Leiten Sie den Internetverkehr an eine einzige Netzwerkschnittstelle weiter - Amazon Virtual Private Cloud
Bevor Sie beginnenSo funktioniert diese FunktionSchritt 1: Erstellen einer VPCSchritt 2: Erstellen Sie ein Internet-Gateway und schließen Sie es anSchritt 3: Erstellen Sie ein Subnetz für Ihre Ziel-InstanceSchritt 4: Erstellen Sie eine Routing-Tabelle für das SubnetzSchritt 5: Erstellen Sie eine Sicherheitsgruppe für die ZielinstanzSchritt 6: Starten Sie die Zielinstanz EC2 Schritt 7: Erstellen Sie die Internet-Gateway-RoutentabelleSchritt 8: Ordnen Sie die Routentabelle dem Internet-Gateway zuSchritt 9: Verknüpfen Sie Ihren BYOIP-Pool mit dem Internet-GatewaySchritt 10: Fügen Sie eine statische Route als Ziel für Ihre Instance hinzuSchritt 11: Konfigurieren Sie die Ziel-InstanceSchritt 12: Konfigurieren Sie die Instanz für die Verarbeitung des DatenverkehrsSchritt 13: Konnektivität testenFehlersucheErweiterte Option: Routenserver-Integration für dynamisches RoutingBereinigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Leiten Sie den Internetverkehr an eine einzige Netzwerkschnittstelle weiter

Sie können eingehenden Internetverkehr, der für große Pools öffentlicher IP-Adressen bestimmt ist, an ein einzelnes elastic network interface (ENI) in Ihrer VPC weiterleiten.

Bisher akzeptierten Internet-Gateways nur Datenverkehr, der für öffentliche IP-Adressen bestimmt war, die direkt mit Netzwerkschnittstellen in der VPC verknüpft waren. Bei Instance-Typen ist die Anzahl der IP-Adressen, die Netzwerkschnittstellen zugeordnet werden können, begrenzt. Dies stellt Branchen wie Telekommunikation und Internet der Dinge (IoT) vor Herausforderungen, die den Datenverkehr für IP-Pools bewältigen müssen, die diese Grenzwerte überschreiten.

Durch dieses Routing entfällt die komplexe Adressübersetzung bei eingehenden Internetverbindungen. Sie können Ihre eigenen öffentlichen IP-Pools (BYOIP) verwenden und Ihr VPC-Internet-Gateway so konfigurieren, dass es den Datenverkehr für den gesamten Pool akzeptiert und an eine einzige Netzwerkschnittstelle weiterleitet. Diese Funktion ist besonders nützlich für:

  • Telekommunikation: Verwaltung großer Abonnenten-IP-Pools ohne Mehraufwand bei der Adressübersetzung

  • IoT-Anwendungen: Konsolidierung des Datenverkehrs von Tausenden von Geräte-IP-Adressen

  • Beliebiges Szenario: Datenverkehrsweiterleitung über die ENI-Zuordnungsgrenzen hinaus erforderlich

Sie können dieses Routing in VPC Route Server für dynamische Routenaktualisierungen in Failover-Szenarien integrieren.

Wichtigste Vorteile

Dieser Routing-Ansatz bietet die folgenden Vorteile:

  • Keine Adressübersetzung erforderlich — Direktes Routing macht NAT-Komplexität überflüssig

  • ENI-Grenzwerte umgehen — Behandeln Sie IP-Pools, die die Grenzwerte für die Instanzzuweisung überschreiten

  • Branchenoptimiert — Speziell für Telekommunikations- und IoT-Anforderungen entwickelt

  • Dynamisches Failover — Integriert in Route Server für automatische Updates

Verfügbarkeit

Sie können diese Funktion in allen AWS Handelsregionen, AWS China Regionen und AWS GovCloud Regionen verwenden.

Bevor Sie beginnen

Bevor Sie mit diesem Tutorial beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:

  1. Ein BYOIP-Pool: Sie müssen bereits Ihren eigenen IP-Adressbereich hinzugefügt haben. AWS Führen Sie die Schritte unter Bringen Sie Ihre eigenen IP-Adressen (BYOIP) in Amazon durch. EC2

  2. Überprüfen Sie Ihren BYOIP-Pool: Stellen Sie sicher, dass Ihr Pool bereit ist, indem Sie Folgendes ausführen:

    aws ec2 describe-public-ipv4-pools --region us-east-1

    Suchen Sie in der Ausgabe nach Ihrem Pool und stellen Sie sicher, dass die Adressen PoolAddressRanges angezeigt Available werden.

