IP-Adressierung für Ihre VPCs und Subnetze - Amazon Virtual Private Cloud
Private IPv4-AdressenÖffentliche IPv4-AdressenIPv6-AdressenVerwenden Sie Ihre eigenen IP-AdressenAmazon VPC IP Address Manager

IP-Adressierung für Ihre VPCs und Subnetze

IP-Adressen ermöglichen es Ressourcen in Ihrer VPC untereinander und mit Ressourcen im Internet zu kommunizieren.

Die CIDR-Notation (Classless Inter-Domain Routing) ist eine Möglichkeit, eine IP-Adresse und ihre Netzwerkmaske darzustellen. Diese Adressen haben folgendes Format:

  • Eine einzelne IPv4-Adresse hat 32 Bits, mit 4 Gruppen mit bis zu 3 Dezimalstellen, 0–255. Zum Beispiel 10.0.1.0.

  • Ein IPv4-CIDR-Block hat eine IPv4-Adresse gefolgt von einem Schrägstrich und einer Zahl von 0 bis 32. Beispielsweise steht 10.0.0.0/16 für 65 536 IPv4-Adressbereiche von 10.0.0.0 bis 10.0.255.255.

  • Eine einzelne IPv6-Adresse besteht aus 128 Bits, mit 8 Segmenten von 4 hexadezimalen Ziffern. Zum Beispiel: 2001:0db8:85a3:0000:0000:8a2e:0370:7334. Es ist nicht notwendig, die führenden Nullen in ein Segment aufzunehmen. Sie können in einer Adresse auch aufeinanderfolgende Segmente, die nur Null enthalten, einmal durch doppelte Doppelpunkte (::) ersetzen. Daher kann die Beispieladresse zu 2001:db8:85a3::8a2e:370:7334 komprimiert werden.

  • Ein IPv6-CIDR-Block hat eine IPv6-Adresse, die mit nur Nullen enthaltenden Segmente endet, wobei die nur Nullen enthaltenden Segmente durch einen doppelten Doppelpunkt ersetzt werden, gefolgt von einem Schrägstrich und einer Zahl zwischen 0 und 128. Beispielsweise steht 2001:db8:1234:1a00::/56 für 2^72 IPv6-Adressen von 2001:db8:1234:1a00:0000:0000:0000:0000 bis 2001:db8:1234:1aff:ffff:ffff:ffff:ffff.

Weitere Informationen finden Sie unter Was ist CIDR?

Inhalt

Private IPv4-Adressen

Private IPv4-Adressen (in diesem Thema auch als private IP-Adressen bezeichnet) können nicht über das Internet erreicht werden. Sie können für die Kommunikation zwischen Instances in Ihrer VPC verwendet werden. Beim Start einer Instance in Ihrer VPC, wird der primären Netzwerkschnittstelle (zum Beispiel eth0) der Instance eine primäre private IP-Adresse aus dem IPv4-Adressbereich des Subnetzes zugeordnet. Darüber hinaus wird jeder Instance auch ein privater (interner) DNS-Hostname gegeben, der zur privaten IP-Adresse der Instance wird. Der Hostname kann zwei Arten haben: ressourcenbasiert oder IP-basiert. Weitere Informationen finden Sie unter EC2-Instance-Bennenung. Wenn Sie keine primäre private IP-Adresse angeben, wählen wir eine verfügbare IP-Adresse im Subnetzbereich für Sie aus. Weitere Informationen zu Netzwerkschnittstellen finden Sie unter Elastic-Network-Schnittstellen im Amazon-EC2-Benutzerhandbuch.

Sie können den in der VPC ausgeführten Instances noch zusätzliche private IP-Adressen, auch sekundäre private IP-Adressen genannt, zuweisen. Im Gegensatz zu privaten IP-Adressen können Sie sekundäre private IP-Adressen erneut einer anderen Netzwerkschnittstelle zuweisen. Die Zuordnung der privaten IP-Adresse mit der Netzwerkschnittstelle bleibt bestehen, wenn die Instance angehalten und neu gestartet wird. Sie wird erst freigegeben, wenn die Instance beendet wird. Weitere Informationen über primäre und sekundäre IP-Adressen finden Sie unter Mehrere IP-Adressen im Amazon-EC2-Benutzerhandbuch.

