Amazon Virtual Private Cloud – Häufig gestellte Fragen

Allgemeine Fragen

Fakturierung

Anbindung

IP-Adressierung

Routing und Topologie

Sicherheit und Filter

Amazon VPC und Amazon EC2

Standard-VPCs

Elastische Netzwerkschnittstellen

Weitere Fragen


Allgemeine Fragen

F: Was ist Amazon Virtual Private Cloud (Amazon VPC)?
Amazon VPC ermöglicht die Bereitstellung eines logisch isolierten Bereichs der Amazon Web Services (AWS)-Cloud, in dem Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk ausführen können. Sie haben die vollständige Kontrolle über Ihre virtuelle Netzwerkumgebung, u. a. bei der Auswahl Ihres eigenen IP-Adressbereichs, dem Erstellen von Subnetzen und der Konfiguration von Routing-Tabellen und Netzwerk-Gateways. Darüber hinaus können Sie eine sichere Hardware Virtual Private Network (VPN)-Verbindung zwischen Ihrem Unternehmensrechenzentrum und Ihrer VPC einrichten und die AWS-Cloud als Erweiterung Ihres Unternehmensrechenzentrums einsetzen.

Die Netzwerkkonfiguration für Ihre Amazon VPC kann auf einfache Weise angepasst werden. Sie können beispielsweise ein öffentlich zugängliches Subnetz für Ihre Webserver einrichten, das Zugriff auf das Internet hat, und Ihre Backend-Systeme, wie Datenbanken oder Anwendungsserver in einem privaten Subnetz ohne Internetzugang betreiben. Sie können mehrere Sicherheitsebenen einrichten, darunter Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten, die den Zugriff auf Amazon EC2-Instanzen in den einzelnen Subnetzen steuern.
F: Welche Komponenten umfasst Amazon VPC?
Amazon VPC besteht aus verschiedenen Objekten, die Kunden mit einem vorhandenen Netzwerk bereits bekannt sind:
  • Virtual Private Cloud (VPC): ein logisch isoliertes virtuelles Netzwerk in der AWS-Cloud. Sie definieren einen IP-Adressraum für eine VPC aus einem von Ihnen ausgewählten Bereich.
  • Subnetz: ein Segment eines VPC-IP-Adressbereichs, in dem Sie Gruppen aus isolierten Ressourcen ablegen können.
  • Internetrouter: die Amazon VPC-Seite einer Verbindung mit dem öffentlichen Internet.
  • NAT-Instanz: Eine EC2-Instanz, die die Umsetzung von Port-Adressen für Nicht-EOP-Instanzen zum Zugriff auf das Internet über den Internetrouter durchführt.
  • Hardware-VPN-Verbindung: eine hardwarebasierte Verbindung zwischen Ihrer Amazon VPC und dem eigenen Rechenzentrum, dem Heimnetzwerk oder dem angemieteten Rechenzentrum.
  • Virtuelles privates Gateway: die Amazon VPC-Seite einer VPN-Verbindung.
  • Kunden-Gateway: Ihre Seite einer VPN-Verbindung.
  • Router: Router verbinden Subnetze miteinander und leiten den Datenverkehr zwischen Internet-Gateways, virtuellen privaten Gateways, NAT-Instances und Subnetzen.
F: Weshalb sollte ich Amazon VPC verwenden?
Amazon VPC ermöglicht Ihnen den Aufbau eines virtuellen Netzwerks in der AWS-Cloud, ohne dass VPNs, Hardwaregeräte oder physische Rechenzentren erforderlich sind. Sie können eine eigene Netzwerkumgebung erstellen und kontrollieren, wie der Zugriff auf Ihr Netzwerk und die in ihm enthaltenen Amazon EC2-Ressourcen erfolgt. Sie können auch die stark erweiterten Sicherheitsoptionen in Amazon VPC nutzen, um Zugriffe auf und von Amazon EC2-Instanzen im virtuellen Netzwerk fein abzustufen.
F: Welche ersten Schritte sind für die Benutzung von Amazon VPC notwendig?
Ihre AWS-Ressourcen werden automatisch in einer sofort einsatzbereiten Standard-VPC bereitgestellt. Sie können weitere VPCs erstellen, indem Sie in der AWS Management Console die Seite "Amazon VPC" öffnen und auf die Schaltfläche "Start VPC Wizard" klicken.

Ihnen vier grundlegende Optionen für Netzwerkarchitekturen zur Auswahl präsentiert. Nachdem Sie eine Option ausgewählt haben, können Sie den Umfang des IP-Adressbereichs der VPC und ihrer Subnetze anpassen. Wenn Sie eine Option mit Hardware-VPN-Zugang auswählen, müssen Sie die IP-Adresse der VPN-Hardware des Netzwerks angeben. Nachdem die VPC erstellt wurde, kann sie jederzeit durch Hinzufügen weiterer Subnetze oder Hinzufügen bzw. Entfernen von Gateways angepasst werden.

Die vier Optionen sind:
  1. VPC nur mit öffentlichem Subnetz
  2. VPC mit öffentlichen und privaten Subnetzen
  3. VPC mit öffentlichen und privaten Subnetzen und Hardware-VPN-Zugang
  4. VPC nur mit privatem Subnetz und Hardware-VPN-Zugang

Fakturierung

F: Wie wird mir Amazon VPC in Rechnung gestellt?
Für das Erstellen und Verwenden der VPC selbst fallen keine zusätzlichen Gebühren an. Nutzungsgebühren für andere Amazon Web Services, einschließlich Amazon EC2, entsprechen den für diese Ressourcen veröffentlichten Tarifen, inklusive den Datenübertragungsgebühren.