  3. Geeignete Berechtigungen: Stellen Sie sicher, dass Ihr AWS Konto über Berechtigungen zum Erstellen von VPC-Ressourcen und EC2 Instanzen und zum Verwalten von BYOIP-Pools verfügt.

So funktioniert diese Funktion

In diesem Abschnitt werden die technischen Konzepte hinter dem Routing von eingehenden Internet-Gateways und die Art und Weise erläutert, wie der Datenverkehr vom Internet zu Ihrer Ziel-Instance fließt.

Warum sollten Sie das Ingress-Routing am Internet-Gateway verwenden

Bisher mussten Sie aufgrund von ENI-Zuordnungsbeschränkungen eine Adressübersetzung durchführen, um den Verkehr für eine große Anzahl von IP-Adressen zu konsolidieren. Diese Erweiterung beseitigt diese Komplexität, indem sie das direkte Routing von BYOIP-Pools zu Zielinstanzen ermöglicht.

Wie funktioniert das Routing

Diese Funktion funktioniert nur mit der öffentlichen IP CIDRs , die Sie AWS nach dem BYOIP-Prozess verwenden. Der BYOIP-Prozess stellt sicher, dass Ihr Konto Eigentümer der öffentlichen IP-CIDR ist. Sobald Sie die öffentliche BYOIP-CIDR haben:

  1. Sie ordnen diesen öffentlichen IP-Adresspool einer Internet-Gateway-Routentabelle zu. Das Internet-Gateway muss bereits mit einer VPC verknüpft sein. Diese Zuordnung ermöglicht es der VPC, Datenverkehr anzunehmen, der für das IP-CIDR bestimmt ist. Stellen Sie sicher, dass das Internet-Gateway über eine dedizierte Routing-Tabelle verfügt, die von keinem Subnetz gemeinsam genutzt wird.

  2. Nachdem Sie den BYOIP-Pool der Internet-Gateway-Routentabelle zugeordnet haben, können Sie eine Route mit einem Ziel, das dem IP-CIDR oder einem Teil davon entspricht, in die Routentabelle des Internet-Gateways eingeben. Das Ziel dieser Route wäre die ENI, an die Sie Ihren Datenverkehr weiterleiten möchten.

  3. Wenn Ihr für Ihren BYOIP-CIDR bestimmter Datenverkehr eingeht AWS, AWS schaut er sich die Internet-Gateway-Routentabelle an und leitet den Verkehr entsprechend an die entsprechende VPC weiter.

  4. Innerhalb der VPC leitet das Internet-Gateway den Datenverkehr an das Ziel-ENI weiter.

  5. Das Ziel (eine elastic network interface, die Ihrem Workload zugeordnet ist) verarbeitet den Datenverkehr.

Bewährte Methoden

  • Halten Sie die Routentabellen getrennt: Die Routentabelle des Internet-Gateways darf nur für das Internet-Gateway reserviert sein. Ordnen Sie diese Routing-Tabelle keinen VPC-Subnetzen zu. Verwenden Sie separate Routentabellen für das Subnetz-Routing.

  • Weisen Sie BYOIP nicht direkt zu IPs: Ordnen Sie öffentliche IP-Adressen aus Ihrem BYOIP-Pool nicht direkt Instanzen oder Netzwerkschnittstellen zu EC2 . Die Ingress-Routing-Funktion des Internet-Gateways leitet den Datenverkehr an Instanzen weiter, ohne dass eine direkte IP-Zuordnung erforderlich ist.

Wichtig

Wenn Sie VPC Block Public Access (BPA) verwenden und BPA aktiviert ist, blockiert es den Datenverkehr zu Subnetzen mithilfe von Ingress Routing, auch wenn Sie einen BPA-Ausschluss auf Subnetzebene eingerichtet haben. Ausschlüsse auf Subnetzebene funktionieren nicht für das Routing von eingehendem Datenverkehr. Gehen Sie wie folgt vor, um eingehenden Routing-Verkehr mit aktiviertem BPA zuzulassen:

  • Deaktivieren Sie BPA vollständig oder

  • Verwenden Sie einen Ausschluss auf VPC-Ebene

Schritt 1: Erstellen einer VPC

Führen Sie diesen Schritt aus, um eine VPC zu erstellen, die Ihre Zielinstanz und Ihr Internet-Gateway hostet.

