VPC-Einstellungen für AWS Cloud9 Entwicklungsumgebungen - AWS Cloud9
Amazon VPC-Anforderungen für AWS Cloud9Erstellen Sie eine VPC und andere VPC-RessourcenAusschließliches Erstellen einer VPCErstellen Sie ein Subnetz für AWS Cloud9Konfigurieren eines Subnetzes als öffentlich oder privat

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPC-Einstellungen für AWS Cloud9 Entwicklungsumgebungen

Jede AWS Cloud9 Entwicklungsumgebung, die mit einer Amazon Virtual Private Cloud (Amazon VPC) verknüpft ist, muss bestimmte VPC-Anforderungen erfüllen. Zu diesen Umgebungen gehören EC2-Umgebungen und SSH-Umgebungen, die mit AWS Cloud Compute-Instances verknüpft sind, die innerhalb einer VPC ausgeführt werden. Beispiele hierfür sind Instances von Amazon EC2 und Amazon Lightsail.

Amazon VPC-Anforderungen für AWS Cloud9

Für die verwendete Amazon VPC sind die folgenden Einstellungen erforderlich. AWS Cloud9 Wenn Sie mit diesen Anforderungen bereits vertraut sind und nur schnell eine kompatible VPC erstellen möchten, fahren Sie mit Erstellen Sie eine VPC und andere VPC-Ressourcen fort.

Vergewissern Sie sich anhand der folgenden Checkliste, dass die VPC alle folgenden Anforderungen erfüllt:

  • Die VPC kann sich in derselben AWS-Konto und AWS-Region wie die AWS Cloud9 Entwicklungsumgebung befinden, oder Die VPC kann eine gemeinsam genutzte VPC in einer anderen Umgebung AWS-Konto als der Umgebung sein. Die VPC muss sich jedoch in derselben AWS-Region Umgebung befinden. Weitere Informationen zu Amazon VPCs für einen finden Sie AWS-Region unterAnzeigen einer Liste der VPCs für eine AWS-Region. Weitere Anweisungen zum Erstellen einer Amazon VPC für finden Sie AWS Cloud9 unterErstellen Sie eine VPC und andere VPC-Ressourcen. Informationen zur Arbeit mit gemeinsam genutzten Amazon VPCs finden Sie unter Arbeiten mit gemeinsam genutzten VPCs im Amazon VPC-Benutzerhandbuch.

  • Eine VPC muss über ein öffentliches Subnetz verfügen. Ein Subnetz ist öffentlich, wenn sein Datenverkehr an ein Internet-Gateway weitergeleitet wird. Eine Liste der Subnetze für eine Amazon VPC finden Sie unter. Anzeigen einer Liste der Subnetze für eine VPC

  • Wenn Ihre Umgebung direkt über SSH auf ihre EC2-Instance zugreift, kann die Instance nur in einem öffentlichen Subnetz gestartet werden. Informationen zur Bestätigung, ob ein Subnetz öffentlich ist, finden Sie unter. Bestätigen, dass ein Subnetz öffentlich ist

  • Wenn Sie mit dem Systems Manager auf eine No-Ingress-Amazon-EC2-Instance zugreifen, kann die Instance entweder in einem öffentlichen oder einem privaten Subnetz gestartet werden.

  • Wenn Sie ein öffentliches Subnetz verwenden, fügen Sie der VPC ein Internet-Gateway hinzu. Auf diese Weise kann das AWS Systems Manager Agent (SSM Agent) für die Instanz eine Verbindung zum Systems Manager herstellen.

  • Wenn Sie ein privates Subnetz verwenden, erlauben Sie der Instance des Subnetzes, die Kommunikation mit dem Internet, indem Sie ein NAT-Gateway in einem öffentlichen Subnetz hosten. Weitere Informationen zum Anzeigen oder Ändern der Einstellungen für ein Internet-Gateway finden Sie unter Anzeigen oder Ändern der Einstellungen für ein Internet-Gateway

  • Das öffentliche Subnetz muss über eine Routing-Tabelle mit einer Mindestanzahl von Routen verfügen. Informationen darüber, wie Sie überprüfen können, ob ein Subnetz über eine Routing-Tabelle verfügt, finden Sie unterBestätigen Sie, ob ein Subnetz eine Routing-Tabelle besitzt.. Hinweise zum Erstellen einer Routing-Tabelle finden Sie unterErstellen einer Routing-Tabelle.

  • Die zugehörigen Sicherheitsgruppen für die VPC (oder für die AWS Cloud Recheninstanz, abhängig von Ihrer Architektur) müssen ein Minimum an eingehendem und ausgehendem Datenverkehr zulassen. Eine Liste der Sicherheitsgruppen für eine Amazon VPC finden Sie unterAnzeigen einer Liste von Sicherheitsgruppen für eine VPC. Weitere Informationen zum Erstellen einer Sicherheitsgruppe in einer Amazon VPC finden Sie unterErstellen einer Sicherheitsgruppe in einer VPC.

  • Um eine zusätzliche Sicherheitsebene zu implementieren, muss die Netzwerk-ACL – sofern die VPC über eine Netzwerk-ACL verfügt – ein- und ausgehenden Datenverkehr in einem Mindestumfang zulassen. Informationen darüber, ob eine Amazon VPC über mindestens eine Netzwerk-ACL verfügt, finden Sie unterBestätigen Sie, ob eine VPC über mindestens eine Netzwerk-ACL verfügt. Informationen zum Erstellen einer Netzwerk-ACL finden Sie unterErstellen einer Netzwerk-ACL.

  • Wenn Ihre Entwicklungsumgebung SSM für den Zugriff auf eine EC2-Instance verwendet wird, müssen Sie sicherstellen, dass der Instance eine öffentliche IP-Adresse von dem öffentlichen Subnetz zugewiesen wird, in das sie gestartet wird. Dazu müssen Sie die Option Automatische Zuweisung einer öffentlichen IP-Adresse für das öffentliche Subnetz aktivieren und sie auf Yes einstellen. Sie können diese Option im öffentlichen Subnetz aktivieren, bevor Sie auf der Seite mit den Subnetzeinstellungen eine AWS Cloud9 Umgebung erstellen. Die Schritte zur Änderung der Einstellungen für die automatische IP-Zuweisung in einem öffentlichen Subnetz finden Sie unter Ändern des öffentlichen IPv4-Adressierungsattributs für Ihr Subnetz im Amazon VPC-Benutzerhandbuch. Weitere Informationen zur Konfiguration eines öffentlichen und privaten Subnetzes finden Sie unter. Konfigurieren eines Subnetzes als öffentlich oder privat

Anmerkung

Melden Sie sich für die folgenden Verfahren bei der an AWS Management Console und verwenden Sie Administratoranmeldedaten, um entweder die Amazon VPC-Konsole (https://console.aws.amazon.com/vpc) oder die Amazon EC2 EC2-Konsole (https://console.aws.amazon.com/ec2) zu öffnen.

