indem mehrere SSL-Zertifikate auf einem einzelnen Server verwendet werden und jedem Zertifikat eine spezifische IP-Adresse zugeordnet wird.

• Betreiben von Netzwerkgeräten, beispielsweise Firewalls oder Load Balancers, die über mehrere IP-Adressen für jede Netzwerkschnittstelle verfügen.

• Umleiten von internem Datenverkehr zu einer Standby-Instance für den Fall, dass Ihre Instance ausfällt, wobei die sekundäre IP-Adresse der Standby-Instance zugewiesen wird.

So funktionieren mehrere IP-Adressen

• Sie können jeder Netzwerkschnittstelle eine sekundäre private IPv4-Adresse zuweisen.

• Sie können mehrere IPv6-Adressen einer Netzwerkschnittstelle in einem Subnetz zuweisen, dem ein IPv6 CIDR-Block zugeordnet ist.

• Sie müssen die sekundäre IPv4-Adresse für die Netzwerkschnittstelle aus dem IPv4 CIDR-Blockbereich des Subnetzes auswählen.

• Sie müssen IPv6-Adressen für die Netzwerkschnittstelle aus dem IPv6 CIDR-Blockbereich des Subnetzes auswählen.

• Sie weisen den Netzwerkschnittstellen Sicherheitsgruppen und keine einzelnen IP-Adressen zu. Daher unterliegt jede IP-Adresse, die Sie in einer Netzwerkschnittstelle angeben, der Sicherheitsgruppe dieser Netzwerkschnittstelle.

• Es kann eine Zuweisung mehrerer IP-Adressen zu Netzwerkschnittstellen erfolgen oder aufgehoben werden, die an laufende oder angehaltene Instances angefügt sind.

• Sekundäre private IPv4-Adressen, die einer Netzwerkschnittstelle zugewiesen sind, können einer anderen Schnittstelle erneut zugewiesen werden, wenn Sie dies ausdrücklich erlauben.

• Eine IPv6-Adresse kann einer anderen Netzwerkschnittstelle nicht erneut zugewiesen werden; Sie müssen zuerst die Zuordnung der IPv6-Adresse zu der bestehenden Netzwerkschnittstelle aufheben.

• Wenn Sie einer Netzwerkschnittstelle mit den Befehlszeilen-Tools oder der API mehrere IP-Adressen zuweisen, schlägt die gesamte Operation fehl, wenn eine der IP-Adressen nicht zugewiesen werden kann.

• Primäre private IPv4-, sekundäre private IPv4-, Elastic IP- und IPv6-Adressen bleiben mit einer sekundären Netzwerkschnittstelle verknüpft, wenn sie von einer Instance getrennt oder an eine Instance angefügt wird.

• Obwohl es nicht möglich ist, die primäre Netzwerkschnittstelle von einer Instance zu trennen, können Sie die sekundäre private IPv4-Adresse der primären Netzwerkschnittstelle einer anderen Netzwerkschnittstelle zuweisen.

Weitere Informationen finden Sie unter Sekundäre IP-Adressen für Ihre EC2-Instances.

Hostnamen der EC2-Instance

Wenn Sie eine EC2-Instance erstellen, erstellt AWS einen Hostnamen für diese Instance. Weitere Informationen über die Typen von Hostnamen und wie diese von AWS bereitgestellt werden, finden Sie unter Hostnamen und Domains der EC2-Instance. Amazon bietet einen DNS-Server, der von Amazon bereitgestellten Hostnamen zu IPv4- und IPv6-Adressen auflöst. Der Amazon DNS-Server befindet sich an der Basis Ihres VPC-Netzwerkbereichs plus zwei. Weitere Infomationen finden Sie unter DNS-Attribute für Ihre VPC im Amazon VPC-Benutzerhandbuch.

Link-lokale Adressen

Link-Local-Adressen sind bekannte, nicht weiterleitbare IP-Adressen. Amazon EC2 verwendet Adressen aus dem Link-lokalen Adressraum, um Services bereitzustellen, auf die nur von einer EC2-Instance aus zugegriffen werden kann. Diese Services werden nicht auf der Instance ausgeführt, sondern auf dem zugrunde liegenden Host. Wenn Sie auf die Link-lokalen Adressen für diese Services zugreifen, kommunizieren Sie entweder mit dem Xen-Hypervisor oder dem Nitro-Controller.

Link-lokale Adressbereiche

• IPv4 – 169.254.0.0/16 (169.254.0.0 bis 169.254.255.255)

• IPv6 – fe80::/10

Services, auf die Sie über Link-lokale Adressen zugreifen

• Instance-Metadatenservice

• Amazon Route 53 Resolver (auch bekannt als Amazon DNS-Server)

• Amazon Time Sync Service

• AWS KMS-Server