Erstellen einer VPC - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer VPC

Mithilfe der folgenden Verfahren können Sie eine Virtual Private Cloud (VPC) erstellen. Eine VPC muss über zusätzliche Ressourcen wie Subnetze, Routentabellen und Gateways verfügen, bevor Sie AWS -Ressourcen in der VPC erstellen können.

Hinweise zum Ändern einer VPC finden Sie unterFügen Sie Ihrer VPC einen CIDR-Block hinzu oder entfernen Sie ihn.

Erstellen Sie eine VPC und andere VPC-Ressourcen

Gehen Sie wie folgt vor, um eine VPC sowie die zusätzlichen VPC-Ressourcen zu erstellen, die Sie zum Ausführen Ihrer Anwendung benötigen, z. B. Subnetze, Routing-Tabellen, Internet-Gateways und NAT-Gateways. Beispielkonfigurationen finden Sie unter VPC-Beispiele.

So erstellen Sie eine VPC, Subnetze und weitere VPC-Ressourcen mit der Konsole
  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie auf dem VPC-Dashboard Create VPC (VPC erstellen) aus.

  3. Wählen Sie unter Zu erstellende Ressourcen die Option VPC und mehr aus.

  4. Lassen Sie die automatische Generierung von Namenstags aktiviert, um Namenstags für die VPC-Ressourcen zu erstellen, oder deaktivieren Sie die Option, um Ihre eigenen Namenstags für die VPC-Ressourcen bereitzustellen.

  5. Geben Sie für den IPv4-CIDR-Block einen IPv4-Adressbereich für die VPC ein. Eine VPC muss einen IPv4-Adressbereich aufweisen.

  6. (Optional) Um IPv6-Datenverkehr zu unterstützen, wählen Sie IPv6-CIDR-Block, Von Amazon bereitgestellter IPv6-CIDR-Block.

  7. Wählen Sie eine Tenancy-Option aus. Diese Option definiert, ob in der VPC gestartete EC2-Instances auf Hardware ausgeführt werden, die gemeinsam mit anderen AWS-Konten genutzt wird, oder auf Hardware, die ausschließlich für Ihre Verwendung bestimmt ist. Wenn Sie die Tenancy der VPC als Tenancy wählen, verwenden EC2-InstancesDefault, die in dieser VPC gestartet werden, das Tenancy-Attribut, das Sie beim Starten der Instance angegeben haben. Weitere Informationen finden Sie unter Starten einer Instance mithilfe definierter Parameter im Amazon EC2 EC2-Benutzerhandbuch. Wenn Sie für die Tenancy der VPC Dedicated auswählen, werden die Instances immer als Dedicated Instances auf Hardware ausgeführt, die für Ihre Verwendung bestimmt ist. Wenn du AWS Outposts verwendest, benötigt dein Outpost private Konnektivität; du musst Tenancy verwendenDefault.

  8. Für die Anzahl der Availability Zones (AZs) empfiehlt es sich, Subnetze in mindestens zwei Availability Zones für eine Produktionsumgebung bereitzustellen. Um die AZs für Ihre Subnetze auszuwählen, erweitern Sie die Option AZs anpassen. Andernfalls lassen Sie uns sie AWS für Sie auswählen.

  9. Um Ihre Subnetze zu konfigurieren, wählen Sie Werte für Anzahl der öffentlichen Subnetze und Anzahl der privaten Subnetze. Um die IP-Adressbereiche für Ihre Subnetze auszuwählen, erweitern Sie die Option CIDR-Blöcke für Subnetze anpassen. Andernfalls lassen Sie uns sie für Sie AWS auswählen.

  10. (Optional) Falls Ressourcen in einem privaten Subnetz Zugang zum öffentlichen Internet über IPv4 benötigen, bestimmen Sie für NAT-Gateways die Anzahl der AZs, in denen NAT-Gateways erstellt werden sollen. In der Produktion empfehlen wir, in jeder AZ ein NAT-Gateway mit Ressourcen bereitzustellen, die Zugriff auf das öffentliche Internet benötigen. Beachten Sie, dass für NAT-Gateways Kosten anfallen. Weitere Informationen finden Sie unter Preise für Gateways NAT.