Wenn Sie das AWS CLI oder das verwenden AWS CloudShell, empfehlen wir Ihnen, das AWS CLI oder AWS CloudShell mit den Anmeldeinformationen für einen Administrator in Ihrem zu konfigurieren. AWS-Konto Wenn Sie dies nicht tun können, wenden Sie sich an Ihren AWS-Konto Administrator.

Anzeigen einer Liste der VPCs für eine AWS-Region

Um die Amazon VPC-Konsole zu verwenden, wählen Sie in der AWS Navigationsleiste die aus, in der AWS-Region die Umgebung AWS Cloud9 erstellt wird. Wählen Sie dann im Navigationsbereich die Option Your VPCs (Ihre VPCs) aus.

Um das AWS CLI oder das zu verwenden AWS CloudShell, führen Sie den Amazon EC2 describe-vpcsEC2-Befehl aus, z. B. wie folgt.

aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2

Ersetzen Sie im vorherigen Befehl us-east-2 durch den Befehl, der AWS-Region die Umgebung in AWS Cloud9 erstellt. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Die Ausgabe enthält die Liste der VPC-IDs.

Anzeigen einer Liste der Subnetze für eine VPC

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Your VPCs (Ihre VPCs) im Navigationsbereich aus. Notieren Sie die VPC-ID in der Spalte VPC-ID. Klicken Sie dann im Navigationsbereich auf Subnets (Subnetze) und suchen Sie nach Subnetzen, die die ID in der Spalte VPC enthalten.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 describe-subnetsEC2-Befehl aus, z. B. wie folgt.

aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2

Ersetzen Sie den Befehl im vorherigen Befehl us-east-2 durch den, der AWS-Region die Subnetze enthält. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Suchen Sie in der Ausgabe nach Subnetzen, die mit der ID der VPC übereinstimmen.

Bestätigen, dass ein Subnetz öffentlich ist

Wichtig

Angenommen, Sie starten die EC2-Instance Ihrer Umgebung in einem privaten Subnetz. Stellen Sie sicher, dass ausgehender Datenverkehr für diese Instance erlaubt ist, damit sie sich mit dem SSM-Service verbinden kann. Bei privaten Subnetzen wird der ausgehende Datenverkehr in der Regel über ein NAT-Gateway (Network Address Translation) oder VPC-Endpunkte konfiguriert. (Ein NAT-Gateway erfordert ein öffentliches Subnetz.)

Angenommen, Sie wählen VPC-Endpunkte anstelle eines NAT-Gateways für den Zugriff auf SSM aus. Automatische Updates und Sicherheitspatches für Ihre Instance funktionieren möglicherweise nicht, wenn Internetzugang erforderlich ist. Sie können andere Anwendungen wie AWS Systems Manager Patch Manager verwenden, um alle Softwareupdates zu verwalten, die Ihre Umgebung möglicherweise benötigt. AWS Cloud9 Software wird wie gewohnt aktualisiert.

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Subnets (Subnetze) im Navigationsbereich. Wählen Sie das Kästchen neben dem Subnetz aus, das Sie verwenden AWS Cloud9 möchten. Wenn auf der Registerkarte Route Table (Routing-Tabelle) ein Eintrag in der Spalte Ziel (Target) vorhanden ist, der mit igw- beginnt, ist das Subnetz öffentlich.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 describe-route-tablesEC2-Befehl aus.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

Ersetzen Sie us-east-2 im vorherigen Befehl durch das, das AWS-Region das Subnetz enthält, und subnet-12a3456b ersetzen Sie es durch die Subnetz-ID. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Wenn es in der Ausgabe mindestens ein Ergebnis gibt, das mit igw- beginnt, ist das Subnetz öffentlich.

Wenn in der Ausgabe keine Ergebnisse angezeigt werden, ist die Routing-Tabelle möglicherweise der VPC und nicht dem Subnetz zugeordnet. Um dies zu bestätigen, führen Sie den Amazon EC2-Befehl describe-route-tables für die dem Subnetz zugeordnete VPC statt für das eigentliche Subnetz aus, beispielsweise wie folgt.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56

Ersetzen Sie im vorherigen Befehl us-east-2 durch den, der AWS-Region die VPC enthält, und vpc-1234ab56 ersetzen Sie ihn durch die VPC-ID. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Wenn es in der Ausgabe mindestens ein Ergebnis gibt, das mit igw- beginnt, enthält die VPC ein Internet-Gateway.

Anzeigen oder Ändern der Einstellungen für ein Internet-Gateway

Um die Amazon VPC-Konsole zu verwenden, wählen Sie im Navigationsbereich Internet Gateways. Wählen Sie das Feld neben dem Internet-Gateway aus. Um die Einstellungen zu sehen, sehen Sie sich jede Registerkarte an. Wählen Sie zum Ändern einer Einstellung auf einer Registerkarte Edit (Bearbeiten) und befolgen Sie dann die Anweisungen auf dem Bildschirm.

Um das AWS CLI oder zum Anzeigen der Einstellungen aws-shell zu verwenden, führen Sie den Amazon EC2 describe-internet-gatewaysEC2-Befehl aus.

aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c

Ersetzen Sie us-east-2 im vorherigen Befehl durch den, der AWS-Region das Internet-Gateway enthält, und igw-1234ab5c ersetzen Sie ihn durch die Internet-Gateway-ID. Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Ein Internet-Gateway erstellen

Um die Amazon VPC-Konsole zu verwenden, wählen Sie im Navigationsbereich Internet Gateways. Wählen Sie Create internet gateway (Internet-Gateway erstellen) und befolgen Sie dann die Anweisungen auf dem Bildschirm.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 create-internet-gatewayEC2-Befehl aus.

aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2

Ersetzen Sie den Befehl im vorherigen Befehl us-east-2 durch den, der AWS-Region das neue Internet-Gateway enthält. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Die Ausgabe enthält die ID des neuen Internet-Gateways.

