Weiterleiten des Internetverkehrs an eine einzige Netzwerkschnittstelle - Amazon Virtual Private Cloud
Bevor Sie beginnenFunktionsweiseSchritt 1: Erstellen einer VPCSchritt 2: Erstellen und Zuordnen eines Internet-GatewaysSchritt 3: Erstellen eines Subnetzes für die Ziel-InstanceSchritt 4: Erstellen einer Routing-Tabelle für das SubnetzSchritt 5: Erstellen einer Sicherheitsgruppe für die Ziel-InstanceSchritt 6: Starten einer Ziel-EC2-InstanceSchritt 7: Erstellen der Routing-Tabelle für das Internet-GatewaySchritt 8: Zuordnen der Routing-Tabelle zum Internet-GatewaySchritt 9: Zuordnen Ihres BYOIP-Pools zum Internet-GatewaySchritt 10: Hinzufügen einer statischen Route mit Ihrer Instance als ZielSchritt 11: Konfigurieren der Ziel-InstanceSchritt 12: Konfigurieren der Instance für die Verarbeitung des DatenverkehrsSchritt 13: Testen der VerbindungFehlerbehebungErweiterte Option: Route-Server-Integration für dynamisches RoutingBereinigen

Weiterleiten des Internetverkehrs an eine einzige Netzwerkschnittstelle

Sie können eingehenden Internetverkehr für große Pools öffentlicher IP-Adressen an eine einzige Elastic-Network-Schnittstelle (ENI) in Ihrer VPC weiterleiten.

Bisher akzeptierten Internet-Gateways Datenverkehr für öffentliche IP-Adressen nur dann, wenn diese direkt mit Netzwerkschnittstellen in der VPC verknüpft waren. Bei Instance-Typen ist die Anzahl der IP-Adressen begrenzt, die Netzwerkschnittstellen zugeordnet werden können. Das sorgt für Herausforderungen in der Telekommunikation und für das Internet der Dinge (IoT), da der Datenverkehr für IP-Pools in diesen Bereichen die Limits überschreitet.

Durch dieses Routing entfällt die komplexe Adressübersetzung bei eingehenden Internetverbindungen. Sie können eigene öffentliche IP-Pools (BYOIP) verwenden und Ihr VPC-Internet-Gateway so konfigurieren, dass der Datenverkehr für den gesamten Pool akzeptiert und an eine einzige Netzwerkschnittstelle weitergeleitet wird. Dieses Feature ist besonders nützlich für:

  • Telekommunikation: Verwalten großer Subscriber-IP-Pools ohne Mehraufwand bei der Adressübersetzung

  • IoT-Anwendungen: Konsolidieren des Datenverkehrs von Tausenden Geräte-IP-Adressen

  • Beliebiges Szenario: Erzwingen des Datenverkehr-Routings über ENI-Zuordnungslimits hinaus

Sie können dieses Routing in VPC Route Server integrieren, um in Failover-Szenarien dynamische Routenaktualisierungen zu ermöglichen.

Wichtigste Vorteile

Diese Routing-Methode bietet folgende Vorteile:

  • Keine Adressübersetzung erforderlich: direktes Routing reduziert die NAT-Komplexität

  • ENI-Limits umgehen: Verarbeitung von IP-Pools, die die Limits für die Instance-Zuweisung überschreiten

  • Branchenoptimiert: für Telekommunikations- und IoT-Anforderungen entwickelt

  • Dynamisches Failover: Integration in Route Server für automatische Updates

Verfügbarkeit

Sie können dieses Feature in allen kommerziellen AWS-Regionen, AWS-Regionen in China und AWS-GovCloud-Regionen verwenden.

Bevor Sie beginnen

Voraussetzungen für dieses Tutorial:

  1. Ein BYOIP-Pool: Sie müssen Ihren eigenen IP-Adressbereich in AWS hinzugefügt haben. Führen Sie die Schritte unter Eigene IP-Adressen mitbringen (BYOIP) in Amazon EC2 aus.

  2. Überprüfen Sie Ihren BYOIP-Pool: Vergewissern Sie sich mit dem folgenden Befehl, dass Ihr Pool bereit ist:

    aws ec2 describe-public-ipv4-pools --region us-east-1

    Suchen Sie in der Ausgabe nach Ihrem Pool und stellen Sie sicher, dass PoolAddressRanges die Available Adressen anzeigt.