Wenn Sie Ihre VPC über die optionale Hardware-VPN-Verbindung mit ihrem Unternehmensrechenzentrum verbinden, gelten die Preise pro VPN-Verbindungsstunde (die Zeit, in der die VPN-Verbindung den Status "Verfügbar" hat). Angefangene Stunden werden als volle Stunden abgerechnet. Über VPN-Verbindungen übertragene Daten werden zu den Standardtarifen für die AWS-Datenübertragung berechnet. Informationen zu den VPC-VPN-Preisen finden Sie auf der Produktseite von Amazon VPC im Abschnitt mit den Preisen.

F: Wie werden zu berechnende VPN-Verbindungsstunden definiert?
VPN-Verbindungsstunden werden für die Zeiten berechnet, zu denen Ihre VPN-Verbindungen verfügbar waren. Sie können den Status einer VPN-Verbindung über die AWS Management Console, Befehlszeilen-Schnittstelle oder API ermitteln. Wenn Sie Ihre VPN-Verbindung nicht mehr verwenden möchten, beenden Sie sie einfach, um zu verhindern, dass Ihnen weitere VPN-Verbindungsstunden in Rechnung gestellt werden.
F: Welche Nutzungsgebühren fallen an, wenn ich andere AWS-Dienstleistungen (z. B. Amazon S3) von Amazon EC2-Instanzen in meiner VPC verwende?
Nutzungsgebühren für andere Amazon Web Services, zum Beispiel Amazon EC2, entsprechen den für diese Ressourcen veröffentlichten Tarifen. Für den Zugriff auf AWS-Dienstleistungen, z. B. auf Amazon S3, über den Internetrouter Ihres VPC fallen keine Datenübertragungsgebühren an.

Wenn Sie über Ihre VPN-Verbindung auf AWS-Ressourcen zugreifen, fallen Internet-Gebühren für die Übertragung von Daten an.

Konnektivität

F: Welche Konnektivitätsoptionen sind für meine VPC verfügbar?
Folgende VPC-Verbindungen sind möglich:
  • mit dem Internet (über ein Internet-Gateway)
  • mit dem Rechenzentrum des Unternehmens mithilfe einer Hardware-VPN-Verbindung (über das virtuelle private Gateway)
  • mit dem Internet und mit dem Rechenzentrum Ihres Unternehmens (mithilfe eines Internet-Gateways und virtuellen privaten Gateways)
F: Wie verbinde ich die eigene VPC mit dem Internet?
Amazon unterstützt die Einrichtung eines Internetrouters. Über diesen Router können Amazon EC2-Instanzen in der VPC direkt auf das Internet zugreifen.
F: Wie greifen Instances in einer VPC auf das Internet zu?
Mittels Elastic IP-Adressen (EIPs) können Instances in der VPC sowohl direkt ausgehend mit dem Internet kommunizierend und unaufgefordert eingehenden Datenverkehr aus dem Internet empfangen (z. B. Webserver).
F: Wie greifen Instances ohne EIPs auf das Internet zu?
Instances ohne EIPs können auf eine von zwei Arten auf das Internet zugreifen.
  1. Instances ohne EIPs können ihren Datenverkehr zum Zugriff auf das Internet durch eine NAT-Instanz leiten. Diese Instances verwenden die EIP der NAT-Instance, um das Internet zu durchlaufen. Die NAT-Instance ermöglicht die ausgehende Kommunikation, ermöglicht jedoch Maschinen im Internet nicht die Herstellung einer Verbindung zu den privat adressierten Maschinen, die NAT verwenden, und
  2. Bei VPCs mit einer Hardware-VPN-Verbindung können Instances ihren Internetdatenverkehr über das virtuelle private Gateway zum Ihrem vorhandenen Rechenzentrum leiten. Von hier kann sie über die existierenden Austrittspunkte und Netzwerksicherheits-/-überwachungsgeräte auf das Internet zugreifen.
F: Kann ich eine Software-VPN-Verbindung zu meiner VPC herstellen?
Ja. Sie können die VPN-Software einer Drittpartei verwenden, um eine VPN-Verbindung zwischen Standorten oder eine Fernverbindung zu Ihrer VPC über den Internetrouter herzustellen.
F: Wie funktioniert eine Hardware-VPN-Verbindung mit Amazon VPC?
Eine Hardware-VPN-Verbindung verbindet Ihre VPC mit Ihrem Rechenzentrum. Amazon unterstützt IPsec (Internet Protocol Security) VPN-Verbindungen. Zwischen Ihrer VPC und dem Rechenzentrum übertragene Daten werden über eine verschlüsselte VPN-Verbindung geleitet, wodurch die Vertraulichkeit und Integrität der übertragenen Daten gewährleistet wird. Zum Einrichten einer Hardware-VPN-Verbindung wird kein Internetrouter benötigt.
F: Was ist IPsec?
IPsec ist ein Sicherheitsprotokoll, das die IP-Kommunikation durch Authentifizierung und Verschlüsselung jedes IP-Pakets eines Datenstroms sichert.
F: Welche Kunden-Gateway-Einheiten kann ich für die Verbindung mit Amazon VPC verwenden?
Es gibt zwei Typen von VPN-Verbindungen, die Sie erstellen können: VPN-Verbindungen mit statischem Routing und mit dynamischem Routing. Kunden-Gateway-Geräte, die VPN-Verbindungen mit statischem Routing unterstützt, müssen folgende Aufgaben erfüllen:
  • Herstellen einer IKE Security Association mit Pre-Shared Keys
  • Herstellen von IPsec Security Associations im Tunnel-Modus
  • Verwenden der AES-128-Bit-Verschlüsselungsfunktion
  • Verwenden der SHA-1-Hashing-Funktion
  • Verwenden des Diffie-Hellman Perfect Forward Secrecy im "Gruppe-2"-Modus
  • Durchführen der Paketfragmentierung vor der Verschlüsselung
Zu den zuvor genannten Fähigkeiten müssen VPN-Verbindungen mit dynamischem Routing folgende Aufgaben ausführen können:
  • Herstellen von Border Gateway Protocol(BGP)-Peerings
  • Binden von Tunnels zu logischen Schnittstellen (routenbasiertes VPN)
  • Verwenden der Dead Peer Detection für IPsec
F: Von welchen Kunden-Gateway-Einheiten ist bekannt, dass sie mit Amazon VPC funktionieren?
Von den folgenden Geräten ist bekannt, dass sie für hardwaregestützte VPN-Verbindungen verwendet werden können. Die Befehlszeilen-Tools bieten Unterstützung für die automatische Erstellung von Konfigurationsdateien für das jeweilige Gerät:
F: Wo erhalte ich weitere Informationen zu der Verwendung von Einheiten mit Amazon VPC, wenn sie nicht aufgeführt sind?
Wenden Sie sich an das Amazon VPC-Forum, um sich mit anderen Kunden über deren Erfahrungen mit Ihrer Einheit auszutauschen.
F: Gibt es Einschränkungen hinsichtlich des VPN-Verbindungsdurchsatzes?
Amazon schränkt den VPN-Durchsatz in keiner Weise ein. Folgende Faktoren können jedoch den Durchsatz beeinflussen: kryptografische Fähigkeiten des Kunden-Gateways, Kapazität der Internetverbindung, durchschnittliche Paketgröße, verwendetes Protokoll (TCP oder UDP) und Latenz im Netzwerk zwischen dem Kunden-Gateway und virtuellen privaten Gateway.
F: Welche Tools stehen mir zur Verfügung, um Probleme mit meiner Hardware-VPN-Konfiguration zu lösen?
Die vgw-telemetry-API zeigt den Status der VPN-Verbindung an, einschließlich des Status (up/down) der einzelnen VPN-Tunnel und die entsprechenden Fehlermeldungen, wenn ein Tunnel "down" ist. Diese Information wird auch in der AWS Management Console angezeigt.
F: Wie verbinde ich eine VPC mit meinem Unternehmensrechenzentrum?
Durch eine Hardware-VPN-Verbindung zwischen Ihrem vorhandenen Netzwerk und Amazon VPC können Sie mit Amazon EC2-Instanzen in einer VPC so interagieren, als ob Sie sich in Ihrem vorhandenen Netzwerk befinden würden. AWS führt keinNetwork Address Translation (NAT) bei Amazon EC2-Instanzen in einer VPC durch, auf die über eine Hardware-VPN-Verbindung zugegriffen wird.