Hinzufügen eines Internet-Gateways zu einer VPC

Um die Amazon VPC-Konsole zu verwenden, wählen Sie im Navigationsbereich Internet Gateways. Wählen Sie das Feld neben dem Internet-Gateway aus. Wählen Sie Actions (Aktionen), Attach to VPC (An VPC anfügen) (sofern verfügbar) und befolgen Sie dann die Anweisungen auf dem Bildschirm.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 attach-internet-gatewayEC2-Befehl aus, z. B. wie folgt.

aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56

Ersetzen Sie den Befehl im vorherigen Befehl us-east-2 durch den, der AWS-Region das Internet-Gateway enthält. Ersetzen Sie igw-a1b2cdef durch die Internet-Gateway-ID. Ersetzen Sie außerdem vpc-1234ab56 durch die VPC-ID. Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Bestätigen Sie, ob ein Subnetz eine Routing-Tabelle besitzt.

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Subnets (Subnetze) im Navigationsbereich. Wählen Sie das Kästchen neben dem öffentlichen Subnetz für die VPC aus, die Sie verwenden AWS Cloud9 möchten. Wenn auf der Registerkarte Route Table (Routing-Tabelle) ein Wert für Route Table vorhanden ist, verfügt das öffentliche Subnetz über eine Routing-Tabelle.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 describe-route-tablesEC2-Befehl aus.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

Ersetzen Sie im vorherigen Befehl us-east-2 durch das, das AWS-Region das öffentliche Subnetz enthält, und subnet-12a3456b ersetzen Sie es durch die öffentliche Subnetz-ID. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Wenn in der Ausgabe Werte vorhanden sind, verfügt das öffentliche Subnetz über mindestens eine Routing-Tabelle.

Wenn in der Ausgabe keine Ergebnisse angezeigt werden, ist die Routing-Tabelle möglicherweise der VPC und nicht dem Subnetz zugeordnet. Um dies zu bestätigen, führen Sie den Amazon EC2-Befehl describe-route-tables für die dem Subnetz zugeordnete VPC statt für das eigentliche Subnetz aus, beispielsweise wie folgt.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Ersetzen Sie im vorherigen Befehl us-east-2 durch den, der AWS-Region die VPC enthält, und vpc-1234ab56 ersetzen Sie ihn durch die VPC-ID. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Wenn in der Ausgabe mindestens ein Ergebnis vorhanden ist, verfügt die VPC über mindestens eine Routing-Tabelle.

Zuordnen einer Routing-Tabelle zu einem Subnetz

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Route Tables (Routing-Tabelle) im Navigationsbereich. Aktivieren Sie das Kontrollkästchen neben der Routing-Tabelle, die Sie zuordnen möchten. Wählen Sie auf der Registerkarte Subnet Associations (Subnetz-Zuordnungen) die Option Edit (Bearbeiten) aus, aktivieren Sie das Kontrollkästchen neben dem Subnetz, das Sie zuordnen möchten, und wählen Sie dann Save (Speichern).

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 associate-route-tableEC2-Befehl aus, z. B. wie folgt.

aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3

Ersetzen Sie den Befehl im vorherigen Befehl us-east-2 durch den AWS-Region , der die Routentabelle enthält. Ersetzen Sie subnet-12a3456b durch die Subnetz-ID. Ersetzen Sie außerdem rtb-ab12cde3 durch die ID der Routing-Tabelle. Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Erstellen einer Routing-Tabelle

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Route Tables (Routing-Tabelle) im Navigationsbereich. Wählen Sie Create Route Table (Routing-Tabelle erstellen) aus und folgen Sie dann den Anweisungen auf dem Bildschirm.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 create-route-tableEC2-Befehl aus, z. B. wie folgt.

aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56

Ersetzen Sie im vorherigen Befehl us-east-2 durch die, die AWS-Region die neue Routentabelle enthält, und vpc-1234ab56 ersetzen Sie sie durch die VPC-ID. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Die Ausgabe enthält die ID der neuen Routing-Tabelle.

Anzeigen oder Ändern der Einstellungen für eine Routing-Tabelle

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Route Tables (Routing-Tabelle) im Navigationsbereich. Wählen Sie das Feld neben der Routing-Tabelle aus. Um die Einstellungen zu sehen, sehen Sie sich jede Registerkarte an. Wählen Sie zum Ändern einer Einstellung auf der Registerkarte die Option Edit (Bearbeiten) aus und folgen Sie dann den Anweisungen auf dem Bildschirm.

Um das AWS CLI oder das zu verwenden, aws-shell um die Einstellungen zu sehen, führen Sie den Amazon EC2 describe-route-tablesEC2-Befehl aus, z. B. wie folgt.

aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3

Ersetzen Sie us-east-2 im vorherigen Befehl durch das, AWS-Region das die Routentabelle enthält, und rtb-ab12cde3 ersetzen Sie es durch die Routentabellen-ID. Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Minimale empfohlene Routentabelleneinstellungen für AWS Cloud9

Zieladresse Ziel Status Propagiert

CIDR-BLOCK

local

Aktiv

Nein

0.0.0.0/0

igw-INTERNET-GATEWAY-ID

Aktiv

Nein

In diesen Einstellungen ist CIDR-BLOCK der CIDR-Block des Subnetzes und igw-INTERNET-GATEWAY-ID die ID eines kompatiblen Internet-Gateways.

Anzeigen einer Liste von Sicherheitsgruppen für eine VPC

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Security Groups (Sicherheitsgruppen) im Navigationsbereich. Geben Sie in das Feld Search Security Groups (Sicherheitsgruppen suchen) die ID oder den Namen der VPC ein. Drücken Sie dann Enter. Die Sicherheitsgruppen für diese VPC werden in der Liste der Suchergebnisse aufgeführt.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 describe-security-groupsEC2-Befehl aus.

aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Ersetzen Sie im vorherigen Befehl us-east-2 durch den, der AWS-Region die VPC enthält, und vpc-1234ab56 ersetzen Sie ihn durch die VPC-ID. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Die Ausgabe enthält die Liste der Sicherheitsgruppen-IDs für diese VPC.