  3. Entsprechende Berechtigungen: Stellen Sie sicher, dass Ihr AWS-Konto Berechtigungen zum Erstellen von VPC-Ressourcen und EC2-Instances und zum Verwalten von BYOIP-Pools hat.

Funktionsweise

In diesem Abschnitt werden die technischen Konzepte des Internet-Gateway-Ingress-Routings erläutert. Außerdem wird beschrieben, wie der Datenverkehr vom Internet zu Ihrer Ziel-Instance gelangt.

Gründe zur Verwendung des Internet-Gateway-Ingress-Routings

Bisher mussten Sie aufgrund von ENI-Zuordnungslimits eine Adressübersetzung durchführen, um den Datenverkehr für eine große Anzahl von IP-Adressen zu konsolidieren. Diese Erweiterung beseitigt diese Komplexität, da sie das direkte Routing von BYOIP-Pools an Ziel-Instances ermöglicht.

Funktionsweise der Weiterleitung

Dieses Feature funktioniert nur mit den öffentlichen IP-CIDRs, die Sie gemäß dem BYOIP-Prozess zu AWS mitbringen. Der BYOIP-Prozess stellt sicher, dass das öffentliche IP-CIDR Teil Ihres Kontos ist. Wenn das öffentliche BYOIP-CIDR bereit ist:

  1. Ordnen Sie diesem öffentlichen IP-Adresspool eine Internet-Gateway-Routing-Tabelle zu. Das Internet-Gateway muss bereits einer VPC zugeordnet sein. Diese Zuordnung ermöglicht der VPC, Datenverkehr zu akzeptieren, der für das IP-CIDR bestimmt ist. Stellen Sie sicher, dass das Internet-Gateway eine dedizierte Routing-Tabelle hat, die nicht von einem Subnetz mitgenutzt wird.

  2. Nachdem Sie den BYOIP-Pool der Internet-Gateway-Routing-Tabelle zugeordnet haben, können Sie in die Routing-Tabelle eine Route mit einem Ziel eingeben, das dem IP-CIDR oder einem Teil davon entspricht. Das Ziel dieser Route wäre die ENI, an die Sie Ihren Datenverkehr weiterleiten möchten.

  3. Wenn Ihr Datenverkehr für Ihren BYOIP-CIDR bei AWS eingeht, prüft AWS die Internet-Gateway-Routing-Tabelle und leitet den Datenverkehr an die entsprechende VPC weiter.

  4. Innerhalb der VPC leitet das Internet-Gateway den Datenverkehr an die Ziel-ENI weiter.

  5. Das Ziel (eine Elastic-Network-Schnittstelle, die Ihrer Workload zugeordnet ist) verarbeitet den Datenverkehr.

Bewährte Methoden für

  • Halten Sie die Routing-Tabellen getrennt: Die Internet-Gateway-Routing-Tabelle darf nur für das Internet-Gateway genutzt werden. Ordnen Sie diese Routing-Tabelle nicht VPC-Subnetzen zu. Verwenden Sie separate Routing-Tabellen für das Subnetz-Routing.

  • Weisen Sie BYOIP-IPs nicht direkt zu: Ordnen Sie öffentliche IP-Adressen aus Ihrem BYOIP-Pool nicht direkt EC2-Instances oder Netzwerkschnittstellen zu. Die Ingress-Routing-Funktion des Internet-Gateways leitet den Datenverkehr ohne direkte IP-Zuordnung an Instances weiter.

Wichtig

Wenn Sie VPC Block Public Access (BPA) verwenden und BPA aktiviert ist, wird der Datenverkehr an Subnetze mithilfe von Ingress-Routing blockiert, auch wenn Sie einen BPA-Ausschluss auf Subnetzebene eingerichtet haben. Ausschlüsse auf Subnetzebene funktionieren nicht für das Ingress-Routing. Sie können Ingress-Routing-Datenverkehr mit aktiviertem BPA wie folgt zulassen:

  • BPA vollständig deaktivieren oder

  • Ausschluss auf VPC-Ebene verwenden

Schritt 1: Erstellen einer VPC

Führen Sie diesen Schritt aus, um eine VPC zu erstellen, die Ihre Ziel-Instance und Ihr Internet-Gateway hostet.

