Aktivieren des Internetzugangs für eine VPC mithilfe eines Internet-Gateways
Ein Internet-Gateway ist eine horizontal skalierte, redundante und hochverfügbare VPC-Komponente, die die Kommunikation zwischen Ihrer VPC und dem Internet ermöglicht. Es unterstützt IPv4- und IPv6-Datenverkehr. Es verursacht keine Verfügbarkeitsrisiken oder Bandbreitenbeschränkungen für den Netzwerkverkehr.
Über ein Internet-Gateway können Ressourcen in Ihren öffentlichen Subnetzen (wie EC2-Instances) eine Internetverbindung herstellen, sofern sie über eine öffentliche IPv4-Adresse oder eine IPv6-Adresse verfügen. Desgleichen können Ressourcen im Internet über die öffentliche IPv4-Adresse oder die IPv6-Adresse eine Verbindung mit Ressourcen in Ihrem Subnetz initiieren. Mit einem Internet-Gateway können Sie beispielsweise auf Ihrem lokalen Computer eine Verbindung zu einer EC2-Instance in AWS herstellen.
Ein Internet-Gateway bietet in Ihren VPC-Routing-Tabellen ein Ziel für über das Internet routingfähigen Datenverkehr. Für die Kommunikation über IPv4 führt das Internet-Gateway auch Network Address Translation (NAT) aus. Weitere Informationen finden Sie unter IP-Adressen und NAT.
Preisgestaltung
Für ein Internet-Gateway fallen keine Gebühren an. Für EC2-Instances, die Internet-Gateways verwenden, fallen jedoch Datenübertragungsgebühren an. Weitere Informationen finden Sie unter Amazon EC2 – On-Demand-Preise
Inhalt
Grundlagen zu Internet-Gateways
Um ein Internet-Gateway zu verwenden, müssen Sie es einer VPC anhängen und Routing konfigurieren.
Weiterleitungskonfiguration
Ist ein Subnetz einer Routing-Tabelle zugewiesen, die über eine Route zu einem Internet-Gateway verfügt, wird es als öffentliches Subnetz bezeichnet. Wenn ein Subnetz einer Routing-Tabelle zugeordnet ist, die über keine Route zu einem Internet-Gateway verfügt, wird es als privates Subnetzbezeichnet.
In der öffentlichen Subnetz-Routingtabelle können Sie eine Route für das Internet-Gateway für alle Ziele festlegen, die der Routingtabelle nicht ausdrücklich bekannt sind ((0.0.0.0/0 für IPv4 oder ::/0 für IPv6). Alternativ können Sie die Route auf einen engeren Bereich von IP-Adressen festlegen, z. B. auf die öffentlichen IPv4-Adressen der öffentlichen Endpunkte Ihres Unternehmens außerhalb von AWS oder auf die Elastic-IP-Adressen anderer Amazon-EC2-Instances außerhalb Ihrer VPC.
Abbildung zu Internet-Gateways
In der folgenden Abbildung ist das Subnetz in Availability Zone A ein öffentliches Subnetz, da seine Routing-Tabelle eine Route hat, die den gesamten IPv4-Internet-Datenverkehr an das Internet-Gateway sendet. Die Instances im öffentlichen Subnetz müssen öffentliche IP-Adressen oder elastische IP-Adressen haben, um die Kommunikation mit dem Internet über das Internet-Gateway zu ermöglichen. Zum Vergleich ist das Subnetz in Availability Zone B ein privates Subnetz, da seine Routing-Tabelle keine Route zum Internet-Gateway hat. Da es keine Route zum Internet-Gateway gibt, können Instances im privaten Subnetz nicht mit dem Internet kommunizieren, selbst wenn sie über öffentliche IP-Adressen verfügen.
IP-Adressen und NAT
Damit die Kommunikation über das Internet für IPv4 aktiviert werden kann, muss Ihre Instance über eine öffentliche IPv4-Adresse verfügen. Sie können entweder Ihre VPC so konfigurieren, dass sie Instances öffentliche IPv4-Adressen zuweist, oder Sie können Instances Elastic-IP-Adressen zuweisen. Ihre Instance ist nur mit dem privaten (internen) IP-Adressraum kompatibel, der innerhalb der VPC und dem Subnetz definiert ist. Daher stellt das Internet-Gateway auch die 1:1-NAT für Ihre Instance bereit. Verlässt der Datenverkehr nun Ihr VPC-Subnetz, um im Internet angezeigt zu werden, wird im Feld für die Antwortadresse die öffentliche IPv4-Adresse oder die Elastic-IP-Adresse Ihrer Instance angegeben und nicht die private IP-Adresse. Umgekehrt wird der Zielbereich des Datenverkehrs, der für die öffentliche IPv4-Adresse oder Elastic-IP-Adresse Ihrer Instance bestimmt ist, in die private IPv4-Adresse übersetzt, bevor der Datenverkehr an die VPC übermittelt wird.
Damit die Kommunikation über das Internet für IPv6 aktiviert werden kann, muss Ihre VPC und Ihr Subnetz über einen zugehörigen IPv6 CIDR-Block verfügen und Ihrer Instance muss eine IPv6-Adresse aus dem Subnetzbereich zugeordnet sein. IPv6-Adressen sind global eindeutig und daher standardmäßig öffentlich.
Internetzugriff für standardmäßige und nicht standardmäßige VPCs
Die folgende Tabelle bietet eine Übersicht darüber, ob Ihre VPC automatisch über die Komponenten verfügt, die für den Internetzugriff über IPv4 oder IPv6 notwendig sind.
| Komponente | Standard-VPC | Nicht standardmäßige VPC |
|---|---|---|
| Internet-Gateway | Ja | Nein |
| Routing-Tabelle mit Route zum Internet-Gateway für IPv4-Datenverkehr (0.0.0.0/0) | Ja | Nein |
| Routing-Tabelle mit Route zum Internet-Gateway für IPv6-Datenverkehr (::/0) | Nein | Nein |
| Automatische Zuordnung der öffentlichen IPv4-Adresse zur Instance, die im Subnetz gestartet wird | Ja (standardmäßiges Subnetz) | Nein (nicht standardmäßiges Subnetz) |
| Automatische Zuordnung der öffentlichen IPv6-Adresse zur Instance, die im Subnetz gestartet wird | Nein (standardmäßiges Subnetz) | Nein (nicht standardmäßiges Subnetz) |
