Herstellen einer Internetverbindung über ein Internet-Gateway - Amazon Virtual Private Cloud

Herstellen einer Internetverbindung über ein Internet-Gateway

Ein Internet-Gateway ist eine horizontal skalierte, redundante und hochverfügbare VPC-Komponente, die die Kommunikation zwischen Ihrer VPC und dem Internet ermöglicht. Es unterstützt IPv4- und IPv6-Datenverkehr. Es verursacht keine Verfügbarkeitsrisiken oder Bandbreitenbeschränkungen für den Netzwerkverkehr.

Über ein Internet-Gateway können Ressourcen in Ihren öffentlichen Subnetzen (wie EC2-Instances) eine Internetverbindung herstellen, sofern sie über eine öffentliche IPv4-Adresse oder eine IPv6-Adresse verfügen. Desgleichen können Ressourcen im Internet über die öffentliche IPv4-Adresse oder die IPv6-Adresse eine Verbindung mit Ressourcen in Ihrem Subnetz initiieren. Mit einem Internet-Gateway können Sie beispielsweise auf Ihrem lokalen Computer eine Verbindung zu einer EC2-Instance in AWS herstellen.

Ein Internet-Gateway bietet in Ihren VPC-Routing-Tabellen ein Ziel für über das Internet routingfähigen Datenverkehr. Für die Kommunikation über IPv4 führt das Internet-Gateway auch Network Address Translation (NAT) aus. Für die Kommunikation mit IPv6 wird NAT nicht benötigt, da IPv6-Adressen öffentlich sind. Weitere Informationen finden Sie unter IP-Adressen und NAT.

Für die Einrichtung eines Internet-Gateways fallen keine zusätzlichen Gebühren an.

Aktivieren des Internetzugangs

Führen Sie die folgenden Schritte aus, um für die Instances in einem Subnetz in einer VPC über ein Internet-Gateay den Zugriff auf und aus dem Internet zu aktivieren.

  • Erstellen Sie ein Internet-Gateway und fügen Sie es Ihrer VPC an.

  • Fügen Sie der Routing-Tabelle Ihres Subnetzes eine Route hinzu, die den Internet-Datenverkehr zum Internet-Gateway leitet.

  • Vergewissern Sie sich, dass Instances in Ihrem Subnetz eine öffentliche IPv4-Adresse oder eine IPv6-Adresse haben.

  • Vergewissern Sie sich, dass die Netzwerkzugriffskontrolllisten und Sicherheitsgruppenregeln dem gewünschten Internetdatenverkehr erlauben, zu und von Ihrer Instance zu fließen.

Öffentliche und private Subnetze

Ist ein Subnetz einer Routing-Tabelle zugewiesen, die über eine Route zu einem Internet-Gateway verfügt, wird es als öffentliches Subnetz bezeichnet. Wenn ein Subnetz einer Routing-Tabelle zugeordnet ist, die über keine Route zu einem Internet-Gateway verfügt, wird es als privates Subnetzbezeichnet.

In der öffentlichen Subnetz-Routingtabelle können Sie eine Route für das Internet-Gateway für alle Ziele festlegen, die der Routingtabelle nicht ausdrücklich bekannt sind (0.0.0.0/0 für IPv4 oder ::/0 für IPv6). Alternativ können Sie die Route auf einen engeren Bereich von IP-Adressen festlegen, z. B. auf die öffentlichen IPv4-Adressen der öffentlichen Endpunkte Ihres Unternehmens außerhalb von AWS oder auf die Elastic-IP-Adressen anderer Amazon-EC2-Instances außerhalb Ihrer VPC.

