Internet-Gateways - Amazon Virtual Private Cloud

Internet-Gateways

Ein Internet-Gateway ist eine horizontal skalierte, redundante und hochverfügbare VPC-Komponente, die die Kommunikation zwischen Ihrer VPC und dem Internet ermöglicht.

Mit einem Internet-Gateway werden zwei Ziele verfolgt: Zum einen wird dem routingfähigen Internet-Datenverkehr in Ihren VPC-Routing-Tabellen ein Ziel vorgegeben und zum anderen werden die Netzwerkadressen der Instances, denen eine öffentliche IPv4-Adressen zugewiesen wurden, übersetzt (Network Address Translation, NAT).

Ein Internet-Gateway unterstützt IPv4- und IPv6-Datenverkehr. Es verursacht keine Verfügbarkeitsrisiken oder Bandbreitenbeschränkungen für den Netzwerkverkehr.

Einrichten des Internetzugangs

Führen Sie die folgenden Schritt aus, um für die Instances in einem Subnetz in einer VPC den Zugriff auf und aus dem Internet zu aktivieren:

  • Hinzufügen eines Internet-Gateways zu Ihrer VPC.

  • Fügen Sie der Routing-Tabelle Ihres Subnetzes eine Route hinzu, die den Internet-Datenverkehr zum Internet-Gateway leitet. Ist ein Subnetz einer Routing-Tabelle zugewiesen, die über eine Route zu einem Internet-Gateway verfügt, wird es als öffentliches Subnetz bezeichnet. Wenn ein Subnetz einer Routing-Tabelle zugeordnet ist, die über keine Route zu einem Internet-Gateway verfügt, wird es als privates Subnetzbezeichnet.

  • Vergewissern Sie sich, dass Instances in Ihrem Subnetz eine global eindeutige IP-Adresse (öffentliche IPv4-Adresse, Elastic IP-Adresse oder IPv6-Adresse) haben.

  • Vergewissern Sie sich, dass die Netzwerkzugriffskontrolllisten und Sicherheitsgruppenregeln dem relevanten Datenverkehr erlauben, zu und von Ihrer Instance zu fließen.

In der Subnetz-Routing-Tabelle können Sie eine Route für das Internet-Gateway für alle Ziele festlegen, die der Routing-Tabelle nicht ausdrücklich bekannt sind (0.0.0.0/0 für IPv4 oder ::/0 für IPv6). Alternativ können Sie die Route auf einen engeren Bereich von IP-Adressen festlegen, z. B. auf die öffentlichen IPv4-Adressen der öffentlichen Endpunkte Ihres Unternehmens außerhalb von AWS oder auf die elastischen IP-Adressen anderer Amazon EC2-Instances außerhalb Ihrer VPC.

Damit die Kommunikation über das Internet für IPv4 aktiviert werden kann, muss Ihre Instance über eine öffentliche IPv4-Adresse oder eine Elastic IP-Adresse verfügen, die einer privaten IPv4-Adresse auf Ihrer Instance zugeordnet ist. Ihre Instance ist nur mit dem privaten (internen) IP-Adressraum kompatibel, der innerhalb der VPC und dem Subnetz definiert ist. Daher stellt das Internet-Gateway auch die 1:1-NAT für Ihre Instance bereit. Verlässt der Datenverkehr nun Ihr VPC-Subnetz, um im Internet angezeigt zu werden, wird im Feld für die Antwortadresse die öffentliche IPv4-Adresse oder die Elastic IP-Adresse Ihrer Instance angegeben und nicht die private IP-Adresse. Umgekehrt wird der Zielbereich des Datenverkehrs, der für die öffentliche IPv4-Adresse oder Elastic IP-Adresse Ihrer Instance bestimmt ist, in die private IPv4-Adresse übersetzt, bevor der Datenverkehr an die VPC übermittelt wird.

Damit die Kommunikation über das Internet für IPv6 aktiviert werden kann, muss Ihre VPC und Ihr Subnetz über einen zugehörigen IPv6 CIDR-Block verfügen und Ihrer Instance muss eine IPv6-Adresse aus dem Subnetzbereich zugeordnet sein. IPv6-Adressen sind global eindeutig und daher standardmäßig öffentlich.

