Häufig gestellt Fragen zu Amazon VPC

F: Was ist Amazon Virtual Private Cloud?

Amazon VPC ermöglicht die Bereitstellung eines logisch isolierten Bereichs der Amazon Web Services(AWS)-Cloud, in dem Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk ausführen können. Sie haben die vollständige Kontrolle über Ihre virtuelle Netzwerkumgebung, u. a. bei der Auswahl Ihrer eigenen IP-Adressbereiche, dem Erstellen von Subnetzen und der Konfiguration von Routing-Tabellen und Netzwerk-Gateways. Darüber hinaus können Sie eine sichere hardwarebasierte Virtual Private Network(VPN)-Verbindung zwischen Ihrem Unternehmensrechenzentrum und Ihrer VPC einrichten und die AWS Cloud als Erweiterung Ihres Unternehmensrechenzentrums einsetzen.

Die Netzwerkkonfiguration für Ihre Amazon VPC kann auf einfache Weise angepasst werden. Sie können beispielsweise ein öffentlich zugängliches Subnetz für Ihre Webserver einrichten, das Zugriff auf das Internet hat, und Ihre Backend-Systeme, wie Datenbanken oder Anwendungsserver in einem privaten Subnetz ohne Internetzugang betreiben. Sie können mehrere Sicherheitsebenen einrichten, darunter Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten, die den Zugriff auf Amazon EC2-Instances in den einzelnen Subnetzen steuern.

F: Welche Komponenten umfasst Amazon VPC?

Amazon VPC besteht aus verschiedenen Objekten, die Kunden mit einem bestehenden Netzwerk bereits bekannt sind:

• Virtual Private Cloud: ein logisch isoliertes virtuelles Netzwerk in der AWS Cloud. Sie definieren einen IP-Adressraum für eine VPC aus von Ihnen ausgewählten Bereichen.
• Subnetz: ein Segment eines VPC-IP-Adressbereichs, in dem Sie Gruppen aus isolierten Ressourcen ablegen können.
• Internet-Gateway: die Amazon VPC-Seite einer Verbindung mit dem öffentlichen Internet.
• NAT Gateway: ein verwalteter Service mit hoher Verfügbarkeit für die Network Address Translation (NAT) für Ihre Ressourcen in einem privaten Subnetz für den Zugang zum Internet.
• Virtuelles privates Gateway: die Amazon VPC-Seite einer VPN-Verbindung.
• Peering-Verbindung: Eine Peering-Verbindung ermöglicht Ihnen, Datenverkehr zwischen zwei über Peering verbundenen VPCs über private IP-Adressen zu leiten.
• VPC-Endpunkte: ermöglichen eine private Verbindung zu Services, die auf AWS gehostet werden, über Ihre VPC, ohne dass Sie ein Internet-Gateway, ein VPN, Network Address Translation(NAT)-Geräte oder Firewall-Proxys verwenden müssen.
• Internet-Gateway (nur ausgehend): Ein zustandsbehafteter Gateway für ausgehenden Zugriff für IPv6-Datenverkehr von der VPC zum Internet.

1. Amazon VPC mit nur einem öffentlichem Subnetz
2. Amazon VPC mit öffentlichen und privaten Subnetzen
3. Amazon VPC mit öffentlichen und privaten Subnetzen und AWS Site-to-Site VPN-Zugang
4. Amazon VPC nur mit einem privaten Subnetz und AWS Site-to-Site VPN-Zugang

F: Wie wird mir Amazon VPC in Rechnung gestellt?

Für das Erstellen und Verwenden der VPC selbst fallen keine zusätzlichen Gebühren an. Nutzungsgebühren für andere Amazon Web Services, einschließlich Amazon EC2, entsprechen den für diese Ressourcen veröffentlichten Tarifen, einschließlich Datenübertragungsgebühren. Wenn Sie Ihre VPC über die optionale Hardware-VPN-Verbindung mit Ihrem Unternehmensrechenzentrum verbinden, gelten die Preise pro VPN-Verbindungsstunde (die Zeit, in der die VPN-Verbindung den Status "Verfügbar" hat). Angefangene Stunden werden als volle Stunden abgerechnet. Über VPN-Verbindungen übertragene Daten werden zu den Standardtarifen für die AWS-Datenübertragung berechnet. Informationen zu den VPC-VPN-Preisen finden Sie auf der Produktseite von Amazon VPC im Abschnitt mit den Preisen.

F: Welche Nutzungsgebühren fallen an, wenn ich andere AWS-Dienstleistungen (z. B. Amazon S3) von Amazon EC2-Instances in meiner VPC verwende?

Nutzungsgebühren für andere Amazon Web Services, zum Beispiel Amazon EC2, entsprechen den für diese Ressourcen veröffentlichten Tarifen. Für den Zugriff auf AWS Web Services, z. B. auf Amazon S3, über den Internetrouter Ihres VPC fallen keine Datenübertragungsgebühren an.

Wenn Sie über Ihre VPN-Verbindung auf AWS-Ressourcen zugreifen, fallen Internetgebühren für die Übertragung von Daten an.

F: Sind Steuern bereits in den Preisen enthalten?

Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, darunter MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen.

F: Welche Anbindungsoptionen sind für meine Amazon VPC verfügbar?

Folgende Amazon VPC-Verbindungen sind möglich:

• mit dem Internet (über ein Internet-Gateway)
• mit dem Rechenzentrum des Unternehmens mithilfe einer AWS Site-to-Site VPN-Verbindung (über das virtuelle private Gateway)
• mit dem Internet und mit dem Rechenzentrum Ihres Unternehmens (mithilfe eines Internet-Gateways und virtuellen privaten Gateways)
• Andere AWS-Services (über Internet-Gateway, NAT, Virtual Private Gateway oder VPC-Endpunkte)
• Andere Amazon VPCs (über VPC-Peering-Verbindungen)

1. Instances ohne öffentliche IP-Adressen können den Datenverkehr über ein NAT-Gateway oder eine NAT-Instance umleiten, um auf das Internet zuzugreifen. Diese Instances verwenden für den Internetzugriff die öffentliche IP-Adresse des NAT-Gateways oder der NAT-Instance. Das NAT-Gateway oder die NAT-Instance ermöglicht die ausgehende Kommunikation, aber nicht, dass Computer im Internet eine Verbindung zu Instances mit privaten Adressen herstellen.
2. Bei VPCs mit einer Hardware-VPN- oder Direct Connect-Verbindung können Instances ihren Internetdatenverkehr über das virtuelle private Gateway zu Ihrem vorhandenen Rechenzentrum leiten. Von hier kann sie über die vorhandenen Austrittspunkte und Netzwerksicherheits-/Netzwerküberwachungsgeräte auf das Internet zugreifen.

F: Welche IP-Adressbereiche kann ich innerhalb meiner Amazon VPC verwenden?

Für den primären CIDR-Block können Sie jeden IPv4-Adressbereich, einschließlich RFC 1918 oder öffentlich routingfähige IP-Bereiche verwenden. Für den sekundären CIDR-Block gelten bestimmte Einschränkungen. Öffentliche routingfähige IP-Blöcke können nur über das virtuelle private Gateway erreicht werden. Der Zugriff über das Internet durch das Internet-Gateway ist nicht möglich. AWS verbreitet keine im Besitz von Kunden befindliche IP-Adressblöcke im Internet. Sie können bis zu 5 von Amazon bereitgestellte oder BYOIP-IPv6-GUA-CIDR-Blöcke für eine VPC bereitstellen, indem Sie die relevante API aufrufen oder die AWS-Managementkonsole verwenden.

F: Wie werden den Amazon-VPCs IP-Adressbereiche zugeordnet?

Bei der Erstellung einer VPC weisen Sie einen einzelnen Classless Internet Domain Routing (CIDR)-IP-Adressbereich als primären CIDR-Block zu und können nach der Erstellung der VPC bis zu vier (4) sekundäre CIDR-Blöcke hinzufügen. Subnetze innerhalb einer VPC erhalten von Ihnen die Adressen aus diesen CIDR-Bereichen. Bitte beachten Sie, dass Sie zwar mehrere VPCs mit überlappenden IP-Adressbereichen erstellen können, dass dies jedoch eine Verbindung dieser VPCs zu einem gemeinsamen Heimnetzwerk über die Hardware-VPN-Verbindung verhindert. Wir empfehlen deshalb, nicht überlappende IP-Adressbereiche zu verwenden. Sie können Ihrer VPC bis zu 5 von Amazon bereitgestellte oder BYOIP-IPv6-CIDR-Blöcke zuweisen.

F: Welche IP-Adressbereiche sind einer standardmäßigen Amazon VPC zugewiesen?

Standard-VPCs wird der CIDR-Bereich 172.31.0.0/16 zugewiesen. Standardsubnetzen in einer Standard-VPC werden im CIDR-Bereich der VPC Netzblöcke aus dem Bereich "/20" zugewiesen. 

F: Kann ich den öffentlichen IP-Adressbereich meiner VPC im Internet verbreiten und den Datenverkehr durch mein Rechenzentrum über das AWS Site-to-Site VPN zu meiner Amazon VPC weiterleiten?

Ja, Sie können den Datenverkehr über die AWS Site-to-Site VPN-Verbindung leiten und den Adressbereich aus Ihrem Netzwerk verbreiten.

F: Kann ich meine öffentlichen IP-Adressen in der VPC verwenden und über das Internet darauf zugreifen?

Ja, Sie können Ihre öffentlichen IPv4-Adressen und IPv6-GUA-Adressen in die AWS VPC bringen und sie Subnetzen und EC2-Instances statisch zuweisen. Um auf diese Adressen über das Internet zuzugreifen, müssen Sie sie im Internet von Ihrem lokalen Netzwerk aus bekannt machen. Sie müssen auch den Verkehr über diese Adressen zwischen Ihrer VPC und dem lokalen Netzwerk über eine AWS DX- oder AWS VPN-Verbindung leiten. Sie können den Datenverkehr von Ihrer VPC über das virtuelle private Gateway weiterleiten. Ebenso können Sie den Datenverkehr von Ihrem lokalen Netzwerk über Ihre Router zurück zu Ihrer VPC leiten.

F: Wie groß kann eine von mir erstellte VPC sein?

Derzeit unterstützt Amazon VPC fünf (5) IP-Adressbereiche, eine (1) primäre und vier (4) sekundäre für IPv4. Jeder dieser Bereiche kann eine Größe zwischen /28 (in CIDR-Notation) und /16 haben. Die IP-Adressbereiche Ihrer VPC dürfen sich nicht mit den IP-Adressbereichen Ihres vorhandenen Netzwerks überschneiden.

