Subnetze für Ihre VPC - Amazon Virtual Private Cloud
Subnetze-GrundlagenSubnetzsicherheit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Subnetze für Ihre VPC

Ein Subnetz ist ein Bereich an IP-Adressen in Ihrer VPC. Sie können AWS-Ressourcen, z. B. EC2-Instances, in bestimmten Subnetzen erstellen.

Inhalt

Subnetze-Grundlagen

Jedes Subnetz muss sich vollständig innerhalb einer Availability Zone befinden und darf nicht mehrere Zonen umfassen. Weil AWS-Ressourcen in separaten Availability Zones gestartet werden, können Sie Ihre Anwendungen vor den Fehlern einer einzelnen Zone schützen.

Subnetz-IP-Adressbereiche

Wenn Sie ein Subnetz erstellen, geben Sie je nach Konfiguration der VPC seine IP-Adressen an:

  • Nur IPv4 – Das Subnetz besitzt einen IPv4-CIDR-Block, besitzt jedoch keinen IPv6-CIDR-Block. Ressourcen in einem reinen IPv4-Subnetz müssen über IPv4 kommunizieren.

  • Dual-Stack – Das Subnetz besitzt sowohl einen IPv4-CIDR-Block als auch einen IPv6-CIDR-Block. Die VPC muss sowohl einen IPv4-CIDR-Block als auch einen IPv6-CIDR-Block haben. Ressourcen in einem Dual-Stack-Subnetz können über IPv4 und IPv6 kommunizieren.

  • Nur IPv6 – Das Subnetz besitzt einen IPv6-CIDR-Block, besitzt jedoch keinen IPv4-CIDR-Block. Die VPC muss einen IPv6-CIDR-Block aufweisen. Ressourcen in einem reinen IPv6-Subnetz müssen über IPv6 kommunizieren.

    Anmerkung

    Ressourcen in reinen IPv6-Subnetzen werden verbindungslokale IPv4-Adressen aus dem CIDR-Block 169.254.0.0/16 zugewiesen. Diese Adressen werden für die Kommunikation mit VPC-Diensten wie dem Instance Metadata Service (IMDS) verwendet.

Weitere Informationen finden Sie unter IP-Adressierung für Ihre VPCs und Subnetze.

Subnetz-Typen

Der Subnetztyp hängt davon ab, wie Sie das Routing für Ihre Subnetze konfigurieren. Beispiele:

  • Öffentliches Subnetz – Das Subnetz hat eine direkte Route zu einem Internet-Gateway. Ressourcen in einem öffentlichen Subnetz können auf das öffentliche Internet zugreifen.

  • Privates Subnetz – Das Subnetz hat keine Weiterleitung an das Internet-Gateway. Ressourcen in einem privaten Subnetz benötigen ein NAT-Gerät, um auf das öffentliche Internet zuzugreifen.

  • Reines VPN-Subnetz – Das Subnetz hat eine Weiterleitung zu einer Site-to-Site-VPN-Verbindung über ein virtuelles privates Gateway. Das Subnetz verfügt über keine Route zu einem Internet-Gateway.

  • Isoliertes Subnetz – Das Subnetz weist keine Routen zu Zielen außerhalb der VPC auf. Ressourcen in einem isolierten Subnetz können nur auf andere Ressourcen in derselben VPC zugreifen bzw. sind nur für diese zugänglich.

Subnetzdiagramm

Das folgende Diagramm zeigt zwei VPCs in einer Region. Jede VPC verfügt über öffentliche und private Subnetze sowie über ein Internet-Gateway. Sie können optional Subnetze in einer lokalen Zone hinzufügen, wie im Diagramm gezeigt. Eine Local Zone ist eine AWS-Infrastrukturbereitstellung, die Rechen-, Speicher- und Datenbankdienste näher an Ihren Endkunden platziert. Wenn Sie eine Local Zone verwenden, können Ihre Endbenutzer Anwendungen ausführen, die Latenzzeiten im einstelligen Millisekundenbereich erfordern. Weitere Informationen finden Sie unter AWS-Local-Zones.

Eine VPC mit Subnetzen in Availability Zones und lokalen Zonen.