IP-Adressierung

F: Welche IP-Adressbereiche kann ich innerhalb meiner VPC verwenden?
Sie können die Adressen für Ihre VPC aus einem beliebigen IPv4-Adressbereich und auch aus RFC 1918 oder öffentlich routbaren IP-Blöcken auswählen. Öffentliche routingfähige IP-Blöcke können nur über das virtuelle private Gateway erreicht werden. Der Zugriff über das Internet durch das Internet-Gateway ist nicht möglich. AWS verbreitet keine im Besitz von Kunden befindliche IP-Adressblöcke im Internet. Darüber hinaus können für VPCs derzeit keine Adressen aus IPv6-IP-Adressbereichen ausgewählt werden.
F: Wie werden den VPCs IP-Adressbereiche zugeordnet?
Sie ordnen einen einzelnen CIDR (Classless Internet Domain Routing)-IP-Adressblock zu, wenn Sie eine VPC erstellen. Subnetze innerhalb einer VPC erhalten von Ihnen die Adressen aus diesem Bereich. Einer VPC kann zu einer bestimmten Zeit jeweils nur ein (1) IP-Adressbereich zugeordnet werden. Die Adressauswahl für eine VPC aus mehreren IP-Adressbereichen wird derzeit nicht unterstützt. Bitte beachten Sie, dass Sie zwar mehrere VPCs mit überlappenden IP-Adressbereichen erstellen können, dass dies jedoch eine Verbindung dieser VPCs zu einem gemeinsamen Heimnetzwerk über die Hardware-VPN-Verbindung verhindert. Wir empfehlen deshalb, nicht überlappende IP-Adressbereiche zu verwenden.
F: Welche IP-Adressbereiche sind einer Standard-VPC zugewiesen?
Standard-VPCs wird der CIDR-Bereich 172.31.0.0/16 zugewiesen. Standardsubnetzen in einer Standard-VPC werden im CIDR-Bereich der VPC Netzblöcke aus dem Bereich "/20" zugewiesen.
F: Kann ich meinen VPC IP-Adressbereich im Internet verbreiten und den Datenverkehr durch mein Rechenzentrum über die Hardware-VPN zu meiner VPC weiterleiten?
Ja, Sie können den Datenverkehr durch die Hardware-VPN-Verbindung leiten und den Adressbereich aus Ihrem Netzwerk verbreiten.
F: Wie groß kann eine von mir erstellte VPC sein?
Derzeit unterstützt Amazon VPC VPCs zwischen den Größen /28 (in CIDR-Notation) und /16. Der IP-Adressbereich Ihrer VPC darf sich nicht mit den IP-Adressbereichen Ihres vorhandenen Netzwerks überschneiden.
F: Kann ich die Größe einer VPC ändern?
Nein. Derzeit müssen Sie zum Ändern der Größe einer VPC die vorhandene VPC beenden und eine neue erstellen.
F: Wie viele Subnetze kann ich pro VPC erstellen?
Derzeit können Sie 200 Subnetze pro VPC erstellen. Wenn Sie weitere Subnetze erstellen möchten, füllen Sie bitte das folgende Formular aus.
F: Ist die Größe eines Subnetzes nach oben oder nach unten hin begrenzt?
Die Mindestgröße eines Subnetzes beträgt /28 (oder 14 IP-Adressen). Subnetze können nicht größer sein, als die VPC, in der sie erstellt wurden.
F: Kann ich alle IP-Adressen verwenden, die ich einem Subnetz zuordne?
Nein. Amazon reserviert die ersten vier (4) IP-Adressen sowie die letzte (1) IP-Adresse jedes Subnetzes zum Zwecke der IP-Netzwerkerstellung.
F: Wie ordne ich Amazon EC2-Instances innerhalb einer VPC private IP-Adressen zu?
Wenn Sie eine Amazon EC2-Instance innerhalb einer VPC starten, können Sie optional die primäre private IP-Adresse für die Instance festlegen. Wenn Sie keine primäre private IP-Adresse festlegen, weist AWS automatisch eine aus dem IP-Adressbereich zu, den Sie dem jeweiligen Subnetz zugeordnet haben. Sie können eine sekundäre private IP-Adresse zuweisen, wenn Sie eine Instance starten oder eine elastische Netzwerkschnittstelle erstellen. Dies ist auch nach dem Starten der Instance oder Erstellen der Schnittstelle jederzeit möglich.
F: Kann ich die privaten IP-Adressen einer Amazon EC2-Instance ändern, während diese in einer VPC ausgeführt wird bzw. angehalten ist?
Primäre private IP-Adressen bleiben für die gesamte Nutzungsdauer der Instance oder Schnittstelle erhalten. Bei sekundären privaten IP-Adressen kann jederzeit eine Zuweisung, Aufhebung der Zuweisung oder Verschiebung zwischen Schnittstellen oder Instances erfolgen.
F: Wenn eine Amazon EC Instance innerhalb einer VPC angehalten wird, kann ich eine andere Instanz mit derselben IP-Adresse in derselben VPC starten?
Nein. Eine IP-Adresse, die einer laufenden Instanz zugeordnet wurde, kann nur dann erneut von einer anderen Instanz genutzt werden, wenn die ursprünglich laufende Instanz "terminiert" wurde.
F: Kann ich gleichzeitig IP-Adressen für mehrere Instanzen zuweisen?
Nein. Beim Starten einer Instanz können Sie immer nur eine IP-Adresse für die Instanz zuweisen.
F: Kann ich einer Instanz jede beliebige IP-Adresse zuweisen?
Sie können der Instance eine beliebige IP-Adresse zuweisen, sofern diese:
  • Teil des IP-Adressbereichs des verknüpften Subnetzes ist
  • nicht durch Amazon für IP-Netzwerkaufgaben reserviert ist
  • nicht gegenwärtig einer anderen Instanz zugewiesen ist.
F: Kann ich einer Instance mehrere IP-Adressen zuweisen?
Ja. Sie können einer elastischen Netzwerkschnittstelle oder EC2-Instance in Amazon VPC eine oder mehrere sekundäre private IP-Adressen zuweisen. Die Anzahl der sekundären privaten IP-Adressen, die Sie zuweisen können, hängt vom Instance-Typ ab. Im EC2-Benutzerhandbuch finden Sie weitere Informationen zur Anzahl der sekundären privaten IP-Adressen, die pro Instance-Typ zugewiesen werden können.
F: Kann ich auf VPC basierenden Amazon EC2-Instances eine oder mehrere Elastic IP-Adressen zuordnen?
Ja, die Elastic IP-Adressen sind aber nur über das Internet (nicht über die VPN-Verbindung) erreichbar. Jede Elastic IP-Adresse muss einer eindeutigen privaten IP-Adresse für die Instance zugeordnet sein. EIP-Adressen sollten nur für Instanzen in Subnets verwendet werden, die konfiguriert sind, ihren Datenverkehr direkt zum Internetrouter zu leiten. EIP können nicht für Instanzen in Subnets verwendet werden, die für die Verwendung einer NAT-Instanz zum Zugriff auf das Internet konfiguriert sind.