Wir bezeichnen private IP-Adressen als IP-Adressen, die innerhalb des IPv4-CIDR-Bereichs in der VPC liegen. Die meisten VPC IP-Adressbereiche fallen innerhalb des privaten (nicht öffentlich routingfähigen) IP-Adressbereichs, wie in RFC 1918 angegeben. Sie können jedoch auch öffentlich routingfähige CIDR-Blöcke für Ihre VPC verwenden. Unabhängig vom IP-Adressbereich Ihrer VPC unterstützen wir nicht den direkten Zugriff auf das Internet vom CIDR-Block Ihrer VPC, einschließlich einem öffentlich routingfähigen CIDR-Block. Sie müssen den Internetzugang über ein Gateway einrichten, beispielsweise über ein Internet-Gateway, ein Virtual Private Gateway, eine AWS Site-to-Site VPN-Verbindung oder Direct Connect.

Wir geben niemals den IPv4-Adressbereich eines Subnetzes ggü. dem Internet bekannt.

Öffentliche IPv4-Adressen

Alle Subnetze verfügen über ein Attribut, über das festlegt wird, ob eine in einem Subnetz erstellte Netzwerkschnittstelle automatisch eine öffentliche IPv4-Adresse (in diesem Thema auch als öffentliche IP-Adresse bezeichnet) erhält. Wenn Sie daher eine Instance in einem Subnetz starten, in dem dieses Attribut aktiviert ist, wird der primären Netzwerkschnittstelle, die für die Instance erstellt wurde, eine öffentliche IP-Adresse zugewiesen. Der primären privaten IP-Adresse wird über eine Netzwerkadressenübersetzung (Network Address Translation, NAT) eine öffentliche IP-Adresse zugewiesen.

Anmerkung

AWS berechnet Gebühren für alle öffentlichen IPv4-Adressen, einschließlich öffentlicher IPv4-Adressen, die mit laufenden Instances verknüpft sind, und Elastic-IP-Adressen. Weitere Informationen finden Sie auf der Registerkarte Öffentliche IPv4-Adresse auf der Seite Preise für Amazon VPC.

Anhand der folgenden Schritte können Sie kontrollieren, ob Ihre Instance eine öffentliche IP-Adresse erhält:

  • Ändern des öffentlichen IP-Adressierungsattributs Ihres Subnetzes. Weitere Informationen finden Sie unter Ändern der IP-Adressierungsattribute Ihres Subnetzes.

  • Aktivieren oder Deaktivieren des öffentlichen IP-Adressierungsfeatures während des Starts einer Instance, wodurch das öffentliche IP-Adressierungsattribut des Subnetzes überschrieben wird.

  • Sie können die Zuweisung einer öffentlichen IP-Adresse für Ihre Instance nach dem Start aufheben, indem Sie die mit einer Netzwerkschnittstelle verbundenen IP-Adressen verwalten. Weitere Informationen finden Sie unter Verwalten von IP-Adressen im Amazon-EC2-Benutzerhandbuch.

Eine öffentliche IP-Adresse wird von Amazons öffentlichem IP-Adresspool zugewiesen. Sie ist nicht mit Ihrem Konto verknüpft. Wenn eine öffentliche IP-Adresse von Ihrer Instance getrennt wurde, wird sie an den Pool zurückgegeben und steht Ihnen nicht länger zur Verfügung. Wir trennen in bestimmten Fällen die öffentliche IP-Adresse von Ihrer Instance oder weisen ihr eine neue IP-Adresse zu. Weitere Informationen finden Sie unter Öffentliche IP-Adresse im Amazon-EC2-Benutzerhandbuch.

Wenn Sie für Ihr Konto eine persistente öffentliche IP-Adresse benötigen, die Instances nach Bedarf zugeordnet oder von diesen entfernt werden kann, verwenden Sie stattdessen eine Elastic-IP-Adresse. Weitere Informationen finden Sie unter Zuordnen von elastischen IP-Adressen zu Ressourcen in Ihrer VPC.