Eine Liste der Sicherheitsgruppen für eine Compute-Instance AWS Cloud anzeigen

Um die Amazon EC2-Konsole zu verwenden, erweitern Sie im Navigationsbereich Instances und wählen Sie dann Instances. Aktivieren Sie in der Liste der Instances das Kontrollkästchen neben der Instance. Die Sicherheitsgruppen für diese Instance werden auf der Registerkarte Description (Beschreibung) neben Security groups (Sicherheitsgruppen) angezeigt.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 describe-security-groupsEC2-Befehl aus, z. B. wie folgt.

aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123

Ersetzen Sie us-east-2 im vorherigen Befehl durch den, der AWS-Region die Instance enthält, und i-12a3c456d789e0123 ersetzen Sie ihn durch die Instance-ID. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Die Ausgabe enthält die Liste der Sicherheitsgruppen-IDs für diese Instance.

Anzeigen oder Ändern der Einstellungen einer Sicherheitsgruppe in einer VPC

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Security Groups (Sicherheitsgruppen) im Navigationsbereich. Wählen Sie das Feld neben der Sicherheitsgruppe aus. Um die Einstellungen zu sehen, sehen Sie sich jede Registerkarte an. Wählen Sie zum Ändern einer Einstellung auf einer Registerkarte Edit (Bearbeiten) und befolgen Sie dann die Anweisungen auf dem Bildschirm.

Um das AWS CLI oder das zu verwenden, aws-shell um die Einstellungen zu sehen, führen Sie den Amazon EC2 describe-security-groupsEC2-Befehl aus, z. B. wie folgt.

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

Ersetzen Sie us-east-2 im vorherigen Befehl durch das, AWS-Region das die Instance enthält, und sg-12a3b456 ersetzen Sie es durch die Sicherheitsgruppen-ID. Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Einstellungen für eine AWS Cloud Compute-Instanz-Sicherheitsgruppe anzeigen oder ändern

Um die Amazon EC2-Konsole zu verwenden, erweitern Sie im Navigationsbereich Instances und wählen Sie dann Instances. Aktivieren Sie in der Liste der Instances das Kontrollkästchen neben der Instance. Wählen Sie auf der Registerkarte Description (Beschreibung) unter Security groups (Sicherheitsgruppen) die Sicherheitsgruppe. Sehen Sie sich die einzelnen Registerkarten an. Wählen Sie zum Ändern einer Einstellung auf einer Registerkarte Edit (Bearbeiten) und befolgen Sie dann die Anweisungen auf dem Bildschirm.

Um das AWS CLI oder das zu verwenden, aws-shell um die Einstellungen zu sehen, führen Sie den Amazon EC2 describe-security-groupsEC2-Befehl aus, z. B. wie folgt.

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

Ersetzen Sie us-east-2 im vorherigen Befehl durch das, AWS-Region das die Instance enthält, und sg-12a3b456 ersetzen Sie es durch die Sicherheitsgruppen-ID. Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Mindesteinstellungen für eingehenden und ausgehenden Verkehr für AWS Cloud9

Wichtig

Die IA-Sicherheitsgruppe für eine Instance hat möglicherweise keine Regel für eingehenden Datenverkehr. In diesem Fall ist kein eingehenden Verkehr von einem anderen Host zu der Instance erlaubt. Informationen zum Verwenden von No-Ingress-EC2-Instances finden Sie unter Zugriff auf EC2-Instances ohne Zugang mit AWS Systems Manager.

  • Eingehend: Alle IP-Adressen mit SSH über Port 22. Sie können diese IP-Adressen jedoch auf diejenigen beschränken, die verwendet werden. AWS Cloud9 Weitere Informationen finden Sie unter Adressbereiche für eingehende IP-Adressen über SSH für AWS Cloud9.

    Anmerkung

    Für EC2-Umgebungen, die am oder nach dem 31. Juli 2018 erstellt wurden, AWS Cloud9 verwendet Sicherheitsgruppen, um eingehende IP-Adressen mithilfe von SSH über Port 22 einzuschränken. Bei diesen eingehenden IP-Adressen handelt es sich speziell nur um die Adressen, die verwendet werden. AWS Cloud9 Weitere Informationen finden Sie unter Adressbereiche für eingehende IP-Adressen über SSH für AWS Cloud9.

  • Eingehend (nur Netzwerk-ACLs): Für EC2-Umgebungen und für SSH-Umgebungen, die Amazon-EC2-Instances zugeordnet sind, die unter Amazon Linux oder Ubuntu Server ausgeführt werden, verwenden alle IP-Adressen TCP über die Ports 32768-61000. Weitere Informationen und Port-Bereiche für andere Amazon EC2-Instance-Typen finden Sie unter Ephemeral Ports (Flüchtige Ports) im Amazon VPC-Benutzerhandbuch.

  • Ausgehend: Alle Datenverkehrsquellen, die ein beliebiges Protokoll und einen beliebigen Port verwenden.

Sie können dieses Verhalten auf der Sicherheitsgruppenebene festlegen. Für zusätzliche Sicherheit können Sie auch eine Netzwerk-ACL verwenden. Weitere Informationen finden Sie unter Vergleichen von Sicherheitsgruppen und Netzwerk-ACLs im Amazon VPC-Benutzerhandbuch.

Um beispielsweise Regeln für ein- und ausgehenden Datenverkehr einer Sicherheitsgruppe hinzuzufügen, können Sie diese Regeln wie folgt einrichten.

Regeln für eingehenden Datenverkehr
Typ Protocol (Protokoll) Port-Bereich Quelle

SSH (22)

TCP (6)

22

0.0.0.0 (Lesen Sie jedoch den folgenden Hinweis und Adressbereiche für eingehende IP-Adressen über SSH für AWS Cloud9.)
Anmerkung

Fügt für EC2-Umgebungen, die am oder nach dem 31. Juli 2018 erstellt wurden, eine eingehende Regel AWS Cloud9 hinzu, um eingehende IP-Adressen mithilfe von SSH über Port 22 einzuschränken. Dies beschränkt sich speziell nur auf die Adressen, die verwendet werden. AWS Cloud9 Weitere Informationen finden Sie unter Adressbereiche für eingehende IP-Adressen über SSH für AWS Cloud9.