Routing und Topologie

F: Welche Aufgabe hat ein Amazon VPC-Router?
Ein Amazon VPC-Router ermöglicht den Amazon EC2 Instances in Subnetzen die Kommunikation mit Amazon EC2 Instances in anderen Subnetzen innerhalb derselben VPC. Außerdem ermöglicht der VPC-Router die Kommunikation zwischen Subnetzen, Internet-Gateways und virtuellen privaten Gateways. Daten zur Netzwerknutzung sind nicht über den Router verfügbar. Sie können jedoch Statistiken zur Netzwerknutzung Ihrer Instanzen über Amazon CloudWatch erhalten.
F: Kann ich die VPC-Routentabellen modifizieren?
Ja. Sie können Routenregeln erstellen, um anzugeben, welche Subnetze zum Internet-Gateway, virtuellen privaten Gateway oder zu anderen Instances (z. B. NAT-Instances) geleitet werden.
F: Kann ich für Subnetze standardmäßige Gateways festlegen?
Ja. Sie können für jedes Subnetz eine standardmäßige Route vorgeben. Die Standardroute kann den Datenverkehr über das Internet-Gateway, das virtuelle private Gateway oder die NAT-Instance aus der VPC leiten.
F: Unterstützt Amazon VPC Multicast oder Broadcast?
Nein.

Sicherheit und Filterung

F: Wie sichere ich Amazon EC2 Instances, die in meiner VPC ausgeführt werden?
Sie können Amazon EC2-Sicherheitsgruppen verwenden, um Instanzen innerhalb einer Amazon VPC zu schützen. Mittels Sicherheitsgruppen in der VPC können Sie den eingehenden und ausgehenden Netzwerkverkehr bestimmen, der von bzw. zu den einzelnen Amazon EC2-Instanzen zugelassen ist. Datenverkehr von und zu Instanzen, der nicht explizit erlaubt ist, wird automatisch gesperrt.

Zusätzlich zu den Sicherheitsgruppen kann eingehender oder ausgehender Netzwerkdatenverkehr der Subnetze über Netzwerk-Zugriffskontrolllisten (ACLs) zugelassen oder gesperrt werden.