Anmerkung

Achten Sie darauf, dass Sie das VPC-Kontingentlimit noch nicht erreicht haben. Weitere Informationen finden Sie unter Amazon VPC-Kontingente.

AWS Konsole

  1. Öffnen Sie die Amazon VPC-Konsole.

  2. Wählen Sie auf dem VPC-Dashboard Create VPC (VPC erstellen) aus.

  3. Wählen Sie unter Zu erstellende Ressourcen die Option Nur VPC aus.

  4. Geben Sie unter Namens-Tag einen Namen für Ihre VPC ein (beispielsweise IGW-Ingress-VPC).

  5. Geben Sie unter IPv4-CIDR-Block einen gültigen CIDR-Block ein (beispielsweise 10.0.0.0/16).

  6. Wählen Sie VPC erstellen aus.

AWS CLI

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=IGW-Ingress-VPC}]' --region us-east-1

Schritt 2: Erstellen und Zuordnen eines Internet-Gateways

Führen Sie diesen Schritt aus, um ein Internet-Gateway zu erstellen und an Ihre VPC anzufügen und dadurch die Internetverbindung zu aktivieren.

AWS Konsole

  1. Öffnen Sie die Amazon VPC-Konsole.

  2. Wählen Sie in der VPC-Konsole die Option Internet-Gateways aus.

  3. Wählen Sie Create internet gateway (Internet-Gateway erstellen) aus.

  4. Geben Sie unter Namens-Tag einen Namen für Ihr Internet-Gateway ein (beispielsweise IGW-Ingress-Gateway).

  5. Wählen Sie Create internet gateway (Internet-Gateway erstellen) aus.

  6. Wählen Sie Ihr Internet-Gateway und dann Aktionen, An VPC anfügen aus.

  7. Wählen Sie Ihre VPC und dann Internet-Gateway anfügen aus.

AWS CLI

aws ec2 create-internet-gateway --tag-specifications 'ResourceType=internet-gateway,Tags=[{Key=Name,Value=IGW-Ingress-Gateway}]' --region us-east-1

aws ec2 attach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0 --region us-east-1

Hinweis: Ersetzen Sie die Ressourcen-IDs durch Ihre tatsächlichen IDs aus dem vorherigen Schritt.

Schritt 3: Erstellen eines Subnetzes für die Ziel-Instance

Schließen Sie diesen Schritt ab, um ein Subnetz für Ihre Ziel-Instance zu erstellen.

AWS Konsole

  1. Wählen Sie im Navigationsbereich der VPC-Konsole Subnets (Subnetze).

  2. Wählen Sie Subnetz erstellen.

  3. Wählen Sie unter VPC-ID Ihre VPC aus.

  4. Geben Sie unter Subnetzname einen Namen ein (z. B. Target-Subnet).

  5. Unter Availability Zone können Sie eine Zone für das Subnetz auswählen. Alternativ können Sie die Standardeinstellung No Preference (Keine Präferenz) beibehalten, damit AWS eine Zone für Sie auswählt.

  6. Wählen Sie für IPv4-CIDR-Block die Option Manuelle Eingabe aus und geben Sie einen CIDR-Block ein (beispielsweise 10.0.1.0/24).

  7. Wählen Sie Subnetz erstellen.

AWS CLI

aws ec2 create-subnet \
    --vpc-id vpc-0123456789abcdef0 \
    --cidr-block 10.0.1.0/24 \
    --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Target-Subnet}]' \
    --region us-east-1

Schritt 4: Erstellen einer Routing-Tabelle für das Subnetz

Führen Sie diesen Schritt aus, um eine Routing-Tabelle für Ihr Subnetz zu erstellen und dem Subnetz zuzuordnen.

AWS Konsole

  1. Wählen Sie im Navigationsbereich der VPC-Konsole Routing-Tabellen aus.

  2. Klicken Sie auf Create Route Table (Routing-Tabelle erstellen).

  3. Geben Sie unter Name einen Namen für Ihre Routing-Tabelle ein (beispielsweise Target-Subnet-Route-Table).

  4. Wählen Sie unter VPC Ihre VPC aus.

  5. Klicken Sie auf Create Route Table (Routing-Tabelle erstellen).

  6. Wählen Sie die Routing-Tabelle aus und klicken Sie auf Aktionen, Subnetzzuordnungen bearbeiten.

  7. Wählen Sie Ihr Subnetz und dann Zuweisungen speichern aus.

AWS CLI

aws ec2 create-route-table \
    --vpc-id vpc-0123456789abcdef0 \
    --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=Target-Subnet-Route-Table}]' \
    --region us-east-1

aws ec2 associate-route-table \
    --route-table-id rtb-0987654321fedcba0 \
    --subnet-id subnet-0123456789abcdef0 \
    --region us-east-1

Schritt 5: Erstellen einer Sicherheitsgruppe für die Ziel-Instance

Schließen Sie diesen Schritt ab, um eine Sicherheitsgruppe zu erstellen, die den Netzwerkzugriff auf Ihre Ziel-Instance steuert.