Regeln für ausgehenden Datenverkehr
Typ Protocol (Protokoll) Port-Bereich Quelle

Gesamter Datenverkehr

ALL

ALL

0.0.0.0/0

Wenn Sie Regeln für ein- und ausgehenden Datenverkehr auch einer Netzwerk-ACL hinzufügen möchten, können Sie diese Regeln wie folgt einrichten.

Regeln für eingehenden Datenverkehr
Regel Nr. Typ Protocol (Protokoll) Port-Bereich Quelle Erlauben/Verweigern

100

SSH (22)

TCP (6)

22

0.0.0.0 (Lesen Sie jedoch Adressbereiche für eingehende IP-Adressen über SSH für AWS Cloud9.)

ERLAUBEN

200

Benutzerdefinierte TCP-Regel

TCP (6)

32768-61000 (Für Amazon Linux- und Ubuntu Server-Instances. Weitere Informationen zu anderen Instance-Typen finden Sie unterEphemeral Ports (Flüchtige Ports).)

0.0.0.0/0

ERLAUBEN

*

Gesamter Datenverkehr

ALL

ALL

0.0.0.0/0

DENY

Regeln für ausgehenden Datenverkehr
Regel Nr. Typ Protocol (Protokoll) Port-Bereich Quelle Erlauben/Verweigern

100

Gesamter Datenverkehr

ALL

ALL

0.0.0.0/0

ERLAUBEN

*

Gesamter Datenverkehr

ALL

ALL

0.0.0.0/0

DENY

Weitere Informationen zu Sicherheitsgruppen und Netzwerk-ACLs finden Sie im Amazon VPC-Benutzerhandbuch.

Erstellen einer Sicherheitsgruppe in einer VPC

Führen Sie eine der folgenden Aktionen aus, um die Amazon VPC- oder Amazon EC2-Konsolen zu verwenden:

  • Wählen Sie im Navigationsbereich der Amazon-VPC-Konsole Security Groups (Sicherheitsgruppen). Wählen Sie Create Security Group (Sicherheitsgruppe erstellen) aus und folgen Sie dann den Anweisungen auf dem Bildschirm.

  • Erweitern Sie im Navigationsbereich der Amazon EC2-Konsole Network & Security (Netzwerk & Sicherheit) im Bereich Security Groups (Sicherheitsgruppen). Wählen Sie Create Security Group (Sicherheitsgruppe erstellen) aus und folgen Sie dann den Anweisungen auf dem Bildschirm.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 create-security-groupEC2-Befehl aus, z. B. wie folgt.

aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56

Ersetzen Sie im vorherigen Befehl us-east-2 durch den, der AWS-Region die VPC enthält, und vpc-1234ab56 ersetzen Sie ihn durch die VPC-ID. Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Bestätigen Sie, ob eine VPC über mindestens eine Netzwerk-ACL verfügt

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Your VPCs (Ihre VPCs) im Navigationsbereich aus. Wählen Sie das Feld neben der VPC aus, die Sie verwenden AWS Cloud9 möchten. Wenn auf der Registerkarte Summary (Übersicht) ein Wert für Netzwerk-ACL vorhanden ist, verfügt die VPC über mindestens eine Netzwerk-ACL.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 describe-network-aclsEC2-Befehl aus.

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Ersetzen Sie im vorherigen Befehl us-east-2 durch den, der AWS-Region die VPC enthält, und vpc-1234ab56 ersetzen Sie ihn durch die VPC-ID. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Wenn die Ausgabe mindestens einen Eintrag in der Liste enthält, hat die VPC mindestens eine Netzwerk-ACL.

Anzeigen einer Liste von Netzwerk-ACLs für eine VPC

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Network ACLs (Netzwerk-ACLs) im Navigationsbereich. Geben Sie in das Feld Search Network ACLs (Netzwerk-ACLs suchen) die ID oder den Namen der VPC ein. Drücken Sie dann Enter. Die Netzwerk-ACLs für diese VPC werden in der Liste der Suchergebnisse aufgeführt.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 describe-network-aclsEC2-Befehl aus.

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Ersetzen Sie im vorherigen Befehl us-east-2 durch den, der AWS-Region die VPC enthält, und vpc-1234ab56 ersetzen Sie ihn durch die VPC-ID. Um den vorhergehenden Befehl unter Windows auszuführen, ersetzen Sie die einfachen (' ') durch doppelte Anführungszeichen (" "). Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Die Ausgabe enthält eine Liste mit Netzwerk-ACLs für diese VPC.

Anzeigen oder Ändern der Einstellungen für eine Netzwerk-ACL

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Network ACLs (Netzwerk-ACLs) im Navigationsbereich. Wählen Sie das Feld neben der Netzwerk-ACL aus. Um die Einstellungen zu sehen, sehen Sie sich jede Registerkarte an. Wählen Sie zum Ändern einer Einstellung auf einer Registerkarte Edit (Bearbeiten) und befolgen Sie dann die Anweisungen auf dem Bildschirm.

Um das AWS CLI oder zum Anzeigen der Einstellungen aws-shell zu verwenden, führen Sie den Amazon EC2 describe-network-aclsEC2-Befehl aus.

aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56

Ersetzen Sie us-east-2 im vorherigen Befehl durch das, AWS-Region das die Netzwerk-ACL enthält, und acl-1234ab56 ersetzen Sie es durch die Netzwerk-ACL-ID. Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Erstellen einer Netzwerk-ACL

Um die Amazon VPC-Konsole zu verwenden, wählen Sie Network ACLs (Netzwerk-ACLs) im Navigationsbereich. Wählen Sie Create Network ACL (Netzwerk-ACL erstellen) aus und folgen Sie dann den Anweisungen auf dem Bildschirm.

Um das AWS CLI oder das zu verwendenaws-shell, führen Sie den Amazon EC2 create-network-aclEC2-Befehl aus.

aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56

Ersetzen Sie im vorherigen Befehl us-east-2 durch die, die AWS-Region die VPC enthält, an die Sie die neue Netzwerk-ACL anhängen möchten. Ersetzen Sie außerdem vpc-1234ab56 durch die VPC-ID. Wenn Sie den vorhergehenden Befehl mit der aws-shell ausführen möchten, lassen Sie aws weg.

Erstellen Sie eine VPC und andere VPC-Ressourcen

Gehen Sie wie folgt vor, um eine VPC und die zusätzlichen VPC-Ressourcen zu erstellen, die Sie für die Ausführung Ihrer Anwendung benötigen. Zu den VPC-Ressourcen gehören Subnetze, Routing-Tabellen, Internet-Gateways und NAT-Gateways.