  11. (Optional) Wenn Ressourcen in einem privaten Subnetz über IPv6 Zugriff auf das öffentliche Internet benötigen, wählen Sie bei Internet-Gateway nur für ausgehenden Verkehr die Option Ja aus.

  12. (Optional) Wenn Sie direkt von Ihrer VPC aus auf Amazon S3 zugreifen müssen, wählen Sie VPC-Endpunkte, S3 Gateway. Dadurch wird ein Gateway-VPC-Endpunkt für Amazon S3 erstellt. Weitere Informationen finden Sie unter Gateway-VPC-Endpunkte im AWS PrivateLink -Leitfaden.

  13. (Optional) Für DNS-Optionen sind beide Optionen für die Auflösung von Domainnamen standardmäßig aktiviert. Wenn die Standardeinstellung Ihren Anforderungen nicht entspricht, können Sie diese Optionen deaktivieren.

  14. (Optional) Um ein Tag zu Ihrer VPC hinzuzufügen, erweitern Sie Zusätzliche Tags, wählen Sie Neues Tag hinzufügen, und geben Sie einen Tag-Schlüssel und einen Tag-Wert ein.

  15. Im Vorschau-Bereich können Sie die Beziehungen zwischen Ressourcen, die Sie konfiguriert haben, innerhalb einer VPC visualisieren. Durchgezogene Linien stellen die Beziehungen zwischen Ressourcen dar. Gepunktete Linien stellen den Netzwerkverkehr zu NAT-Gateways, Internet-Gateways und Gateway-Endpunkten dar. Sobald Sie die VPC erstellt haben, können Sie die Ressourcen in Ihrer VPC in diesem Format jederzeit über die Registerkarte Ressourcenkarte visualisieren. Weitere Informationen finden Sie unter Visualisierung der Ressourcen in Ihrer VPC.

  16. Wählen Sie VPC erstellen aus, sobald Sie mit der Konfiguration Ihrer VPC fertig sind.

Ausschließliches Erstellen einer VPC

Verwenden Sie das folgende Verfahren, um mithilfe der Amazon-VPC-Konsole eine VPC ohne zusätzliche VPC-Ressourcen zu erstellen.

Erstellen einer VPC ohne zusätzliche VPC-Ressourcen mithilfe der Konsole
  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie auf dem VPC-Dashboard Create VPC (VPC erstellen) aus.

  3. Wählen Sie unter Zu erstellende Ressourcen die Option Nur VPC aus.

  4. (Optional) Geben Sie unter Namenstag einen Namen für Ihre VPC ein. Auf diese Weise wird ein Tag mit dem Schlüssel Name und dem von Ihnen angegebenen Wert erstellt.

  5. Führen Sie für IPv4 CIDR block (IPv4-CIDR-Block) einen der folgenden Schritte aus:

    • Wählen Sie die manuelle IPv4-CIDR-Eingabe und geben Sie einen IPv4-Adressbereich für Ihre VPC ein.

    • Wählen Sie IPAM-zugewiesenen IPv4-CIDR-Block, wählen Sie Ihren Amazon VPC IP Address Manager (IPAM)-IPv4-Adresspool und eine Netzmaske aus. Die Größe des CIDR-Blocks ist durch die Zuordnungsregeln für den IPAM-Pool begrenzt. IPAM ist eine VPC-Funktion, die es Ihnen erleichtert, IP-Adressen für Ihre AWS Workloads zu planen, zu verfolgen und zu überwachen. Weitere Informationen finden Sie im Amazon VPC IPAM-Benutzerhandbuch.

      Wenn Sie IPAM zur Verwaltung Ihrer IP-Adressen verwenden, empfehlen wir Ihnen, diese Option zu wählen. Andernfalls könnte sich der CIDR-Block, den Sie für Ihre VPC angeben, mit einer IPAM-CIDR-Zuordnung überschneiden.