Für IPv6 hat die VPC eine feste Größe von /56 (in CIDR-Notation). Einer VPC können IPv4- und IPv6-CIDR-Blöcke zugeordnet sein.

F: Kann ich die Größe einer VPC ändern?

Ja. Sie können Ihre vorhandene VPC erweitern, indem Sie dieser vier (4) sekundäre IPv4-IP-Bereiche (CIDRs) hinzufügen. Ihre VPC können Sie auch verkleinern, indem Sie die sekundären CIDR-Blöcke entfernen, die Sie Ihrer VPC hinzugefügt haben.   Ebenso können Sie Ihrer VPC bis zu fünf (5) zusätzliche IPv6-IP-Bereiche (CIDRs) hinzufügen.  Durch Löschen dieser zusätzlichen Bereiche können Sie Ihre VPC verkleinern.

F: Wie viele Subnetze kann ich pro VPC erstellen?

Derzeit können Sie 200 Subnetze pro VPC erstellen. Falls Sie noch mehr einrichten möchten, übermitteln Sie den Fall an das Supportcenter.

F: Ist die Größe eines Subnetzes nach oben oder nach unten hin begrenzt?

Die Mindestgröße eines Subnetzes beträgt /28 (oder 14 IP-Adressen) für IPv4. Subnetze können nicht größer sein als die VPC, in der sie erstellt wurden.

Für IPv6 ist die Subnetzgröße fest (/64). Nur ein IPv6-CIDR-Block kann einem Subnetz zugeordnet werden.

F: Kann ich alle IP-Adressen verwenden, die ich einem Subnetz zuordne?

Amazon reserviert die ersten vier (4) IP-Adressen sowie die letzte (1) IP-Adresse jedes Subnetzes zum Zwecke der IP-Netzwerkerstellung. 

F: Wie ordne ich Amazon-EC2-Instances innerhalb einer VPC private IP-Adressen zu?

Wenn Sie eine Amazon-EC2-Instance innerhalb einer Subnetz starten, die nicht nur IPv6 ist, können Sie optional die primäre private IPv4-Adresse für die Instance festlegen. Wenn Sie keine primäre private IPv4-Adresse festlegen, weist AWS automatisch eine aus dem IPv4-Adressbereich zu, den Sie dem jeweiligen Subnetz zugeordnet haben. Sie können eine sekundäre private IPv4-Adresse zuweisen, wenn Sie eine Instance starten oder eine elastische Netzwerkschnittstelle erstellen. Dies ist auch nach dem Starten der Instance oder Erstellen der Schnittstelle jederzeit möglich. Wenn Sie eine Amazon-EC2-Instance in einem reinen IPv6-Subnetz starten, adressiert AWS sie automatisch über die von Amazon bereitgestellte IPv6-GUA-CIDR dieses Subnetzes. Die IPv6-GUA der Instance bleibt privat, es sei denn, Sie machen sie mit der richtigen Sicherheitsgruppe, NACL und Routentabellenkonfiguration für das Internet erreichbar. 

F: Kann ich die privaten IP-Adressen einer Amazon-EC2-Instance ändern, während diese in einer VPC ausgeführt wird bzw. angehalten ist?

Bei einer Instance, die in einem IPv4- oder Dual-Stack-Subnetz gestartet wird, bleibt die primäre private IPv4-Adresse für die gesamte Lebensdauer der Instance oder Schnittstelle erhalten. Bei sekundären privaten IPv4-Adressen kann jederzeit eine Zuweisung, Aufhebung der Zuweisung oder Verschiebung zwischen Schnittstellen oder Instances erfolgen. Für eine Instance, die in einem reinen IPv6-Subnetz gestartet wurde, kann die zugewiesene IPv6-GUA, die auch die erste IP-Adresse auf der primären Netzwerkschnittstelle der Instance ist, jederzeit geändert werden, indem eine neue IPv6-GUA zugeordnet und die vorhandene IPv6-GUA entfernt wird.

F: Wenn eine Amazon-EC2-Instance innerhalb einer VPC angehalten wird, kann ich eine andere Instance mit derselben IP-Adresse in derselben VPC starten?

Nein. Eine IPv4-Adresse, die einer laufenden Instance zugewiesen wurde, kann erst dann wieder von einer anderen Instance verwendet werden, wenn sich die ursprüngliche laufende Instance in einem "beendeten" Zustand befindet. Allerdings kann die einer laufenden Instance zugewiesene IPv6-GUA von einer anderen Instance wieder verwendet werden, nachdem sie von der ersten Instance entfernt wurde.

F: Kann ich gleichzeitig IP-Adressen für mehrere Instances zuweisen?

Nein. Beim Starten einer Instance können Sie immer nur eine IP-Adresse für die Instance zuweisen.

F: Kann ich einer Instance jede beliebige IP-Adresse zuweisen?

Sie können der Instance eine beliebige IP-Adresse zuweisen, sofern diese:

• Teil des IP-Adressbereichs des zugeordneten Subnetzes ist
• nicht von Amazon für IP-Netzwerkzwecke reserviert ist
• derzeit keiner anderen Schnittstelle zugewiesen ist

F: Kann ich einer Instance mehrere IP-Adressen zuweisen?

Ja. Sie können einer elastischen Netzwerkschnittstelle oder EC2-Instance in Amazon VPC eine oder mehrere sekundäre private IP-Adressen zuweisen. Die Anzahl der sekundären privaten IP-Adressen, die Sie zuweisen können, hängt vom Instance-Typ ab. Im EC2-Benutzerhandbuch finden Sie weitere Informationen zur Anzahl der sekundären privaten IP-Adressen, die pro Instance-Typ zugewiesen werden können.

F: Kann ich VPC basierenden Amazon EC2-Instances eine oder mehrere Elastic IP-Adressen zuordnen?

Ja, die Elastic IP-Adressen sind aber nur über das Internet (nicht über die VPN-Verbindung) erreichbar. Jede EIP-Adresse muss einer eindeutigen privaten IP-Adresse für die Instance zugeordnet sein. EIP-Adressen sollten nur für Instances in Subnetzen verwendet werden, die konfiguriert sind, ihren Datenverkehr direkt zum Internetrouter zu leiten. EIP können nicht für Instances in Subnetzen verwendet werden, die für die Verwendung eines NAT Gateways oder einer NAT-Instance zum Zugriff auf das Internet konfiguriert sind. Dies gilt nur für IPv4. Amazon VPCs unterstützen aktuell keine EIPs für IPv6.

F: Was bedeutet "Verwendung der eigenen IP-Adresse"?

"Verwendung der eigenen IP (BYOIP)" bedeutet, dass Kunden ihren öffentlich routingfähigen IPv4- oder IPv6-Adressbereich ganz oder teilweise in AWS verlagern und für ihre AWS-Ressourcen verwenden können. Kunden verwenden weiterhin ihren IP-Bereich. Kunden können aus dem IPv4-Bereich Elastic IP-Adressen erstellen und in AWS verlagern, um sie für EC2-Instances, NAT-Gateways und Network Load Balancers zu verwenden. Kunden können einer VPC außerdem bis zu 5 CIDRs aus dem von ihnen in AWS eingebrachten IPv6-Bereich zuordnen. Kunden haben weiterhin Zugriff auf von Amazon bereitgestellte IP-Adressen und können wahlweise eigene, von Amazon bereitgestellte IP-Adressen oder beide verwenden.

F: Weshalb sollte ich BYOIP verwenden?

Die Verwendung der eigenen IP-Adresse (Bring Your Own IP, BYOIP) in AWS kann folgende Gründe haben:
Ruf der IP-Adresse: Viele Kunden erachten den Ruf ihrer IP-Adressen als strategischen Vorteil und möchten diese daher in AWS für ihre Ressourcen verwenden. Kunden, die beispielsweise Services wie MTAs für ausgehende E-Mail-Nachrichten nutzen und IP-Adressen mit einem guten Ruf haben, können ihren IP-Bereich jetzt in AWS nutzen, um ihre hohe Erfolgsrate bei E-Mail-Sendungen aufrechtzuerhalten.

Kunden-Whitelisting: Mit BYOIP können Kunden auch Workloads, die auf einer Whitelist von IP-Adressen basieren, zu AWS verschieben, ohne die Whitelists mit neuen IP-Adressen neu erstellen zu müssen.

Hartcodierte Abhängigkeiten: Einige Kunden verwenden in Geräten hartcodierte IP-Adressen oder haben architektonische Abhängigkeiten zu ihren IP-Adressen erstellt. Die Verwendung der eigenen IP-Adresse ermöglicht diesen Kunden eine reibungslose Migration zu AWS.

Einhaltung von Verordnungen: Viele Kunden müssen aus regulatorischen Gründen bestimmte IP-Adressen verwenden. Auch sie können durch die Verwendung der eigenen IP-Adresse entsperrt werden.

Lokale IPv6-Netzwerkrichtlinie: Viele Kunden können nur ihre eigene IPv6 in ihrem lokalen Netzwerk verwenden. Diese Kunden werden durch die Verwendung der eigenen IP-Adresse entsperrt, da sie Ihrer VPC einen eigenen IPv6-Bereich zuweisen und ihr eigenes lokales Netzwerk per Internet oder Direct Connect verwenden können.

F: Wie kann ich IP-Adressen aus dem BYOIP-Präfix mit AWS-Ressourcen nutzen?

Ihr BYOIP-Präfix wird in Ihrem Konto als IP-Pool angezeigt. Sie können aus dem IPv4-Pool Elastic IP-Adressen (EIPs) erstellen und wie reguläre Elastic IPs (EIPs) mit allen AWS-Ressourcen verwenden, die EIPs unterstützen. Derzeit werden EIPs von EC2-Instances, NAT-Gateways und Network Load Balancers unterstützt. Sie können CIDRs von Ihrem IPv6-Pool mit ihrer VPC verbinden. Die über BYOIP übermittelten IPv6-Adressen funktionieren genauso wie die von Amazon zur Verfügung gestellten IPv6-Adressen. Sie können diese IPv6-Adressen beispielsweise Subnetzen, Elastic Network Interfaces (ENI) und EC2-Instances innerhalb Ihres VPCs zuordnen.

F: Was geschieht, wenn ich eine BYOIP Elastic IP freigebe?

Wenn Sie eine BYOIP Elastic IP freigeben, kehrt diese in den BYOIP-IP-Pool zurück, aus dem sie zugewiesen wurde.

F: In welchen AWS-Regionen ist BYOIP verfügbar?

