Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Weiterleiten des Internetverkehrs an eine einzige Netzwerkschnittstelle
<a name="igw-ingress-routing"></a>

Sie können eingehenden Internetverkehr für große Pools öffentlicher IP-Adressen an eine einzige Elastic-Network-Schnittstelle (ENI) in Ihrer VPC weiterleiten.

Bisher akzeptierten Internet-Gateways Datenverkehr für öffentliche IP-Adressen nur dann, wenn diese direkt mit Netzwerkschnittstellen in der VPC verknüpft waren. Bei Instance-Typen ist die Anzahl der IP-Adressen begrenzt, die Netzwerkschnittstellen zugeordnet werden können. Das sorgt für Herausforderungen in der Telekommunikation und für das Internet der Dinge (IoT), da der Datenverkehr für IP-Pools in diesen Bereichen die Limits überschreitet.

Durch dieses Routing entfällt die komplexe Adressübersetzung bei eingehenden Internetverbindungen. Sie können eigene öffentliche IP-Pools (BYOIP) verwenden und Ihr VPC-Internet-Gateway so konfigurieren, dass der Datenverkehr für den gesamten Pool akzeptiert und an eine einzige Netzwerkschnittstelle weitergeleitet wird. Dieses Feature ist besonders nützlich für:
+ **Telekommunikation**: Verwalten großer Subscriber-IP-Pools ohne Mehraufwand bei der Adressübersetzung
+ **IoT-Anwendungen**: Konsolidieren des Datenverkehrs von Tausenden Geräte-IP-Adressen
+ **Beliebiges Szenario**: Erzwingen des Datenverkehr-Routings über ENI-Zuordnungslimits hinaus

Sie können dieses Routing in VPC Route Server integrieren, um in Failover-Szenarien dynamische Routenaktualisierungen zu ermöglichen.

**Wichtigste Vorteile**  
Diese Routing-Methode bietet folgende Vorteile:
+ **Keine Adressübersetzung erforderlich**: direktes Routing reduziert die NAT-Komplexität
+ **ENI-Limits umgehen**: Verarbeitung von IP-Pools, die die Limits für die Instance-Zuweisung überschreiten
+ **Branchenoptimiert**: für Telekommunikations- und IoT-Anforderungen entwickelt
+ **Dynamisches Failover**: Integration in Route Server für automatische Updates

**Verfügbarkeit**  
Sie können dieses Feature in allen kommerziellen AWS-Regionen, AWS-Regionen in China und AWS-GovCloud-Regionen verwenden.

**Topics**
+ [Bevor Sie beginnen](#before-you-begin)
+ [Funktionsweise](#how-this-feature-works)
+ [Schritt 1: Erstellen einer VPC](#step-1-create-a-vpc)
+ [Schritt 2: Erstellen und Zuordnen eines Internet-Gateways](#step-2-create-and-attach-an-internet-gateway)
+ [Schritt 3: Erstellen eines Subnetzes für die Ziel-Instance](#step-3-create-a-subnet)
+ [Schritt 4: Erstellen einer Routing-Tabelle für das Subnetz](#step-4-create-a-route-table-for-the-subnet)
+ [Schritt 5: Erstellen einer Sicherheitsgruppe für die Ziel-Instance](#step-5-create-a-security-group)
+ [Schritt 6: Starten einer Ziel-EC2-Instance](#step-6-launch-an-ec2-instance)
+ [Schritt 7: Erstellen der Routing-Tabelle für das Internet-Gateway](#step-7-create-a-route-table-for-the-internet-gateway)
+ [Schritt 8: Zuordnen der Routing-Tabelle zum Internet-Gateway](#step-8-associate-the-route-table-with-the-internet-gateway)
+ [Schritt 9: Zuordnen Ihres BYOIP-Pools zum Internet-Gateway](#step-9-associate-your-byoip-pool-with-the-internet-gateway)
+ [Schritt 10: Hinzufügen einer statischen Route mit Ihrer Instance als Ziel](#step-10-add-static-route-to-target-your-instance)
+ [Schritt 11: Konfigurieren der Ziel-Instance](#step-11-configure-the-target-instance)
+ [Schritt 12: Konfigurieren der Instance für die Verarbeitung des Datenverkehrs](#step-12-configure-instance-for-traffic-handling)
+ [Schritt 13: Testen der Verbindung](#step-13-test-connectivity)
+ [Fehlerbehebung](#troubleshooting)
+ [Erweiterte Option: Route-Server-Integration für dynamisches Routing](#advanced-option-route-server-integration)
+ [Bereinigen](#clean-up)