  6. (Optional) Um eine Dual-Stack-VPC zu erstellen, geben Sie einen IPv6-Adressbereich für Ihre VPC an. Führen Sie für IPv6 CIDR block (IPv6-CIDR-Block) einen der folgenden Schritte aus:

    • Wählen Sie IPAM-zugewiesener IPv6-CIDR-Block, wenn Sie Amazon VPC IP Address Manager verwenden und ein IPv6-CIDR aus einem IPAM-Pool bereitstellen möchten. Sie haben zwei Möglichkeiten, der VPC einen IP-Adressbereich unter dem CIDR-Block bereitzustellen:

      • Netzmaskenlänge: Wählen Sie diese Option, um eine Netzmaskenlänge für den CIDR auszuwählen. Führen Sie eine der folgenden Aktionen aus:

        • Wenn für den IPAM-Pool eine Standard-Netzmaskenlänge ausgewählt wurde, können Sie die Standardlänge der IPAM-Netzmaske wählen, um die vom IPAM-Administrator für den IPAM-Pool festgelegte Standard-Netzmaskenlänge zu verwenden. Weitere Informationen zur optionalen Standardregel für die Zuweisung von Netzmaskenlänge finden Sie unter Erstellen eines regionalen IPv6-Pools im Amazon-VPC-IPAM-Benutzerhandbuch.

        • Wenn keine Standard-Netzmaskenlänge für den IPAM-Pool ausgewählt wurde, wählen Sie eine Netzmaskenlänge, die spezifischer ist als die Netzmaskenlänge des IPAM-Pool-CIDR. Wenn der IPAM-Pool-CIDR beispielsweise /50 ist, können Sie für die VPC eine Netzmaskenlänge zwischen /52 und /60 wählen. Mögliche Netzmaskenlängen liegen zwischen /44 und /60 in Schritten von /4.

      • Einen CIDR wählen: Wählen Sie diese Option, um eine IPv6-Adresse manuell einzugeben. Sie können nur eine Netzmaskenlänge wählen, die spezifischer als die Netzmaskenlänge des IPAM-Pool-CIDR ist. Wenn der IPAM-Pool-CIDR beispielsweise /50 ist, können Sie für die VPC eine Netzmaskenlänge zwischen /52 und /60 wählen. Mögliche IPv6-Netzmaskenlängen liegen zwischen /44 und /60 in Schritten von /4.

    • Wählen Sie von Von Amazon bereitgestellter IPv6-CIDR-Block aus, um einen IPv6-CIDR-Block aus dem IPv6-Adresspool von Amazon anzufordern. Wählen Sie für Network Border Group die Gruppe aus, aus der IP-Adressen AWS beworben werden. Amazon bietet eine feste IPv6-CIDR-Blockgröße von /56.

    • Wählen Sie IPv6-CIDR im Besitz von mir) aus, um ein IPv6-CIDR bereitzustellen, das Sie bereits in AWS eingebunden haben. Weitere Informationen zum Herstellen eigener IP-Adressbereiche finden Sie unter Bring your own IP Addresses (BYOIP) im Amazon EC2 EC2-Benutzerhandbuch. AWS Sie können einen IP-Adressbereich für die VPC bereitstellen, indem Sie die folgenden Optionen für den CIDR-Block verwenden:

      • Keine Präferenz: Wählen Sie diese Option, um die Netzmaskenlänge /56 zu verwenden.

      • CIDR auswählen: Wählen Sie diese Option, um eine IPv6-Adresse manuell einzugeben und eine Netzmaskenlänge zu wählen, die spezifischer ist als die Größe des BYOIP-CIDR. Wenn der BYOIP-Pool-CIDR beispielsweise /50 ist, können Sie für die VPC eine Netzmaskenlänge zwischen /52 und /60 wählen. Mögliche IPv6-Netzmaskenlängen liegen zwischen /44 und /60 in Schritten von /4.