IP-Adressen und NAT

Damit die Kommunikation über das Internet für IPv4 aktiviert werden kann, muss Ihre Instance über eine öffentliche IPv4-Adresse verfügen. Sie können entweder Ihre VPC so konfigurieren, dass sie Instances öffentliche IPv4-Adressen zuweist, oder Sie können Instances Elastic-IP-Adressen zuweisen. Ihre Instance ist nur mit dem privaten (internen) IP-Adressraum kompatibel, der innerhalb der VPC und dem Subnetz definiert ist. Daher stellt das Internet-Gateway auch die 1:1-NAT für Ihre Instance bereit. Verlässt der Datenverkehr nun Ihr VPC-Subnetz, um im Internet angezeigt zu werden, wird im Feld für die Antwortadresse die öffentliche IPv4-Adresse oder die Elastic-IP-Adresse Ihrer Instance angegeben und nicht die private IP-Adresse. Umgekehrt wird der Zielbereich des Datenverkehrs, der für die öffentliche IPv4-Adresse oder Elastic-IP-Adresse Ihrer Instance bestimmt ist, in die private IPv4-Adresse übersetzt, bevor der Datenverkehr an die VPC übermittelt wird.

Damit die Kommunikation über das Internet für IPv6 aktiviert werden kann, muss Ihre VPC und Ihr Subnetz über einen zugehörigen IPv6 CIDR-Block verfügen und Ihrer Instance muss eine IPv6-Adresse aus dem Subnetzbereich zugeordnet sein. IPv6-Adressen sind global eindeutig und daher standardmäßig öffentlich.

Im folgenden Diagramm ist das Subnetz in Availability Zone A ein öffentliches Subnetz. Die Routing-Tabelle für dieses Subnetz hat eine Route, die den gesamten IPv4-Internet-Datenverkehr an das Internet-Gateway sendet. Die Instances im öffentlichen Subnetz müssen öffentliche IP-Adressen oder elastische IP-Adressen haben, um die Kommunikation mit dem Internet über das Internet-Gateway zu ermöglichen. Zum Vergleich ist das Subnetz in Availability Zone B ein privates Subnetz, da seine Routing-Tabelle keine Route zum Internet-Gateway hat. Instances im privaten Subnetz können nicht über das Internet-Gateway mit dem Internet kommunizieren, selbst wenn sie über öffentliche IP-Adressen verfügen.


                Verwenden eines Internet-Gateways

Um Ihren Instances Internetzugang zu bieten, ohne ihnen öffentliche IP-Adressen zuzuweisen, können Sie stattdessen ein NAT-Gerät verwenden. Ein NAT-Gerät ermöglicht es Instances in einem privaten Subnetz, sich mit dem Internet zu verbinden, verhindert jedoch, dass Hosts im Internet auf diese Instances zugreifen. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit dem Internet oder anderen Netzwerken über NAT-Geräte.

Internetzugriff für standardmäßige und nicht standardmäßige VPCs

Die folgende Tabelle bietet eine Übersicht darüber, ob Ihre VPC automatisch über die Komponenten verfügt, die für den Internetzugriff über IPv4 oder IPv6 notwendig sind.

Komponente Standard-VPC Nicht standardmäßige VPC
Internet-Gateway Ja Nein
Routing-Tabelle mit Route zum Internet-Gateway für IPv4-Datenverkehr (0.0.0.0/0) Ja Nein
Routing-Tabelle mit Route zum Internet-Gateway für IPv6-Datenverkehr (::/0) Nein Nein
Automatische Zuordnung der öffentlichen IPv4-Adresse zur Instance, die im Subnetz gestartet wird Ja (standardmäßiges Subnetz) Nein (nicht standardmäßiges Subnetz)
Automatische Zuordnung der öffentlichen IPv6-Adresse zur Instance, die im Subnetz gestartet wird Nein (standardmäßiges Subnetz) Nein (nicht standardmäßiges Subnetz)

Weitere Informationen über die VPCs finden Sie unter Standard-VPCs. Weitere Informationen zum Erstellen einer VPC finden Sie unter Erstellen einer VPC.