AWS Konsole

  1. Wählen Sie im Navigationsbereich der VPC-Konsole Sicherheitsgruppen aus.

  2. Wählen Sie Sicherheitsgruppe erstellen aus.

  3. Geben Sie unter Name der Sicherheitsgruppe einen Namen ein (z. B. IGW-Target-SG).

  4. Geben Sie für Beschreibung den Text Security group for IGW ingress routing target instance ein.

  5. Wählen Sie im Feld VPC Ihre VPC aus.

  6. Um Regeln für eingehenden Datenverkehr hinzuzufügen, wählen Sie Eingehende Regeln aus. Wählen Sie für jede Regel Regel hinzufügen aus und geben Sie Folgendes an:

    • Typ: Alle ICMP – IPv4, Quelle: 0.0.0.0/0 (für Ping-Tests).

    • Typ: SSH, Port: 22, Quelle: 0.0.0.0/0 (für EC2 Instance Connect).

Anmerkung

Diese Sicherheitsgruppe öffnet für dieses Tutorial SSH-Ports für den gesamten Internetverkehr. Das Tutorial ist nur für Informationszwecke bestimmt und sollte nicht für Produktionsumgebungen konfiguriert werden. In der Produktion sollten Sie den SSH-Zugriff auf ausgewählte IP-Bereiche beschränken.

  • Wählen Sie Sicherheitsgruppe erstellen aus.

AWS CLI

aws ec2 create-security-group \
    --group-name IGW-Target-SG \
    --description "Security group for IGW ingress routing target instance" \
    --vpc-id vpc-0123456789abcdef0 \
    --region us-east-1

aws ec2 authorize-security-group-ingress \
    --group-id sg-0123456789abcdef0 \
    --protocol icmp \
    --port -1 \
    --cidr 0.0.0.0/0 \
    --region us-east-1

aws ec2 authorize-security-group-ingress \
    --group-id sg-0123456789abcdef0 \
    --protocol tcp \
    --port 22 \
    --cidr 0.0.0.0/0 \
    --region us-east-1

Schritt 6: Starten einer Ziel-EC2-Instance

Führen Sie diesen Schritt aus, um die EC2-Instance zu starten, die den Datenverkehr von Ihrem BYOIP-Pool empfängt.

AWS Konsole

  1. Öffnen Sie die Amazon EC2-Konsole.

  2. Wählen Sie Launch Instance (Instance starten) aus.

  3. Geben Sie unter Name einen Namen für Ihre Instance ein (beispielsweise IGW-Target-Instance).

  4. Wählen Sie für Anwendungs- und Betriebssystem-Images (Amazon Machine Image) die Option Amazon-Linux-2023-AMI aus.

  5. Wählen Sie für Instance-Typ die Option t2.micro aus (für das kostenlose Kontingent qualifiziert).

  6. Wählen Sie für Schlüsselpaar (Anmeldung) ein bestehendes Schlüsselpaar aus oder erstellen Sie ein neues.

  7. Wählen Sie für Netzwerkeinstellungen die Option Bearbeiten aus und konfigurieren Sie Folgendes:

    • VPC: Wählen Sie Ihre VPC aus.

    • Subnetz: Wählen Sie Ihr Subnetz aus.

    • Öffentliche IP-Adresse automatisch zuweisen: Aktiviert

    • Firewall (Sicherheitsgruppen): Klicken Sie auf „Vorhandene Sicherheitsgruppe auswählen“ und wählen Sie Ihrer Sicherheitsgruppe aus.

  8. Wählen Sie Launch Instance (Instance starten) aus.

  9. Wichtig: Rufen Sie nach dem Start die Instance-Details auf und notieren Sie sich die Netzwerkschnittstellen-ID (beginnt mit „eni-“). Diese benötigen Sie für Schritt 10.