## Bevor Sie beginnen
<a name="before-you-begin"></a>

Voraussetzungen für dieses Tutorial:

1. **Ein BYOIP-Pool**: Sie müssen Ihren eigenen IP-Adressbereich in AWS hinzugefügt haben. Führen Sie die Schritte unter [Eigene IP-Adressen mitbringen (BYOIP) in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html) aus.

1. **Überprüfen Sie Ihren BYOIP-Pool**: Vergewissern Sie sich mit dem folgenden Befehl, dass Ihr Pool bereit ist:

   ```
   aws ec2 describe-public-ipv4-pools --region us-east-1
   ```

   Suchen Sie in der Ausgabe nach Ihrem Pool und stellen Sie sicher, dass `PoolAddressRanges` die `Available` Adressen anzeigt.

1. **Entsprechende Berechtigungen**: Stellen Sie sicher, dass Ihr AWS-Konto Berechtigungen zum Erstellen von VPC-Ressourcen und EC2-Instances und zum Verwalten von BYOIP-Pools hat.

## Funktionsweise
<a name="how-this-feature-works"></a>

In diesem Abschnitt werden die technischen Konzepte des Internet-Gateway-Ingress-Routings erläutert. Außerdem wird beschrieben, wie der Datenverkehr vom Internet zu Ihrer Ziel-Instance gelangt.

### Gründe zur Verwendung des Internet-Gateway-Ingress-Routings
<a name="why-use-internet-gateway-ingress-routing"></a>

Bisher mussten Sie aufgrund von ENI-Zuordnungslimits eine Adressübersetzung durchführen, um den Datenverkehr für eine große Anzahl von IP-Adressen zu konsolidieren. Diese Erweiterung beseitigt diese Komplexität, da sie das direkte Routing von BYOIP-Pools an Ziel-Instances ermöglicht.

### Funktionsweise der Weiterleitung
<a name="how-the-routing-works"></a>

Dieses Feature funktioniert nur mit den öffentlichen IP-CIDRs, die Sie gemäß dem BYOIP-Prozess zu AWS mitbringen. Der BYOIP-Prozess stellt sicher, dass das öffentliche IP-CIDR Teil Ihres Kontos ist. Wenn das öffentliche BYOIP-CIDR bereit ist:

1. Ordnen Sie diesem öffentlichen IP-Adresspool eine Internet-Gateway-Routing-Tabelle zu. Das Internet-Gateway muss bereits einer VPC zugeordnet sein. Diese Zuordnung ermöglicht der VPC, Datenverkehr zu akzeptieren, der für das IP-CIDR bestimmt ist. Stellen Sie sicher, dass das Internet-Gateway eine dedizierte Routing-Tabelle hat, die nicht von einem Subnetz mitgenutzt wird.

1. Nachdem Sie den BYOIP-Pool der Internet-Gateway-Routing-Tabelle zugeordnet haben, können Sie in die Routing-Tabelle eine Route mit einem Ziel eingeben, das dem IP-CIDR oder einem Teil davon entspricht. Das Ziel dieser Route wäre die ENI, an die Sie Ihren Datenverkehr weiterleiten möchten.

1. Wenn Ihr Datenverkehr für Ihren BYOIP-CIDR bei AWS eingeht, prüft AWS die Internet-Gateway-Routing-Tabelle und leitet den Datenverkehr an die entsprechende VPC weiter.