Weitere Informationen darüber, wie IP-Adressen in Ihrer VPC zugewiesen und öffentliche IPv4- oder IPv6-Adressen den Instances zugeordnet werden, finden Sie unter IP-Adressierung.

Wenn Sie Ihrer VPC ein neues Subnetz hinzufügen, müssen Sie das für das Subnetz gewünschte Routing und die Sicherheit festlegen.

Zugriff auf das Internet von einem Subnetz in Ihrer VPC

Im Folgenden wird beschrieben, wie Sie den Internetzugriff von einem Subnetz in Ihrer VPC mit einem Internet-Gateway unterstützen. Um den Internetzugang zu entfernen, können Sie das Internet-Gateway von Ihrer VPC trennen und dann löschen.

Erstellen eines Subnetzes

So fügen Sie Ihrer VPC ein Subnetz hinzu

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Subnets (Subnetze) und Create Subnet (Subnetz erstellen) aus.

  3. Geben Sie die Subnetzdetails nach Bedarf an:

    • Name tag: Geben Sie optional einen Namen für Ihr Subnetz ein. Auf diese Weise wird ein Tag mit dem Schlüssel Name und dem von Ihnen angegebenen Wert erstellt.

    • VPC: Wählen Sie die VPC aus, für die Sie das Subnetz erstellen.

    • Availability Zone: Wählen Sie optional eine Availability Zone aus, in der sich das Subnetz befinden soll, oder übernehmen Sie den Standard No Preference (Keine Präferenz), so dass AWS eine Availability Zone für Sie auswählen kann.

      Informationen zu den Regionen, die Local Zones unterstützen, finden Sie unter Verfügbare Regionen im Amazon EC2-Benutzerhandbuch für Linux-Instances.

    • IPv4 -CIDR-Block: Geben Sie einen IPv4-CIDR-Block für Ihr Subnetz ein, beispielsweise 10.0.1.0/24. Weitere Informationen finden Sie unter VPC-Dimensionierung für IPv4.

    • IPv6 CIDR-Block: (Optional) Wenn Sie Ihrer VPC einen IPv6 CIDR-Block zugeordnet haben, wählen Sie Specify a custom IPv6 CIDRaus. Geben Sie den Hexadezimal-Paarwert für Ihr Subnetz an oder übernehmen Sie den Standardwert.

  4. Wählen Sie Create (Erstellen) aus.

Weitere Informationen finden Sie unter Subnetze für Ihre VPC.

Erstellen und Zuordnen eines Internet-Gateways

Nachdem Sie ein Internet-Gateway erstellt haben, fügen Sie es an Ihre VPC an.

Erstellen eines Internet-Gateways und hinzufügen zu Ihrer VPC

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Internet Gateways und anschließend Create Internet Gateway (Internet-Gateway erstellen) aus.

  3. Geben Sie optional Ihr Internet-Gateway an.

  4. Optional können Sie ein Tag hinzufügen oder entfernen.

    [Tag hinzufügen] Wählen Sie Add tag (Tag hinzufügen), und führen Sie die folgenden Schritte aus:

    • Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein.

    • Geben Sie bei Value (Wert) den Wert des Schlüssels ein.

    [Tag (Markierung) entfernen] Wählen Sie Remove (Entfernen) rechts neben dem Schlüssel und dem Wert des Tags (Markierung).

  5. Wählen Sie Create internet gateway (Internet-Gateway erstellen) aus.

  6. Wählen Sie zuerst das Internet-Gateway aus, das Sie eben erstellt haben, und anschließend Actions, Attach to VPC (Aktionen, An VPC anfügen).

  7. Wählen Sie Ihre VPC aus der Liste und anschließend Attach internet gateway (Internet-Gateway anfügen) aus.

Erstellen einer benutzerdefinierten Routing-Tabelle

Wenn Sie ein Subnetz erstellen, ordnen wir es automatisch der Haupt-Routing-Tabelle der VPC zu. Standardmäßig umfasst die Haupt-Routing-Tabelle eine Route zum Internet-Gateway. Die folgenden Schritte erstellen eine benutzerdefinierte Routing-Tabelle mit einer Route, die den außerhalb der VPC gerichteten Datenverkehr zum Internet-Gateway leitet und ihn anschließend Ihrem Subnet zuordnet.

