Funktionsweise von Amazon VPC - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsweise von Amazon VPC

Mit Amazon Virtual Private Cloud (Amazon VPC) können Sie AWS Ressourcen in einem von Ihnen definierten logisch isolierten virtuellen Netzwerk starten. Dieses virtuelle Netzwerk entspricht weitgehend einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben, kann jedoch die Vorzüge der skalierbaren Infrastruktur von AWS nutzen.

Im Folgenden finden Sie eine visuelle Darstellung einer VPC und ihrer Ressourcen aus der Vorschau, die angezeigt wird, wenn Sie eine VPC mithilfe von AWS Management Console erstellen. Bei einer vorhandenen VPC können Sie auf diese Visualisierung auf der Registerkarte Ressourcenkarte zugreifen. Dieses Beispiel zeigt die Ressourcen, die auf der Seite VPC erstellen zunächst ausgewählt werden, wenn Sie sich entscheiden, die VPC sowie andere Netzwerkressourcen zu erstellen. Diese VPC ist mit einem IPv4-CIDR und einem von Amazon bereitgestellten IPv6-CIDR, Subnetzen in zwei Availability Zones, drei Routing-Tabellen, einem Internet-Gateway und einem Gateway-Endpunkt konfiguriert. Da wir das Internet-Gateway ausgewählt haben, zeigt die Visualisierung, dass der Datenverkehr von den öffentlichen Subnetzen ins Internet geleitet wird, da die entsprechende Routing-Tabelle den Datenverkehr an das Internet-Gateway weiterleitet.


			Eine Ressourcenkarte mit einer VPC mit Subnetzen in zwei Availability Zones, drei Routing-Tabellen, einem Internet-Gateway und einem Gateway-Endpunkt.

VPCs und Subnetze

Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk für Ihr AWS -Konto. Es ist logisch von anderen virtuellen Netzwerken in der AWS Cloud isoliert. Sie können einen IP-Adressbereich für die VPC festlegen, Subnetze und Gateways hinzufügen und Sicherheitsgruppen zuordnen.

Ein Subnetz ist ein Bereich an IP-Adressen in Ihrer VPC. Sie können AWS -Ressourcen, wie z. B. Amazon-EC2-Instances, in Ihren Subnetzen starten. Sie können ein Subnetz mit dem Internet, anderen VPCs und Ihren eigenen Rechenzentren verbinden und den Verkehr zu und von Ihren Subnetzen mithilfe von Routing-Tabellen leiten.

Standardmäßige und nicht standardmäßige VPCs

Wenn Ihr Konto nach dem 04.12.2013 erstellt wurde, verfügt es über eine Standard-VPC in jeder Region. Eine Standard-VPC ist konfiguriert und kann von Ihnen verwendet werden. Beispielsweise verfügen die Daten über ein Standardsubnetz in jeder Availability Zone in der Region, ein angeschlossenes Internet-Gateway, eine Route in der Haupt-Routing-Tabelle, die den gesamten Datenverkehr an das Internet-Gateway sendet, und DNS-Einstellungen, die Instances mit öffentlichen IP-Adressen automatisch öffentliche DNS-Hostnamen zuordnen und DNS-Auflösung über den von Amazon bereitgestellten DNS-Server ermöglichen (siehe DNS-Attribute in Ihrer VPC). Daher hat eine EC2-Instance, die in einem Standardsubnetz gestartet wird, automatisch Zugang zum Internet. Wenn Sie eine Standard-VPC in einer Region haben und beim Starten einer EC2-Instance in dieser Region kein Subnetz angeben, wählen wir eines der Standard-Subnetze und starten die Instance in diesem Subnetz.

Sie können auch eine eigene VPC erstellen und sie nach Bedarf konfigurieren. Dies wird als eine nicht standardmäßige VPC bezeichnet. Subnetze, die Sie in Ihrer nicht standardmäßigen VPC erstellen, und zusätzliche Subnetze, die Sie in Ihrer standardmäßigen VPC erstellen, werden als nicht standardmäßige Subnetze bezeichnet.

Weitere Informationen

Routing-Tabellen

Eine Routing-Tabelle enthält eine Reihe von Regeln, so genannte Routen, die festlegen, wohin der Netzwerkdatenverkehr aus Ihrer VPC gelenkt wird. Sie können ein Subnetz einer bestimmten Routing-Tabelle explizit zuordnen. Andernfalls wird das Subnetz implizit der Haupt-Routing-Tabelle zugeordnet.

Jede Route in einer Routing-Tabelle gibt den Bereich der IP-Adressen an, in den der Datenverkehr gehen soll (den Empfänger), und das Gateway, die Netzwerkschnittstelle oder die Verbindung, über die der Datenverkehr gesendet werden soll (das Ziel).

Weitere Informationen

Zugriff auf das Internet

Sie steuern, wie die Instances, die Sie in einer VPC starten, auf Ressourcen außerhalb der VPC zugreifen.

Eine Standard-VPC umfasst ein Internet-Gateway und jedes Standardsubnetz ist ein öffentliches Subnetz. Jede Instance, die Sie innerhalb eines Standardsubnetz starten, umfasst eine private IPv4-Adresse und eine öffentliche IPv4-Adresse. Diese Instances können über das Internet-Gateway mit dem Internet kommunizieren. Ein Internet-Gateway ermöglicht es Ihren Instances, sich über den Amazon EC2-Netzwerk-Edge mit dem Internet zu verbinden.