F: Wodurch unterscheiden sich Sicherheitsgruppen in einer VPC von Netzwerk-ACLs in einer VPC?
Sicherheitsgruppen in einer VPC geben an, welcher Datenverkehr von bzw. zu einer Amazon EC2-Instanz zugelassen ist. Netzwerk-ACLs operieren auf der Subnetzebene und werten den ein- und ausgehenden Subnetzverkehr aus. Mit Netzwerk-ACLs können Regeln eingerichtet werden, um Datenverkehr sowohl zuzulassen als auch zu sperren. Netzwerk-ACLs filtern den Datenverkehr zwischen Instanzen im selben Subnetz nicht. Darüber hinaus filtern Netzwerk-ACLs zustandslos, Sicherheitsgruppen filtern hingegen zustandsbehaftet.
F: Was ist der Unterschied zwischen zustandsbehafteter und zustandsloser Filterung?
Zustandsbehaftete Filterung überwacht den Ursprung einer Anfrage und kann automatisch eine Antwort auf die Anfrage zum ursprünglichen Rechner zulassen. Beispielsweise lässt eine zustandsbehaftete Filterung des eingehenden Datenverkehrs zum TCP-Port 80 zu, dass der Rückkehrverkehr, der normalerweise auf einem höher nummerierten Port (z. B. Ziel-TCP-Port 63.912) erfolgt, durch den zustandsbehafteten Filter zwischen dem Client und dem Webserver geleitet wird. Die Filtereinrichtung unterhält eine Statustabelle, die die Ursprungs- und Ziel-Portnummern und IP-Adressen überwacht. Die Filtereinrichtung erfordert nur eine Regel: eingehenden Datenverkehr zum Webserver auf TCP-Port 80 zulassen.

Bei der zustandslosen Filterung werden hingegen nur die Quell- oder -Ziel-IP-Adresse und der Ziel-Port untersucht. Ob der Datenverkehr durch eine neue Anforderung oder eine Antwort auf eine Anforderung erzeugt wird, wird nicht überprüft. Im obigen Beispiel müssten zwei Regeln auf der Filtereinrichtung implementiert werden: eine Regel, die eingehenden Datenverkehr zum Webserver auf dem TCP-Port 80 zulässt und eine zweite Regel, die ausgehenden Datenverkehr vom Webserver (TP-Portbereich 49.152 bis 65.535) zulässt.
F: Kann ich in Amazon VPC für Instanzen erstellte SSH-Schlüsselpaare in Amazon EC2 verwenden und umgekehrt?
Ja.
F: Können Amazon EC2 Instances in einer VPC mit Amazon EC2 Instances kommunizieren, die sich nicht in einer VPC befinden?
Ja. Wenn ein Internetrouter konfiguriert wurde, durchläuft Datenverkehr für Amazon EC2-Instanzen, die sich nicht in einer VPC befinden, den Internetrouter und wird durch dann durch das öffentliche AWS-Netzwerk zur EC2-Instanz geleitet. Wenn kein Internet-Gateway konfiguriert wurde oder sich die Instance in einem Subnetz befindet, das den Datenverkehr durch das virtuelle private Gateway leitet, durchläuft der Datenverkehr die VPN-Verbindung aus dem Rechenzentrum kommend und gelangt erneut in das öffentliche AWS-Netzwerk.
F: Können Amazon EC2 Instances innerhalb einer VPC in einer Region mit Amazon EC2 Instanzen innerhalb einer VPC in einer anderen Region kommunizieren?
Ja, solange die gesamte Kommunikation über den Internetrouter jeder VPC erfolgt und die Elastic IP-Adressen verwendet, die den Instanzen in jeder VPC zugewiesen wurden. Anmerkung: Sicherheitsgruppen können sich nicht über mehrere Regionen erstrecken. Die gesamte Filterung des Datenverkehrs zwischen Instanzen in verschiedenen VPCs muss die Elastic IP-Adressen zur Spezifizierung der Quell- oder Zieladressen verwenden.
F: Können Amazon EC2-Instanzen innerhalb einer VPC mit Amazon S3 kommunizieren?
Ja. Wenn das VPC mit dem Internet verbunden ist, können Instanzen in der VPC mit Amazon S3 kommunizieren. Wenn kein Internetrouter vorhanden ist, durchläuft der gesamte Datenverkehr zu Amazon S3 die VPN-Verbindung, kommt aus dem Rechenzentrum und gelangt erneut in das öffentliche AWS-Netzwerk.
F: Weshalb kann ich den Router oder mein Standard-Gateway, der bzw. das meine Subnetze verbindet, nicht anpingen?
Ping (ICMP-Echo und Echo Replay)-Abfragen an den Router in Ihrer VPC werden nicht unterstützt. Ping zwischen Amazon EC2-Instanzen in der VPC wird unterstützt, falls die Firewalls, VPC Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten Ihres Betriebssystems diesen Datenverkehr zulassen.