So erstellen Sie eine benutzerdefinierte Routing-Tabelle

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Route Tables und anschließend Create route table aus.

  3. Im Dialogfeld Create route table können Sie Ihre Routing-Tabelle wahlweise benennen, Ihre VPC auswählen und anschließend auf Create route table klicken.

  4. Wählen Sie die benutzerdefinierte Routing-Tabelle aus, die Sie gerade erstellt haben. Der Detailbereich enthält Registerkarten für die Arbeit mit Routen, Zuordnungen und Routing-Verbreitung.

  5. Wählen Sie auf der Registerkarte Routes die Optionen Edit routes und Add route aus und fügen Sie, falls notwendig, die folgenden Routen hinzu. Wählen Sie abschließend Save changes (Änderungen speichern) aus.

    • Geben Sie für den IPv4-Datenverkehr 0.0.0.0/0 im Feld Destination (Ziel) ein und wählen Sie die Internet-Gateway-ID in der Liste Target (Ziel) aus.

    • Geben Sie für den IPv6-Datenverkehr ::/0 im Feld Destination (Ziel) ein und wählen Sie die Internet-Gateway-ID in der Liste Target (Ziel) aus.

  6. Wählen Sie auf der Registerkarte Subnet associations die Option Edit subnet associations aus, aktivieren Sie das Kontrollkästchen für das Subnetz und klicken Sie auf Save associations.

Weitere Informationen finden Sie unter Konfigurieren von Routing-Tabellen.

Erstellen einer Sicherheitsgruppe für den Internetzugriff

Standardmäßig lässt eine VPC-Sicherheitsgruppe den gesamten ausgehenden Datenverkehr zu. Sie können eine neue Sicherheitsgruppe erstellen und Regeln hinzufügen, die den eingehenden Datenverkehr aus dem Internet zulassen. Anschließend können Sie der Sicherheitsgruppe Instances im öffentlichen Subnetz zuordnen.

So erstellen Sie eine Sicherheitsgruppe und verknüpfen sie mit einer Instance

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) und anschließend Create Security Group (Sicherheitsgruppe erstellen) aus.

  3. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein.

  4. Wählen Sie im Feld VPC Ihre VPC aus.

  5. Wählen Sie für Inbound Rules (Eingangsregeln) die Option Add Rule (Regel hinzufügen) und geben Sie die erforderlichen Informationen ein. Wählen Sie beispielsweise HTTP (HTTP) oder HTTPS (HTTPS) unter Type (Typ) aus und geben Sie 0.0.0.0/0 als Source (Quelle) für den IPv4-Datenverkehr oder ::/0 für den IPv6-Datenverkehr ein.

  6. Wählen Sie Create security group (Sicherheitsgruppe erstellen).

  7. Wählen Sie im Navigationsbereich Instances aus.

  8. Wählen Sie die Instance und wählen Sie dann Actions (Aktionen), Security (Sicherheit), Change security groups (Sicherheitsgruppen ändern) aus.

  9. Wählen Sie für Associated securitz groups (Zugehörige Sicherheitsgruppen) eine vorhandene Sicherheitsgruppe aus, und wählen Sie dann Add security group (Sicherheitsgruppe hinzufügen) aus. Um eine bereits zugeordnete Sicherheitsgruppe zu entfernen, wählen Sie Remove (Entfernen). Wenn Sie mit den Änderungen fertig sind, wählen Sie Save (Speichern) aus.

Weitere Informationen finden Sie unter Steuern Sie den Datenverkehr zu Ressourcen mithilfe von Sicherheitsgruppen.

