Internet-Gateways - Amazon Virtual Private Cloud

Internet-Gateways

Ein Internet-Gateway ist eine horizontal skalierte, redundante und hochverfügbare VPC-Komponente, die die Kommunikation zwischen Ihrer VPC und dem Internet ermöglicht.

Mit einem Internet-Gateway werden zwei Ziele verfolgt: Zum einen wird dem routingfähigen Internet-Datenverkehr in Ihren VPC-Routing-Tabellen ein Ziel vorgegeben und zum anderen werden die Netzwerkadressen der Instances, denen eine öffentliche IPv4-Adressen zugewiesen wurden, übersetzt (Network Address Translation, NAT).

Ein Internet-Gateway unterstützt IPv4- und IPv6-Datenverkehr. Es verursacht keine Verfügbarkeitsrisiken oder Bandbreitenbeschränkungen für den Netzwerkverkehr. Für die Einrichtung eines Internet-Gateways in Ihrem Konto fallen keine zusätzlichen Gebühren an.

Einrichten des Internetzugangs

Führen Sie die folgenden Schritt aus, um für die Instances in einem Subnetz in einer VPC den Zugriff auf und aus dem Internet zu aktivieren:

  • Hinzufügen eines Internet-Gateways zu Ihrer VPC.

  • Fügen Sie der Routing-Tabelle Ihres Subnetzes eine Route hinzu, die den Internet-Datenverkehr zum Internet-Gateway leitet. Ist ein Subnetz einer Routing-Tabelle zugewiesen, die über eine Route zu einem Internet-Gateway verfügt, wird es als öffentliches Subnetz bezeichnet. Wenn ein Subnetz einer Routing-Tabelle zugeordnet ist, die über keine Route zu einem Internet-Gateway verfügt, wird es als privates Subnetzbezeichnet.

  • Vergewissern Sie sich, dass Instances in Ihrem Subnetz eine global eindeutige IP-Adresse (öffentliche IPv4-Adresse, Elastic IP-Adresse oder IPv6-Adresse) haben.

  • Vergewissern Sie sich, dass die Netzwerkzugriffskontrolllisten und Sicherheitsgruppenregeln dem relevanten Datenverkehr erlauben, zu und von Ihrer Instance zu fließen.

In der Subnetz-Routing-Tabelle können Sie eine Route für das Internet-Gateway für alle Ziele festlegen, die der Routing-Tabelle nicht ausdrücklich bekannt sind (0.0.0.0/0 für IPv4 oder ::/0 für IPv6). Alternativ können Sie die Route auf einen engeren Bereich von IP-Adressen festlegen, z. B. auf die öffentlichen IPv4-Adressen der öffentlichen Endpunkte Ihres Unternehmens außerhalb von AWS oder auf die elastischen IP-Adressen anderer Amazon EC2-Instances außerhalb Ihrer VPC.

Damit die Kommunikation über das Internet für IPv4 aktiviert werden kann, muss Ihre Instance über eine öffentliche IPv4-Adresse oder eine Elastic IP-Adresse verfügen, die einer privaten IPv4-Adresse auf Ihrer Instance zugeordnet ist. Ihre Instance ist nur mit dem privaten (internen) IP-Adressraum kompatibel, der innerhalb der VPC und dem Subnetz definiert ist. Daher stellt das Internet-Gateway auch die 1:1-NAT für Ihre Instance bereit. Verlässt der Datenverkehr nun Ihr VPC-Subnetz, um im Internet angezeigt zu werden, wird im Feld für die Antwortadresse die öffentliche IPv4-Adresse oder die Elastic IP-Adresse Ihrer Instance angegeben und nicht die private IP-Adresse. Umgekehrt wird der Zielbereich des Datenverkehrs, der für die öffentliche IPv4-Adresse oder Elastic IP-Adresse Ihrer Instance bestimmt ist, in die private IPv4-Adresse übersetzt, bevor der Datenverkehr an die VPC übermittelt wird.

Damit die Kommunikation über das Internet für IPv6 aktiviert werden kann, muss Ihre VPC und Ihr Subnetz über einen zugehörigen IPv6 CIDR-Block verfügen und Ihrer Instance muss eine IPv6-Adresse aus dem Subnetzbereich zugeordnet sein. IPv6-Adressen sind global eindeutig und daher standardmäßig öffentlich.

Im folgenden Diagramm ist das Subnetz 1 in der VPC ein öffentliches Subnetz. Es ist mit einer benutzerdefinierten Routing-Tabelle verknüpft, die den gesamten IPv4-Internet-Datenverkehr auf ein Internet-Gateway verweist. Die Instance verfügt über eine Elastic IP-Adresse, die die Kommunikation mit dem Internet ermöglicht.