Die Funktion ist derzeit verfügbar in den Regionen Afrika (Kapstadt), Asien-Pazifik (Hongkong), Asien-Pazifik (Jakarta), Asien-Pazifik (Mumbai), Asien-Pazifik (Osaka), Asien-Pazifik (Sydney), Asien-Pazifik (Tokio), Asien-Pazifik (Seoul), Asien-Pazifik (Singapur), Kanada (Zentral), Europa (Dublin), Europa (Frankfurt), Europa (London), Europa (Mailand), Europa (Paris), Europa (Stockholm), Naher Osten (Bahrain), Naher Osten (VAE), Südamerika (Sao Paulo), USA West (Nordkalifornien), USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), AWS GovCloud (USA-West) AWS GovCloud (USA-Ost).

F: Kann ich das BYOIP-Präfix mit mehreren VPCs im selben Konto gemeinsam nutzen?

Ja. Sie können das BYOIP-Präfix mit einer beliebigen Anzahl von VPCs im selben Konto nutzen.

F: Wie viele IP-Bereiche kann ich über BYOIP verwenden?

Sie können in Ihrem Konto bis zu fünf IP-Bereiche angeben.

F: Wie spezifisch kann ein über BYOIP verwendetes Präfix sein?

Das spezifischste IPv4-Präfix, das Sie über BYOIP verwenden können, ist das ein IPv4-Präfix /24 und ein IPv6-Präfix /56. Wenn Sie Ihr IPv6-Präfix im Internet bewerben möchten, lautet das spezifischste IPv6-Präfix /48.

F: Welche RIR-Präfixe kann ich für BYOIP verwenden?

Sie können ARIN-, RIPE- und APNIC-registrierte Präfixe verwenden.

F: Kann ich ein neu zugewiesenes oder neu zugeordnetes Präfix verwenden?

Neu zugewiesene oder zugeordnete Präfixe werden derzeit nicht akzeptiert. Die IP-Bereiche sollten direkt zugewiesen oder zugeordnet sein.

F: Kann ich ein BYOIP-Präfix von einer AWS-Region in eine andere verschieben?

Ja. Sie können dies tun, indem Sie das BYOIP-Präfix aus der aktuellen Region entfernen und es dann für die neue Region bereitstellen.

F: Was ist VPC IP Address Manager (IPAM)
Amazon VPC IP Address Manager (IPAM) ist ein verwalteter Service, der es Ihnen erleichtert, IP-Adressen für Ihre AWS-Workloads zu planen, zu verfolgen und zu überwachen. Mit IPAM ermöglicht können Sie die einfache Organisation von IP-Adressen basierend auf Ihren Routing- und Sicherheitsanforderungen und das Festlegen einfacher Geschäftsregeln zur Steuerung der IP-Adresszuweisungen gewährleisten. Sie können auch die IP-Adresszuweisung an VPCs automatisieren, sodass Sie keine kalkulationstabellenbasierten oder selbst erstellten Anwendungen für die IP-Adressplanung verwenden müssen, die schwer zu warten und zeitaufwendig sein können. IPAM bietet eine einheitliche Betriebsansicht, die als zentrale Informationsquelle verwendet werden kann. Dadurch können Sie routinemäßige IP-Adressverwaltungsaktivitäten wie das Verfolgen der IP-Nutzung, Fehlerbehebung und Prüfungen schnell und effiziente durchzuführen.

F: Warum sollten Sie IPAM verwenden?
Sie sollten IPAM verwenden, um die Verwaltung der IP-Adresse effizienter zu gestalten. Bestehende Mechanismen, die die Kalkulationstabellen oder selbst entwickelte Tools nutzen, erfordern manuelle Arbeit und sind fehleranfällig. Beispielsweise können Sie mit IPAM Anwendungen schneller einführen, da Ihre Entwickler nicht mehr auf das Team für die zentrale Verwaltung der IP-Adresse warten müssen, um die IP-Adressen zuzuweisen. Sie können auch sich überschneidende IP-Adressen erkennen und sie beheben, bevor ein Netzwerkausfall auftritt. Außerdem können Sie Alarme für IPAM erstellen, die Ihnen Bescheid sagen, wenn die Adresspools fast ausgelastet sind oder wenn die Ressourcen mit den für ein Pool festgelegten Zuweisungsregeln nicht übereinstimmen. Dies sind einige der vielen Gründe, warum Sie IPAM verwenden sollten.

F: Was sind die wichtigsten Funktionen, die IPAM bietet?
AWS IPAM bietet folgende Funktionen:

• Zuweisung von IP-Adressen für skalierbare Netzwerke: IPAM kann die Zuweisung von IP-Adressen bei Hunderten von Konten und VPCs basierend auf konfigurierbaren Geschäftsregeln automatisieren.
  
• Überwachung der IP-Nutzung in Ihrem gesamten Netzwerk: IPAM kann IP-Adressen überwachen und ermöglicht es Ihnen, Alarme zu erhalten, wenn IPAM potenzielle Probleme erkennt wie verbrauchte IP-Adressen, die das Wachstum des Netzwerks zum Stillstand bringen oder sich überlappende IP-Adressen, die zum fehlerhaften Routing führen können.
  
• Fehlerbehebung Ihres Netzwerks: IPAM kann Ihnen dabei helfen, schnell festzustellen, ob die Ursache der Probleme mit der Konnektivität bei Fehlkonfigurationen oder bei anderen Problemen liegt.
  
• Prüfung der IP-Adressen: IPAM speichert automatisch Ihre IP-Adressüberwachungsdaten (bis zu maximal drei Jahre). Sie können diese historischen Daten verwenden, um retrospektive Analysen und Prüfungen für Ihre Netzwerk durchzuführen.

F: Was sind die wichtigsten Komponenten von IPAM?
Die folgenden sind die wichtigsten Komponenten von IPAM:

• Ein Umfang ist der höchste Container innerhalb von IPAM. Ein IPAM enthält zwei Standard-Umfänge. Jeder Umfang stellt den IP-Raum für ein einzelnes Netzwerk dar. Der private Umfang ist für den gesamten privaten Raum vorgesehen. Der öffentliche Umfang ist für den gesamten öffentlichen Raum vorgesehen. Mit den Umfängen können Sie die IP-Adressen bei mehreren nicht verbundenen Netzwerken erneut verwenden, ohne eine Überschneidung oder einen Konflikt bei den IP-Adressen zu verursachen. Mit einem Umfang erstellen Sie IPAM-Pools.
  
• Ein Pool ist eine Sammlung von fortlaufenden Reichweiten von IP-Adressen (oder CIDRs). IPAM-Pools ermöglichen es Ihnen Ihre IP-Adressen gemäß Ihrer Routing- und Sicherheitsbedürfnissen zu organisieren. Sie können mehrere Pools in einem Pool der höchsten Stufe haben. Beispiel: Wenn Sie separate Routing- und Sicherheitsbedürfnisse für die Entwicklungs- und Produktionsanwendungen haben, können Sie einen Pool für jede einzelne erstellen. Sie weisen innerhalb IPAM-Pools CIDRs den AWS-Ressourcen zu.
• EineZuweisung ist eine CIDR-Zuweisung von einem IPAM-Pool zu einer anderen Ressource oder einem anderen IPAM-Pool. Wenn Sie eine VPC erstellen und ein IPAM-Pool für die CIDR der VPC wählen, wird die CIDR von der bereitgestellten CIDR zum IPAM-Pool zugewiesen. Sie können die Zuweisung mit IPAM überwachen und verwalten.

F: Unterstützt IPAM die Verwendungen der eigenen IP-Adresse (BYOIPs)?
Ja. IPAM unterstützt sowohl BYOIPv4- als auch BYOIPv6-Adressen. BYOIP ist eine EC2-Funktion, die es Ihnen ermöglicht, die IP-Adressen in Ihrem Besitz zu AWS zu bringen. Mit IPAM können Sie ihre IP-Adressblöcke direkt bei Konten und Unternehmen bereitstellen und freigeben. Bestehende BYOIP-Kunden, die IPv4 verwenden, können ihre Pools zu IPAM migrieren, um das IP-Management zu vereinfachen.

F: Kann ich für Subnetze standardmäßige Gateways festlegen?

Ja. Sie können für jedes Subnetz eine standardmäßige Route vorgeben. Die Standardroute kann den Datenverkehr aus der VPC über das Internet-Gateway, das virtuelle private Gateway oder das NAT Gateway leiten.

F: Wie schütze ich Amazon EC2-Instances, die in meiner VPC ausgeführt werden?

Sie können Amazon EC2-Sicherheitsgruppen verwenden, um Instances innerhalb einer Amazon VPC zu schützen. Mittels Sicherheitsgruppen in der VPC können Sie den eingehenden und ausgehenden Netzwerkverkehr bestimmen, der von bzw. zu den einzelnen Amazon EC2-Instances zugelassen ist. Datenverkehr von und zu Instances, der nicht explizit erlaubt ist, wird automatisch gesperrt.

Zusätzlich zu den Sicherheitsgruppen kann eingehender oder ausgehender Netzwerkverkehr der Subnetze über Netzwerk-Zugriffskontrolllisten (ACLs) zugelassen oder gesperrt werden.

F: Wodurch unterscheiden sich Sicherheitsgruppen in einer VPC von Netzwerk-ACLs in einer VPC?

Sicherheitsgruppen in einer VPC geben an, welcher Datenverkehr von bzw. zu einer Amazon EC2-Instance zugelassen ist. Netzwerk-ACLs operieren auf der Subnetzebene und werten den ein- und ausgehenden Subnetzverkehr aus. Mit Netzwerk-ACLs können Regeln eingerichtet werden, um Datenverkehr sowohl zuzulassen als auch zu sperren. Netzwerk-ACLs filtern den Datenverkehr zwischen Instances im selben Subnetz nicht. Darüber hinaus filtern Netzwerk-ACLs zustandslos, Sicherheitsgruppen filtern hingegen zustandsbehaftet.

F: Was ist der Unterschied zwischen zustandsbehafteter und zustandsloser Filterung?

Zustandsbehaftete Filterung überwacht den Ursprung einer Anforderung und kann automatisch eine Antwort auf die Anforderung zum ursprünglichen Rechner zulassen. Beispielsweise lässt eine zustandsbehaftete Filterung des eingehenden Datenverkehrs zum TCP-Port 80 zu, dass der Rückkehrverkehr, der normalerweise auf einem höher nummerierten Port (z. B. Ziel-TCP-Port 63, 912) erfolgt, durch den zustandsbehafteten Filter zwischen dem Client und dem Webserver geleitet wird. Die Filtereinrichtung unterhält eine Statustabelle, die die Ursprungs- und Ziel-Portnummern und IP-Adressen überwacht. Die Filtereinrichtung erfordert nur eine Regel: eingehenden Datenverkehr zum Webserver auf TCP-Port 80 zulassen.