Zuweisen der Instance zu einer Elastic-IP-Adresse

Nachdem Sie eine Instance im Subnetz gestartet haben, müssen Sie ihr eine Elastic-IP-Adresse zuordnen, damit sie vom Internet aus über IPv4 erreicht werden kann.

Anmerkung

Wenn Sie Ihrer Instance beim Start eine öffentliche IPv4-Adresse zugewiesen haben, ist Ihre Instance vom Internet aus erreichbar und Sie müssen ihr keine Elastic-IP-Adresse mehr zuordnen. Weitere Informationen über die IP-Adresszuweisung in Ihrer Instance finden Sie unter IP-Adressierung.

So weisen Sie über die Konsole eine Elastic-IP-Adresse zu und verknüpfen sie mit einer Instance

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Elastic IPs.

  3. Wählen Sie Allocate new address aus.

  4. Wählen Sie Allocate aus.

    Anmerkung

    Wenn Ihr Konto EC2-Classic unterstützt, müssen Sie zunächst eine VPC auswählen.

  5. Klicken Sie in der Liste auf die Elastic-IP-Adresse, wählen Sie Actions und anschließend Associate address aus.

  6. Wählen Sie Instance oder Network interface und anschließend entweder die Instance oder die Netzwerkschnittstellen-ID aus. Wählen Sie die private IP-Adresse aus, der die Elastic-IP-Adresse zugeordnet werden soll, und klicken Sie dann auf Associate.

Weitere Informationen finden Sie unter Zuordnen von elastischen IP-Adressen zu Ressourcen in Ihrer VPC.

Trennen eines Internet-Gateways von Ihrer VPC

Wenn Sie für Instances, die Sie in einer nicht standardmäßigen VPC starten, den Zugriff auf das Internet nicht länger benötigen, dann können Sie das Internet-Gateway von der VPC trennen. Wenn die VPC über Ressourcen verfügt, die öffentlichen IP-Adressen oder Elastic-IP-Adressen zugeordnet sind, dann können Sie das Internet-Gateway nicht trennen.

So trennen Sie ein Internet-Gateway

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Klicken Sie im Navigationsbereich auf Elastic IPs und wählen Sie die Elastic-IP-Adresse aus.

  3. Wählen Sie Actions, Disassociate address aus. Wählen Sie Disassociate address aus.

  4. Wählen Sie im Navigationsbereich Internet Gateways (Internet-Gateways) aus.

  5. Wählen Sie das Internet-Gateway und die Option Actions, Detach from VPC (Aktionen, von VPC trennen) aus.

  6. Wählen Sie im Dialogfeld Detach from VPC (Von VPC trennen) die Option Detach internet gateway (Internet-Gateway trennen) aus.

Löschen eines Internet-Gateways

Wenn Sie ein Internet-Gateway nicht mehr benötigen, können Sie es löschen. Sie können ein Internet-Gateway, das noch immer einer VPC zugeordnet ist, nicht löschen.

So löschen Sie ein Internet-Gateway

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Internet Gateways (Internet-Gateways) aus.

  3. Wählen Sie das NAT-Gateway aus, und wählen Sie Actions (Aktionen), Delete internet gateway (Internet-Gateway lösen).

  4. Geben Sie im Dialogfeld Delete internet gateway (Internet-Gateway löschen) delete ein. Wählen Sie anschließend Delete internet gateway (Internet-Gateway löschen) aus.

Überblick über die API und Befehlszeile

Sie können die auf dieser Seite beschriebenen Aufgaben über die Befehlszeile oder eine API ausführen. Weitere Informationen über Befehlszeilenschnittstellen und eine Liste der verfügbaren API-Aktionen finden Sie unter Arbeiten mit Amazon VPC.

Ein Internet-Gateway erstellen

Hinzufügen eines Internet-Gateways zu einer VPC

Beschreiben eines Internet-Gateways

Trennen eines Internet-Gateways von einer VPC

Löschen eines Internet-Gateways