Anmerkung

Stellen Sie sicher, dass Sie Ihr VPC-Kontingentlimit nicht erreicht haben. Weitere Informationen finden Sie unter Amazon VPC-Kontingente.

AWS console

  1. Öffnen Sie die Amazon VPC-Konsole.

  2. Wählen Sie auf dem VPC-Dashboard Create VPC (VPC erstellen) aus.

  3. Wählen Sie unter Zu erstellende Ressourcen die Option Nur VPC aus.

  4. Geben Sie unter Namenstag einen Namen für Ihre VPC ein (z. B.IGW-Ingress-VPC).

  5. Geben Sie für IPv4 CIDR-Block einen CIDR-Block ein (z. B.). 10.0.0.0/16

  6. Wählen Sie VPC erstellen aus.

AWS CLI

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=IGW-Ingress-VPC}]' --region us-east-1

Schritt 2: Erstellen Sie ein Internet-Gateway und schließen Sie es an

Führen Sie diesen Schritt aus, um ein Internet-Gateway zu erstellen und es an Ihre VPC anzuschließen, um die Internetverbindung zu aktivieren.

AWS console

  1. Öffnen Sie die Amazon VPC-Konsole.

  2. Wählen Sie in der VPC-Konsole Internet-Gateways aus.

  3. Wählen Sie Create internet gateway (Internet-Gateway erstellen) aus.

  4. Geben Sie unter Namenstag einen Namen für Ihr Internet-Gateway ein (z. B.IGW-Ingress-Gateway).

  5. Wählen Sie Create internet gateway (Internet-Gateway erstellen) aus.

  6. Wählen Sie Ihr Internet-Gateway und dann Aktionen, An VPC anhängen.

  7. Wählen Sie Ihre VPC und anschließend Attach Internet Gateway aus.

AWS CLI

aws ec2 create-internet-gateway --tag-specifications 'ResourceType=internet-gateway,Tags=[{Key=Name,Value=IGW-Ingress-Gateway}]' --region us-east-1

aws ec2 attach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0 --region us-east-1

Hinweis: Ersetzen Sie die Ressource IDs durch Ihre aktuelle Ressource IDs aus dem vorherigen Schritt.

Schritt 3: Erstellen Sie ein Subnetz für Ihre Ziel-Instance

Schließen Sie diesen Schritt ab, um ein Subnetz zu erstellen, in dem Ihre Ziel-Instance bereitgestellt wird.

AWS console

  1. Wählen Sie im Navigationsbereich der VPC-Konsole Subnets (Subnetze).

  2. Wählen Sie Subnetz erstellen.

  3. Wählen Sie unter VPC-ID Ihre VPC aus.

  4. Geben Sie als Subnetzname einen Namen ein (z. B.). Target-Subnet

  5. Für Availability Zone können Sie eine Zone für Ihr Subnetz auswählen oder die Standardeinstellung Keine Präferenz beibehalten, sodass AWS Sie eine Zone für Sie auswählen können.

  6. Wählen Sie für IPv4 CIDR-Block die Option Manuelle Eingabe aus und geben Sie einen CIDR-Block ein (z. B.). 10.0.1.0/24

  7. Wählen Sie Subnetz erstellen.

AWS CLI

aws ec2 create-subnet \
    --vpc-id vpc-0123456789abcdef0 \
    --cidr-block 10.0.1.0/24 \
    --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Target-Subnet}]' \
    --region us-east-1

Schritt 4: Erstellen Sie eine Routing-Tabelle für das Subnetz

Führen Sie diesen Schritt aus, um eine Routing-Tabelle für Ihr Subnetz zu erstellen und sie dem Subnetz zuzuordnen.