                Verwenden eines Internet-Gateways

Um Ihren Instances Internetzugang zu bieten, ohne ihnen öffentliche IP-Adressen zuzuweisen, können Sie stattdessen ein NAT-Gerät verwenden. Weitere Informationen finden Sie unter NAT.

Internetzugriff für standardmäßige und nicht standardmäßige VPCs

Die folgende Tabelle bietet eine Übersicht darüber, ob Ihre VPC automatisch über die Komponenten verfügt, die für den Internetzugriff über IPv4 oder IPv6 notwendig sind.

Komponente Standard-VPC Nicht standardmäßige VPC
Internet-Gateway Ja Ja, wenn Sie die VPC mit der ersten oder zweiten Option des VPC-Assistenten erstellt haben. Andernfalls müssen Sie das Internet-Gateway manuell erstellen und anfügen.
Routing-Tabelle mit Route zum Internet-Gateway für IPv4-Datenverkehr (0.0.0.0/0) Ja Ja, wenn Sie die VPC mit der ersten oder zweiten Option des VPC-Assistenten erstellt haben. Andernfalls müssen Sie die Routing-Tabelle manuell erstellen und der Route hinzufügen.
Routing-Tabelle mit Route zum Internet-Gateway für IPv6-Datenverkehr (::/0) Nein Ja, wenn Sie die VPC mit der ersten oder zweiten Option des VPC-Assistenten erstellt haben und die Option zur Zuordnung eines IPv6 CIDR-Blocks zur VPC ausgewählt haben. Andernfalls müssen Sie die Routing-Tabelle manuell erstellen und der Route hinzufügen.
Automatische Zuordnung der öffentlichen IPv4-Adresse zur Instance, die im Subnetz gestartet wird Ja (standardmäßiges Subnetz) Nein (nicht standardmäßiges Subnetz)
Automatische Zuordnung der öffentlichen IPv6-Adresse zur Instance, die im Subnetz gestartet wird Nein (standardmäßiges Subnetz) Nein (nicht standardmäßiges Subnetz)

Weitere Informationen über die VPCs finden Sie unter Standard-VPC und Standard-Subnetze. Weitere Informationen darüber, wie Sie mithilfe des VPC-Assistenten eine VPC mit Internet-Gateway erstellen, finden Sie unter VPC mit nur einem einzelnen öffentlichen Subnetz oder VPC mit öffentlichen und privaten Subnetzen (NAT).

Weitere Informationen darüber, wie IP-Adressen in Ihrer VPC zugewiesen und öffentliche IPv4- oder IPv6-Adressen den Instances zugeordnet werden, finden Sie unter IP-Adressierung in Ihrer VPC.

Wenn Sie Ihrer VPC ein neues Subnetz hinzufügen, müssen Sie das für das Subnetz gewünschte Routing und die Sicherheit festlegen.

Hinzufügen eines Internet-Gateways zu Ihrer VPC

Im Folgenden wird beschrieben, wie Sie ein öffentliches Subnetz manuell erstellen und ein Internet-Gateway an Ihre VPC anfügen, um den Internetzugang zu unterstützen.

Erstellen eines Subnetzes

So fügen Sie Ihrer VPC ein Subnetz hinzu

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Subnets (Subnetze) und Create Subnet (Subnetz erstellen) aus.

  3. Geben Sie die Subnetzdetails nach Bedarf an:

    • Name tag: Geben Sie optional einen Namen für Ihr Subnetz ein. Auf diese Weise wird ein Tag mit dem Schlüssel Name und dem von Ihnen angegebenen Wert erstellt.

    • VPC: Wählen Sie die VPC aus, für die Sie das Subnetz erstellen.

    • Availability Zone: Wählen Sie optional eine Availability Zone aus, in der sich das Subnetz befinden soll, oder übernehmen Sie den Standard No Preference (Keine Präferenz), so dass AWS eine Availability Zone für Sie auswählen kann.

      Informationen zu Regionen, die lokale Zonen unterstützen, finden Sie unter Verfügbare Regionen im Amazon EC2-Benutzerhandbuch für Linux-Instances.

    • IPv4 CIDR-Block: Geben Sie einen IPv4 CIDR-Block für Ihr Subnetz ein, beispielsweise 10.0.1.0/24. Weitere Informationen finden Sie unter Dimensionierung der VPC und der Subnetze für IPv4.

    • IPv6 CIDR-Block: (Optional) Wenn Sie Ihrer VPC einen IPv6 CIDR-Block zugeordnet haben, wählen Sie Specify a custom IPv6 CIDRaus. Geben Sie den Hexadezimal-Paarwert für Ihr Subnetz an oder übernehmen Sie den Standardwert.