Wenn Ihre VPC DNS-Hostnamen unterstützt, wird jeder Instance, die eine öffentliche IP-Adresse oder eine Elastic-IP-Adresse erhält, auch ein öffentlicher DNS-Hostname zugewiesen. Wir ordnen den öffentlichen DNS-Hostnamen der öffentlichen IP-Adresse der Instance außerhalb des Instance-Netzwerks bzw. der privaten IP-Adresse der Instance innerhalb des Instance-Netzwerks zu. Weitere Informationen finden Sie unter DNS-Attribute für Ihre VPC.

Wenn Sie den IP Address Manager (IPAM) von Amazon VPC verwenden, können Sie einen zusammenhängenden Block öffentlicher IPv4-Adressen von AWS erhalten und diesen verwenden, um AWS-Ressourcen sequenzielle Elastic-IP-Adressen zuzuweisen. Die Verwendung zusammenhängender IPv4-Adressblöcke kann den Verwaltungsaufwand für Sicherheitszugriffskontrolllisten erheblich reduzieren und die Zuweisung und Nachverfolgung von IP-Adressen für Unternehmen, die auf AWS skalieren, vereinfachen. Weitere Informationen finden Sie unter Zuweisen von sequentiellen Elastic-IP-Adressen aus einem IPAM-Pool im Amazon-VPC-IPAM-Benutzerhandbuch.

IPv6-Adressen

Mit dem weiteren Wachstum des Internets steigt auch der Bedarf an IP-Adressen. Das gebräuchlichste Format für IP-Adressen ist IPv4. Das neue Format für IP-Adressen ist IPv6, das einen größeren Adressraum als IPv4 bietet. IPv6 löst das Problem der erschöpften IPv4-Adressen und ermöglicht es Ihnen, mehr Geräte mit dem Internet zu verbinden. Die Umstellung erfolgt schrittweise, aber mit der zunehmenden Verbreitung von IPv6 können Sie Ihre Netzwerke vereinfachen und die Vorteile der erweiterten IPv6-Funktionen für bessere Konnektivität, Leistung und Sicherheit nutzen.

Viele AWS-Services wie Amazon EC2, Amazon S3 und Amazon CloudFront bieten entweder Dual-Stack-Unterstützung (IPv4 und IPv6) oder reine IPv6-Unterstützung, sodass Ressourcen IPv6-Adressen zugewiesen werden können und der Zugriff über das IPv6-Protokoll erfolgt. Dies vereinfacht die Netzwerkkonfiguration und -verwaltung für Kunden, die IPv6 einsetzen. Andere Services bieten begrenzte oder teilweise Dual-Stack- und reine IPv6-Unterstützung.

Weitere Informationen über Services, die IPv6 unterstützen, finden Sie unter AWS-Services, die IPv6 unterstützen.

Beachten Sie, dass einige IPv6-Adressen von der Internet Engineering Task Force reserviert sind. Weitere Informationen über reservierte IPv6-Adressbereiche finden Sie unter IANA IPv6 Special-Purpose Address Registry und RFC4291.

Anmerkung

In AWS sind sowohl öffentliche als auch private IPv6-Adressen verfügbar. AWS definiert öffentliche IP-Adressen als solche, die von AWS im Internet beworben werden, während private IP-Adressen nicht von AWS im Internet beworben werden und auch nicht beworben werden können.

Öffentliche IPv6-Adressen

Von Amazon bereitgestellte IPv6-Adressen werden immer im Internet beworben. Sie sind global eindeutig und daher über das Internet erreichbar. Sie können kontrollieren, ob Ressourcen wie EC2-Instances mithilfe ihrer IPv6-Adressen erreichbar sind, indem Sie entweder das Routing Ihrer Subnetze steuern oder Sicherheitsgruppen und Netzwerk-ACLs verwenden.

Im Folgenden finden Sie einige Möglichkeiten, wie Sie sich auf die Verwendung öffentlicher IPv6-Adressen für Ihre Workloads vorbereiten können:

  • Erstellen Sie ein IPAM mit Amazon VPC IP Address Manager und stellen Sie einen Amazon-eigenen öffentlichen IPv6-Adressbereich für einen IPAM-Adresspool bereit. Weitere Informationen finden Sie unter Erstellen von IPv6-Pools im Amazon-VPC-IPAM-Benutzerhandbuch.