AWS console

  1. Wählen Sie im Navigationsbereich der VPC-Konsole die Option Routentabellen aus.

  2. Klicken Sie auf Create Route Table (Routing-Tabelle erstellen).

  3. Geben Sie unter Name einen Namen für Ihre Routing-Tabelle ein (z. B.Target-Subnet-Route-Table).

  4. Wählen Sie unter VPC Ihre VPC aus.

  5. Klicken Sie auf Create Route Table (Routing-Tabelle erstellen).

  6. Wählen Sie Ihre Routing-Tabelle aus und klicken Sie auf Aktionen, Subnetzzuordnungen bearbeiten.

  7. Wählen Sie Ihr Subnetz aus und wählen Sie Verknüpfungen speichern.

AWS CLI

aws ec2 create-route-table \
    --vpc-id vpc-0123456789abcdef0 \
    --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=Target-Subnet-Route-Table}]' \
    --region us-east-1

aws ec2 associate-route-table \
    --route-table-id rtb-0987654321fedcba0 \
    --subnet-id subnet-0123456789abcdef0 \
    --region us-east-1

Schritt 5: Erstellen Sie eine Sicherheitsgruppe für die Zielinstanz

Schließen Sie diesen Schritt ab, um eine Sicherheitsgruppe zu erstellen, die den Netzwerkzugriff auf Ihre Ziel-Instance steuert.

AWS console

  1. Wählen Sie im Navigationsbereich der VPC-Konsole die Option Sicherheitsgruppen aus.

  2. Wählen Sie Sicherheitsgruppe erstellen aus.

  3. Geben Sie als Name der Sicherheitsgruppe einen Namen ein (z. B.IGW-Target-SG).

  4. Geben Sie für Beschreibung den Text Security group for IGW ingress routing target instance ein.

  5. Wählen Sie im Feld VPC Ihre VPC aus.

  6. Um Regeln für eingehenden Datenverkehr hinzuzufügen, wählen Sie Eingehende Regeln aus. Wählen Sie für jede Regel Regel hinzufügen aus und geben Sie Folgendes an:

    • Typ: All ICMP - IPv4, Quelle: 0.0.0.0/0 (für Ping-Tests).

    • Typ: SSH, Port: 22, Quelle: 0.0.0.0/0 (für EC2 Instance Connect).

Anmerkung

Diese Sicherheitsgruppe öffnet SSH-Ports für den gesamten Internetverkehr für dieses Tutorial. Dieses Tutorial dient Bildungszwecken und sollte nicht für Produktionsumgebungen konfiguriert werden. Beschränken Sie in der Produktion den SSH-Zugriff auf bestimmte IP-Bereiche.

  • Wählen Sie Sicherheitsgruppe erstellen aus.

AWS CLI

aws ec2 create-security-group \
    --group-name IGW-Target-SG \
    --description "Security group for IGW ingress routing target instance" \
    --vpc-id vpc-0123456789abcdef0 \
    --region us-east-1

aws ec2 authorize-security-group-ingress \
    --group-id sg-0123456789abcdef0 \
    --protocol icmp \
    --port -1 \
    --cidr 0.0.0.0/0 \
    --region us-east-1

aws ec2 authorize-security-group-ingress \
    --group-id sg-0123456789abcdef0 \
    --protocol tcp \
    --port 22 \
    --cidr 0.0.0.0/0 \
    --region us-east-1

Schritt 6: Starten Sie die Zielinstanz EC2

Schließen Sie diesen Schritt ab, um die EC2 Instance zu starten, die Traffic von Ihrem BYOIP-Pool empfängt.

AWS console

  1. Öffnen Sie die EC2 Amazon-Konsole.

  2. Wählen Sie Launch Instance (Instance starten) aus.

  3. Geben Sie unter Name einen Namen für Ihre Instance ein (z. B.IGW-Target-Instance).

  4. Wählen Sie für Anwendungs- und Betriebssystem-Images (Amazon Machine Image) Amazon Linux 2023 AMI.

  5. Wählen Sie als Instance-Typ t2.micro (berechtigt für das kostenlose Kontingent).

  6. Wählen Sie für key pair (Anmeldung) ein vorhandenes Schlüsselpaar aus oder erstellen Sie ein neues.

  7. Wählen Sie für Netzwerkeinstellungen die Option Bearbeiten und konfigurieren Sie:

    • VPC: Wählen Sie Ihre VPC

    • Subnetz: Wählen Sie Ihr Subnetz

    • Öffentliche IP automatisch zuweisen: Aktivieren

    • Firewall (Sicherheitsgruppen): Wählen Sie eine bestehende Sicherheitsgruppe und wählen Sie Ihre Sicherheitsgruppe

  8. Wählen Sie Launch Instance (Instance starten) aus.

  9. Wichtig: Gehen Sie nach dem Start zu den Instanzdetails und notieren Sie sich die Netzwerkschnittstellen-ID (beginnt mit „eni-“). Diese benötigen Sie für Schritt 10.