AWS CLI

aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --count 1 \
    --instance-type t2.micro \
    --key-name your-key-pair \
    --security-group-ids sg-0123456789abcdef0 \
    --subnet-id subnet-0123456789abcdef0 \
    --associate-public-ip-address \
    --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=IGW-Target-Instance}]' \
    --region us-east-1

Finden Sie die ENI-ID in der Konsole wie folgt:

  1. Wählen Sie in der EC2-Konsole Ihre Instance aus.

  2. Gehen Sie zur Registerkarte Netzwerk.

  3. Notieren Sie sich die Netzwerkschnittstellen-ID (z. B. eni-0abcdef1234567890).

Finden Sie die ENI-ID mit der AWS CLI wie folgt:

aws ec2 describe-instances --instance-ids i-0123456789abcdef0 --query 'Reservations[0].Instances[0].NetworkInterfaces[0].NetworkInterfaceId' --output text --region us-east-1

Schritt 7: Erstellen der Routing-Tabelle für das Internet-Gateway

Führen Sie diesen Schritt aus, um eine dedizierte Routing-Tabelle für das Internet-Gateway zu erstellen, das das Ingress-Routing verarbeitet.

AWS Konsole

  1. Wählen Sie in der VPC-Konsole Routing-Tabellen aus.

  2. Klicken Sie auf Create Route Table (Routing-Tabelle erstellen).

  3. Geben Sie unter Name einen Namen für Ihre Routing-Tabelle ein (beispielsweise IGW-Ingress-Route-Table).

  4. Wählen Sie unter VPC Ihre VPC aus.

  5. Klicken Sie auf Create Route Table (Routing-Tabelle erstellen).

  6. Wählen Sie die Routing-Tabelle aus und klicken Sie auf die Registerkarte Edge-Zuordnungen.

  7. Wählen Sie Edge-Zuordnungen bearbeiten aus.

  8. Wählen Sie Ihr Internet-Gateway und dann Änderungen speichern aus.

AWS CLI

aws ec2 create-route-table \
    --vpc-id vpc-0123456789abcdef0 \
    --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=IGW-Ingress-Route-Table}]' \
    --region us-east-1

Schritt 8: Zuordnen der Routing-Tabelle zum Internet-Gateway

Führen Sie diesen Schritt aus, um Ihre Routing-Tabelle dem Internet-Gateway zuzuordnen und die Ingress-Routing-Funktionalität zu aktivieren.

AWS Konsole

  1. Klicken Sie im Navigationsbereich der VPC-Konsole auf Routing-Tabellen und wählen Sie die erstellte Routing-Tabelle aus.

  2. Wählen Sie auf der Registerkarte Edge Associations (Edge-Zuordnungen) die Option Edit edge associations (Edge-Zuordnungen bearbeiten) aus.

  3. Aktivieren Sie das Kontrollkästchen für das Internet-Gateway.

  4. Wählen Sie Änderungen speichern aus.

AWS CLI

aws ec2 associate-route-table \
    --route-table-id rtb-0123456789abcdef0 \
    --gateway-id igw-0123456789abcdef0 \
    --region us-east-1

Schritt 9: Zuordnen Ihres BYOIP-Pools zum Internet-Gateway

Führen Sie diesen Schritt aus, um Ihren BYOIP-Pool der Routing-Tabelle für das Internet-Gateway zuzuordnen, sodass die VPC Datenverkehr für Ihren IP-Bereich akzeptieren kann.

AWS Konsole

  1. Klicken Sie im Navigationsbereich der VPC-Konsole auf Routing-Tabellen und wählen Sie die erstellte Routing-Tabelle für das Internet-Gateway aus.

  2. Klicken Sie auf die Registerkarte IPv4-Pool-Zuordnungen.

  3. Klicken Sie auf die Schaltfläche Zuordnungen bearbeiten.

  4. Wählen Sie Ihren BYOIP-Pool aus (z. B. pool-12345678901234567).

  5. Klicken Sie auf die Schaltfläche Zuordnungen speichern.

AWS CLI

aws ec2 associate-route-table \
    --route-table-id rtb-0123456789abcdef0 \
    --public-ipv4-pool pool-12345678901234567 \
    --region us-east-1

Hinweis: Ersetzen Sie rtb-0123456789abcdef0 durch die ID der Internet-Gateway-Routing-Tabelle und pool-12345678901234567 durch Ihre BYOIP-Pool-ID.