  • Wenn Sie über ein IPAM verfügen und einen öffentlichen IPv6-Adressbereich besitzen, nehmen Sie den öffentlichen IPv6-Adressbereich ganz oder teilweise in IPAM auf und stellen Sie den öffentlichen IPv6-Adressbereich in einem IPAM-Adresspool bereit. Weitere Informationen finden Sie unter Tutorial: Mitbringen eigener IP-Adressen in IPAM im Amazon-VPC-IPAM-Benutzerhandbuch.

  • Wenn Sie kein IPAM haben, aber einen öffentlichen IPv6-Adressbereich besitzen, bringen Sie einen Teil oder den gesamten öffentlichen IPv6-Adressbereich zu AWS. Weitere Informationen finden Sie unter Bring your own IP addresses (BYOIP) to Amazon EC2 im Amazon-EC2-Benutzerhandbuch.

Wenn Sie bereit sind, öffentliche IPv6-Adressen zu verwenden, können Sie Instances öffentliche IPv6-Adressen zuweisen (siehe IPv6-Adressen im Amazon-EC2-Benutzerhandbuch). Sie können Ihrer VPC einen öffentlichen IPv6-CIDR-Block zuweisen (siehe Hinzufügen oder Entfernen eines IPv4-CIDR-Blocks zu bzw. aus Ihrer VPC) und den IPv6-CIDR-Block mit Ihren Subnetzen verknüpfen (siehe Ändern der IP-Adressierungsattribute Ihres Subnetzes).

Private IPv6-Adressen

Private IPv6-Adressen sind IPv6-Adressen, die nicht beworben werden und von AWS nicht im Internet beworben werden können.

Sie können eine private IPv6-Adresse verwenden, wenn Sie möchten, dass Ihre privaten Netzwerke IPv6 unterstützen und Sie nicht die Absicht haben, Datenverkehr von diesen Adressen ins Internet weiterzuleiten. Wenn Sie von einer Ressource mit einer privaten IPv6-Adresse eine Verbindung zum Internet herstellen möchten, können Sie dies tun, müssen aber den Datenverkehr über eine Ressource in einem anderen Subnetz mit einer öffentlichen IPv6-Adresse weiterleiten.

Es gibt zwei Arten von privaten IPv6-Adressen:

  • IPv6-ULA-Bereiche: IPv6-Adressen, wie in RFC4193 definiert. Diese Adressbereiche beginnen immer mit „fc“ oder „fd“, wodurch sie leicht identifizierbar sind. Der gültige IPv6-ULA-Bereich ist alles unter fd00::/8, was sich nicht mit dem von Amazon reservierten Bereich fd00::/16 überschneidet.

  • IPv6-GUA-Bereiche: IPv6-Adressen, wie in RFC3587 definiert. Die Option zur Verwendung von IPv6-GUA-Bereichen als private IPv6-Adressen ist standardmäßig deaktiviert und muss vor der Verwendung aktiviert werden. Weitere Informationen finden Sie unter Enable provisioning private IPv6 GUA CIDRs im Amazon-VPC-IPAM-Benutzerhandbuch.

Beachten Sie Folgendes:

  • Private IPv6-Adressen sind nur über den Amazon VPC IP Address Manager (IPAM) verfügbar. IPAM erkennt Ressourcen mit IPv6-ULA- und -GUA-Adressen und überwacht Pools auf sich überschneidende IPv6-ULA- und -GUA-Adressräume.

  • Wenn Sie private IPv6-GUA-Bereiche verwenden, müssen Sie IPv6-GUA-Bereiche verwenden, die Ihnen gehören.

  • Private IPv6-Adressen werden nicht und können auch nicht von AWS im Internet beworben werden. AWS erlaubt keinen direkten ausgehenden Datenverkehr in das öffentliche Internet aus einem privaten IPv6-Bereich, selbst wenn es in der VPC ein Internet-Gateway oder ein Internet-Gateway nur für ausgehenden Datenverkehr gibt. Private IPv6-Adressen werden am Edge des Internet-Gateways automatisch gelöscht, um sicherzustellen, dass sie nicht öffentlich geroutet werden.