AWS CLI

aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --count 1 \
    --instance-type t2.micro \
    --key-name your-key-pair \
    --security-group-ids sg-0123456789abcdef0 \
    --subnet-id subnet-0123456789abcdef0 \
    --associate-public-ip-address \
    --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=IGW-Target-Instance}]' \
    --region us-east-1

So finden Sie die ENI-ID in der Konsole:

  1. Wählen Sie in der EC2 Konsole Ihre Instance aus.

  2. Gehen Sie zur Registerkarte Netzwerk.

  3. Notieren Sie sich die Netzwerkschnittstellen-ID (z. B.eni-0abcdef1234567890).

Um die ENI-ID zu finden, verwenden Sie AWS CLI:

aws ec2 describe-instances --instance-ids i-0123456789abcdef0 --query 'Reservations[0].Instances[0].NetworkInterfaces[0].NetworkInterfaceId' --output text --region us-east-1

Schritt 7: Erstellen Sie die Internet-Gateway-Routentabelle

Führen Sie diesen Schritt aus, um eine dedizierte Routentabelle für das Internet-Gateway zu erstellen, das das Ingress-Routing abwickelt.

AWS console

  1. Wählen Sie in der VPC-Konsole Route-Tabellen aus.

  2. Klicken Sie auf Create Route Table (Routing-Tabelle erstellen).

  3. Geben Sie unter Name einen Namen für Ihre Routing-Tabelle ein (z. B.IGW-Ingress-Route-Table).

  4. Wählen Sie unter VPC Ihre VPC aus.

  5. Klicken Sie auf Create Route Table (Routing-Tabelle erstellen).

  6. Wählen Sie Ihre Routentabelle und dann die Registerkarte Edge-Verknüpfungen aus.

  7. Wählen Sie Kantenzuordnungen bearbeiten aus.

  8. Wählen Sie Ihr Internet-Gateway aus und klicken Sie auf Änderungen speichern.

AWS CLI

aws ec2 create-route-table \
    --vpc-id vpc-0123456789abcdef0 \
    --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=IGW-Ingress-Route-Table}]' \
    --region us-east-1

Schritt 8: Ordnen Sie die Routentabelle dem Internet-Gateway zu

Führen Sie diesen Schritt aus, um Ihre Routing-Tabelle mit dem Internet-Gateway zu verknüpfen und die Ingress-Routing-Funktionalität zu aktivieren.

AWS console

  1. Wählen Sie im Navigationsbereich der VPC-Konsole die Option Routentabellen und dann die von Ihnen erstellte Routentabelle aus.

  2. Wählen Sie auf der Registerkarte Edge Associations (Edge-Zuordnungen) die Option Edit edge associations (Edge-Zuordnungen bearbeiten) aus.

  3. Aktivieren Sie das Kontrollkästchen für das Internet-Gateway.

  4. Wählen Sie Änderungen speichern aus.

AWS CLI

aws ec2 associate-route-table \
    --route-table-id rtb-0123456789abcdef0 \
    --gateway-id igw-0123456789abcdef0 \
    --region us-east-1

Schritt 9: Verknüpfen Sie Ihren BYOIP-Pool mit dem Internet-Gateway

Führen Sie diesen Schritt aus, um Ihren BYOIP-Pool mit der Internet-Gateway-Routentabelle zu verknüpfen, sodass die VPC Datenverkehr für Ihren IP-Bereich annehmen kann.

AWS console

  1. Wählen Sie im Navigationsbereich der VPC-Konsole die Option Routentabellen und dann die von Ihnen erstellte Internet-Gateway-Routentabelle aus.

  2. Klicken Sie auf die Registerkarte IPv4 Poolzuordnungen.

  3. Klicken Sie auf die Schaltfläche Verknüpfungen bearbeiten.

  4. Wählen Sie Ihren BYOIP-Pool aus (z. B.pool-12345678901234567).

  5. Klicken Sie auf die Schaltfläche Verknüpfungen speichern.

AWS CLI

aws ec2 associate-route-table \
    --route-table-id rtb-0123456789abcdef0 \
    --public-ipv4-pool pool-12345678901234567 \
    --region us-east-1

Hinweis: rtb-0123456789abcdef0 Ersetzen Sie es durch die Route-Tabellen-ID Ihres Internet-Gateways und pool-12345678901234567 durch Ihre BYOIP-Pool-ID.