Schritt 10: Hinzufügen einer statischen Route mit Ihrer Instance als Ziel

Schließen Sie diesen Schritt ab, um eine Route hinzuzufügen, die den Datenverkehr von Ihrem BYOIP-Bereich zur Netzwerkschnittstelle Ihrer Ziel-Instance weiterleitet.

AWS Konsole

  1. Klicken Sie im Navigationsbereich der VPC-Konsole auf Routing-Tabellen und wählen Sie die erstellte Routing-Tabelle für das Internet-Gateway aus.

  2. Wählen Sie Aktionen und dann Routen bearbeiten.

  3. Wählen Sie Route hinzufügen aus.

  4. Geben Sie als Ziel Ihren BYOIP-CIDR oder eine Teilmenge ein (z. B. 203.0.113.0/24). Der Präfix muss zwischen /23 und /28 liegen.

  5. Wählen Sie für Ziel die Option Netzwerkschnittstelle aus und geben Sie die ENI-ID Ihrer Instance ein (z. B. eni-0abcdef1234567890).

  6. Wählen Sie Änderungen speichern aus.

AWS CLI

aws ec2 create-route \
    --route-table-id rtb-0123456789abcdef0 \
    --destination-cidr-block 203.0.113.0/24 \
    --network-interface-id eni-0abcdef1234567890 \
    --region us-east-1

Schritt 11: Konfigurieren der Ziel-Instance

Führen Sie diesen Schritt aus, um Ihre Ziel-Instance zu konfigurieren, sodass der für BYOIP-Adressen bestimmte Datenverkehr ordnungsgemäß verarbeitet wird.

Wichtig: Schließen Sie die Instance-Konfiguration ab, bevor Sie die Konnektivität testen (Schritt 12). Damit das Ingress-Routing funktioniert, muss die Instance dafür konfiguriert sein, auf BYOIP-Adressen zu reagieren.

AWS Konsole

  1. Stellen Sie mit EC2 Instance Connect eine Verbindung zu Ihrer Ziel-Instance her:

    • Wählen Sie in der EC2-Konsole Ihre Instance aus.

    • Wählen Sie Aktionen > Verbinden aus.

    • Wählen Sie die Registerkarte EC2 Instance Connect aus.

    • Wählen Sie Connect aus.

  2. Fügen Sie Ihrer Instance-Schnittstelle eine BYOIP-IP-Adresse hinzu:

    Suchen Sie zunächst nach dem Namen Ihrer Netzwerkschnittstelle:

    ip link show

    Fügen Sie dann die IP-Adresse hinzu (ersetzen Sie 203.0.113.10 durch eine IP aus Ihrem BYOIP-Bereich):

    sudo ip addr add 203.0.113.10/32 dev eth0

    Hinweis: Ersetzen Sie 203.0.113.10 durch eine beliebige IP-Adresse aus dem BYOIP-Bereich, den Sie testen möchten. Der Schnittstellenname kann je nach Instance-Typ eth0, ens5 oder ähnlich lauten.

  3. Deaktivieren Sie in der EC2-Konsole die Quell-/Zielprüfung:

    • Wählen Sie Ihre Instance aus.

    • Gehen Sie zur Registerkarte Netzwerk und klicken Sie auf die Netzwerkschnittstelle.

    • Wählen Sie Aktionen, Quell-/Zielprüfung ändern, Deaktivieren aus.

AWS CLI

aws ec2 modify-network-interface-attribute \
    --network-interface-id eni-0abcdef1234567890 \
    --no-source-dest-check \
    --region us-east-1

Schritt 12: Konfigurieren der Instance für die Verarbeitung des Datenverkehrs

Führen Sie diesen Schritt aus, um Ihrer Instance BYOIP-Adressen hinzuzufügen und die Quell-/Zielprüfung zu deaktivieren. Das ermöglicht die ordnungsgemäße Verarbeitung des Datenverkehrs.

AWS Konsole

  1. Stellen Sie mit EC2 Instance Connect eine Verbindung zu Ihrer Ziel-Instance her:

    • Wählen Sie in der EC2-Konsole Ihre Instance aus.

    • Wählen Sie Aktionen > Verbinden aus.

    • Wählen Sie die Registerkarte EC2 Instance Connect aus.