So erstellen Sie eine VPC, Subnetze und weitere VPC-Ressourcen mit der Konsole

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie auf dem VPC-Dashboard Create VPC (VPC erstellen) aus.

  3. Wählen Sie unter Zu erstellende Ressourcen die Option VPC und mehr aus.

  4. Um Namensschilder für die VPC-Ressourcen zu erstellen, lassen Sie die automatische Generierung von Namenstags aktiviert. Um Ihre eigenen Namensschilder für die VPC-Ressourcen bereitzustellen, löschen Sie sie.

  5. Für den IPv4-CIDR-Block müssen Sie einen IPv4-Adressbereich für die VPC eingeben. Der empfohlene IPv4-Bereich für ist. AWS Cloud9 10.0.0.0/16

  6. (Optional) Um IPv6-Datenverkehr zu unterstützen, wählen Sie IPv6-CIDR-Block, Von Amazon bereitgestellter IPv6-CIDR-Block.

  7. Wählen Sie eine Tenancy-Option aus. Diese Option definiert, ob in der VPC gestartete EC2-Instances auf Hardware ausgeführt werden, die gemeinsam mit anderen AWS-Konten genutzt wird, oder auf Hardware, die ausschließlich für Ihre Verwendung bestimmt ist. Wenn Sie als Tenancy der VPC wählen, verwenden EC2-InstancesDefault, die in dieser VPC gestartet werden, das Tenancy-Attribut, das beim Starten der Instance angegeben wurde. Weitere Informationen finden Sie unter Starten einer Instance mithilfe definierter Parameter im Amazon EC2 EC2-Benutzerhandbuch.

    Wenn Sie für die Tenancy der VPC Dedicated auswählen, werden die Instances immer als Dedicated Instances auf Hardware ausgeführt, die für Ihre Verwendung bestimmt ist. Wenn Sie verwenden AWS Outposts, Outpost benötigen Sie private Konnektivität, und Sie müssen Default Tenancy verwenden.

  8. Für die Anzahl der Availability Zones (AZs) empfehlen wir, dass Sie Subnetze in mindestens zwei Availability Zones für eine Produktionsumgebung bereitstellen. Um die AZs für Ihre Subnetze auszuwählen, erweitern Sie die Option AZs anpassen. Andernfalls können Sie die AZs für AWS Sie auswählen lassen.

  9. Um Ihre Subnetze zu konfigurieren, wählen Sie Werte für Anzahl der öffentlichen Subnetze und Anzahl der privaten Subnetze. Um die IP-Adressbereiche für Ihre Subnetze auszuwählen, erweitern Sie die Option CIDR-Blöcke für Subnetze anpassen. Andernfalls lassen Sie uns sie für Sie AWS auswählen.

  10. (Optional) Wenn Ressourcen in einem privaten Subnetz Zugriff auf das öffentliche Internet über IPv4 benötigen: Wählen Sie für NAT-Gateways die Anzahl der AZs aus, in denen NAT-Gateways erstellt werden sollen. In der Produktion empfehlen wir, in jeder AZ ein NAT-Gateway mit Ressourcen bereitzustellen, die Zugriff auf das öffentliche Internet benötigen.

  11. (Optional) Wenn Ressourcen in einem privaten Subnetz Zugriff auf das öffentliche Internet über IPv6 benötigen: Wählen Sie für ein Internet-Gateway nur für ausgehenden Datenverkehr die Option Ja aus.

  12. (Optional) Um direkt von Ihrer VPC aus auf Amazon S3 zuzugreifen, wählen Sie VPC-Endpoints, S3 Gateway. Dadurch wird ein Gateway-VPC-Endpunkt für Amazon S3 erstellt. Weitere Informationen finden Sie unter Gateway-VPC-Endpunkte im AWS PrivateLink -Leitfaden.

  13. (Optional) Für DNS-Optionen sind beide Optionen für die Auflösung von Domainnamen standardmäßig aktiviert. Wenn die Standardeinstellung nicht Ihren Anforderungen entspricht, können Sie diese Optionen deaktivieren.

  14. (Optional) Um ein Tag zu Ihrer VPC hinzuzufügen, erweitern Sie Zusätzliche Tags, wählen Sie Neues Tag hinzufügen, und geben Sie einen Tag-Schlüssel und einen Tag-Wert ein.

  15. Im Vorschaufenster können Sie die Beziehungen zwischen den von Ihnen konfigurierten VPC-Ressourcen visualisieren. Durchgezogene Linien stellen die Beziehungen zwischen Ressourcen dar. Gepunktete Linien stellen den Netzwerkverkehr zu NAT-Gateways, Internet-Gateways und Gateway-Endpunkten dar. Sobald Sie die VPC erstellt haben, können Sie die Ressourcen in Ihrer VPC in diesem Format jederzeit über die Registerkarte Ressourcenkarte visualisieren.

  16. Nachdem Sie die Konfiguration Ihrer VPC abgeschlossen haben, wählen Sie Create VPC aus.

Ausschließliches Erstellen einer VPC

Gehen Sie wie folgt vor, um mithilfe der Amazon VPC-Konsole eine VPC ohne zusätzliche VPC-Ressourcen zu erstellen.

Erstellen einer VPC ohne zusätzliche VPC-Ressourcen mithilfe der Konsole

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie auf dem VPC-Dashboard Create VPC (VPC erstellen) aus.

  3. Wählen Sie unter Zu erstellende Ressourcen die Option Nur VPC aus.

  4. (Optional) Geben Sie unter Namenstag einen Namen für Ihre VPC ein. Auf diese Weise wird ein Tag mit dem Schlüssel Name und dem von Ihnen angegebenen Wert erstellt.

  5. Führen Sie für IPv4 CIDR block (IPv4-CIDR-Block) einen der folgenden Schritte aus:

    • Wählen Sie die manuelle IPv4-CIDR-Eingabe und geben Sie einen IPv4-Adressbereich für Ihre VPC ein. Der empfohlene IPv4-Bereich für ist. AWS Cloud9 10.0.0.0/16

    • Wählen Sie den IPAM-zugewiesenen IPv4-CIDR-Block, wählen Sie einen IPv4-Adresspool von Amazon VPC IP Address Manager (IPAM) und eine Netzmaske aus. Die Größe des CIDR-Blocks ist durch die Zuordnungsregeln für den IPAM-Pool begrenzt. IPAM ist eine VPC-Funktion, mit der Sie IP-Adressen für Ihre AWS Workloads planen, verfolgen und überwachen können. Weitere Informationen finden Sie unter Was ist IPAM? im Amazon Virtual Private Cloud Cloud-Administratorhandbuch.