Schritt 10: Fügen Sie eine statische Route als Ziel für Ihre Instance hinzu

Schließen Sie diesen Schritt ab, um eine Route hinzuzufügen, die den Datenverkehr von Ihrem BYOIP-Bereich zur Netzwerkschnittstelle Ihrer Ziel-Instance leitet.

AWS console

  1. Wählen Sie im Navigationsbereich der VPC-Konsole die Option Routentabellen und dann die von Ihnen erstellte Internet-Gateway-Routentabelle aus.

  2. Wählen Sie Aktionen und dann Routen bearbeiten.

  3. Wählen Sie Route hinzufügen aus.

  4. Geben Sie als Ziel Ihre BYOIP CIDR oder eine Teilmenge ein (z. B.). 203.0.113.0/24 Das Präfix muss zwischen /23 und /28 liegen.

  5. Wählen Sie für Target die Option Netzwerkschnittstelle aus und geben Sie die ENI-ID Ihrer Instanz ein (z. B.eni-0abcdef1234567890).

  6. Wählen Sie Änderungen speichern aus.

AWS CLI

aws ec2 create-route \
    --route-table-id rtb-0123456789abcdef0 \
    --destination-cidr-block 203.0.113.0/24 \
    --network-interface-id eni-0abcdef1234567890 \
    --region us-east-1

Schritt 11: Konfigurieren Sie die Ziel-Instance

Schließen Sie diesen Schritt ab, um Ihre Zielinstanz so zu konfigurieren, dass der für BYOIP-Adressen bestimmte Datenverkehr ordnungsgemäß verarbeitet wird.

Wichtig: Schließen Sie diesen Schritt zur Instanzkonfiguration ab, bevor Sie die Konnektivität testen (Schritt 12). Die Instance muss so konfiguriert sein, dass sie auf BYOIP-Adressen reagiert, damit das Ingress-Routing ordnungsgemäß funktioniert.

AWS console

  1. Stellen Sie mithilfe von Instance Connect eine Verbindung zu Ihrer EC2 Ziel-Instance Connect:

    • Wählen Sie in der EC2 Konsole Ihre Instance aus.

    • Wählen Sie „Aktionen“ > „Connect“.

    • Wählen Sie den Tab EC2 Instance Connect aus.

    • Wählen Sie Connect aus.

  2. Fügen Sie Ihrer Instanzschnittstelle eine bestimmte BYOIP-IP-Adresse hinzu:

    Suchen Sie zunächst nach dem Namen Ihrer Netzwerkschnittstelle:

    ip link show

    Fügen Sie dann die IP-Adresse hinzu (203.0.113.10ersetzen Sie sie durch eine IP aus Ihrem BYOIP-Bereich):

    sudo ip addr add 203.0.113.10/32 dev eth0

    Hinweis: 203.0.113.10 Ersetzen Sie sie durch eine beliebige IP-Adresse aus Ihrem BYOIP-Bereich, die Sie testen möchten. Der Schnittstellenname kann je nach Instanztyp eth0ens5,, oder ähnlich sein.

  3. Deaktivieren Sie in der EC2 Konsole folgende source/destination Prüfung:

    • Wählen Sie Ihre Instance aus.

    • Gehen Sie zur Registerkarte Netzwerk und klicken Sie auf die Netzwerkschnittstelle.

    • Wählen Sie Aktionen, source/dest Häkchen ändern, Deaktivieren.

AWS CLI

aws ec2 modify-network-interface-attribute \
    --network-interface-id eni-0abcdef1234567890 \
    --no-source-dest-check \
    --region us-east-1

Schritt 12: Konfigurieren Sie die Instanz für die Verarbeitung des Datenverkehrs

Führen Sie diesen Schritt aus, um Ihrer Instance BYOIP-Adressen hinzuzufügen und die source/destination Überprüfung zu deaktivieren, um eine korrekte Verarbeitung des Datenverkehrs zu gewährleisten.

AWS console

  1. Stellen Sie mithilfe von Instance Connect eine Verbindung zu Ihrer EC2 Ziel-Instance Connect:

    • Wählen Sie in der EC2 Konsole Ihre Instance aus.

    • Wählen Sie „Aktionen“ > „Connect“.

    • Wählen Sie den Tab EC2 Instance Connect aus.