    • Wählen Sie Connect aus.

  2. Fügen Sie Ihrer Instance-Schnittstelle eine BYOIP-IP-Adresse hinzu:

    Suchen Sie zunächst nach dem Namen Ihrer Netzwerkschnittstelle:

    ip link show

    Fügen Sie dann die IP-Adresse hinzu (ersetzen Sie ens5 durch den tatsächlichen Schnittstellennamen):

    sudo ip addr add 203.0.113.10/32 dev ens5

    Hinweis: Ersetzen Sie 203.0.113.10 durch eine beliebige IP-Adresse aus dem BYOIP-Bereich, den Sie testen möchten. Der Schnittstellenname kann je nach Instance-Typ eth0, ens5 oder ähnlich lauten.

  3. Deaktivieren Sie in der EC2-Konsole die Quell-/Zielprüfung:

    • Wählen Sie Ihre Instance aus.

    • Gehen Sie zur Registerkarte Netzwerk und klicken Sie auf die Netzwerkschnittstelle.

    • Wählen Sie Aktionen, Quell-/Zielprüfung ändern, Deaktivieren aus.

AWS CLI

aws ec2 modify-network-interface-attribute \
    --network-interface-id eni-0abcdef1234567890 \
    --no-source-dest-check \
    --region us-east-1

Schritt 13: Testen der Verbindung

Führen Sie diesen Schritt aus, um zu überprüfen, ob der Internetverkehr ordnungsgemäß über die BYOIP-Adressen an Ihre Ziel-Instance weitergeleitet wird.

  1. Überwachen Sie den eingehenden Datenverkehr auf Ihrer Ziel-Instance mithilfe von tcpdump:

    sudo tcpdump -i any icmp

  2. Testen Sie an einem anderen Terminal oder Computer die Konnektivität zu Ihrer BYOIP-IP-Adresse:

    ping 203.0.113.10

  3. Erwartete Ergebnisse:

    • Der Ping-Befehl sollte erfolgreich sein und Antworten von Ihrer BYOIP-IP-Adresse zeigen.

    • tcpdump sollte eingehende Pakete für die BYOIP-Adresse anzeigen, etwa so:

      12:34:56.789012 IP 203.0.113.100 > 203.0.113.10: ICMP echo request, id 1234, seq 1, length 64
12:34:56.789123 IP 203.0.113.10 > 203.0.113.100: ICMP echo reply, id 1234, seq 1, length 64

    • Der Datenverkehr sollte so aussehen, als stamme er von externen IP-Adressen. Das beweist, dass das Ingress-Routing des Internet-Gateways den Internetverkehr an Ihre Instance weiterleitet.

Fehlerbehebung

Verwenden Sie diesen Abschnitt, um häufig auftretende Probleme zu lösen, die bei der Einrichtung des Internet-Gateway-Ingress-Routings auftreten können.

Datenverkehr kommt nicht bei der Instance an

  • Prüfen Sie, ob die richtige ENI-ID als Ziel für die Routing-Tabelle angegeben ist.

  • Stellen Sie sicher, dass der BYOIP-Pool zur Routing-Tabelle für das Internet-Gateway zugeordnet ist.

  • Vergewissern Sie sich, dass die Quell-/Zielprüfung für die Instance deaktiviert ist.

  • Stellen Sie sicher, dass Sicherheitsgruppen den Datenverkehrstyp zulassen, den Sie testen.

Erstellung der Route schlägt fehl

  • Stellen Sie sicher, dass der BYOIP-Pool der Routing-Tabelle ordnungsgemäß zugeordnet ist.

  • Vergewissern Sie sich, dass der Ziel-CIDR innerhalb Ihres BYOIP-Bereichs liegt.

  • Prüfen Sie, ob die Ziel-ENI vorhanden ist und an eine laufende Instance angefügt ist.

  • Stellen Sie sicher, dass Ihr BYOIP-Präfix zwischen /23 und /28 liegt (Präfixe außerhalb dieses Bereichs werden nicht unterstützt).

Ping/Konnektivität schlägt fehl

  • Stellen Sie sicher, dass die IP-Adressen der Instance-Schnittstelle hinzugefügt wurden.

  • Prüfen Sie, ob Sicherheitsgruppen ICMP (für Ping) oder relevante Ports zulassen.

  • Vergewissern Sie sich, dass sich die Instance im aktiven Zustand befindet.