  • AWS reserviert die ersten vier Subnetze für private IPv6-Adressen und das letzte.

  • Gültige Bereiche für private IPv6-ULA sind /9 bis /60, beginnend mit fd80::/9.

  • Wenn Sie einen privaten IPv6-GUA-Bereich einer VPC zugewiesen haben, können Sie keinen öffentlichen IPv6-GUA-Bereich verwenden, der sich mit dem privaten IPv6-GUA-Bereich in derselben VPC überschneidet.

  • Die Kommunikation zwischen Ressourcen mit privaten IPv6-ULA- und -GUA-Adressbereichen wird unterstützt (z. B. über Direct Connect, VPC-Peering, Transit-Gateway oder VPN-Verbindungen).

  • Sie können private IPv6-Adressen mit reinen IPv6- und Dual-Stack-VPC-Subnetzen, Elastic Load Balancers und AWS Global Accelerator-Endpunkten verwenden.

  • Für private IPv6-Adressen fallen keine Kosten an.

Im Folgenden finden Sie einige Möglichkeiten, wie Sie sich auf die Verwendung privater IPv6-Adressen für Ihre Workloads vorbereiten können:

  • Erstellen Sie ein IPAM mit Amazon VPC IP Address Manager und stellen Sie einen privaten IPv6-ULA-Bereich für einen IPAM-Adresspool bereit. Weitere Informationen finden Sie unter Erstellen von IPv6-Pools im Amazon-VPC-IPAM-Benutzerhandbuch.

  • Erstellen Sie ein IPAM mit Amazon VPC IP Address Manager und stellen Sie einen privaten IPv6-GUA-Bereich für einen IPAM-Adresspool bereit. Die Option zur Verwendung von IPv6-GUA-Bereichen als private IPv6-Adressen ist standardmäßig deaktiviert und muss vor der Verwendung auf Ihrem IPAM aktiviert werden. Weitere Informationen finden Sie unter Enable provisioning private IPv6 GUA CIDRs im Amazon-VPC-IPAM-Benutzerhandbuch.

Wenn Sie bereit sind, private IPv6-Adressen zu verwenden, können Sie Ihrer VPC einen privaten IPv6-CIDR-Block aus einem IPAM-Pool zuweisen (siehe Hinzufügen oder Entfernen eines IPv4-CIDR-Blocks zu bzw. aus Ihrer VPC) und den IPv6-CIDR-Block mit Ihren Subnetzen verknüpfen (siehe Ändern der IP-Adressierungsattribute Ihres Subnetzes).

Verwenden Sie Ihre eigenen IP-Adressen

Sie können einen teilweisen oder den gesamten eigenen öffentlichen IPv4-Adressbereich oder eines IPv6-Adressbereich in Ihr AWS-Konto bringen. Der Adressbereich gehört weiterhin Ihnen, wird jedoch von AWS standardmäßig im Internet veröffentlicht. Nachdem Sie den Adressbereich zu AWS gebracht haben, erscheint er in Ihrem Konto als Adresspool. Sie können eine Elastic-IP-Adresse aus Ihrem IPv4-Adresspool erstellen und einen IPv6-CIDR-Block aus Ihrem IPv6-Adresspool mit einer VPC verknüpfen.

Weitere Informationen finden Sie unter Bring your own IP addresses (BYOIP) im Amazon-EC2-Benutzerhandbuch.

Amazon VPC IP Address Manager

Amazon VPC IP Address Manager (IPAM) ist ein VPC-Feature, das es Ihnen erleichtert, IP-Adressen für Ihre AWS-Workloads zu planen, zu verfolgen und zu überwachen. Sie können IPAM verwenden, um VPCs mithilfe bestimmter Geschäftsregeln IP-Adress-CIDRs zuzuweisen.

Weitere Informationen zu IPAM finden Sie unter Was ist IPAM? im Benutzerhandbuch von Amazon VPC IPAM.