    • Wählen Sie Connect aus.

  2. Fügen Sie Ihrer Instanzschnittstelle eine bestimmte BYOIP-IP-Adresse hinzu:

    Suchen Sie zunächst nach dem Namen Ihrer Netzwerkschnittstelle:

    ip link show

    Fügen Sie dann die IP-Adresse hinzu (ens5ersetzen Sie sie durch Ihren tatsächlichen Schnittstellennamen):

    sudo ip addr add 203.0.113.10/32 dev ens5

    Hinweis: 203.0.113.10 Ersetzen Sie sie durch eine beliebige IP-Adresse aus Ihrem BYOIP-Bereich, die Sie testen möchten. Der Schnittstellenname kann je nach Instanztyp eth0ens5,, oder ähnlich sein.

  3. Deaktivieren Sie in der EC2 Konsole folgende source/destination Prüfung:

    • Wählen Sie Ihre Instance aus.

    • Gehen Sie zur Registerkarte Netzwerk und klicken Sie auf die Netzwerkschnittstelle.

    • Wählen Sie Aktionen, source/dest Häkchen ändern, Deaktivieren.

AWS CLI

aws ec2 modify-network-interface-attribute \
    --network-interface-id eni-0abcdef1234567890 \
    --no-source-dest-check \
    --region us-east-1

Schritt 13: Konnektivität testen

Führen Sie diesen Schritt aus, um zu überprüfen, ob der Internetverkehr ordnungsgemäß über die BYOIP-Adressen an Ihre Ziel-Instance weitergeleitet wird.

  1. Überwachen Sie auf Ihrer Ziel-Instance den eingehenden Datenverkehr mithilfe von tcpdump:

    sudo tcpdump -i any icmp

  2. Testen Sie von einem anderen Terminal oder Computer aus die Konnektivität zu Ihrer BYOIP-IP-Adresse:

    ping 203.0.113.10

  3. Erwartete Ergebnisse:

    • Der Ping-Befehl sollte erfolgreich sein und Antworten von Ihrer BYOIP-IP-Adresse anzeigen.

    • tcpdump sollte eingehende Pakete für die BYOIP-Adresse anzeigen, ähnlich wie:

      12:34:56.789012 IP 203.0.113.100 > 203.0.113.10: ICMP echo request, id 1234, seq 1, length 64
12:34:56.789123 IP 203.0.113.10 > 203.0.113.100: ICMP echo reply, id 1234, seq 1, length 64

    • Der Datenverkehr sollte so aussehen, als käme er von externen IP-Adressen. Das beweist, dass das Ingress-Routing des Internet-Gateways Internet-Traffic an Ihre Instance weiterleitet.

Fehlersuche

Verwenden Sie diesen Abschnitt, um häufig auftretende Probleme zu lösen, die bei der Einrichtung des Ingress-Routing am Internet-Gateway auftreten können.

Der Datenverkehr erreicht die Instanz nicht

  • Stellen Sie sicher, dass die Routing-Tabelle die richtige ENI-ID als Ziel hat.

  • Vergewissern Sie sich, dass der BYOIP-Pool der Internet-Gateway-Routentabelle zugeordnet ist.

  • Vergewissern Sie sich, dass die source/destination Prüfung für die Instanz deaktiviert ist.

  • Stellen Sie sicher, dass Sicherheitsgruppen den Datenverkehrstyp zulassen, den Sie testen.

Die Routenerstellung schlägt fehl

  • Stellen Sie sicher, dass der BYOIP-Pool ordnungsgemäß mit der Routing-Tabelle verknüpft ist.

  • Vergewissern Sie sich, dass der Ziel-CIDR innerhalb Ihres BYOIP-Bereichs liegt.

  • Vergewissern Sie sich, dass die Ziel-ENI existiert und an eine laufende Instance angehängt ist.

  • Stellen Sie sicher, dass Ihr BYOIP-Präfix zwischen /23 und /28 liegt (Präfixe außerhalb dieses Bereichs werden nicht unterstützt).

Ping/Konnektivität schlägt fehl

  • Stellen Sie sicher, dass die IP-Adressen zur Instanzschnittstelle hinzugefügt wurden.

  • Prüfen Sie, ob Sicherheitsgruppen ICMP (für Ping) oder relevante Ports zulassen.

  • Vergewissern Sie sich, dass sich die Instanz im laufenden Zustand befindet.