Standardmäßig verfügt jede von Ihnen in ein nicht standardmäßiges Subnetz gestartete Instance zwar über eine private IPv4-Adresse, aber nicht über eine öffentliche IPv4-Adresse. Hierfür müssen Sie entweder beim Start ausdrücklich eine öffentliche IPv4-Adresse zuordnen oder das Attribut für die öffentliche IP-Adresse des Subnetzes ändern. Diese Instances können zwar miteinander, aber nicht mit dem Internet kommunizieren.

Sie können den Internetzugriff für eine Instance, die in einem nicht standardmäßigen Subnetz gestartet wurde, aktivieren, indem Sie ihrer VPC ein Internet-Gateway anfügen (solange es sich bei der VPC nicht um eine standardmäßige VPC handelt) und der Instance eine Elastic IP-Adresse zuweisen.

Um einer Instance in Ihrer VPC die Initiierung ausgehender Verbindungen zum Internet zu erlauben, aber unaufgeforderte eingehende Verbindungen zu verhindern, können Sie alternativ ein NAT-Gerät verwenden. NAT ordnet einer einzelnen öffentlichen IPv4-Adresse mehrere private IPv4-Adressen zu. Sie können das NAT-Gerät mit einer Elastic-IP-Adresse konfigurieren und es über ein Internet-Gateway mit dem Internet verbinden. Dadurch kann eine Instance in einem privaten Subnetz über das NAT-Gerät eine Verbindung zum Internet herstellen, wobei der Datenverkehr von der Instance zum Internet-Gateway und alle Antworten an die Instance geleitet werden.

Wenn Sie Ihrer VPC einen IPv6-CIDR-Block zuordnen und Ihren Instances IPv6-Adressen zuweisen, können Instances über ein Internet-Gateway unter Verwendung von IPv6 eine Verbindung zum Internet herstellen. Alternativ können Instances ausgehende Verbindungen zum Internet über IPv6 mithilfe eines nur für ausgehenden Verkehr zuständigen Internet-Gateways initiieren. IPv6-Datenverkehr fließt getrennt vom IPv4-Datenverkehr, daher müssen Ihre Routing-Tabellen getrennte Routen für den IPv6-Datenverkehr aufweisen.

Zugriff auf ein Unternehmens- oder Heimnetzwerk

Sie können Ihre VPC optional über eine IPsec- AWS Site-to-Site VPN Verbindung mit Ihrem eigenen Unternehmensrechenzentrum verbinden, wodurch die - AWS Cloud zu einer Erweiterung Ihres Rechenzentrums wird.

Eine Site-to-Site-VPN-Verbindung besteht aus zwei VPN-Tunneln zwischen einem Virtual Private Gateway oder Transit-Gateway auf der - AWS Seite und einem Kunden-Gateway-Gerät in Ihrem Rechenzentrum. Ein Kunden-Gateway-Gerät ist ein physisches Gerät oder eine Softwareanwendung, die auf Ihrer Seite der Site-to-Site VPN-Verbindung konfiguriert wird.

Verbinden von VPCs und Netzwerken

Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs, die den privaten Datenverkehr zwischen diesen beiden VPCs ermöglicht. Instances in jeder der VPCs können so miteinander kommunizieren, als befänden sie sich im selben Netzwerk.

Sie können auch ein Transit-Gateway erstellen und damit Ihre VPCs und On-Premises-Netzwerke miteinander verbinden. Das Transit-Gateway fungiert als regionaler virtueller Router für den Datenverkehr zwischen seinen Anhängen, der VPCs, VPN-Verbindungen, AWS Direct Connect Gateways und Transit-Gateway-Peering-Verbindungen umfassen kann.

AWS Privates globales Netzwerk

AWS bietet ein privates Netzwerk mit hoher Leistung und geringer Latenz, das eine sichere Cloud-Computing-Umgebung bereitstellt, um Ihre Netzwerkanforderungen zu erfüllen. AWS Die Regionen sind mit mehreren Internetdienstanbietern sowie einem privaten Netzwerk-Backbone verbunden, die die Netzwerkleistung des durch die Kunden erzeugten regionsübergreifenden Datenverkehrs verbessern.

Beachten Sie die folgenden Überlegungen:

  • Datenverkehr, der sich in einer Availability Zone oder zwischen Availability Zones in allen Regionen befindet, wird über das AWS private globale Netzwerk geleitet.

  • Datenverkehr, der sich zwischen -Regionen befindet, wird immer über das AWS private globale Netzwerk geleitet, mit Ausnahme der Regionen in China.

Verschiedene Faktoren können einen Netzwerkpaketverlust verursachen, darunter Netzwerkflusskollisionen, Low-Level-Fehler (Layer 2) und andere Netzwerkfehler. Wir konstruieren und betreiben unsere Netzwerke so, dass der Paketverlust minimiert wird. Wir messen die Paketverlustrate (Paket-Loss Rate, PLR) über das globale Backbone, das die AWS Regionen verbindet. Wir betreiben unser Backbone-Netzwerk mit dem Ziel von p99 der stündlichen PLR von weniger als 0,0001 %.