Zustandslose Filterung untersucht hingegen nur die IP-Quell- oder -Zieladresse und den Ziel-Port. Ob der Datenverkehr durch eine neue Anforderung oder eine Antwort auf eine Anforderung erzeugt wird, wird nicht überprüft. Im vorangegangenen Beispiel müssten zwei Regeln auf der Filtereinrichtung implementiert werden: eine Regel, die eingehenden Datenverkehr zum Webserver auf dem TCP-Port 80 zulässt und eine zweite Regel, die ausgehenden Datenverkehr vom Webserver (TCP-Portbereich 49, 152 bis 65, 535) zulässt.

F: Kann ich in Amazon VPC für Instances erstellte SSH-Schlüsselpaare in Amazon EC2 verwenden und umgekehrt?

Ja.

F: Können Amazon EC2 Instances in einer VPC mit Amazon EC2 Instances kommunizieren, die sich nicht in einer VPC befinden?

Ja. Wenn ein Internetrouter konfiguriert wurde, durchläuft Datenverkehr für Amazon EC2-Instances, die sich nicht in einer VPC befinden, den Internetrouter und wird dann durch das öffentliche AWS-Netzwerk zur EC2-Instance geleitet. Wenn kein Internet-Gateway konfiguriert wurde oder sich die Instance in einem Subnetz befindet, das den Datenverkehr durch das virtuelle private Gateway leitet, durchläuft der Datenverkehr die VPN-Verbindung aus dem Rechenzentrum kommend und gelangt erneut in das öffentliche AWS-Netzwerk.

F: Können Amazon EC2-Instances innerhalb einer VPC einer bestimmten Region mit Amazon EC2-Instances innerhalb einer VPC in einer anderen Region kommunizieren?

Ja. Instances in einer Region können untereinander über die folgenden Verbindungen kommunizieren: Inter-Region VPC Peering, öffentliche IP-Adressen, NAT Gateway, NAT-Instances, VPN- und Direct Connect-Verbindungen.

F: Können Amazon EC2-Instances innerhalb einer VPC mit Amazon S3 kommunizieren?

Ja. Es gibt zahlreiche Optionen für die Kommunikation Ihrer Ressourcen in einer VPC mit Amazon S3. Sie können VPC Endpoint for S3 verwenden, um sicherzustellen, dass der gesamte Datenverkehr im Amazon-Netzwerk bleibt, sodass Sie auf Ihren Amazon S3-Datenverkehr zusätzliche Zugriffsrichtlinien anwenden können. Mit einem Internet-Gateway können Sie den Internetzugriff aus Ihrer VPC ermöglichen. Instances in der VPC können zudem mit Amazon S3 kommunizieren. Sie können die Konfiguration auch so einrichten, dass der gesamte Datenverkehr nach Amazon S3 durch die Direct Connect- oder VPN-Verbindung, aus Ihrem Rechenzentrum herauskommt und dann in das öffentliche AWS-Netzwerk geht.

F: Kann ich den Netzwerkverkehr in meiner VPC überwachen?

Ja. Sie können die Amazon-VPC-Datenverkehrsspiegelung und die Amazon-VPC-Flow-Logs verwenden, um den Netzwerkverkehr in Ihren Amazon-VPC zu überwachen.

F: Was sind Amazon-VPC-Flow-Protokolle?

VPC-Flow-Protokolle sind eine Funktion, mit der Sie Informationen zum IP-Datenverkehr zu und von Netzwerkschnittstellen in Ihrer VPC erfassen können. Die Flow-Protokolldaten können entweder in Amazon CloudWatch Logs oder Amazon S3 veröffentlicht werden. Sie können Ihre VPC-Flow-Protokolle überwachen, um einen betrieblichen Einblick in Ihre Netzwerkabhängigkeiten und Verkehrsmuster zu erhalten, Anomalien zu erkennen und Datenlecks zu verhindern oder Probleme mit der Netzwerkkonnektivität und Konfiguration zu beheben. Die angereicherten Metadaten in den Flow-Protokollen helfen Ihnen, zusätzliche Erkenntnisse darüber zu gewinnen, wer Ihre TCP-Verbindungen initiiert hat, sowie die tatsächliche Quelle und das Ziel auf Paketebene für den Verkehr, der durch Zwischenschichten wie das NAT-Gateway fließt. Sie können Ihre Flow-Protokolle auch archivieren, um Compliance-Anforderungen zu erfüllen. Weitere Informationen zu Flow-Protokollen von Amazon VPC finden Sie in der Dokumentation.

F: Wie kann ich VPC-Flow-Protokolle verwenden?

Sie können ein Flow-Protokoll für eine VPC, ein Subnetz oder eine Netzwerkschnittstelle erstellen. Wenn Sie ein Flow-Protokoll für ein Subnetz oder eine VPC erstellen, wird jede Netzwerkschnittstelle in diesem Subnetz oder VPC überwacht. Beim Erstellen eines Flow-Protokoll-Abonnements können Sie die zu erfassenden Metadatenfelder, das maximale Aggregationsintervall und Ihr bevorzugtes Protokollziel auswählen. Sie können auch wählen, ob Sie den gesamten Verkehr oder nur den angenommenen oder abgelehnten Verkehr erfassen möchten. Sie können Tools wie CloudWatch Log Insights oder CloudWatch Contributor Insights verwenden, um Ihre VPC-Flow-Protokolle, die in CloudWatch Logs bereitgestellt werden, zu analysieren. Sie können Tools wie Amazon Athena oder AWS QuickSight verwenden, um Ihre VPC-Flow-Protokolle, die in Amazon S3 bereitgestellt werden, abzufragen und zu visualisieren. Sie können auch eine benutzerdefinierte Downstream-Anwendung zur Analyse Ihrer Protokolle erstellen oder Partnerlösungen wie Splunk, Datadog, Sumo Logic, Cisco StealthWatch, Checkpoint CloudGuard, New Relic usw. verwenden.

F: Unterstützen VPC-Ablaufprotokolle AWS Transit Gateway?

Ja, Sie können ein VPC-Flow-Protokoll für einen Transit Gateway oder für eine einzelne Transit Gateway-Anlage erstellen. Mit dieser Funktion kann Transit Gateway detaillierte Informationen wie Quell-/Ziel-IPs, Ports, Protokolle, Datenverkehrszähler, Zeitstempel und verschiedene Metadaten für seine Netzwerk-Datenflüsse exportieren, die über den Transit Gateway laufen. Um mehr über die Unterstützung von Amazon-VPC-Flow-Protokolle für Transit Gateway zu erfahren, lesen Sie bitte die Dokumentation.

F: Wirkt sich die Verwendung von Flow-Protokollen auf die Latenz oder Leistung meines Netzwerks aus?

Flow-Protokolldaten werden außerhalb des Pfades Ihres Netzwerkverkehrs erfasst und haben daher keinen Einfluss auf den Netzwerkdurchsatz oder die Latenzzeit. Sie können Flow-Protokolle erstellen oder löschen, ohne eine Beeinträchtigung der Netzwerkleistung zu riskieren.

F: Wie viel kosten VPC-Flow-Protokolle?

Die Gebühren für die Datenaufnahme und Archivierung von verkauften Protokollen fallen an, wenn Sie Flow-Protokolle in CloudWatch Logs oder in Amazon S3 veröffentlichen. Weitere Informationen und Beispiele finden Sie in der Preisübersicht zu Amazon CloudWatch. Sie können auch Gebühren aus der Veröffentlichung von Flow-Protokollen mit Hilfe von Kostenzuordnungskennzeichen verfolgen.

F: Was ist Amazon VPC-Datenverkehrsspiegelung?

Mithilfe der Amazon VPC-Datenverkehrsspiegelung können Kunden den Netzwerkverkehr von und zu einer Amazon EC2-Instance auf einfache Weise replizieren, sowie ihn an bandexterne Sicherheits- und Überwachungs-Appliances für Anwendungsfälle wie Inhaltsprüfung, Bedrohungsüberwachung und Fehlerbehebung weiterleiten. Diese Appliances können auf einer einzelnen EC2-Instance oder einer Flotte von Instances hinter einem Network Load Balancer (NLB) mit einem User Datagram Protocol (UDP) Listener bereitgestellt werden.

F: Wie funktioniert die Amazon VPC-Datenverkehrsspiegelung?

Die Datenverkehrsspiegelungs-Funktion kopiert den Netzwerkverkehr von der Elastic Network-Schnittstelle (ENI) von EC2-Instances in Ihrer Amazon VPC. Der gespiegelte Datenverkehr kann mittels eines UDP-Listeners an eine andere EC2-Instance oder an einen Network Load Balancer (NLB) gesendet werden. Die Datenverkehrsspiegelung umfasst den gesamten kopierten Verkehr mit VXLAN-Headern. Die Spiegelungsquelle und das Ziel (Appliances für die Überwachung) können sich in derselben VPC oder in einer anderen VPC befinden, die über VPC-Peering oder AWS Transit Gateway verbunden sind.

F: Welche Ressourcen können mit der Amazon VPC-Datenverkehrsspiegelung überwacht werden?

Die Datenverkehrsspiegelung unterstützt die Erfassung von Netzwerkpaketen auf Elastic Network-Schnittstelle (ENI)-Ebene für EC2-Instances. In der Dokumentation zur Datenverkehrsspiegelung finden Sie die EC2-Instances, die Datenverkehrsspiegelung in Amazon VPC unterstützen.

F: Welche Arten von Appliances werden mit der Amazon VPC-Datenverkehrsspiegelung unterstützt?

Kunden können entweder Open Source-Tools verwenden oder aus einer breiten Palette von Überwachungslösungen wählen, die auf dem AWS Marketplace verfügbar sind. Durch die Datenverkehrsspiegelung können Kunden replizierten Verkehr an jeden Sammler/Broker von Netzwerkpaketen oder an jedes Analysetool streamen, ohne dass sie herstellerspezifische Agenten installieren müssen. 

F: Inwiefern unterscheidet sich die Amazon VPC-Datenverkehrsspiegelung von Amazon VPC Flow Logs?

Anhand von Amazon VPC Flow Logs können Kunden Netzwerk-Flow-Protokolle sammeln, speichern und analysieren. Die in Flow-Protokollen erfassten Informationen schließen Informationen zu zulässigem und verweigertem Datenverkehr, Quell- und Ziel-IP-Adressen, Ports, Protokollnummern, Paket- und Byte-Anzahl sowie einer Aktion (akzeptieren oder ablehnen) ein. Mit dieser Funktion können Sie Konnektivitäts- und Sicherheitsprobleme beheben und sicherstellen, dass die Netzwerkzugriffsregeln wie erwartet funktionieren.