Subnetz-Routing

Jedem Subnetz muss eine Routing-Tabelle zugeordnet werden, die die zulässigen Routen für den ausgehenden Datenverkehr des Subnetzes angibt. Jedem Subnetz, das Sie erstellen, wird automatisch eine Haupt-Routing-Tabelle für die VPC zugeordnet. Sie können die Zuordnung und die Inhalte der Haupt-Routing-Tabelle ändern. Weitere Informationen finden Sie unter Konfigurieren von Routing-Tabellen.

Subnetz-Einstellungen

Alle Subnetze verfügen über ein anpassbares Attribut, über das festlegt wird, ob eine in einem Subnetz erstellte Netzwerkschnittstelle einer öffentliche IPv4-Adresse, und falls zutreffend, einer IPv6-Adresse zugeordnet ist. Dazu zählt auch die primäre Netzwerkschnittstelle (eth0), die beim Start einer Instance in diesem Subnetz für diese Instance erstellt wurde. Unabhängig vom Subnetzattribut können Sie diese Einstellung während des Starts einer bestimmten Instance immer noch überschreiben.

Nach Erstellung eines Subnetzes können Sie die folgenden Einstellungen für das Subnetz ändern:

  • IP-Einstellungen automatisch zuweisen: Ermöglicht es Ihnen, die Einstellungen für die automatische Zuweisung von IP-Einstellungen so zu konfigurieren, dass automatisch eine öffentliche IPv4- oder IPv6-Adresse für eine neue Netzwerkschnittstelle in diesem Subnetz angefordert wird.

  • Einstellungen für ressourcenbasierte Namen (RBN): Ermöglicht es Ihnen, den Hostnamentyp für EC2-Instances in diesem Subnetz anzugeben und zu konfigurieren, wie DNS A- und AAAA-Datensatzabfragen behandelt werden. Weitere Informationen dazu finden Sie unter Hostnamentypen von Amazon-EC2-Instances im Amazon-EC2-Benutzerhandbuch für Linux-Instances.

Subnetzsicherheit

Um Ihre AWS-Ressourcen zu schützen, empfehlen wir, private Subnetze zu verwenden. Verwenden Sie einen Bastion-Host oder ein NAT-Gerät, um Internetzugriff auf Ressourcen, wie EC2-Instances, in einem privaten Subnetz bereitzustellen.

AWS stellt Funktionen bereit, mit denen Sie die Sicherheit für die Ressourcen in Ihrer VPC steigern können. Sicherheitsgruppen ermöglichen den eingehenden und ausgehenden Datenverkehr für zugehörige Ressourcen, wie z. B. EC2-Instances. Netzwerk-ACLs erlauben oder verhindern den ein- und ausgehenden Datenverkehr auf Subnetzebene. In den meisten Fällen können Sicherheitsgruppen Ihre Anforderungen erfüllen. Sie können jedoch Netzwerk-ACLs verwenden, wenn Sie eine zusätzliche Sicherheitsebene benötigen. Weitere Informationen finden Sie unter Vergleichen von Sicherheitsgruppen und Netzwerk-ACLs.

Jedes Subnetz in Ihrer VPC muss bewusst mit einer Netzwerk-ACL verknüpft werden. Jedem Subnetz, das Sie erstellen, wird automatisch die standardmäßige Netzwerk-ACL der VPC zugeordnet. Die Standard-Netzwerk-ACL lässt den gesamten ein- und ausgehenden Datenverkehr zu. Sie können die Standard-Netzwerk-ACL aktualisieren oder benutzerdefinierte Netzwerk-ACLs erstellen und sie Ihren Subnetzen zuordnen. Weitere Informationen finden Sie unter Datenverkehr in Subnetzen mit Netzwerk-ACLs steuern.

Sie können auf Ihrer VPC oder Ihrem Subnetz ein Flow-Protokoll erstellen, um den Datenverkehr, der zu und von den Netzwerkschnittstellen in Ihrer VPC oder Ihrem Subnetz fließt, zu erfassen. Sie können Flow-Protokolle auch für individuelle Netzwerkschnittstellen erstellen. Weitere Informationen finden Sie unter Protokollieren von IP-Datenverkehr mit VPC Flow Logs.