1. Innerhalb der VPC leitet das Internet-Gateway den Datenverkehr an die Ziel-ENI weiter.

1. Das Ziel (eine Elastic-Network-Schnittstelle, die Ihrer Workload zugeordnet ist) verarbeitet den Datenverkehr.

**Bewährte Methoden für**
+ **Halten Sie die Routing-Tabellen getrennt**: Die Internet-Gateway-Routing-Tabelle darf nur für das Internet-Gateway genutzt werden. Ordnen Sie diese Routing-Tabelle nicht VPC-Subnetzen zu. Verwenden Sie separate Routing-Tabellen für das Subnetz-Routing.
+ **Weisen Sie BYOIP-IPs nicht direkt zu**: Ordnen Sie öffentliche IP-Adressen aus Ihrem BYOIP-Pool nicht direkt EC2-Instances oder Netzwerkschnittstellen zu. Die Ingress-Routing-Funktion des Internet-Gateways leitet den Datenverkehr ohne direkte IP-Zuordnung an Instances weiter.

**Wichtig**  
Wenn Sie [VPC Block Public Access (BPA)](security-vpc-bpa.md) verwenden und BPA aktiviert ist, wird der Datenverkehr an Subnetze mithilfe von Ingress-Routing blockiert, auch wenn Sie einen BPA-Ausschluss auf Subnetzebene eingerichtet haben. Ausschlüsse auf Subnetzebene funktionieren nicht für das Ingress-Routing. Sie können Ingress-Routing-Datenverkehr mit aktiviertem BPA wie folgt zulassen:  
BPA vollständig deaktivieren oder
Ausschluss auf VPC-Ebene verwenden

## Schritt 1: Erstellen einer VPC
<a name="step-1-create-a-vpc"></a>

Führen Sie diesen Schritt aus, um eine VPC zu erstellen, die Ihre Ziel-Instance und Ihr Internet-Gateway hostet.

**Anmerkung**  
Achten Sie darauf, dass Sie das VPC-Kontingentlimit noch nicht erreicht haben. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](amazon-vpc-limits.md).

**AWS Konsole**

1. Öffnen Sie die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc).

1. Wählen Sie auf dem VPC-Dashboard **Create VPC** (VPC erstellen) aus.

1. Wählen Sie unter **Zu erstellende Ressourcen** die Option **Nur VPC** aus.

1. Geben Sie unter **Namens-Tag** einen Namen für Ihre VPC ein (beispielsweise **IGW-Ingress-VPC**).

1. Geben Sie unter **IPv4-CIDR-Block** einen gültigen CIDR-Block ein (beispielsweise **10.0.0.0/16**).

1. Wählen Sie **VPC erstellen** aus.

**AWS CLI**

```
aws ec2 create-vpc --cidr-block 10.0.0.0/16 --tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=IGW-Ingress-VPC}]' --region us-east-1
```

## Schritt 2: Erstellen und Zuordnen eines Internet-Gateways
<a name="step-2-create-and-attach-an-internet-gateway"></a>

Führen Sie diesen Schritt aus, um ein Internet-Gateway zu erstellen und an Ihre VPC anzufügen und dadurch die Internetverbindung zu aktivieren.

**AWS Konsole**

1. Öffnen Sie die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc).

1. Wählen Sie in der VPC-Konsole die Option **Internet-Gateways** aus.

1. Wählen Sie **Create internet gateway (Internet-Gateway erstellen)** aus.

1. Geben Sie unter **Namens-Tag** einen Namen für Ihr Internet-Gateway ein (beispielsweise **IGW-Ingress-Gateway**).

1. Wählen Sie **Create internet gateway (Internet-Gateway erstellen)** aus.

1. Wählen Sie Ihr Internet-Gateway und dann **Aktionen**, **An VPC anfügen** aus.

1. Wählen Sie Ihre VPC und dann **Internet-Gateway anfügen** aus.

**AWS CLI**

```
aws ec2 create-internet-gateway --tag-specifications 'ResourceType=internet-gateway,Tags=[{Key=Name,Value=IGW-Ingress-Gateway}]' --region us-east-1

aws ec2 attach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0 --region us-east-1
```

**Hinweis**: Ersetzen Sie die Ressourcen-IDs durch Ihre tatsächlichen IDs aus dem vorherigen Schritt.

## Schritt 3: Erstellen eines Subnetzes für die Ziel-Instance
<a name="step-3-create-a-subnet"></a>

Schließen Sie diesen Schritt ab, um ein Subnetz für Ihre Ziel-Instance zu erstellen.