Amazon VPC und Amazon EC2

F: In welchen Amazon-EC2-Regionen ist Amazon VPC verfügbar?
Amazon VPC ist derzeit in mehreren Availability Zones in allen Amazon EC2-Regionen verfügbar.
F: Kann sich eine VPC über mehrere Availability Zones erstrecken?
Ja.
F: Kann sich ein Subnetz über mehrere Availability Zones erstrecken?
Nein. Ein Subnetz muss sich innerhalb einer einzigen Availability Zone befinden.
F: Wie kann ich festlegen, in welcher Availability Zone meine Amazon EC2-Instances gestartet werden?
Wenn Sie eine Amazon EC2-Instance starten, müssen Sie das Subnetz angeben, in dem die Instance gestartet werden soll. Die Instance wird in der Availability Zone gestartet, die dem angegebenen Subnetz zugeordnet ist.
F: Wie kann ich feststellen, in welcher Availability Zone sich meine Subnetze befinden?
Wenn Sie ein Subnetz erstellen, müssen Sie die Availability Zone angeben, in der das Subnetz platziert wird. Bei Verwendung des VPC-Assistenten können Sie die Availability Zone des Subnetzes im Bestätigungsbildschirm des Assistenten auswählen. Bei Verwendung der API oder Befehlszeilen-Schnittstelle können Sie die Availability Zone für das Subnetz angeben, während Sie das Subnetz erstellen. Wenn Sie keine Availability Zone angeben, wird standardmäßig die Option "No Preference" ausgewählt und das Subnetz wird in einer verfügbaren Availability Zone in der Region erstellt.
F: Wird mir die Netzwerkbandbreite zwischen Instanzen in verschiedenen Subnetzen in Rechnung gestellt?
Wenn sich die Instanzen in Subnetzen verschiedener Availability Zones befinden, werden Ihnen $ 0,01 pro GB für die Datenübertragung in Rechnung gestellt.
F: Werden mir beim Aufruf von "DescribeInstances()" alle meine Amazon EC2-Instances angezeigt, einschließlich derjenigen in EC2-Classic und EC2-VPC?
Ja. DescribeInstances() gibt alle laufenden Amazon EC2-Instanzen aus. Durch einen Eintrag im Feld "Subnet" können Sie EC2-Classic-Instances von EC2-VPC-Instances unterscheiden. Wenn eine Subnetz-ID angegeben ist, befindet sich die Instance in einer VPC.
F: Werden mir beim Aufruf von "DescribeVolumes()" alle meine EBS-Volumes angezeigt, einschließlich derjenigen in EC2-Classic und EC2-VPC?
Ja. DescribeVolumes() gibt alle Ihre EBS-Datenträger aus.
F: Wie viele Amazon EC2 Instances kann ich innerhalb einer VPC verwenden?
Sie können eine beliebige Anzahl an Amazon EC2 Instances in VPC ausführen, solange Ihre VPC entsprechend dimensioniert ist, damit jeder Instanz eine IP-Adresse zugeordnet ist. Anfänglich gilt ein Grenzwert von gleichzeitig 20 Amazon EC2-Instances mit der maximalen VPC-Größe "/16" (65 536 IP-Adressen). Wenn Sie über diese Limits hinausgehen möchten, füllen Sie bitte das folgende Formular aus.
F: Kann ich meine vorhandenen AMIs in Amazon VPC verwenden?
Sie können AMIs in Amazon VPC verwenden, die in derselben Region wie Ihre VPC registriert sind. Beispielsweise können AMIs, die in us-east-1 registriert sind, mit einer VPC in us-east-1 verwendet werden. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Regionen und Availability Zones von Amazon EC2.
F: Kann ich meine vorhandenen EBS-Snapshots verwenden?
Ja, Sie können Amazon-EBS-Snapshots verwenden, wenn diese in derselben Region wie Ihr VPC sind. Weitere Informationen finden Sie in den Häufig gestellte Fragen zu Regionen und Availability Zones von Amazon EC2.
F: Kann ich eine Amazon EC2 Instance von einem Amazon-EBS-Datenträger innerhalb Amazon VPC booten?
Ja. Eine in einer VPC gestartete Instanz, die eine von Amazon EBS unterstützte AMI verwendet, behält jedoch dieselbe IP-Adresse bei, wenn sie gestoppt und gestartet wird. Dies geschieht im Gegensatz zu anderen Instanzen, die außerhalb einer VPC gestartet werden und eine neue IP-Adresse erhalten. Die IP-Adressen von gestoppten Instanzen in einem Subnetz werden als nicht verfügbar behandelt.
F: Kann ich Amazon EC2 Reserved Instances mit Amazon VPC verwenden?
Ja. Sie können beim Erwerb von Reserved Instances eine Instanz in Amazon VPC reservieren. Bei der Verarbeitung Ihrer Rechnung unterscheidet AWS nicht, ob Ihre Instanz in Amazon VPC oder standardmäßig in Amazon EC2 ausgeführt wird. AWS orientiert sich automatisch daran, welche Instanzen nach den geringeren Reserved Instance-Tarifen abgerechnet werden, damit sichergestellt ist, dass Sie stets den geringstmöglichen Betrag zahlen müssen. Ihre Instanz-Reservierung erfolgt jedoch spezifisch für Amazon VPC. Weitere Informationen zu diesem Thema finden Sie auf der Seite zu Reserved Instances.
F: Kann ich Amazon CloudWatch in Amazon VPC einsetzen?
Ja.
F: Kann ich Amazon Auto Scaling in Amazon VPC einsetzen?
Ja.
F: Kann ich Amazon EC2 Cluster Instances in einer VPC einsetzen?
Ja. Cluster-Instances werden in der Amazon VPC unterstützt. Der Instance-Typ "CC1.4xlarge" steht in einer Amazon VPC jedoch nicht zur Verfügung. Nicht alle Instance-Typen stehen in allen Regionen und Availability Zones zur Verfügung.