Die Amazon VPC-Datenverkehrsspiegelung bietet einen tieferen Einblick in den Netzwerkverkehr, indem Sie den tatsächlichen Verkehrsinhalt einschließlich der Nutzlast analysieren können. Sie ist auf Anwendungsfälle ausgerichtet, in denen Sie beispielsweise die tatsächlichen Pakete analysieren müssen, um die Ursache eines Leistungsproblems zu ermitteln, einen ausgeklügelten Netzwerkangriff rückentwickeln müssen oder Insiderdelikte und gefährdete Workloads erkennen und stoppen müssen.

F: In welchen Amazon EC2-Regionen ist Amazon VPC verfügbar?

Amazon VPC ist derzeit in mehreren Availability Zones in allen Amazon-EC2-Regionen verfügbar.

F: Kann sich eine VPC über mehrere Availability Zones erstrecken?

Ja. 

F: Kann sich ein Subnetz über mehrere Availability Zones erstrecken?

Nein. Ein Subnetz muss sich innerhalb einer einzigen Availability Zone befinden.

F: Wie kann ich festlegen, in welcher Availability Zone meine Amazon EC2-Instances gestartet werden?

Wenn Sie eine Amazon EC2-Instance starten, müssen Sie das Subnetz angeben, in dem die Instance gestartet werden soll. Die Instance wird in der Availability Zone gestartet, die dem angegebenen Subnetz zugeordnet ist.

F: Wie kann ich bestimmen, in welcher Availability Zone meine Subnetze liegen?

Wenn Sie ein Subnetz erstellen, müssen Sie die Availability Zone angeben, in der das Subnetz platziert wird. Bei Verwendung des VPC-Assistenten können Sie die Availability Zone des Subnetzes im Bestätigungsbildschirm des Assistenten auswählen. Bei Verwendung der API oder Befehlszeilen-Schnittstelle können Sie die Availability Zone für das Subnetz angeben, während Sie das Subnetz erstellen. Wenn Sie keine Availability Zone angeben, wird standardmäßig die Option "No Preference" ausgewählt und das Subnetz wird in einer verfügbaren Availability Zone in der Region erstellt.

F: Wird mir die Netzwerkbandbreite zwischen den Instances in verschiedenen Subnetzen in Rechnung gestellt?

Wenn sich die Instances in Subnetzen verschiedener Availability Zones befinden, werden Ihnen 0,01 USD pro GB für die Datenübertragung in Rechnung gestellt.

F: Werden mir beim Aufruf von "DescribeInstances()" alle meine Amazon EC2-Instances angezeigt, einschließlich derjenigen in EC2-Classic und EC2-VPC?

Ja. DescribeInstances() gibt alle laufenden Amazon EC2-Instances aus. Durch einen Eintrag im Feld "Subnet" können Sie EC2-Classic-Instances von EC2-VPC-Instances unterscheiden. Wenn eine Subnetz-ID angegeben ist, befindet sich die Instance in einer VPC. 

F: Werden mir beim Aufruf von "DescribeVolumes()" alle meine EBS-Volumes angezeigt, einschließlich derjenigen in EC2-Classic und EC2-VPC?

Ja. DescribeVolumes() gibt alle Ihre EBS-Volumes aus.

F: Wie viele Amazon-EC2-Instances kann ich innerhalb einer VPC verwenden?

Für Instances, die IPv4-Adressierung benötigen, können Sie eine beliebige Anzahl an Amazon-EC2-Instances in einer VPC ausführen, solange Ihre VPC entsprechend dimensioniert ist, damit jeder Instance eine IPv4-Adresse zugeordnet ist. Anfänglich gilt ein Grenzwert von gleichzeitig 20 Amazon-EC2-Instances mit einer maximalen VPC-Größe von /16 (65 536 IP-Adressen). Wenn Sie über diese Limits hinausgehen möchten, füllen Sie bitte das folgende Formular aus. Bei reinen IPv6-Instances bietet Ihnen die VPC-Größe von /56 die Möglichkeit, eine praktisch unbegrenzte Anzahl von Amazon-EC2-Instances zu starten.

F: Kann ich meine vorhandenen AMIs in Amazon VPC verwenden?

Sie können AMIs in Amazon VPC verwenden, die in derselben Region wie Ihre VPC registriert sind. Beispielsweise können AMIs, die in us-east-1 registriert sind, mit einer VPC in us-east-1 verwendet werden. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Regionen und Availability Zones von Amazon EC2.

F: Kann ich meine vorhandenen Amazon EBS-Snapshots verwenden?

Ja, Sie können Amazon EBS-Snapshots verwenden, wenn sich diese in derselben Region wie Ihre VPC befinden. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Regionen und Availability Zones von Amazon EC2.

F: Kann ich eine Amazon EC2-Instance von einem Amazon EBS-Volume innerhalb von Amazon VPC starten?

Ja. Eine in einer VPC gestartete Instance, die eine von Amazon EBS unterstützte AMI verwendet, behält jedoch dieselbe IP-Adresse bei, wenn sie gestoppt und gestartet wird. Dies geschieht im Gegensatz zu anderen Instances, die außerhalb einer VPC gestartet werden und eine neue IP-Adresse erhalten. Die IP-Adressen von gestoppten Instances in einem Subnetz werden als nicht verfügbar behandelt.

F: Kann ich Amazon EC2 Reserved Instances mit Amazon VPC verwenden?

Ja. Sie können beim Erwerb von Reserved Instances eine Instance in Amazon VPC reservieren. Bei der Verarbeitung Ihrer Rechnung unterscheidet AWS nicht, ob Ihre Instance in Amazon VPC oder standardmäßig in Amazon EC2 ausgeführt wird. AWS orientiert sich automatisch daran, welche Instances nach den geringeren Reserved Instance-Tarifen abgerechnet werden, damit sichergestellt ist, dass Sie stets den geringstmöglichen Betrag zahlen müssen. Ihre Instance-Reservierung erfolgt jedoch spezifisch für Amazon VPC. Weitere Informationen zu diesem Thema finden Sie auf der Seite zu Reserved Instances.

F: Kann ich Amazon CloudWatch in Amazon VPC einsetzen?

Ja.

F: Kann ich Auto Scaling in Amazon VPC einsetzen?

Ja. 

F: Kann ich Amazon EC2 Cluster Instances in einer VPC einsetzen?

Ja. Cluster-Instances werden in Amazon VPC unterstützt, allerdings sind nicht alle Instance-Typen in allen Regionen und Availability Zones verfügbar.

F: Was sind Instance-Hostnamen?

Wenn Sie eine Instance starten, wird ihr ein Hostname zugewiesen. Es gibt zwei Optionen, einen IP-basierten Namen oder einen ressourcenbasierten Namen. Dieser Parameter ist beim Start der Instance konfigurierbar. Der IP-basierte Name verwendet eine Form der privaten IPv4-Adresse, während der ressourcenbasierte Name eine Form der Instance-ID verwendet.

F: Kann ich den Hostnamen meiner Amazon-EC2-Instance ändern?

Ja, Sie können den Hostnamen einer Instance von IP-basiert auf ressourcenbasiert und umgekehrt ändern, indem Sie die Instance stoppen und dann die ressourcenbasierten Benennungsoptionen ändern.

F: Kann ich die Hostnamen der Instances als DNS-Hostnamen verwenden?

Ja, der Hostname der Instance kann als DNS-Hostname verwendet werden. Für Instances, die in einem reinen IPv4- oder Dual-Stack-Subnetz gestartet werden, wird der IP-basierte Name immer in die private IPv4-Adresse an der primären Netzwerkschnittstelle der Instance aufgelöst und dies kann nicht ausgeschaltet werden. Zusätzlich kann der ressourcenbasierte Name so konfiguriert werden, dass dieser entweder in die private IPv4-Adresse der primären Netzwerkschnittstelle oder in die erste IPv6-GUA der primären Netzwerkschnittstelle oder in beide aufgelöst wird. Bei Instances, die in einem reinen IPv6-Subnetz gestartet werden, wird der ressourcenbasierte Name so konfiguriert, dass er zur ersten IPv6-GUA auf der primären Netzwerkschnittstelle aufgelöst wird. 

F: Was ist eine Standard-VPC?

Eine Standard-VPC ist ein logisch isoliertes virtuelles Netzwerk in der AWS-Cloud, das automatisch für Ihr AWS-Konto erstellt wird, wenn Sie erstmals Amazon EC2-Ressourcen bereitstellen. Wenn Sie eine Instance starten, ohne eine Subnetz-ID anzugeben, wird Ihre Instance in Ihrer Standard-VPC gestartet.

F: Welche Vorteile bietet eine Standard-VPC?

Wenn Sie Ressourcen in einer Standard-VPC in Betrieb nehmen, können Sie von den erweiterten Netzwerkfunktionen von Amazon VPC (EC2-VPC) und der Benutzerfreundlichkeit von Amazon EC2 (EC2-Classic) profitieren. Geboten werden Ihnen Funktionen wie das Ändern der Mitgliedschaft von Sicherheitsgruppen bei laufendem Betrieb, die Filterung für ausgehenden Datenverkehr für Sicherheitsgruppen, mehrere IP-Adressen und mehrere Netzwerkschnittstellen, ohne explizit eine VPC erstellen und Instances in der VPC starten zu müssen.

F: Welche Konten sind für eine Standard-VPC aktiviert?

Wenn Ihr AWS-Konto nach dem 18.03.2013 erstellt wurde, können Sie ggf. Ressourcen in einer Standard-VPC starten. Lesen Sie diese Ankündigung im Forum, um zu prüfen, in welchen Regionen Standard-VPCs unterstützt werden. Darüber hinaus können Konten, die vor den aufgeführten Terminen angelegt wurden, Standard-VPCs in allen für Standard-VPCs aktivierten Regionen nutzen, in denen Sie zuvor keine EC2-Instances gestartet oder Amazon Elastic Load Balancing-, Amazon RDS-, Amazon ElastiCache- oder Amazon Redshift-Ressourcen bereitgestellt haben.

F: Woran erkenne ich, dass mein Konto für die Nutzung einer Standard-VPC konfiguriert ist?

Die Amazon EC2-Konsole gibt an, auf welchen Plattformen Sie Instances in der ausgewählten Region starten können und ob Sie über eine Standard-VPC in der jeweiligen Region verfügen. Vergewissern Sie sich, dass die gewünschte Region auf der Navigationsleiste ausgewählt ist. Prüfen Sie im Dashboard der Amazon EC2-Konsole unter "Account Attributes" den Eintrag in "Supported Platforms". Wenn die beiden Werte "EC2-Classic" und "EC2-VPC" vorhanden sind, können Sie Instances auf beiden Plattformen starten. Ist nur der Wert "EC2-VPC" vorhanden, können Sie Instances nur in EC2-VPC starten. Die ID Ihrer Standard-VPC wird unter "Account Attributes" angezeigt, wenn Ihr Konto für die Nutzung einer Standard-VPC konfiguriert ist. Sie können auch die EC2-API "DescribeAccountAttributes" oder die Befehlszeilen-Schnittstelle nutzen, um Ihre unterstützten Plattformen zu beschreiben.