**AWS Konsole**

1. Wählen Sie im Navigationsbereich der VPC-Konsole **Subnets** (Subnetze).

1. Wählen Sie **Subnetz erstellen**.

1. Wählen Sie unter **VPC-ID** Ihre VPC aus.

1. Geben Sie unter **Subnetzname** einen Namen ein (z. B. **Target-Subnet**).

1. Unter **Availability Zone** können Sie eine Zone für das Subnetz auswählen. Alternativ können Sie die Standardeinstellung **No Preference** (Keine Präferenz) beibehalten, damit AWS eine Zone für Sie auswählt.

1. Wählen Sie für **IPv4-CIDR-Block** die Option **Manuelle Eingabe** aus und geben Sie einen CIDR-Block ein (beispielsweise **10.0.1.0/24**).

1. Wählen Sie **Subnetz erstellen**.

**AWS CLI**

```
aws ec2 create-subnet \
    --vpc-id vpc-0123456789abcdef0 \
    --cidr-block 10.0.1.0/24 \
    --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Target-Subnet}]' \
    --region us-east-1
```

## Schritt 4: Erstellen einer Routing-Tabelle für das Subnetz
<a name="step-4-create-a-route-table-for-the-subnet"></a>

Führen Sie diesen Schritt aus, um eine Routing-Tabelle für Ihr Subnetz zu erstellen und dem Subnetz zuzuordnen.

**AWS Konsole**

1. Wählen Sie im Navigationsbereich der VPC-Konsole **Routing-Tabellen** aus.

1. Klicken Sie auf **Create Route Table (Routing-Tabelle erstellen)**.

1. Geben Sie unter **Name** einen Namen für Ihre Routing-Tabelle ein (beispielsweise **Target-Subnet-Route-Table**).

1. Wählen Sie unter **VPC** Ihre VPC aus.

1. Klicken Sie auf **Create Route Table (Routing-Tabelle erstellen)**.

1. Wählen Sie die Routing-Tabelle aus und klicken Sie auf **Aktionen**, **Subnetzzuordnungen bearbeiten**.

1. Wählen Sie Ihr Subnetz und dann **Zuweisungen speichern** aus.

**AWS CLI**

```
aws ec2 create-route-table \
    --vpc-id vpc-0123456789abcdef0 \
    --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=Target-Subnet-Route-Table}]' \
    --region us-east-1

aws ec2 associate-route-table \
    --route-table-id rtb-0987654321fedcba0 \
    --subnet-id subnet-0123456789abcdef0 \
    --region us-east-1
```

## Schritt 5: Erstellen einer Sicherheitsgruppe für die Ziel-Instance
<a name="step-5-create-a-security-group"></a>

Schließen Sie diesen Schritt ab, um eine Sicherheitsgruppe zu erstellen, die den Netzwerkzugriff auf Ihre Ziel-Instance steuert.

**AWS Konsole**

1. Wählen Sie im Navigationsbereich der VPC-Konsole **Sicherheitsgruppen** aus.

1. Wählen Sie **Sicherheitsgruppe erstellen** aus.

1. Geben Sie unter **Name der Sicherheitsgruppe** einen Namen ein (z. B. **IGW-Target-SG**).

1. Geben Sie für **Beschreibung** den Text **Security group for IGW ingress routing target instance** ein.

1. Wählen Sie im Feld **VPC** Ihre VPC aus.

1. Um Regeln für eingehenden Datenverkehr hinzuzufügen, wählen Sie **Eingehende Regeln** aus. Wählen Sie für jede Regel **Regel hinzufügen** aus und geben Sie Folgendes an:
   + **Typ**: Alle ICMP – IPv4, **Quelle**: 0.0.0.0/0 (für Ping-Tests).
   + **Typ**: SSH, **Port**: 22, **Quelle**: 0.0.0.0/0 (für EC2 Instance Connect).

**Anmerkung**  
Diese Sicherheitsgruppe öffnet für dieses Tutorial SSH-Ports für den gesamten Internetverkehr. Das Tutorial ist nur für Informationszwecke bestimmt und sollte nicht für Produktionsumgebungen konfiguriert werden. In der Produktion sollten Sie den SSH-Zugriff auf ausgewählte IP-Bereiche beschränken.
+ Wählen Sie **Sicherheitsgruppe erstellen** aus.