Standard-VPCs

F: Was ist eine Standard-VPC?
Eine Standard-VPC ist ein logisch isoliertes virtuelles Netzwerk in der AWS-Cloud, das automatisch für Ihr AWS-Konto erstellt wird, wenn Sie erstmals Amazon EC2-Ressourcen bereitstellen. Wenn Sie eine Instance starten, ohne eine Subnetz-ID anzugeben, wird Ihre Instance in Ihrer Standard-VPC gestartet.
F: Welche Vorteile bietet eine Standard-VPC?
Wenn Sie Ressourcen in einer Standard-VPC in Betrieb nehmen, können Sie von den erweiterten Netzwerkfunktionen von Amazon VPC (EC2-VPC) und der Benutzerfreundlichkeit von Amazon EC2 (EC2-Classic) profitieren. Geboten werden Ihren Funktionen wie das Ändern der Mitgliedschaft von Sicherheitsgruppen bei laufendem Betrieb, die Filterung für ausgehenden Datenverkehr für Sicherheitsgruppen, mehrere IP-Adressen und mehrere Netzwerkschnittstellen, ohne explizit eine VPC erstellen und Instances in der VPC starten zu müssen.
F: Welche Konten sind für eine Standard-VPC aktiviert?
Wenn Ihr AWS-Konto nach dem 18.03.2013 erstellt wurde, können Sie ggf. Ressourcen in einer Standard-VPC starten. Lesen Sie diese Ankündigung im Forum, um zu prüfen, in welchen Regionen Standard-VPCs unterstützt werden. Darüber hinaus können Konten, die vor den aufgeführten Terminen angelegt wurden, Standard-VPCs in allen für Standard-VPCs aktivierten Regionen nutzen, in denen Sie zuvor keine EC2-Instances gestartet oder Amazon Elastic Load Balancing-, Amazon RDS-, Amazon ElastiCache- oder Amazon Redshift-Ressourcen bereitgestellt haben.
F: Woran erkenne ich, dass mein Konto für die Nutzung einer Standard-VPC konfiguriert ist?
Die Amazon EC2-Konsole gibt an, auf welchen Plattformen Sie Instances in der ausgewählten Region starten können und ob Sie über eine Standard-VPC in der jeweiligen Region verfügen. Vergewissern Sie sich, dass die gewünschte Region auf der Navigationsleiste ausgewählt ist. Prüfen Sie im Dashboard der Amazon EC2-Konsole unter "Account Attributes" den Eintrag in "Supported Platforms". Wenn die beiden Werte "EC2-Classic" und "EC2-VPC" vorhanden sind, können Sie Instances auf beiden Plattformen starten. Ist nur der Wert "EC2-VPC" vorhanden, können Sie Instances nur in EC2-VPC starten. Die ID Ihrer Standard-VPC wird unter "Account Attributes" angezeigt, wenn Ihr Konto für die Nutzung einer Standard-VPC konfiguriert ist. Sie können auch die EC2-API "DescribeAccountAttributes" oder die Befehlszeilen-Schnittstelle nutzen, um Ihre unterstützten Plattformen zu beschreiben.
F: Muss ich mich mit Amazon VPC auskennen, um eine Standard-VPC verwenden zu können?
Nein. Sie können über die AWS Management Console- bzw. EC2-Classic-Befehlszeilen- oder API-Syntax EC2-Instances und andere AWS-Ressourcen in einer Standard-VPC starten und verwalten. AWS erstellt für Sie automatisch eine Standard-VPC und ein Standard-Subnetz in allen Availability Zones der AWS-Region. Ihre Standard-VPC wird mit einem Internet-Gateway verbunden und Ihre Instances erhalten wie bei EC2-Classic automatisch öffentliche IP-Adressen.
F: Was sind die Unterschiede zwischen Instances, die in EC2-Classic- und EC2-VPC gestartet werden?
Lesen Sie im EC2-Benutzerhandbuch den Abschnitt zu den Unterschieden zwischen EC2-Classic und EC2-VPC.
F: Worin unterscheiden sich Standard-VPCs von Nicht-Standard-VPCs?
Standard-VPCs unterscheiden sich von Nicht-Standard-VPCs darin, dass sie Standardsubnetze enthalten können. Standardsubnetze sind das Ziel von ohne Ziel gestarteten Instances. In einem Standardsubnetz gestartete Instances empfangen automatisch öffentliche IP-Adressen.
F: Benötige ich für die Nutzung einer Standard-VPC eine VPN-Verbindung?
Nein. Standard-VPCs sind mit dem Internet verbunden und alle in Standardsubnetzen gestarteten Instances in der Standard-VPC erhalten automatisch öffentliche IP-Adressen. Sie können Ihrer Standard-VPC nach Wunsch eine VPN-Verbindung hinzufügen.
F: Kann ich weitere VPCs erstellen und diese als Ergänzung zu meiner Standard-VPC verwenden?
Ja. Zum Starten einer Instance in Nicht-Standard-VPCs müssen Sie beim Starten der Instance eine Subnetz-ID angeben.
F: Kann ich in meiner Standard-VPC weitere Subnetze erstellen, z. B. private Subnetze?
Ja. Für einen Start in Nicht-Standardsubnetzen können Sie das Ziel für Ihre Startvorgänge mithilfe der Konsole oder über die Befehlszeilen-Schnittstellen-, API- oder SDK-Option "--subnet" angeben.
F: Wie viele Standard-VPCs sind möglich?
Sie können in jeder AWS-Region, für die das Attribut "Supported-Platforms" auf "EC2-VPC" festgelegt ist, über eine Standard-VPC verfügen.
F: Welchen IP-Adressbereich hat eine Standard-VPC? Welche IP-Adressbereichsgröße haben Standardsubnetze?
Der CIDR-Bereich einer Standard-VPC ist 172.31.0.0/16. Standardsubnetze nutzen den CIDR-Bereich "/20" innerhalb des CIDR-Bereichs einer Standard-VPC.
F: Wie viele Standardsubnetze weist eine Standard-VPC auf?
Ein Standardsubnetz wird in Ihrer Standard-VPC für jede Availability Zone erstellt.
F: Kann ich angeben, welche VPC meine Standard-VPC ist?
Nein, derzeit nicht.
F: Kann ich angeben, welche Subnetze meine Standardsubnetze sind?
Nein, derzeit nicht.
F: Kann ich eine Standard-VPC löschen?
Ja. Wenden Sie sich dann den AWS Support, wenn Sie Ihre Standard-VPC gelöscht haben und sie wiederherstellen möchten.
F: Kann ich ein Standardsubnetz löschen?
Ja, doch der Löschvorgang ist endgültig. Ihre künftig gestarteten Instances werden in Ihren restlichen Standardsubnetzen abgelegt.
F: Ich habe bereits ein EC2-Classic-Konto. Kann ich eine Standard-VPC erhalten?
Die einfachste Möglichkeit, eine Standard-VPC zu erhalten, ist das Anlegen eines neuen Kontos in einer Region, die für Standard-VPCs aktiviert ist. Oder Sie können ein vorhandenes Konto in einer Region nutzen, die Sie nicht zuvor verwendet haben, solange das Attribut "Supported-Platforms" für dieses Konto in dieser Region auf "EC2-VPC" festgelegt ist.
F: Ich wünsche mir für mein bestehendes EC2-Konto eine Standard-VPC. Ist das möglich?
Ja, wir können jedoch ein vorhandenes Konto nur dann für eine Standard-VPC aktivieren, wenn Sie noch nicht über EC2-Classic-Ressourcen für dieses Konto in der jeweiligen Region verfügen. Darüber hinaus müssen Sie alle nicht per VPC bereitgestellten Elastic Load Balancer-, Amazon RDS-, Amazon ElastiCache- und Amazon Redshift-Ressourcen in der jeweiligen Region kündigen. Nachdem Ihr Konto für eine Standard-VPC konfiguriert wurde, werden alle künftig gestarteten Ressourcen, so auch per Auto Scaling gestartete Instances, Ihrer Standard-VPC zugeordnet. Wenn Sie Ihr bestehendes Konto mit einer Standard-VPC einrichten möchten, wenden Sie sich an den AWS Support. Wir prüfen Ihren Antrag und Ihre bestehenden Verträge für AWS-Services und EC2-Classic, um festzustellen, ob Sie für eine Standard-VPC berechtigt sind. (Hinweis: Regionen, in denen die Standard-VPC-Funktionen bereits aktiviert wurden, haben Vorrang.)
F: Welche Auswirkung hat eine Standard-VPC auf IAM-Konten?
Wenn Ihr AWS-Konto über eine Standard-VPC verfügt, verwenden IAM-Konten, die Ihrem AWS-Konto zugeordnet sind, dieselbe Standard-VPC wie Ihr AWS-Konto.