  • Testen Sie von mehreren externen Standorten aus.

Erweiterte Option: Routenserver-Integration für dynamisches Routing

Für Umgebungen, die ein automatisches Failover erfordern, lässt sich diese Funktion in den VPC Route Server integrieren, um:

  • Aktualisieren Sie Routen dynamisch bei Instanzausfällen.

  • Eliminieren Sie manuelle Eingriffe bei der Routenverwaltung.

  • Sorgen Sie für Verfügbarkeit auf Unternehmensniveau für kritische Workloads.

Dies ist besonders wichtig für Telco- und IoT-Anwendungsfälle, in denen eine hohe Verfügbarkeit unerlässlich ist.

Anmerkung

Beachten Sie bei der Verwendung von Route Server mit mehreren BGP-Peers, dass maximal 32 BGP-Peers dasselbe Präfix für dieselbe Routentabelle mithilfe des Routenservers ankündigen können.

Für Umgebungen, die dynamisches Routing, automatisches Failover und Lastverteilung auf mehrere Instanzen erfordern, sollten Sie eine Integration mit AWS Route Server in Betracht ziehen. Route Server ermöglicht BGP-basiertes dynamisches Routing anstelle von statischen Routen und bietet:

  • Dynamische Routenankündigung von Instanzen über BGP.

  • Automatischer Failover zwischen mehreren Zielinstanzen.

  • Lastverteilung auf mehrere Endpunkte.

  • Zentralisiertes Routenmanagement über BGP-Protokolle.

Dies ist ein wichtiger Anwendungsfall für Unternehmensbereitstellungen, bei denen Hochverfügbarkeit und dynamische Routing-Funktionen erforderlich sind. Detaillierte Anweisungen zur Einrichtung von Route Server finden Sie in der AWS Route Server-Dokumentation.

Bereinigen

Um laufende Gebühren zu vermeiden, löschen Sie die Ressourcen, die Sie in diesem Tutorial erstellt haben:

Schritt 1: EC2 Instanz beenden

Schließen Sie diesen Schritt ab, um die EC2 Instance zu beenden und keine Gebühren für Rechenressourcen mehr anfallen zu lassen.

AWS console

  1. Öffnen Sie die EC2 Amazon-Konsole.

  2. Wählen Sie im Navigationsbereich der EC2 Konsole Instances aus.

  3. Wählen Sie Ihre Instance aus und wählen Sie Instance state, Terminate instance aus.

  4. Wählen Sie zur Bestätigung Terminate aus.

AWS CLI

aws ec2 terminate-instances --instance-ids i-0123456789abcdef0 --region us-east-1

Schritt 2: Trennen Sie das Internet-Gateway von der VPC

Führen Sie diesen Schritt aus, um das Internet-Gateway von Ihrer VPC zu trennen und zu löschen.

AWS console

  1. Öffnen Sie die Amazon VPC-Konsole.

  2. Wählen Sie im Navigationsbereich der VPC-Konsole Internet-Gateways aus.

  3. Wählen Sie Ihr Internet-Gateway aus und wählen Sie Aktionen, Von VPC trennen.

  4. Wählen Sie Internet-Gateway trennen.

  5. Wählen Sie nach dem Trennen der Verbindung Aktionen, Internet-Gateway löschen.

  6. Wählen Sie Internet-Gateway löschen.

AWS CLI

aws ec2 detach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0 --region us-east-1

aws ec2 delete-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --region us-east-1

Schritt 3: VPC löschen

Führen Sie diesen Schritt aus, um die VPC und alle zugehörigen Ressourcen zu löschen und den Bereinigungsprozess abzuschließen.

AWS console

  1. Wählen Sie in der VPC-Konsole Your VPCs aus.

  2. Wählen Sie Ihre VPC aus und klicken Sie auf Aktionen, VPC löschen.

  3. Geben Sie delete zur Bestätigung ein und wählen Sie Löschen.

AWS CLI

aws ec2 delete-vpc --vpc-id vpc-0123456789abcdef0 --region us-east-1
Anmerkung

Durch das Löschen der VPC werden auch die zugehörigen Subnetze, Routing-Tabellen und Sicherheitsgruppen gelöscht.

Anmerkung

Ihr BYOIP-Pool bleibt für die future Verwendung verfügbar und wird im Rahmen dieses Bereinigungsvorgangs nicht gelöscht.