**AWS CLI**

```
aws ec2 create-security-group \
    --group-name IGW-Target-SG \
    --description "Security group for IGW ingress routing target instance" \
    --vpc-id vpc-0123456789abcdef0 \
    --region us-east-1

aws ec2 authorize-security-group-ingress \
    --group-id sg-0123456789abcdef0 \
    --protocol icmp \
    --port -1 \
    --cidr 0.0.0.0/0 \
    --region us-east-1

aws ec2 authorize-security-group-ingress \
    --group-id sg-0123456789abcdef0 \
    --protocol tcp \
    --port 22 \
    --cidr 0.0.0.0/0 \
    --region us-east-1
```

## Schritt 6: Starten einer Ziel-EC2-Instance
<a name="step-6-launch-an-ec2-instance"></a>

Führen Sie diesen Schritt aus, um die EC2-Instance zu starten, die den Datenverkehr von Ihrem BYOIP-Pool empfängt.

**AWS Konsole**

1. Öffnen Sie die [Amazon EC2-Konsole](https://console.aws.amazon.com/ec2).

1. Wählen Sie **Launch Instance (Instance starten)** aus.

1. Geben Sie unter **Name** einen Namen für Ihre Instance ein (beispielsweise **IGW-Target-Instance**).

1. Wählen Sie für **Anwendungs- und Betriebssystem-Images (Amazon Machine Image)** die Option **Amazon-Linux-2023-AMI** aus.

1. Wählen Sie für **Instance-Typ** die Option **t2.micro** aus (für das kostenlose Kontingent qualifiziert).

1. Wählen Sie für **Schlüsselpaar (Anmeldung)** ein bestehendes Schlüsselpaar aus oder erstellen Sie ein neues.

1. Wählen Sie für **Netzwerkeinstellungen** die Option **Bearbeiten** aus und konfigurieren Sie Folgendes:
   + **VPC**: Wählen Sie Ihre VPC aus.
   + **Subnetz**: Wählen Sie Ihr Subnetz aus.
   + **Öffentliche IP-Adresse automatisch zuweisen**: Aktiviert
   + **Firewall (Sicherheitsgruppen)**: Klicken Sie auf „Vorhandene Sicherheitsgruppe auswählen“ und wählen Sie Ihrer Sicherheitsgruppe aus.

1. Wählen Sie **Launch Instance (Instance starten)** aus.

1. **Wichtig**: Rufen Sie nach dem Start die Instance-Details auf und notieren Sie sich die **Netzwerkschnittstellen-ID** (beginnt mit „eni-“). Diese benötigen Sie für Schritt 10.

**AWS CLI**

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --count 1 \
    --instance-type t2.micro \
    --key-name your-key-pair \
    --security-group-ids sg-0123456789abcdef0 \
    --subnet-id subnet-0123456789abcdef0 \
    --associate-public-ip-address \
    --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=IGW-Target-Instance}]' \
    --region us-east-1
```

**Finden Sie die ENI-ID in der Konsole wie folgt:**

1. Wählen Sie in der EC2-Konsole Ihre Instance aus.

1. Gehen Sie zur Registerkarte **Netzwerk**.

1. Notieren Sie sich die **Netzwerkschnittstellen-ID** (z. B. `eni-0abcdef1234567890`).

**Finden Sie die ENI-ID mit der AWS CLI wie folgt:**

```
aws ec2 describe-instances --instance-ids i-0123456789abcdef0 --query 'Reservations[0].Instances[0].NetworkInterfaces[0].NetworkInterfaceId' --output text --region us-east-1
```

## Schritt 7: Erstellen der Routing-Tabelle für das Internet-Gateway
<a name="step-7-create-a-route-table-for-the-internet-gateway"></a>

Führen Sie diesen Schritt aus, um eine dedizierte Routing-Tabelle für das Internet-Gateway zu erstellen, das das Ingress-Routing verarbeitet.

**AWS Konsole**

1. Wählen Sie in der VPC-Konsole **Routing-Tabellen** aus.

1. Klicken Sie auf **Create Route Table (Routing-Tabelle erstellen)**.

1. Geben Sie unter **Name** einen Namen für Ihre Routing-Tabelle ein (beispielsweise **IGW-Ingress-Route-Table**).

1. Wählen Sie unter **VPC** Ihre VPC aus.

1. Klicken Sie auf **Create Route Table (Routing-Tabelle erstellen)**.

1. Wählen Sie die Routing-Tabelle aus und klicken Sie auf die Registerkarte **Edge-Zuordnungen**.

1. Wählen Sie **Edge-Zuordnungen bearbeiten** aus.

1. Wählen Sie Ihr Internet-Gateway und dann **Änderungen speichern** aus.

**AWS CLI**