  4. Wählen Sie Create (Erstellen) aus.

Weitere Informationen über Subnetze finden Sie unter VPCs und Subnetze.

Erstellen und Anfügen eines Internet-Gateways

Nachdem Sie ein Internet-Gateway erstellt haben, fügen Sie es an Ihre VPC an.

Erstellen eines Internet-Gateways und hinzufügen zu Ihrer VPC

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Internet Gateways und anschließend Create Internet Gateway (Internet-Gateway erstellen) aus.

  3. Geben Sie optional Ihr Internet-Gateway an.

  4. Optional können Sie ein Tag hinzufügen oder entfernen.

    [Tag hinzufügen] Wählen Sie Add tag (Tag hinzufügen), und führen Sie die folgenden Schritte aus:

    • Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein.

    • Geben Sie bei Value (Wert) den Wert des Schlüssels ein.

    [Tag entfernen] Wählen Sie Remove (Entfernen) rechts neben dem Schlüssel und dem Wert des Tags.

  5. Wählen Sie Create internet gateway (Internet-Gateway erstellen) aus.

  6. Wählen Sie zuerst das Internet-Gateway aus, das Sie eben erstellt haben, und anschließend Actions, Attach to VPC (Aktionen, An VPC anfügen).

  7. Wählen Sie Ihre VPC aus der Liste und anschließend Attach internet gateway (Internet-Gateway anfügen) aus.

Erstellen einer benutzerdefinierten Routing-Tabelle

Wenn Sie ein Subnetz erstellen, ordnen wir es automatisch der Haupt-Routing-Tabelle der VPC zu. Standardmäßig umfasst die Haupt-Routing-Tabelle eine Route zum Internet-Gateway. Die folgenden Schritte erstellen eine benutzerdefinierte Routing-Tabelle mit einer Route, die den außerhalb der VPC gerichteten Datenverkehr zum Internet-Gateway leitet und ihn anschließend Ihrem Subnet zuordnet.

So erstellen Sie eine benutzerdefinierte Routing-Tabelle

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Route Tables und anschließend Create Route Table aus.

  3. Im Dialogfeld Create Route Table können Sie Ihre Routing-Tabelle wahlweise benennen, Ihre VPC auswählen und anschließend auf Yes, Create klicken.

  4. Wählen Sie die benutzerdefinierte Routing-Tabelle aus, die Sie gerade erstellt haben. Der Detailbereich enthält Registerkarten für die Arbeit mit Routen, Zuordnungen und Routing-Verbreitung.

  5. Wählen Sie auf der Registerkarte Routes die Optionen Edit und Add another route aus und fügen Sie, falls notwendig, die folgenden Routen hinzu. Klicken Sie auf Save (Speichern), wenn Sie fertig sind.

    • Geben Sie für den IPv4-Datenverkehr 0.0.0.0/0 im Feld Destination (Ziel) ein und wählen Sie die Internet-Gateway-ID in der Liste Target (Ziel) aus.

    • Geben Sie für den IPv6-Datenverkehr ::/0 im Feld Destination (Ziel) ein und wählen Sie die Internet-Gateway-ID in der Liste Target (Ziel) aus.

  6. Wählen Sie auf der Registerkarte Subnet Associations die Option Edit aus, aktivieren Sie für das Subnetz das Kontrollkästchen Associate und klicken Sie auf Save.

Weitere Informationen finden Sie unter Routing-Tabellen.

Erstellen einer Sicherheitsgruppe für den Internetzugriff

Standardmäßig lässt eine VPC-Sicherheitsgruppe den gesamten ausgehenden Datenverkehr zu. Sie können eine neue Sicherheitsgruppe erstellen und Regeln hinzufügen, die den eingehenden Datenverkehr aus dem Internet zulassen. Anschließend können Sie der Sicherheitsgruppe Instances im öffentlichen Subnetz zuordnen.

So erstellen Sie eine neue Sicherheitsgruppe und verknüpfen sie mit Ihren Instances

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Security Groups und anschließend Create Security Group aus.

  3. Geben Sie im Dialogfeld Create Security Group einen Namen und eine Beschreibung für die Sicherheitsgruppe ein. Wählen Sie in der VPC-Liste die ID Ihrer VPC aus und klicken Sie anschließend auf Yes, Create.

  4. Wählen Sie die Sicherheitsgruppe aus. Der Detailbereich zeigt Details zur Sicherheitsgruppe sowie Registerkarten für das Arbeiten mit ihren Regeln für ein- und ausgehenden Datenverkehr an.