Im folgenden Diagramm ist das Subnetz 1 in der VPC ein öffentliches Subnetz. Es ist mit einer benutzerdefinierten Routing-Tabelle verknüpft, die den gesamten IPv4-Internet-Datenverkehr auf ein Internet-Gateway verweist. Die Instance verfügt über eine Elastic IP-Adresse, die die Kommunikation mit dem Internet ermöglicht.


                Verwenden eines Internet-Gateways

Um Ihren Instances Internetzugang zu bieten, ohne ihnen öffentliche IP-Adressen zuzuweisen, können Sie stattdessen ein NAT-Gerät verwenden. Weitere Informationen finden Sie unter NAT.

Internetzugriff für standardmäßige und nicht standardmäßige VPCs

Die folgende Tabelle bietet eine Übersicht darüber, ob Ihre VPC automatisch über die Komponenten verfügt, die für den Internetzugriff über IPv4 oder IPv6 notwendig sind.

Komponente Standard-VPC Nicht standardmäßige VPC
Internet-Gateway Ja Ja, wenn Sie die VPC mit der ersten oder zweiten Option des VPC-Assistenten erstellt haben. Andernfalls müssen Sie das Internet-Gateway manuell erstellen und anfügen.
Routing-Tabelle mit Route zum Internet-Gateway für IPv4-Datenverkehr (0.0.0.0/0) Ja Ja, wenn Sie die VPC mit der ersten oder zweiten Option des VPC-Assistenten erstellt haben. Andernfalls müssen Sie die Routing-Tabelle manuell erstellen und der Route hinzufügen.
Routing-Tabelle mit Route zum Internet-Gateway für IPv6-Datenverkehr (::/0) Nein Ja, wenn Sie die VPC mit der ersten oder zweiten Option des VPC-Assistenten erstellt haben und die Option zur Zuordnung eines IPv6 CIDR-Blocks zur VPC ausgewählt haben. Andernfalls müssen Sie die Routing-Tabelle manuell erstellen und der Route hinzufügen.
Automatische Zuordnung der öffentlichen IPv4-Adresse zur Instance, die im Subnetz gestartet wird Ja (standardmäßiges Subnetz) Nein (nicht standardmäßiges Subnetz)
Automatische Zuordnung der öffentlichen IPv6-Adresse zur Instance, die im Subnetz gestartet wird Nein (standardmäßiges Subnetz) Nein (nicht standardmäßiges Subnetz)

Weitere Informationen über die VPCs finden Sie unter Standard-VPC und Standard-Subnetze. Weitere Informationen darüber, wie Sie mithilfe des VPC-Assistenten eine VPC mit Internet-Gateway erstellen, finden Sie unter VPC mit nur einem einzelnen öffentlichen Subnetz oder VPC mit öffentlichen und privaten Subnetzen (NAT).

Weitere Informationen darüber, wie IP-Adressen in Ihrer VPC zugewiesen und öffentliche IPv4- oder IPv6-Adressen den Instances zugeordnet werden, finden Sie unter IP-Adressierung in Ihrer VPC.

Wenn Sie Ihrer VPC ein neues Subnetz hinzufügen, müssen Sie das für das Subnetz gewünschte Routing und die Sicherheit festlegen.

Hinzufügen eines Internet-Gateways zu Ihrer VPC

Im Folgenden wird beschrieben, wie Sie ein öffentliches Subnetz manuell erstellen und ein Internet-Gateway an Ihre VPC anfügen, um den Internetzugang zu unterstützen.

Erstellen eines Subnetzes

So fügen Sie Ihrer VPC ein Subnetz hinzu

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Subnets und anschließend Create Subnet aus.

  3. Klicken Sie im Dialogfeld Create Subnet auf die VPC, wählen Sie „Availability Zone“ aus und geben Sie den IPv4 CIDR-Block für das Subnetz an.

  4. (Optional, nur IPv6) Wählen Sie unter IPv6 CIDR block die Option Specify a custom IPv6 CIDR aus.

  5. Wählen Sie Yes, Create aus.

Weitere Informationen über Subnetze finden Sie unter VPCs und Subnetze.

Erstellen und Anfügen eines Internet-Gateways

Nachdem Sie ein Internet-Gateway erstellt haben, fügen Sie es an Ihre VPC an.