      Wenn Sie IPAM zur Verwaltung Ihrer IP-Adressen verwenden, empfehlen wir Ihnen, diese Option zu wählen. Andernfalls könnte sich der CIDR-Block, den Sie für Ihre VPC angeben, mit einer IPAM-CIDR-Zuordnung überschneiden.

  6. (Optional) Um eine Dual-Stack-VPC zu erstellen, geben Sie einen IPv6-Adressbereich für Ihre VPC an. Führen Sie für IPv6 CIDR block (IPv6-CIDR-Block) einen der folgenden Schritte aus:

    • Wählen Sie den IPAM-zugewiesenen IPv6-CIDR-Block, Ihren IPAM-IPv6-Adresspool und eine Netzmaske. Die Größe des CIDR-Blocks ist durch die Zuordnungsregeln für den IPAM-Pool begrenzt.

    • Um einen IPv6-CIDR-Block aus einem Amazon-Pool von IPv6-Adressen anzufordern, wählen Sie von Amazon bereitgestellter IPv6-CIDR-Block. Wählen Sie unter Network Border Group die Gruppe aus, aus der IP-Adressen beworben werden. AWS Amazon bietet eine feste IPv6-CIDR-Blockgröße von /56.

    • Wählen Sie IPv6 CIDR, das mir gehört, um einen IPv6-CIDR-Block zu verwenden, den Sie AWS mithilfe von Bring Your Own IP Addresses (BYOIP) verwendet haben. Wählen Sie unter Pool den IPv6-Adresspool aus, aus dem der IPv6-CIDR-Block zugewiesen werden soll.

  7. (Optional) Wählen Sie eine Tenancy-Option aus. Diese Option definiert, ob EC2-Instances, die Sie in der VPC starten, auf Hardware ausgeführt werden, die mit anderen gemeinsam genutzt wird, AWS-Konten oder auf Hardware, die nur für Sie bestimmt ist. Wenn Sie die Tenancy der VPC als Tenancy wählen, verwenden EC2-InstancesDefault, die in dieser VPC gestartet werden, das Tenancy-Attribut, das beim Starten der Instance angegeben wurde. Weitere Informationen finden Sie unter Starten einer Instance mithilfe definierter Parameter im Amazon EC2 EC2-Benutzerhandbuch.

    Wenn Sie für die Tenancy der VPC Dedicated auswählen, werden die Instances immer als Dedicated Instances auf Hardware ausgeführt, die für Ihre Verwendung bestimmt ist. Wenn Sie verwenden AWS Outposts, Outpost benötigen Sie private Konnektivität, und Sie müssen Default Tenancy verwenden.

  8. (Optional) Sie fügen ein Tag hinzu, indem Sie Neuen Tag hinzufügen auswählen und den Tag-Schlüssel und -Wert eingeben.

  9. Wählen Sie VPC erstellen aus.

  10. Nachdem Sie eine VPC erstellt haben, können Sie Subnetze hinzufügen.

Erstellen Sie ein Subnetz für AWS Cloud9

Sie können die Amazon VPC-Konsole verwenden, um ein Subnetz für eine VPC zu erstellen, das kompatibel ist mit. AWS Cloud9 Je nachdem, wie Ihre Umgebung mit Ihrer EC2-Instance verbunden ist, können Sie ein privates oder öffentliches Subnetz erstellen:

  • Direkter Zugriff über SSH: nur öffentliches Subnetz

  • Zugriff über Systems Manager: öffentliches oder privates Subnetz

Die Option, die EC2-Umgebung in einem privaten Subnetz zu starten, ist nur verfügbar, wenn Sie eine „No-Ingress“-EC2-Umgebung über die -Konsole, die Befehlszeile oder AWS CloudFormation erstellen.

Mit den gleichen Schritten können Sie ein Subnetz erstellen, das öffentlich oder privat sein kann. Wenn das Subnetz dann einer Routing-Tabelle zugeordnet wird, die eine Route zu einem Internet-Gateway enthält, wird es zu einem öffentlichen Subnetz. Wenn das Subnetz jedoch einer Routing-Tabelle zugeordnet ist, die keine Route zu einem Internet-Gateway enthält, wird es zu einem privaten Subnetz. Weitere Informationen finden Sie unter Konfigurieren eines Subnetzes als öffentlich oder privat.

Wenn Sie das vorherige Verfahren zum Erstellen einer VPC für befolgt haben AWS Cloud9, müssen Sie dieses Verfahren nicht ebenfalls befolgen. Der Grund hierfür ist, dass der Assistent Create new VPC (Neue VPC erstellen) automatisch ein Subnetz für Sie erstellt.

Wichtig

  • Sie AWS-Konto müssen bereits über eine kompatible VPC in derselben AWS-Region für die Umgebung verfügen. Weitere Informationen finden Sie unter den VPC-Anforderungen in Amazon VPC-Anforderungen für AWS Cloud9.

  • Für dieses Verfahren empfehlen wir, dass Sie sich bei der Amazon VPC-Konsole anmelden AWS Management Console und die Amazon VPC-Konsole mit den Anmeldeinformationen für einen IAM-Administrator in Ihrem öffnen. AWS-Konto Wenn Sie dies nicht tun können, wenden Sie sich an Ihren AWS-Konto Administrator.

  • Einige Organisationen erlauben Ihnen möglicherweise nicht, Subnetze eigenständig zu erstellen. Wenn Sie kein Subnetz erstellen können, wenden Sie sich an Ihren AWS-Konto Administrator oder Netzwerkadministrator.

So erstellen Sie ein Subnetz

  1. Wenn die Amazon VPC-Konsole noch nicht geöffnet ist, melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

  2. Wenn die AWS-Region nicht mit der Region für die Umgebung übereinstimmt, wählen Sie in der Navigationsleiste die richtige Region aus.