  7. (Optional) Wählen Sie eine Tenancy-Option aus. Diese Option definiert, ob in der VPC gestartete EC2-Instances auf Hardware ausgeführt werden, die gemeinsam mit anderen AWS-Konten genutzt wird, oder auf Hardware, die ausschließlich für Ihre Verwendung bestimmt ist. Wenn Sie die Tenancy der VPC als Tenancy wählen, verwenden EC2-InstancesDefault, die in dieser VPC gestartet werden, das Tenancy-Attribut, das Sie beim Starten der Instance angegeben haben. Weitere Informationen finden Sie unter Starten einer Instance mit definierten Parametern im Amazon EC2 EC2-Benutzerhandbuch. Wenn Sie für die Tenancy der VPC Dedicated auswählen, werden die Instances immer als Dedicated Instances auf Hardware ausgeführt, die für Ihre Verwendung bestimmt ist. Wenn du AWS Outposts verwendest, benötigt dein Outpost private Konnektivität; du musst Tenancy verwendenDefault.

  8. (Optional) Sie fügen ein Tag hinzu, indem Sie Neuen Tag hinzufügen auswählen und den Tag-Schlüssel und -Wert eingeben.

  9. Wählen Sie VPC erstellen aus.

  10. Nachdem Sie eine VPC erstellt haben, können Sie Subnetze hinzufügen. Weitere Informationen finden Sie unter Erstellen eines Subnetzes.

Erstellen Sie eine VPC mit dem AWS CLI

Das folgende Verfahren enthält AWS CLI Beispielbefehle zum Erstellen einer VPC sowie die zusätzlichen VPC-Ressourcen, die zum Ausführen einer Anwendung erforderlich sind. Wenn Sie alle Befehle in diesem Verfahren ausführen, erstellen Sie eine VPC, ein öffentliches Subnetz, ein privates Subnetz, eine Routing-Tabelle für jedes Subnetz, ein Internet-Gateway, ein Internet-Gateway nur für ausgehenden Verkehr und ein öffentliches NAT-Gateway. Wenn Sie nicht alle diese Ressourcen benötigen, können Sie nur die Beispielbefehle verwenden, die Sie benötigen.

Voraussetzungen

Bevor Sie beginnen, installieren und konfigurieren Sie die AWS CLI. Wenn Sie das konfigurieren AWS CLI, werden Sie zur AWS Eingabe von Anmeldeinformationen aufgefordert. In den Beispielen in diesem Tutorial wird davon ausgegangen, dass Sie eine Standardregion konfiguriert haben. Andernfalls fügen Sie für jeden Befehl die --region-Option hinzu. Informationen finden Sie unter Installieren und Aktualisieren der AWS CLI und Konfigurieren der AWS CLI.

Tagging

Sie können einer Ressource Tags hinzufügen, nachdem Sie sie mit dem Befehl create-tags erstellt haben. Alternativ können Sie die --tag-specification-Option wie folgt zum Erstellungsbefehl für die Ressource hinzufügen.

--tag-specifications ResourceType=vpc,Tags=[{Key=Name,Value=my-project}]
So erstellen Sie eine VPC plus VPC-Ressourcen mit dem AWS CLI
  1. Verwenden Sie den folgenden create-vpc, um eine VPC mit dem angegebenen IPv4-CIDR-Block zu erstellen.

    aws ec2 create-vpc --cidr-block 10.0.0.0/24 --query Vpc.VpcId --output text

    Um eine Dual-Stack-VPC zu erstellen, fügen Sie alternativ die --amazon-provided-ipv6-cidr-block-Option hinzu, u, einen von Amazon bereitgestellten IPv6-CIDR-Block hinzuzufügen, wie im folgenden Beispiel gezeigt.

    aws ec2 create-vpc --cidr-block 10.0.0.0/24 --amazon-provided-ipv6-cidr-block --query Vpc.VpcId --output text

    Der Befehl gibt die ID der neuen VPC zurück. Im Folgenden wird ein Beispiel gezeigt.

    vpc-1a2b3c4d5e6f1a2b3
  2. [Dual-Stack-VPC] Rufen Sie den IPv6-CIDR-Block ab, der mit der VPC verknüpft ist, indem Sie den folgenden Befehl describe-vpcs verwenden.

    aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query Vpcs[].Ipv6CidrBlockAssociationSet[].Ipv6CidrBlock --output text

    Es folgt eine Beispielausgabe.