F: Muss ich mich mit Amazon VPC auskennen, um eine Standard-VPC verwenden zu können?

Sie können über die AWS Management Console, AWS EC2 CLI oder Amazon EC2-API EC2-Instances und andere AWS-Ressourcen in einer Standard-VPC starten und verwalten. AWS erstellt für Sie automatisch eine Standard-VPC und ein Standard-Subnetz in allen Availability Zones der AWS-Region. Ihre Standard-VPC wird mit einem Internet-Gateway verbunden und Ihre Instances erhalten wie bei EC2-Classic automatisch öffentliche IP-Adressen.

F: Was sind die Unterschiede zwischen Instances, die in EC2-Classic und EC2-VPC gestartet werden?

Lesen Sie im EC2-Benutzerhandbuch den Abschnitt Unterschiede zwischen EC2-Classic und EC2-VPC.

F: Benötige ich für die Nutzung einer Standard-VPC eine VPN-Verbindung?

Standard-VPCs sind mit dem Internet verbunden und alle in Standardsubnetzen gestarteten Instances in der Standard-VPC erhalten automatisch öffentliche IP-Adressen. Sie können Ihrer Standard-VPC nach Wunsch eine VPN-Verbindung hinzufügen.

F: Kann ich weitere VPCs erstellen und diese als Ergänzung zu meiner Standard-VPC verwenden?

Ja. Zum Starten einer Instance in Nicht-Standard-VPCs müssen Sie beim Starten der Instance eine Subnetz-ID angeben.

F: Kann ich in meiner Standard-VPC weitere Subnetze erstellen, z. B. private Subnetze?

Ja. Für einen Start in Nicht-Standardsubnetzen können Sie das Ziel für Ihre Startvorgänge mithilfe der Konsole oder über die CLI-, API- oder SDK-Option "--subnet" angeben.

F: Wie viele Standard-VPCs sind möglich?

Sie können in jeder AWS-Region, für die das Attribut "Supported Platforms" auf "EC2-VPC" festgelegt ist, über eine Standard-VPC verfügen.

F: Welchen IP-Adressbereich hat eine Standard-VPC?

Der CIDR-Bereich einer Standard-VPC ist 172.31.0.0/16. Standardsubnetze nutzen den CIDR-Bereich "/20" innerhalb des CIDR-Bereichs einer Standard-VPC.

F: Wie viele Standardsubnetze weist eine Standard-VPC auf?

Ein Standardsubnetz wird in Ihrer Standard-VPC für jede Availability Zone erstellt.

F: Kann ich angeben, welche VPC meine Standard-VPC ist?

Nein, derzeit nicht.

F: Kann ich angeben, welche Subnetze meine Standardsubnetze sind?

Nein, derzeit nicht.

F: Kann ich eine Standard-VPC löschen?

Ja. Eine Standard-VPC kann gelöscht werden. Nach dem Löschen der Standard-VPC können Sie über die VPC-Konsole oder die CLI eine neue Standard-VPC erstellen. Dadurch entsteht für die Region eine neue Standard-VPC. Die gelöschte VPC wird dadurch nicht wiederhergestellt.

F: Kann ich ein Standardsubnetz löschen?

Ja, ein Standardsubnetz kann gelöscht werden. Nach dem Löschen können Sie mit der Befehlszeilenschnittstelle oder dem SDK ein neues Standardsubnetz in der Availability Zone erstellen. Dadurch wird ein neues Standardsubnetz in der angegebenen Availability Zone erstellt. Das gelöschte Subnetz wird dadurch nicht wiederhergestellt.

F: Ich habe bereits ein EC2-Classic-Konto. Kann ich eine Standard-VPC erhalten?

Die einfachste Möglichkeit, eine Standard-VPC zu erhalten, ist das Anlegen eines neuen Kontos in einer Region, die für Standard-VPCs aktiviert ist. Sie können auch ein vorhandenes Konto in einer Region nutzen, die Sie nicht zuvor verwendet haben, solange das Attribut "Supported Platforms" für dieses Konto in dieser Region auf "EC2-VPC" festgelegt ist.

F: Ich wünsche mir für mein bestehendes EC2-Konto eine Standard-VPC. Ist das möglich?

Ja, wir können jedoch ein vorhandenes Konto nur dann für eine Standard-VPC aktivieren, wenn Sie für dieses Konto noch nicht über EC2-Classic-Ressourcen in der jeweiligen Region verfügen. Darüber hinaus müssen Sie alle nicht per VPC bereitgestellten Elastic Load Balancer-, Amazon RDS-, Amazon ElastiCache- und Amazon Redshift-Ressourcen in der jeweiligen Region kündigen. Nachdem Ihr Konto für eine Standard-VPC konfiguriert wurde, werden alle künftig gestarteten Ressourcen, so auch per Auto Scaling gestartete Instances, Ihrer Standard-VPC zugeordnet. Um eine Standard-VPC für Ihr bestehendes Konto anzufordern, navigieren Sie bitte zu Account and Billing -> Service: Account -> Category: Convert EC2 Classic to VPC und reichen Sie eine Anfrage ein. Wir werden Ihre Anfrage, Ihre bestehenden AWS-Services und Ihre EC2-Classic-Präsenz überprüfen und Sie durch die weiteren Schritte führen.

F: Welche Auswirkung hat eine Standard-VPC auf IAM-Konten?

Wenn Ihr AWS-Konto über eine Standard-VPC verfügt, verwenden IAM-Konten, die Ihrem AWS-Konto zugeordnet sind, dieselbe Standard-VPC wie Ihr AWS-Konto.

F: Was ist EC2-Classic?

EC2-Classic ist ein flaches Netzwerk, das wir zusammen mit EC2 im Sommer 2006 eingeführt haben. Mit EC2-Classic laufen Ihre Instanzen in einem einzigen, flachen Netzwerk, das Sie mit anderen Kunden teilen. Im Laufe der Zeit haben wir, inspiriert durch die sich entwickelnden Anforderungen unserer Kunden, im Jahr 2009 Amazon Virtual Private Cloud (VPC) eingeführt, um Ihnen die Ausführung von Instances in einer virtuellen privaten Cloud zu ermöglichen, die logisch von Ihrem AWS-Konto isoliert ist. Während die meisten unserer Kunden heute Amazon VPC nutzen, haben wir einige Kunden, die immer noch EC2-Classic verwenden.

F: Was ändert sich?

Wir werden Amazon EC2-Classic am 15. August 2022 in den Ruhestand versetzen und Sie müssen alle EC2-Instanzen und andere AWS-Ressourcen, die auf EC2-Classic laufen, vor diesem Datum auf Amazon VPC migrieren. Im folgenden Abschnitt finden Sie weitere Informationen über die Ausmusterung der EC2-Klasse sowie Tools und Ressourcen, die Sie bei der Migration unterstützen.

F: Wie wirkt sich die Einstellung von EC2-Classic auf mein Konto aus?

Sie sind von dieser Änderung nur betroffen, wenn Sie EC2-Classic in Ihrem Konto in einer der AWS-Regionen aktiviert haben. Sie können die Konsole oder den Befehl describe-account-attributes verwenden, um zu überprüfen, ob Sie EC2-Classic für eine AWS-Region aktiviert haben; weitere Einzelheiten finden Sie in diesem Dokument.

Wenn Sie in einer Region keine aktiven AWS-Ressourcen auf EC2-Classic laufen haben, bitten wir Sie, EC2-Classic in Ihrem Konto für diese Region zu deaktivieren. Wenn Sie EC2-Classic in einer Region deaktivieren, können Sie dort eine Standard-VPC starten. Rufen Sie dazu das AWS Support Center unter console.aws.amazon.com/support auf, wählen Sie "Create case" und dann "Account and billing support", für "Type" wählen Sie "Account", für "Category" wählen Sie "Convert EC2 Classic to VPC", geben Sie die weiteren erforderlichen Angaben ein und wählen Sie "Submit".

Wir werden EC2-Classic automatisch am 30. Oktober 2021 für alle AWS-Regionen abschalten, in denen Sie seit dem 1. Januar 2021 keine AWS-Ressourcen (EC2-Instances, Amazon Relational Database, AWS Elastic Beanstalk, Amazon Redshift, AWS Data Pipeline, Amazon EMR, AWS OpsWorks) auf EC2-Classic haben.

Wenn Sie hingegen AWS-Ressourcen auf EC2-Classic laufen haben, bitten wir Sie, deren Migration zu Amazon VPC so bald wie möglich zu planen. Nach dem 15. August 2022 können Sie keine Instanzen oder AWS-Services auf der EC2-Classic-Plattform mehr starten. Alle laufenden Arbeitslasten oder Services werden ab dem 16. August 2022 nach und nach den Zugriff auf alle AWS-Services auf EC2-Classic verlieren, wenn wir sie außer Betrieb nehmen.

Die Migrationsleitfäden für Ihre AWS-Ressourcen finden Sie in der nachfolgenden Frage.

F: Was sind die Vorteile eines Wechsels von EC2-Classic zu Amazon VPC?

Amazon VPC gibt Ihnen die vollständige Kontrolle über Ihre virtuelle Netzwerkumgebung auf AWS, logisch isoliert von Ihrem AWS-Konto. In der EC2-Classic-Umgebung teilen sich Ihre Workloads ein einziges flaches Netzwerk mit anderen Kunden. Die Amazon VPC-Umgebung bietet viele weitere Vorteile gegenüber der EC2-Classic-Umgebung, darunter die Möglichkeit, einen eigenen IP-Adressraum auszuwählen, öffentliche und private Subnetze zu konfigurieren sowie Routentabellen und Netzwerk-Gateways zu verwalten. Für alle derzeit in EC2-Classic verfügbaren Services und Instances sind vergleichbare Services in der Amazon VPC-Umgebung verfügbar. Amazon VPC bietet auch eine viel breitere und neuere Generation von Instanzen als EC2-Classic. Weitere Informationen zu Amazon VPC finden Sie unter diesem Link.

F: Wie kann ich von EC2-Classic zu VPC migrieren?