Elastische Netzwerkschnittstellen

F: Kann ich einer ausgeführten EC2-Instance eine oder mehrere Netzwerkschnittstellen zuordnen bzw. diese Zuordnung aufheben?
Ja.
F: Kann ich meine EC2-Schnittstelle mit mehr als zwei Netzwerkschnittstellen verknüpfen?
Die Gesamtanzahl von Netzwerkschnittstellen, die einer EC2-Instance zugeordnet werden kann, hängt vom Instance-Typ ab. Im EC2-Benutzerhandbuch finden Sie weitere Informationen zur Anzahl der Netzwerkschnittstellen, die je nach Instance-Typ zulässig sind.
F: Kann ich eine Netzwerkschnittstelle in einer Availability Zone mit einer Instance in einem anderen Availability Zone verknüpfen?
Netzwerkschnittstellen können nur mit Instances in derselben Availability Zone verknüpft werden.
F: Kann ich eine Netzwerkschnittstelle in einem VPC mit einer Instanz in einem anderen VPC verknüpfen?
Netzwerkschnittstellen können nur mit Instanzen verknüpft werden, die sich im gleichen VPC wie die Schnittstelle befinden.
F: Kann ich elastische Netzwerkschnittstellen als Möglichkeit nutzen, mehrere Websites mit einer Schnittstelle zu hosten, die unterschiedliche IP-Adressen benötigen?
Ja. Dies ist jedoch kein für mehrere Schnittstellen optimaler Anwendungsfall. Weisen Sie stattdessen der Instance weitere private IP-Adressen zu, und ordnen Sie anschließend nach Bedarf den privaten IP-Adressen Elastic IP-Adressen zu.
F: Werden mir Elastic IP-Adressen in Rechnung gestellt, die einer Netzwerkschnittstelle zugeordnet sind, obwohl die Netzwerkschnittstelle nicht mit einer ausgeführten Instance verknüpft ist?
Ja.
F: Kann ich die primäre Schnittstelle (eth0) von meiner EC2-Instanz lösen?
Nein. Sie können die sekundären Schnittstellen (eth1-ethn) einer EC2-Instance zuordnen bzw. diese Zuordnung aufheben. Die Zuordnung der eth0-Schnittstelle können Sie jedoch nicht aufheben.

Weitere Fragen

F: Kann ich AWS Management Console zum Steuern und Verwalten von Amazon VPC verwenden?
Ja. Sie können die AWS Management Console nutzen, um Amazon VPC-Elemente wie VPCs, Subnetze, Routentabellen, Internetroutern und IPSec-VPN-Verbindungen zu verwalten. Darüber hinaus können Sie mithilfe eines benutzerfreundlichen Assistenten eine VPC herstellen.
F: Wie viele VPCs, Subnetze, Elastic IP-Adressen, Internet-Gateways, Kunden-Gateways, virtuelle privaten Gateways und VPN-Verbindungen kann ich erstellen?
Sie können Folgendes erstellen:
  • Fünf Amazon VPCs pro AWS-Konto pro Region
  • 200 Subnetze pro Amazon VPC
  • 5 Amazon VPC Elastic IP-Adressen pro AWS-Konto pro Region
  • Ein Internetrouter pro VPC
  • Pro AWS-Konto pro Region fünf virtuelle private Gateways
  • Pro AWS-Konto pro Region 50 Kunden-Gateways
  • Pro virtuellem privaten Gateway zehn IPsec-VPN-Verbindungen
F: Besteht für die Amazon VPC-VPN-Verbindung eine Dienstgütevereinbarung (DGV)?
Derzeit nicht.
F: Kann ich AWS Support mit Amazon VPC erhalten?
Ja. Klicken Sie hier, um weitere Informationen über den AWS Support zu erhalten.
F: Kann ich ElasticFox mit Amazon VPC verwenden?
ElasticFox wird offiziell nicht mehr für die Verwaltung Ihrer Amazon VPC unterstützt. Amazon VPC-Unterstützung ist über AWS APIs, Befehlszeilen-Tools und die AWS Management Console sowie verschiedene Drittpartei-Dienstprogramme verfügbar.

Seitenanfang

©2013, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.