  3. Wählen Sie im Navigationsbereich die Option Subnetze aus, wenn die Seite Subnetze nicht bereits angezeigt wird.

  4. Wählen Sie Create Subnet aus.

  5. Geben Sie im Dialogfeld Create Subnet (Subnetz erstellen) für Name tag (Namensbezeichner) einen Namen für das Subnetz ein.

  6. Wählen Sie für VPC die VPC aus, mit der das Subnetz verknüpft werden soll.

  7. Wählen Sie für Availability Zone die Availability Zone innerhalb der AWS-Region aus, die das Subnetz verwenden soll, oder wählen Sie Keine Präferenz, um eine Availability Zone für Sie AWS auswählen zu lassen.

  8. Geben Sie für IPv4-CIDR-Block den IP-Adressbereich für das Subnetz im CIDR-Format ein. Dieser Bereich der IP-Adressen muss ein Teilbereich von IP-Adressen in der VPC sein.

    Weitere Informationen zu CIDR-Blöcken finden Sie unter Dimensionierung der VPC und der Subnetze im Amazon VPC Benutzerhandbuch. Weitere Informationen finden Sie auch unter 3.1. Grundlegende Konzept- und Präfixnotation in RFC 4632 oder IPv4-CIDR-Blöcke in Wikipedia.

Nachdem Sie das Subnetz erstellt haben, konfigurieren Sie es entweder als öffentliches oder privates Subnetz.

Konfigurieren eines Subnetzes als öffentlich oder privat

Nachdem Sie ein Subnetz erstellt haben, können Sie es als öffentlich oder privat kennzeichnen, indem Sie angeben, wie es mit dem Internet kommuniziert.

Ein öffentliches Subnetz besitzt eine öffentliche IP-Adresse und ist mit einem Internet-Gateway (IGW) verbunden. Dieses ermöglicht die Kommunikation zwischen der Instance des Subnetzes und dem Internet sowie anderen AWS-Services.

Eine Instance in einem privaten Subnetz verfügt über eine private IP-Adresse. Ein NAT-Gateway (Network Address Translation) wird verwendet, um den Datenverkehr zwischen der Instance für das Subnetz und dem Internet sowie anderen AWS-Services hin und her zu senden. Das NAT-Gateway muss in einem öffentlichen Subnetz gehostet werden.

Public subnets
Anmerkung

Selbst wenn die Instance für Ihre Umgebung in einem privaten Subnetz gestartet wird, muss Ihre VPC über mindestens ein öffentliches Subnetz verfügen. Dies liegt daran, dass das NAT-Gateway, das den Datenverkehr zu und von der Instance weiterleitet, in einem öffentlichen Subnetz gehostet werden muss.

Das Konfigurieren eines Subnetzes als öffentlich beinhaltet das Anhängen eines Internet-Gateways (IGW), das Konfigurieren einer Routing-Tabelle, um eine Route zu diesem IGW festzulegen, sowie das Festlegen von Einstellungen in einer Sicherheitsgruppe zur Kontrolle des ein- und ausgehenden Datenverkehrs.

Anleitungen zur Durchführung dieser Aufgaben finden Sie in Erstellen Sie eine VPC und andere VPC-Ressourcen.

Wichtig

Wenn Ihre Entwicklungsumgebung SSM für den Zugriff auf eine EC2-Instance verwendet wird, müssen Sie sicherstellen, dass der Instance eine öffentliche IP-Adresse von dem öffentlichen Subnetz zugewiesen wird, in das sie gestartet wird. Dazu müssen Sie die Option „Automatische Zuweisung einer öffentlichen IP-Adresse“ für das öffentliche Subnetz aktivieren und sie auf einstellen. Yes Sie können diese Option im öffentlichen Subnetz aktivieren, bevor Sie auf der Seite mit den Subnetzeinstellungen eine AWS Cloud9 Umgebung erstellen. Die Schritte zur Änderung der Einstellungen für die automatische IP-Zuweisung in einem öffentlichen Subnetz finden Sie unter Ändern des öffentlichen IPv4-Adressierungsattributs für Ihr Subnetz im Amazon VPC-Benutzerhandbuch. Weitere Informationen zur Konfiguration eines öffentlichen und privaten Subnetzes finden Sie unter. Konfigurieren eines Subnetzes als öffentlich oder privat

Private subnets

Wenn Sie eine No-Ingress-Instance erstellen, auf die über Systems Manager zugegriffen wird, können Sie sie in einem privaten Subnetz starten. Ein privates Subnetz hat keine öffentliche IP-Adresse. Daher benötigen Sie ein NAT-Gateway, um die private IP-Adresse bei Anforderungen einer öffentlichen Adresse zuordnen zu können. Außerdem müssen Sie die öffentliche IP-Adresse für die Antwort wieder der privaten Adresse zuordnen.

Warnung

Für das Erstellen und Betreiben eines NAT-Gateways in Ihrem Konto fallen entsprechende Gebühren an. Es gelten die Stunden- und Datenverarbeitungsraten für NAT-Gateways Es fallen auch Amazon EC2-Gebühren für die Datenübertragung an. Weitere Informationen dazu finden Sie unter Amazon VPC – Preise.

Bevor Sie das NAT-Gateway erstellen und konfigurieren, müssen Sie die folgenden Schritte durchführen:

  • Ein öffentliches VPC-Subnetz zum Hosten des NAT-Gateways erstellen.

  • Eine elastische IP-Adresse bereitstellen, die dem NAT-Gateway zugewiesen werden kann.

  • Deaktivieren Sie für das private Subnetz das Kontrollkästchen Enable auto-assign public IPv4 address (Automatische Zuweisung einer öffentlichen IPv4-Adresse aktivieren), damit die darin gestartete Instance eine private IP-Adresse zugewiesen bekommt. Weitere Informationen finden Sie unter IP-Adressierung in Ihrer VPC) im Amazon VPC Benutzerhandbuch.

Informationen zu den Schritten in dieser Aufgabe finden Sie unterArbeiten mit NAT-Gateways im Amazon VPC-Benutzerhandbuch.

Wichtig

Wenn die EC2-Instance Ihrer Umgebung in einem privaten Subnetz gestartet wird, können Sie derzeit keine AWS verwalteten temporären Anmeldeinformationen verwenden, um der EC2-Umgebung den Zugriff im Namen einer AWS-Service AWS Entität wie eines IAM-Benutzers zu ermöglichen.