    2600:1f13:cfe:3600::/56
  3. Erstellen Sie ein oder mehrere Subnetze, je nach Anwendungsfall. In der Produktion empfehlen wir Ihnen, Ressourcen in mindestens zwei Availability Zones zu starten. Führen Sie einen der folgenden Befehle zum Erstellen jedes Subnetzes aus.

    • Nur IPv4-Subnetz – Um ein Subnetz mit einem bestimmten IPv4-CIDR-Block zu erstellen, verwenden Sie den folgenden Befehl create-subnet aus.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --cidr-block 10.0.1.0/20 --availability-zone us-east-2a --query Subnet.SubnetId --output text
    • Dual-Stack-Subnetz – Wenn Sie eine Dual-Stack-VPC erstellt haben, können Sie die --ipv6-cidr-block-Option verwenden, um ein Dual-Stack-Subnetz zu erstellen, wie im folgenden Befehl gezeigt.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --cidr-block 10.0.1.0/20 --ipv6-cidr-block 2600:1f13:cfe:3600::/64 --availability-zone us-east-2a --query Subnet.SubnetId --output text
    • Nur IPv6-Subnetz – Wenn Sie eine Dual-Stack-VPC erstellt haben, können Sie die --ipv6-native-Option verwenden, um ein Nur-IPv6-Subnetz zu erstellen, wie im folgenden Befehl gezeigt.

      aws ec2 create-subnet --vpc-id vpc-1a2b3c4d5e6f1a2b3 --ipv6-native --ipv6-cidr-block 2600:1f13:cfe:3600::/64 --availability-zone us-east-2a --query Subnet.SubnetId --output text

    Der Befehl gibt die ID des neuen Subnetzes zurück. Im Folgenden wird ein Beispiel gezeigt.

    subnet-1a2b3c4d5e6f1a2b3
  4. Wenn Sie ein öffentliches Subnetz für Ihre Webserver oder für ein NAT-Gateway benötigen, gehen Sie wie folgt vor:

    1. Erstellen Sie mit dem folgenden create-internet-gatewayBefehl ein Internet-Gateway. Der Befehl gibt die ID des neuen Internet-Gateways zurück.

      aws ec2 create-internet-gateway --query InternetGateway.InternetGatewayId --output text
    2. Verbinden Sie das Internet-Gateway mit Ihrer VPC, indem Sie den folgenden attach-internet-gatewayBefehl verwenden. Verwenden Sie die Internet-Gateway-ID, die Sie aus dem vorherigen Schritt erhalten.

      aws ec2 attach-internet-gateway --vpc-id vpc-1a2b3c4d5e6f1a2b3 --internet-gateway-id igw-id
    3. Erstellen Sie mit dem folgenden create-route-tableBefehl eine benutzerdefinierte Routing-Tabelle für Ihr öffentliches Subnetz. Der Befehl gibt die ID der neuen Routung-Tabelle zurück.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text
    4. Erstellen Sie mit dem folgenden Befehl create-route eine Route in der Routing-Tabelle, die den gesamten IPv4-Datenverkehr an das Internet-Gateway sendet. Verwenden Sie die ID der Routing-Tabelle für das öffentliche Subnetz.

      aws ec2 create-route --route-table-id rtb-id-public --destination-cidr-block 0.0.0.0/0 --gateway-id igw-id
    5. Ordnen Sie die Routing-Tabelle mithilfe des folgenden associate-route-tableBefehls dem öffentlichen Subnetz zu. Verwenden Sie die ID der Routing-Tabelle für das öffentliche Subnetz und die ID des öffentlichen Subnetzes.

      aws ec2 associate-route-table --route-table-id rtb-id-public --subnet-id subnet-id-public-subnet
  5. [IPv6] Sie können ein reines Ausgangs-Internet-Gateway hinzufügen, damit Instances in einem privaten Subnetz über IPv6 auf das Internet zugreifen können (z. B. um Software-Updates zu erhalten), aber Hosts im Internet können nicht auf Ihre Instances zugreifen.