Erstellen eines Internet-Gateways und hinzufügen zu Ihrer VPC

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Internet Gateways und anschließend Create Internet Gateway (Internet-Gateway erstellen) aus.

  3. Geben Sie optional Ihrem Internet-Gateway einen Namen und wählen Sie dann Create (Erstellen).

  4. Wählen Sie zuerst das Internet-Gateway aus, das Sie eben erstellt haben, und anschließend Actions, Attach to VPC (Aktionen, An VPC anfügen).

  5. Markieren Sie Ihr VPC in der Liste, und wählen Sie Attach (Anfügen).

Erstellen einer benutzerdefinierten Routing-Tabelle

Wenn Sie ein Subnetz erstellen, ordnen wir es automatisch der Haupt-Routing-Tabelle der VPC zu. Standardmäßig umfasst die Haupt-Routing-Tabelle eine Route zum Internet-Gateway. Die folgenden Schritte erstellen eine benutzerdefinierte Routing-Tabelle mit einer Route, die den außerhalb der VPC gerichteten Datenverkehr zum Internet-Gateway leitet und ihn anschließend Ihrem Subnet zuordnet.

So erstellen Sie eine benutzerdefinierte Routing-Tabelle

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Route Tables und anschließend Create Route Table aus.

  3. Im Dialogfeld Create Route Table können Sie Ihre Routing-Tabelle wahlweise benennen, Ihre VPC auswählen und anschließend auf Yes, Create klicken.

  4. Wählen Sie die benutzerdefinierte Routing-Tabelle aus, die Sie gerade erstellt haben. Der Detailbereich enthält Registerkarten für die Arbeit mit Routen, Zuordnungen und Routing-Verbreitung.

  5. Wählen Sie auf der Registerkarte Routes die Optionen Edit und Add another route aus und fügen Sie, falls notwendig, die folgenden Routen hinzu. Klicken Sie auf Save (Speichern), wenn Sie fertig sind.

    • Geben Sie für den IPv4-Datenverkehr 0.0.0.0/0 im Feld Destination (Ziel) ein und wählen Sie die Internet-Gateway-ID in der Liste Target (Ziel) aus.

    • Geben Sie für den IPv6-Datenverkehr ::/0 im Feld Destination (Ziel) ein und wählen Sie die Internet-Gateway-ID in der Liste Target (Ziel) aus.

  6. Wählen Sie auf der Registerkarte Subnet Associations die Option Edit aus, aktivieren Sie für das Subnetz das Kontrollkästchen Associate und klicken Sie auf Save.

Weitere Informationen finden Sie unter Routing-Tabellen.

Erstellen einer Sicherheitsgruppe für den Internetzugriff

Standardmäßig lässt eine VPC-Sicherheitsgruppe den gesamten ausgehenden Datenverkehr zu. Sie können eine neue Sicherheitsgruppe erstellen und Regeln hinzufügen, die den eingehenden Datenverkehr aus dem Internet zulassen. Anschließend können Sie der Sicherheitsgruppe Instances im öffentlichen Subnetz zuordnen.

So erstellen Sie eine neue Sicherheitsgruppe und verknüpfen sie mit Ihren Instances

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Security Groups und anschließend Create Security Group aus.

  3. Geben Sie im Dialogfeld Create Security Group einen Namen und eine Beschreibung für die Sicherheitsgruppe ein. Wählen Sie in der VPC-Liste die ID Ihrer VPC aus und klicken Sie anschließend auf Yes, Create.

  4. Wählen Sie die Sicherheitsgruppe aus. Der Detailbereich zeigt Details zur Sicherheitsgruppe sowie Registerkarten für das Arbeiten mit ihren Regeln für ein- und ausgehenden Datenverkehr an.

  5. Wählen Sie auf der Registerkarte Inbound Rules die Option Edit aus. Wählen Sie Add Rule aus und geben Sie die erforderlichen Informationen ein. Wählen Sie beispielsweise HTTP oder HTTPS aus der Liste Type aus und geben Sie als Source 0.0.0.0/0 für den IPv4-Datenverkehr oder ::/0 für den IPv6-Datenverkehr ein. Klicken Sie auf Save (Speichern), wenn Sie fertig sind.