Um Sie bei der Migration Ihrer Ressourcen zu unterstützen, haben wir Playbooks veröffentlicht und Lösungen entwickelt, die Sie unten finden. Um zu migrieren, müssen Sie Ihre EC2-Classic-Ressourcen in Ihrer VPC neu erstellen. Zunächst können Sie dieses Skript verwenden, um alle in EC2-Classic bereitgestellten Ressourcen in allen Regionen eines Kontos zu identifizieren. Sie können dann den Migrationsleitfaden für die entsprechenden AWS-Ressourcen verwenden:

• Instances und Sicherheitsgruppen
• Classic Load Balancer
• Amazon Relational Database Service
• AWS Elastic Beanstalk
• Amazon Redshift für die Migration von DC1 Clusters und für andere Knotentypen
• AWS Data Pipeline 
• Amazon EMR 
• AWS OpsWorks

Neben den oben genannten Migrationsleitfäden bieten wir auch eine hochautomatisierte Lift-and-Shift-Lösung (Rehosting) an, den AWS Application Migration Service (AWS MGN), der die Migration von Anwendungen vereinfacht, beschleunigt und die Kosten reduziert. Hier finden Sie relevante Ressourcen über AWS MGN:

• Erste Schritte mit AWS Application Migration Service. 
• AWS Application Migration Service - technisches Training auf Anfrage
• Dokumentation für einen tieferen Einblick in die Merkmale und Funktionen des AWS Application Migration Service
• Service-Architektiur und Netzwerk-Architektur Video

Für einfache Migrationen einzelner EC2-Instanzen von EC2-Classic zu VPC können Sie neben AWS MGN oder dem Instances Migration Guide auch das Runbook "AWSSupport-MigrateEC2 ClassicToVPC" aus "AWS Systems Manager > Automation" verwenden. Dieses Runbook automatisiert die Schritte, die erforderlich sind, um eine Instanz von EC2-Classic nach VPC zu migrieren, indem es ein AMI der Instanz in EC2-Classic erstellt, eine neue Instanz aus dem AMI in VPC erstellt und optional die EC2-Classic-Instanz terminiert.

Wenn Sie Fragen oder Bedenken haben, können Sie sich über AWS Premium Support an das AWS-Support-Team wenden.

Hinweis: Wenn Sie AWS-Ressourcen auf EC2-Classic in mehreren AWS-Regionen betreiben, empfehlen wir Ihnen, EC2-Classic für jede dieser Regionen zu deaktivieren, sobald Sie alle Ihre Ressourcen auf VPC in diesen Regionen migriert haben.

F: Welches sind die wichtigen Termine, die ich beachten sollte?

Wir werden die folgenden beiden Maßnahmen vor dem 15. August 2022, dem Datum der Außerdienststellung, ergreifen:

• Wir werden am 30. Oktober 2021 keine reservierten Instanzen (RI) mit einer Laufzeit von 3 Jahren und keine RI mit einer Laufzeit von 1 Jahr für die EC2-Classic-Umgebung mehr ausstellen. RIs, die bereits in der EC2-Classic-Umgebung vorhanden sind, sind zu diesem Zeitpunkt nicht betroffen. RIs, die nach dem 15.8.2022 auslaufen, müssen so geändert werden, dass sie die Amazon-VPC-Umgebung für die verbleibende Laufzeit des Leasingvertrags nutzen. Wie Sie Ihre RIs ändern können, erfahren Sie in diesem Dokument.
• Am 15. August 2022 werden wir die Erstellung neuer Instances (Spot oder On-Demand) oder anderer AWS-Services in der EC2-Classic-Umgebung nicht mehr zulassen. Alle laufenden Arbeitslasten oder Services werden ab dem 16. August 2022 nach und nach den Zugriff auf alle AWS-Services auf EC2-Classic verlieren, wenn wir sie außer Betrieb nehmen.

F: Kann ich einer ausgeführten EC2-Instance eine oder mehrere Netzwerkschnittstellen zuordnen bzw. diese Zuordnung aufheben?

Ja.

F: Kann ich meine EC2-Schnittstelle mit mehr als zwei Netzwerkschnittstellen verknüpfen?

Die Gesamtanzahl von Netzwerkschnittstellen, die einer EC2-Instance zugeordnet werden kann, hängt vom Instance-Typ ab. Im EC2-Benutzerhandbuch finden Sie weitere Informationen zur Anzahl der Netzwerkschnittstellen, die je nach Instance-Typ zulässig sind.

F: Kann ich eine Netzwerkschnittstelle in einer Availability Zone mit einer Instance in einer anderen Availability Zone verknüpfen?

Netzwerkschnittstellen können nur mit Instances in derselben Availability Zone verknüpft werden.

F: Kann ich eine Netzwerkschnittstelle in einer VPC mit einer Instance in einer anderen VPC verknüpfen?

Netzwerkschnittstellen können nur mit Instances verknüpft werden, die sich in der gleichen VPC wie die Schnittstelle befinden.

F: Kann ich elastische Netzwerkschnittstellen als Möglichkeit nutzen, um mehrere Websites mit einer Schnittstelle zu hosten, die unterschiedliche IP-Adressen benötigen?

Ja. Dies ist jedoch kein optimaler Anwendungsfall für mehrere Schnittstellen. Weisen Sie stattdessen der Instance weitere private IP-Adressen zu, und ordnen Sie anschließend nach Bedarf den privaten IP-Adressen Elastic IP-Adressen zu.

F: Werden mir Elastic IP-Adressen in Rechnung gestellt, die einer Netzwerkschnittstelle zugeordnet sind, obwohl die Netzwerkschnittstelle nicht mit einer ausgeführten Instance verknüpft ist?

Ja.

F: Kann ich die primäre Schnittstelle (eth0) von meiner EC2-Instance lösen?

Sie können die sekundären Schnittstellen (eth1-eth) einer EC2-Instance zuordnen bzw. sie von dieser trennen. Die Schnittstelle eth0 kann jedoch nicht getrennt werden.

F: Kann ich eine Peering-Verbindung zu einer VPC in einer anderen Region erstellen?

Ja. Peering-Verbindungen können mit VPCs für unterschiedliche Regionen erstellt werden. Regionsübergreifendes VPC Peering ist global in allen Wirtschaftsregionen (außer China) verfügbar.

F: Kann ich meine VPC über Peering mit einer VPC verbinden, die zu einem anderen AWS-Konto gehört?

Ja, vorausgesetzt, der Besitzer der anderen VPC akzeptiert Ihre Peering-Verbindungsanforderung.

F: Kann ich zwei VPCs mit gleichen IP-Adressbereichen über Peering verbinden?

Nein. Die IP-Bereiche von über Peering verbundenen VPCs dürfen sich nicht überschneiden.

F: Wie viel kosten VPC-Peering-Verbindungen?

Für das Erstellen von VPC-Peering-Verbindungen fallen keine Kosten an, die Datenübertragung über Peering-Verbindungen wird jedoch berechnet. Informationen zu den Datentransferraten finden Sie im Abschnitt Datentransfer auf der Seite Preise für Amazon EC2.

F: Kann ich AWS Direct Connect oder Hardware VPN-Verbindungen für den Zugriff auf VPCs nutzen, mit denen ich über Peering verbunden bin?

Nein. "Edge-to-Edge-Routing" wird in Amazon VPC nicht unterstützt. Weitere Informationen finden Sie im Leitfaden zu VPC-Peering.

F: Brauche ich ein Internet-Gateway, um Peering-Verbindungen zu verwenden?

Nein. Für VPC-Peering-Verbindungen ist kein Internet-Gateway erforderlich.

F: Ist der VPC-Peering-Datenverkehr innerhalb der Region verschlüsselt?

Der Datenverkehr zwischen Instances in über Peering verbundenen VPCs bleibt privat und isoliert – ähnlich wie Datenverkehr zwischen zwei Instances in derselben VPC.

F: Wenn ich meine Seite einer Peering-Verbindung lösche, hat die andere Seite weiterhin Zugriff auf meine VPC?

Nein. Beide Seiten der Peering-Verbindung können die Peering-Verbindung jederzeit beenden. Beenden einer Peering-Verbindung bedeutet, dass kein Datenverkehr mehr zwischen den beiden VPCs fließt.

F: Wenn ich über Peering VPC A mit VPC B und VPC B mit VPC C verbinde, bedeutet dies, dass VPC A und C ebenfalls über Peering verbunden sind?

Nein. Transitive Peering-Beziehungen werden nicht unterstützt.

F: Was geschieht, wenn meine Peering-Verbindung ausfällt?

AWS verwendet die vorhandene Infrastruktur einer VPC zum Erstellen einer VPC-Peering-Verbindung. Es handelt sich weder um ein Gateway noch eine VPN-Verbindung und die Verbindung basiert nicht auf spezieller physischer Hardware. Es gibt keine einzelne Fehlerstelle für die Kommunikation und keinen Bandbreiten-Engpass.

Das regionenübergreifende VPC Peering basiert auf derselben horizontal skalierten, redundanten und hochverfügbaren Technologie, von der moderne VPCs profitieren. Der Traffic beim regionenübergreifenden VPC Peering wird über das Basisnetz von AWS geleitet, das über eine integrierte Redundanz und dynamische Bandbreitenzuweisung verfügt. Es gibt für die Kommunikation keinen Single Point of Failure.

Wenn eine regionenübergreifende Peering-Verbindung ausfällt, wird der Traffic nicht über das Internet geleitet.

F: Bestehen irgendwelche Bandbreiten-Begrenzungen für Peering-Verbindungen?

Die Bandbreite zwischen Instances in über Peering verbundenen VPCs unterscheidet sich nicht von der Bandbreite zwischen Instances in derselben VPC. Hinweis: Eine Placement-Gruppe kann mehrere über Peering verbundene VPCs umfassen. Sie erhalten jedoch nicht die vollständige Bisektionsbandbreite zwischen Instances in über Peering verbundenen VPCs. Lesen Sie mehr über Platzierungsgruppen.

F: Ist der regionenübergreifende Traffic beim VPC Peering verschlüsselt?

Der Traffic ist mittels moderner AEAD-Algorithmen (Authenticated Encryption with Associated Data) verschlüsselt. Die Schlüsselvereinbarung und die Schlüsselverwaltung übernimmt AWS.

F: Wie funktionieren DNS-Übersetzungen beim regionenübergreifenden VPC Peering?

Standardmäßig wird eine Abfrage für den öffentlichen Hostnamen einer Instance in einer gekoppelten VPC in eine öffentliche IP-Adresse aufgelöst. Das private DNS Route 53 kann beim regionenübergreifenden VPC Peering zur Auflösung in eine private IP-Adresse verwendet werden.

F: Kann ich beim regionenübergreifenden VPC Peering Verweise für Sicherheitsgruppen anbringen?

Nein. Verweise für Sicherheitsgruppen können bei regionenübergreifenden VPC Peering-Verbindungen nicht angebracht werden.