    1. Erstellen Sie mit dem folgenden -gateway-Befehl ein Internet-Gateway, das nur für ausgehenden Datenverkehr bestimmt ist. create-egress-only-internet Der Befehl gibt die ID des neuen Internet-Gateways zurück.

      aws ec2 create-egress-only-internet-gateway --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query EgressOnlyInternetGateway.EgressOnlyInternetGatewayId --output text
    2. Erstellen Sie mit dem folgenden Befehl eine benutzerdefinierte Routing-Tabelle für Ihr privates Subnetz. create-route-table Der Befehl gibt die ID der neuen Routung-Tabelle zurück.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text
    3. Erstellen Sie mit dem folgenden Befehl create-route eine Route in der Routing-Tabelle für das private Subnetz, die den gesamten IPv6-Verkehr an das Internet-Gateway für ausgehenden Verkehr sendet. Verwenden Sie die ID der Routing-Tabelle, die im vorherigen Schritt zurückgegeben wurde.

      aws ec2 create-route --route-table-id rtb-id-private --destination-cidr-block ::/0 --egress-only-internet-gateway eigw-id
    4. Ordnen Sie die Routing-Tabelle mithilfe des folgenden associate-route-tableBefehls dem privaten Subnetz zu.

      aws ec2 associate-route-table --route-table-id rtb-id-private --subnet-id subnet-id-private-subnet
  6. Wenn Sie ein NAT-Gateway für Ihre Ressourcen in einem privaten Subnetz benötigen, gehen Sie wie folgt vor:

    1. Erstellen Sie mit dem folgenden Befehl allocate-address eine elastische IP-Adresse für das NAT-Gateway.

      aws ec2 allocate-address --domain vpc --query AllocationId --output text
    2. Erstellen Sie das NAT-Gateway im öffentlichen Subnetz mit dem folgenden create-nat-gatewayBefehl. Verwenden Sie die Zuordnungs-ID aus dem vorherigen Schritt.

      aws ec2 create-nat-gateway --subnet-id subnet-id-public-subnet --allocation-id eipalloc-id
    3. (Optional) Wenn Sie in Schritt 5 bereits eine Routing-Tabelle für das private Subnetz erstellt haben, überspringen Sie diesen Schritt. Verwenden Sie andernfalls den folgenden create-route-tableBefehl, um eine Routing-Tabelle für Ihr privates Subnetz zu erstellen. Der Befehl gibt die ID der neuen Routung-Tabelle zurück.

      aws ec2 create-route-table --vpc-id vpc-1a2b3c4d5e6f1a2b3 --query RouteTable.RouteTableId --output text
    4. Erstellen Sie mit dem folgenden Befehl create-route eine Route in der Routing-Tabelle für das private Subnetz, die den gesamten IPv4-Verkehr an das NAT-Gateway sendet. Verwenden Sie die ID der Routing-Tabelle für das private Subnetz, die Sie entweder in diesem Schritt oder in Schritt 5 erstellt haben.

      aws ec2 create-route --route-table-id rtb-id-private --destination-cidr-block 0.0.0.0/0 --gateway-id nat-id
    5. (Optional) Wenn Sie in Schritt 5 bereits eine Routing-Tabelle für das private Subnetz zugeordnet haben, überspringen Sie diesen Schritt. Verwenden Sie andernfalls den folgenden associate-route-tableBefehl, um die Routing-Tabelle dem privaten Subnetz zuzuordnen. Verwenden Sie die ID der Routing-Tabelle für das private Subnetz, die Sie entweder in diesem Schritt oder in Schritt 5 erstellt haben.

      aws ec2 associate-route-table --route-table-id rtb-id-private --subnet-id subnet-id-private-subnet