  5. Wählen Sie auf der Registerkarte Inbound Rules die Option Edit aus. Wählen Sie Add Rule aus und geben Sie die erforderlichen Informationen ein. Wählen Sie beispielsweise HTTP oder HTTPS aus der Liste Type aus und geben Sie als Source 0.0.0.0/0 für den IPv4-Datenverkehr oder ::/0 für den IPv6-Datenverkehr ein. Klicken Sie auf Save (Speichern), wenn Sie fertig sind.

  6. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  7. Wählen Sie im Navigationsbereich Instances aus.

  8. Wählen Sie die Instance und anschließend Actions aus. Aktivieren Sie anschließend die Option Networking und danach Change Security Groups.

  9. Deaktivieren Sie im Dialogfeld Change Security Groups das Kontrollkästchen der derzeit ausgewählten Sicherheitsgruppe und wählen Sie eine neue aus. Wählen Sie Assign Security Groups aus.

Weitere Informationen finden Sie unter Sicherheitsgruppen für Ihre VPC.

Hinzufügen von Elastic IP-Adressen

Nachdem Sie eine Instance im Subnetz gestartet haben, müssen Sie ihr eine Elastic IP-Adresse zuordnen, damit sie vom Internet aus über IPv4 erreicht werden kann.

Anmerkung

Wenn Sie Ihrer Instance beim Start eine öffentliche IPv4-Adresse zugewiesen haben, ist Ihre Instance vom Internet aus erreichbar und Sie müssen ihr keine Elastic IP-Adresse mehr zuordnen. Weitere Informationen über die IP-Adresszuweisung in Ihrer Instance finden Sie unter IP-Adressierung in Ihrer VPC.

So weisen Sie über die Konsole eine Elastic IP-Adresse zu und verknüpfen sie mit einer Instance

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Elastic IPs.

  3. Wählen Sie Allocate new address aus.

  4. Klicken Sie auf Allocate.

    Anmerkung

    Wenn Ihr Konto EC2-Classic unterstützt, müssen Sie zunächst eine VPC auswählen.

  5. Klicken Sie in der Liste auf die Elastic IP-Adresse, wählen Sie Actions und anschließend Associate address aus.

  6. Wählen Sie Instance oder Network interface und anschließend entweder die Instance oder die Netzwerkschnittstellen-ID aus. Wählen Sie die private IP-Adresse aus, der die Elastic IP-Adresse zugeordnet werden soll, und klicken Sie dann auf Associate.

Weitere Informationen finden Sie unter Elastic IP-Adressen.

Trennen eines Internet-Gateways von Ihrer VPC

Wenn Sie für Instances, die Sie in einer nicht standardmäßigen VPC starten, den Zugriff auf das Internet nicht länger benötigen, dann können Sie das Internet-Gateway von der VPC trennen. Wenn die VPC über Ressourcen verfügt, die öffentlichen IP-Adressen oder Elastic IP-Adressen zugeordnet sind, dann können Sie das Internet-Gateway nicht trennen.

So trennen Sie ein Internet-Gateway

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Klicken Sie im Navigationsbereich auf Elastic IPs und wählen Sie die Elastic IP-Adresse aus.

  3. Wählen Sie Actions, Disassociate address aus. Wählen Sie Disassociate address aus.

  4. Wählen Sie im Navigationsbereich Internet Gateways aus.

  5. Wählen Sie das Internet-Gateway und die Option Actions, Detach from VPC (Aktionen, von VPC trennen) aus.

  6. Wählen Sie im Dialogfeld Detach from VPC (Von VPC trennen) die Option Detach internet gateway (Internet-Gateway trennen) aus.

Löschen eines Internet-Gateways

Wenn Sie ein Internet-Gateway nicht mehr benötigen, können Sie es löschen. Sie können ein Internet-Gateway, das noch immer einer VPC zugeordnet ist, nicht löschen.

So löschen Sie ein Internet-Gateway

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Internet Gateways aus.

  3. Wählen Sie das NAT-Gateway aus, und wählen Sie Actions (Aktionen), Delete internet gateway (Internet-Gateway lösen).

  4. Geben Sie im Dialogfeld Delete internet gateway (Internet-Gateway löschen) delete ein. Wählen Sie anschließend Delete internet gateway (Internet-Gateway löschen) aus.

Überblick über die API und Befehlszeile

Sie können die auf dieser Seite beschriebenen Aufgaben über die Befehlszeile oder eine API ausführen. Weitere Informationen über Befehlszeilenschnittstellen und eine Liste der verfügbaren API-Aktionen finden Sie unter Zugriff auf Amazon VPC.

Ein Internet-Gateway erstellen

Hinzufügen eines Internet-Gateways zu einer VPC

Beschreiben eines Internet-Gateways

Trennen eines Internet-Gateways von einer VPC

Löschen eines Internet-Gateways