F: Unterstützt das regionsübergreifende VPC-Peering IPv6?

Ja. Das regionenübergreifende VPC Peering unterstützt IPv6.

F: Kann das regionenübergreifende VPC Peering mit EC2-Classic Link verwendet werden?

Nein. Regionenübergreifendes VPC-Peering kann nicht mit EC2-ClassicLink verwendet werden.

Was ist ClassicLink?

Amazon Virtual Private Cloud (VPC) ClassicLink ermöglicht EC2-Instances auf der EC2-Classic-Plattform die Kommunikation mit Instances in einer VPC unter Verwendung von privaten IP-Adressen. Um ClassicLink zu verwenden, aktivieren Sie es für eine VPC in Ihrem Konto und verknüpfen Sie eine Sicherheitsgruppe aus dieser VPC mit einer Instance in EC2-Classic. Alle Regeln Ihrer VPC-Sicherheitsgruppe werden auf Kommunikationen zwischen Instances in EC2-Classic und Instances in der VPC angewendet. 

F: Wie viel kostet ClassicLink?

Es entstehen keine zusätzlichen Kosten für die Nutzung von ClassicLink, allerdings fallen Datenübertragungskosten zwischen den Availability Zones an. Weitere Informationen finden Sie auf der Seite mit der Preisübersicht zu EC2.

F: Wie nutze ich ClassicLink?

Um ClassicLink nutzen zu können, müssen Sie zunächst mindestens eine VPC in Ihrem Konto für ClassicLink aktivieren. Dann verknüpfen Sie eine Sicherheitsgruppe aus der VPC mit der gewünschten EC2-Classic-Instance. Die EC2-Classic-Instance ist jetzt mit der VPC verknüpft und ist ein Mitglied der ausgewählten Sicherheitsgruppe in der VPC. Ihre EC2-Classic-Instance kann nicht mit mehr als einer VPC gleichzeitig verknüpft werden.

F: Wird die EC2-Classic-Instance ein Mitglied der VPC?

Die EC2-Classic-Instance wird kein Mitglied der VPC. Sie wird ein Mitglied der VPC-Sicherheitsgruppe, die mit der Instance verknüpft war. Alle Regeln und Referenzen zur VPC-Sicherheitsgruppe werden auf Kommunikationen zwischen Instances in EC2-Classic und Ressourcen in der VPC angewendet.

F: Kann ich öffentliche EC2-DNS-Hostnamen aus meinen EC2-Classic- und EC2-VPC-Instances für die gegenseitige Adressierung verwenden, um über eine private IP zu kommunizieren?

Der öffentliche EC2-DNS-Hostname wird nicht in die private IP-Adresse der EC2-VPC-Instance aufgelöst, wenn eine Abfrage von einer EC2-Classic-Instance erfolgt, und umgekehrt.

F: Gibt es VPCs, für die ich einen ClassicLink nicht akzeptieren kann?

Ja. ClassicLink kann nicht für eine VPC aktiviert werden, die ein Classless Inter-Domain Routing (CIDR) im Bereich 10.0.0.0/8 hat, mit Ausnahme von 10.0.0.0/16 und 10.1.0.0/16. Zusätzlich kann ClassicLink für eine VPC, die einen Routing-Tabellen-Eintrag hat, der auf den 10.0.0.0/8 CIDR-Raum zeigt, nur für das Ziel "local" aktiviert werden.

F: Kann der Datenverkehr von einer EC2-Classic-Instance durch die Amazon VPC geleitet werden und durch das Internet-Gateway oder durch das virtuelle private Gateway oder zu Peer-VPCs gehen?

Der Datenverkehr von einer EC2-Classic-Instance kann nur zu privaten IP-Adressen in der VPC geleitet werden. Er wird nicht an Ziele außerhalb der VPC geleitet, einschließlich Internet-Gateway, virtuelles privates Gateway oder Peer-VPC-Ziele.

F: Beeinflusst ClassicLink die Zugriffskontrolle zwischen der EC2-Classic-Instance und anderen Instances, die in der EC2-Classic-Plattform liegen?

ClassicLink ändert die Zugriffskontrolle nicht, die für eine EC2-Classic-Instance durch ihre bestehenden Sicherheitsgruppen aus der EC2-Classic-Plattform definiert ist.

F: Bleiben die ClassicLink-Einstellungen auf meiner EC2-Classic-Instance über Stopp-/Start-Zyklen erhalten?

Die ClassicLink-Verbindung bleibt über Stopp-/Start-Zyklen der EC2-Classic-Instance nicht erhalten. Die EC2-Classic-Instance muss mit einer VPC verknüpft werden, nachdem sie gestoppt und gestartet wurde. Die ClassicLink-Verbindung bleibt hingegen über Neustartzyklen der Instance erhalten.

F: Wird meiner EC2-Classic-Instance eine neue, private IP-Adresse zugewiesen, nachdem ich ClassicLink aktiviert habe?

Der EC2-Classic-Instance wird keine neue private IP-Adresse zugewiesen. Wenn Sie ClassicLink auf einer EC2-Classic-Instance aktivieren, behält die Instance ihre bestehende private IP-Adresse und nutzt sie zur Kommunikation mit Ressourcen in einer VPC.

F: Gestattet ClassicLink den EC2-Classic-Sicherheitsgruppenregeln das Referenzieren von VPC-Sicherheitsgruppen und umgekehrt?

ClassicLink erlaubt den EC2-Classic-Sicherheitsgruppenregeln nicht das Referenzieren von VPC-Sicherheitsgruppen oder umgekehrt.

F: Was ist AWS PrivateLink?

Mit AWS PrivateLink können Kunden Services, die auf AWS gehostet werden, auf hochverfügbare und skalierbare Weise aufrufen und dabei sicherstellen, dass der Netzwerkdatenverkehr ausschließlich über das AWS-Netzwerk abgewickelt wird. Auf diese Weise können Servicebenutzer privat ohne öffentliche IPs über ihre Amazon Virtual Private Cloud (VPC) oder ihr eigenes Rechenzentrum auf Services zugreifen, die durch PrivateLink unterstützt werden, ohne den Datenverkehr durch das Internet zu leiten. Serviceeigentümer können ihre Network Load Balancer bei PrivateLink-Services registrieren und die Services anderen AWS-Kunden zur Verfügung stellen.

F: Wie kann ich AWS PrivateLink nutzen?

Als Servicebenutzer müssen Sie VPC-Schnittstellenendpunkte für Services erstellen, die durch PrivateLink unterstützt werden. Diese Service-Endpunkte erscheinen dann als Elastic Network-Schnittstellen (Elastic Network Interfaces – ENIs) mit privaten IPs in Ihren VPCs. Nach der Erstellung dieser Endpunkte wird jeder Datenverkehr an diese IP-Adressen privat an die entsprechenden AWS-Services geleitet.

Als Serviceeigentümer können Sie Ihren Service bei AWS PrivateLink registrieren, indem Sie einen Network Load Balancer (NLB) vor Ihren Service schalten und einen PrivateLink-Service erstellen, den Sie beim NLB registrieren. Ihre Kunden werden dann dazu in der Lage sein, Endpunkte in Ihrer VPC zu erstellen, um sich mit Ihrem Service zu verbinden, nachdem Sie ihre Konten und IAM-Rollen auf eine Positivliste gesetzt haben.

F: Welche Services sind aktuell in AWS PrivateLink verfügbar?

Die folgenden AWS-Services unterstützen diese Funktion: Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Kinesis Streams, Service Catalog, EC2 Systems Manager, Amazon SNS und AWS DataSync. Viele SaaS-Lösungen unterstützen diese Funktion ebenfalls. Besuchen Sie den AWS Marketplace, um mehr SaaS-Produkte zu finden, die von AWS PrivateLink unterstützt werden.

F: Kann ich privat auf Services zugreifen, die von AWS PrivateLink über AWS Direct Connect bereitgestellt werden?

Ja. Die Anwendung in Ihren Räumlichkeiten kann sich über AWS Direct Connect mit den Service-Endpunkten in der Amazon VPC verbinden. Die Service-Endpunkte leiten den Datenverkehr automatisch an durch AWS PrivateLink bereitgestellte AWS-Services.

F: Welche CloudWatch-Metriken sind für den schnittstellenbasierten VPC-Endpunkt verfügbar?

Derzeit sind keine CloudWatch-Metriken für den schnittstellenbasierten VPC-Endpunkt verfügbar.

F: Wer trägt die Datenübertragungskosten für den Datenverkehr über den schnittstellenbasierten VPC-Endpunkt?

Das Konzept der Datenübertragungskosten ähnelt dem der Datenübertragungskosten für EC2-Instances. Da ein schnittstellenbasierter VPC-Endpunkt eine ENI im Subnetz ist, hängen die Datenübertragungskosten von der Quelle des Datenverkehrs ab. Wenn der Datenverkehr zu dieser Schnittstelle von einer Ressource über AZ stammt, fallen EC2-übergreifende Datenübertragungskosten für den Endverbraucher an. Kunden in der Consumer-VPC können AZ-spezifische DNS-Endpunkte verwenden, um sicherzustellen, dass der Datenverkehr innerhalb derselben AZ bleibt, wenn sie jede in ihrem Konto verfügbare AZ bereitgestellt haben.

F: Kann ich die AWS Management Console zum Steuern und Verwalten von Amazon VPC verwenden?

Ja. Sie können die AWS Management Console nutzen, um Amazon VPC-Objekte wie VPCs, Subnetze, Routing-Tabellen, Internetroutern und IPSec-VPN-Verbindungen zu verwalten. Darüber hinaus können Sie mithilfe eines benutzerfreundlichen Assistenten eine VPC herstellen.

F: Wie viele VPCs, Subnetze, elastische IP-Adressen und Internet-Gateways kann ich erstellen?

Sie können Folgendes erstellen:

• Fünf Amazon VPCs pro AWS-Konto für jede Region
• 200 Subnetze pro Amazon VPC
• Fünf Amazon VPC Elastic IP-Adressen pro AWS-Konto für jede Region
• Ein Internet-Gateway pro Amazon VPC

Weitere Informationen zu VPC-Limits finden Sie im Amazon VPC-Benutzerhandbuch.

F: Kann ich AWS Support mit Amazon VPC erhalten?

Ja. Klicken Sie hier, um weitere Informationen über den AWS Support zu erhalten.

F: Kann ich ElasticFox mit Amazon VPC verwenden?

ElasticFox wird offiziell nicht mehr für die Verwaltung Ihrer Amazon VPC unterstützt. Amazon VPC-Unterstützung ist über AWS APIs, Befehlszeilen-Tools und die AWS Management Console sowie verschiedene Dienstprogramme von Drittanbietern verfügbar.