  • Führen Sie den Test von mehreren externen Standorten durch.

Erweiterte Option: Route-Server-Integration für dynamisches Routing

Für Umgebungen, die ein automatisches Failover erfordern, kann diese Funktion in VPC Route Server integriert werden. Das ermöglicht Folgendes:

  • Dynamische Routen-Aktualisierung bei Instance-Ausfällen

  • Keine manuellen Eingriffe bei der Routenverwaltung

  • Verfügbarkeit auf Unternehmensniveau für kritische Workloads

Dies ist besonders wichtig für Telekommunikations- und IoT-Anwendungsfälle, in denen eine hohe Verfügbarkeit unerlässlich ist.

Anmerkung

Bei der Verwendung von Route Server mit mehreren BGP-Peers sollten Sie beachten, dass maximal 32 BGP-Peers dasselbe Präfix für dieselbe Routing-Tabelle ankündigen können.

Für Umgebungen, die dynamisches Routing, automatisches Failover und die Lastverteilung auf mehrere Instances erfordern, sollten Sie die Integration in AWS Route Server in Betracht ziehen. Route Server ermöglicht BGP-basiertes dynamisches Routing anstelle von statischen Routen. Das bietet folgende Vorteile:

  • Dynamische Routenankündigung von Instances über BGP

  • Automatisches Failover zwischen mehreren Ziel-Instances

  • Lastverteilung auf mehrere Endpunkte

  • Zentralisiertes Routenmanagement über BGP-Protokolle

Dies ist ein wichtiger Anwendungsfall für Bereitstellungen im Unternehmen, die hohe Verfügbarkeit und dynamische Routing-Funktionen erfordern. Detaillierte Anweisungen zur Einrichtung von Route Server finden Sie in der Dokumentation für AWS Route Server.

Bereinigen

Um laufende Gebühren zu vermeiden, sollten Sie die Ressourcen löschen, die Sie für dieses Tutorial erstellt haben:

Schritt 1: Beenden der EC2-Instance

Schließen Sie diesen Schritt ab, um die EC2-Instance zu beenden, damit keine weiteren Gebühren für Rechenressourcen anfallen.

AWS Konsole

  1. Öffnen Sie die Amazon EC2-Konsole.

  2. Wählen Sie im Navigationsbereich der EC2-Konsole die Option Instances aus.

  3. Wählen Sie die Instance und dann Instance-Status, Instance beenden aus.

  4. Wählen Sie zur Bestätigung Beenden aus.

AWS CLI

aws ec2 terminate-instances --instance-ids i-0123456789abcdef0 --region us-east-1

Schritt 2: Trennen eines Internet-Gateways von einer VPC

Führen Sie diesen Schritt aus, um das Internet-Gateway von Ihrer VPC zu trennen und zu löschen.

AWS Konsole

  1. Öffnen Sie die Amazon VPC-Konsole.

  2. Wählen Sie im Navigationsbereich der VPC-Konsole die Option Internet-Gateways aus.

  3. Wählen Sie das Internet-Gateway und dann Aktionen, Von VPC trennen aus.

  4. Wählen Sie Internet-Gateway trennen aus.

  5. Wählen Sie anschließend Aktionen, Internet-Gateway löschen aus.

  6. Wählen Sie Internet-Gateway löschen aus.

AWS CLI

aws ec2 detach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0 --region us-east-1

aws ec2 delete-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --region us-east-1

Schritt 3: Löschen der VPC

Führen Sie diesen Schritt aus, um die VPC und alle zugehörigen Ressourcen zu löschen und damit die Bereinigung abzuschließen.

AWS Konsole

  1. Wählen Sie in der VPC-Konsole Ihre VPCs aus.

  2. Wählen Sie die VPC aus und klicken Sie auf Aktionen, VPC löschen.

  3. Geben Sie zur Bestätigung delete ein und wählen Sie Löschen aus.

AWS CLI

aws ec2 delete-vpc --vpc-id vpc-0123456789abcdef0 --region us-east-1
Anmerkung

Durch das Löschen der VPC werden auch die zugehörigen Subnetze, Routing-Tabellen und Sicherheitsgruppen gelöscht.

Anmerkung

Ihr BYOIP-Pool bleibt für die zukünftige Verwendung verfügbar und wird im Rahmen dieser Bereinigung nicht gelöscht.