  6. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  7. Wählen Sie im Navigationsbereich Instances aus.

  8. Wählen Sie die Instance und anschließend Actions aus. Aktivieren Sie anschließend die Option Networking und danach Change Security Groups.

  9. Deaktivieren Sie im Dialogfeld Change Security Groups das Kontrollkästchen der derzeit ausgewählten Sicherheitsgruppe und wählen Sie eine neue aus. Wählen Sie Assign Security Groups aus.

Weitere Informationen finden Sie unter Sicherheitsgruppen für Ihre VPC.

Hinzufügen von Elastic IP-Adressen

Nachdem Sie eine Instance im Subnetz gestartet haben, müssen Sie ihr eine Elastic IP-Adresse zuordnen, damit sie vom Internet aus über IPv4 erreicht werden kann.

Anmerkung

Wenn Sie Ihrer Instance beim Start eine öffentliche IPv4-Adresse zugewiesen haben, ist Ihre Instance vom Internet aus erreichbar und Sie müssen ihr keine Elastic IP-Adresse mehr zuordnen. Weitere Informationen über die IP-Adresszuweisung in Ihrer Instance finden Sie unter IP-Adressierung in Ihrer VPC.

So weisen Sie über die Konsole eine Elastic IP-Adresse zu und verknüpfen sie mit einer Instance

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Elastic IPs.

  3. Wählen Sie Allocate new address aus.

  4. Klicken Sie auf Allocate.

    Anmerkung

    Wenn Ihr Konto EC2-Classic unterstützt, müssen Sie zunächst eine VPC auswählen.

  5. Klicken Sie in der Liste auf die Elastic IP-Adresse, wählen Sie Actions und anschließend Associate address aus.

  6. Wählen Sie Instance oder Network interface und anschließend entweder die Instance oder die Netzwerkschnittstellen-ID aus. Wählen Sie die private IP-Adresse aus, der die Elastic IP-Adresse zugeordnet werden soll, und klicken Sie dann auf Associate.

Weitere Informationen finden Sie unter Elastic IP-Adressen.

Trennen eines Internet-Gateways von Ihrer VPC

Wenn Sie für Instances, die Sie in einer nicht standardmäßigen VPC starten, den Zugriff auf das Internet nicht länger benötigen, dann können Sie das Internet-Gateway von der VPC trennen. Wenn die VPC über Ressourcen verfügt, die öffentlichen IP-Adressen oder Elastic IP-Adressen zugeordnet sind, dann können Sie das Internet-Gateway nicht trennen.

So trennen Sie ein Internet-Gateway

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Klicken Sie im Navigationsbereich auf Elastic IPs und wählen Sie die Elastic IP-Adresse aus.

  3. Wählen Sie Actions, Disassociate address aus. Wählen Sie Disassociate address aus.

  4. Wählen Sie im Navigationsbereich Internet Gateways aus.

  5. Wählen Sie das Internet-Gateway und die Option Actions, Detach from VPC (Aktionen, von VPC trennen) aus.

  6. Klicken Sie im Dialogfeld Detach from VPC (Von VPC trennen) auf Detach (Trennen).

Löschen eines Internet-Gateways

Wenn Sie ein Internet-Gateway nicht mehr benötigen, können Sie es löschen. Sie können ein Internet-Gateway, das noch immer einer VPC zugeordnet ist, nicht löschen.

So löschen Sie ein Internet-Gateway

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Internet Gateways aus.

  3. Wählen Sie das NAT-Gateway aus, und wählen Sie Actions (Aktionen), Delete internet gateway (Internet-Gateway lösen).

  4. Klicken Sie im Dialogfeld Delete Internet Gateway (Internet-Gateway löschen) auf Delete (Löschen).

Überblick über die API und Befehlszeile

Sie können die auf dieser Seite beschriebenen Aufgaben über die Befehlszeile oder eine API ausführen. Weitere Informationen über Befehlszeilenschnittstellen und eine Liste der verfügbaren API-Aktionen finden Sie unter Zugriff auf Amazon VPC.

Ein Internet-Gateway erstellen

Hinzufügen eines Internet-Gateways zu einer VPC

Beschreiben eines Internet-Gateways

Trennen eines Internet-Gateways von einer VPC

Löschen eines Internet-Gateways