Aktivieren von ausgehendem IPv6-Datenverkehr mit einem Internet-Gateway, das nur ausgehenden Verkehr zulässt

Ein Internet-Gateway nur für ausgehenden Verkehr ist eine horizontal skalierte, redundante und hochverfügbare VPC-Komponente, die ausgehende Kommunikation über IPv6-Instances in Ihrer VPC zum Internet ermöglicht. Darüber hinaus verhindert sie, dass das Internet eine IPv6-Verbindung mit Ihren Instances initiiert.

Ein Internet-Gateway nur für ausgehenden Verkehr steht ausschließlich für den IPv6-Datenverkehr zur Verfügung. Verwenden Sie stattdessen ein NAT-Gateway, um die ausgehende Internet-Kommunikation über IPv4 zuzulassen. Weitere Informationen finden Sie unter NAT gateways (NAT-Gateways).

Preisgestaltung

Für ein Internet-Gateway für reinen ausgehenden Datenverkehr fallen keine Gebühren an. Für EC2-Instances, die Internet-Gateways verwenden, fallen jedoch Datenübertragungsgebühren an. Weitere Informationen finden Sie unter Amazon EC2 – On-Demand-Preise.

Grundlagen des Internet-Gateways für ausgehenden Verkehr

IPv6-Adressen sind global eindeutig und daher standardmäßig öffentlich. Wenn Sie Ihrer Instance den Zugriff auf das Internet ermöglichen, aber verhindern möchten, dass Internet-Ressourcen die Kommunikation mit Ihrer Instance initiieren, verwenden Sie ein Internet-Gateway nur für ausgehenden Verkehr. Erstellen Sie dazu in Ihrer VPC ein Internet-Gateway nur für ausgehenden Verkehr und fügen Sie Ihrer Routing-Tabelle eine Route hinzu, die den gesamten IPv6-Datenverkehr (::/0) oder einen bestimmten Bereich von IPv6-Adressen an das Internet-Gateway nur für ausgehenden Verkehr leitet. IPv6-Datenverkehr im Subnetz, der mit der Routing-Tabelle verknüpft ist, wird an das Internet-Gateway nur für ausgehenden Verkehr weitergeleitet.

Das Internet-Gateway nur für ausgehenden Verkehr ist zustandsbehaftet: Es leitet Datenverkehr von den Instances im Subnetz an das Internet oder andere AWS-Services weiter und sendet die Antwort dann zurück an die Instances.

Sie können eine Sicherheitsgruppe nicht mit einem Internet-Gateway nur für ausgehenden Datenverkehr verknüpfen, um den Datenverkehr zu kontrollieren, der das Internet-Gateway nur für ausgehenden Datenverkehr erreichen oder verlassen darf. Sie können eine Netzwerk-ACL verwenden, um den Datenverkehr zu und von dem Subnetz zu steuern, für das das Internet-Gateway nur für ausgehenden Verkehr Datenverkehr weiterleitet.

Im folgenden Diagramm verfügen sowohl die VPC als auch das Subnetz über IPv4- und IPv6-CIDR-Blöcke. Die VPC verfügt über ein Internet-Gateway, das nur ausgehenden Verkehr zulässt.

Die folgende Tabelle ist ein Beispiel für eine Routing-Tabelle, die dem Subnetz zugeordnet ist. Es gibt eine Route, über die der gesamte für das Internet bestimmte IPv6-Datenverkehr (::/0) an das nur für ausgehenden Verkehr vorgesehene Internet-Gateway gesendet wird.