```
aws ec2 create-route-table \
    --vpc-id vpc-0123456789abcdef0 \
    --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=IGW-Ingress-Route-Table}]' \
    --region us-east-1
```

## Schritt 8: Zuordnen der Routing-Tabelle zum Internet-Gateway
<a name="step-8-associate-the-route-table-with-the-internet-gateway"></a>

Führen Sie diesen Schritt aus, um Ihre Routing-Tabelle dem Internet-Gateway zuzuordnen und die Ingress-Routing-Funktionalität zu aktivieren.

**AWS Konsole**

1. Klicken Sie im Navigationsbereich der VPC-Konsole auf **Routing-Tabellen** und wählen Sie die erstellte Routing-Tabelle aus.

1. Wählen Sie auf der Registerkarte **Edge Associations** (Edge-Zuordnungen) die Option **Edit edge associations** (Edge-Zuordnungen bearbeiten) aus.

1. Aktivieren Sie das Kontrollkästchen für das Internet-Gateway.

1. Wählen Sie **Änderungen speichern ** aus.

**AWS CLI**

```
aws ec2 associate-route-table \
    --route-table-id rtb-0123456789abcdef0 \
    --gateway-id igw-0123456789abcdef0 \
    --region us-east-1
```

## Schritt 9: Zuordnen Ihres BYOIP-Pools zum Internet-Gateway
<a name="step-9-associate-your-byoip-pool-with-the-internet-gateway"></a>

Führen Sie diesen Schritt aus, um Ihren BYOIP-Pool der Routing-Tabelle für das Internet-Gateway zuzuordnen, sodass die VPC Datenverkehr für Ihren IP-Bereich akzeptieren kann.

**AWS Konsole**

1. Klicken Sie im Navigationsbereich der VPC-Konsole auf **Routing-Tabellen** und wählen Sie die erstellte Routing-Tabelle für das Internet-Gateway aus.

1. Klicken Sie auf die Registerkarte **IPv4-Pool-Zuordnungen**.

1. Klicken Sie auf die Schaltfläche **Zuordnungen bearbeiten**.

1. Wählen Sie Ihren BYOIP-Pool aus (z. B. `pool-12345678901234567`).

1. Klicken Sie auf die Schaltfläche **Zuordnungen speichern**.

**AWS CLI**

```
aws ec2 associate-route-table \
    --route-table-id rtb-0123456789abcdef0 \
    --public-ipv4-pool pool-12345678901234567 \
    --region us-east-1
```

**Hinweis**: Ersetzen Sie `rtb-0123456789abcdef0` durch die ID der Internet-Gateway-Routing-Tabelle und `pool-12345678901234567` durch Ihre BYOIP-Pool-ID.

## Schritt 10: Hinzufügen einer statischen Route mit Ihrer Instance als Ziel
<a name="step-10-add-static-route-to-target-your-instance"></a>

Schließen Sie diesen Schritt ab, um eine Route hinzuzufügen, die den Datenverkehr von Ihrem BYOIP-Bereich zur Netzwerkschnittstelle Ihrer Ziel-Instance weiterleitet.

**AWS Konsole**

1. Klicken Sie im Navigationsbereich der VPC-Konsole auf **Routing-Tabellen** und wählen Sie die erstellte Routing-Tabelle für das Internet-Gateway aus.

1. Wählen Sie **Aktionen** und dann **Routen bearbeiten**.

1. Wählen Sie **Route hinzufügen** aus.

1. Geben Sie als **Ziel** Ihren BYOIP-CIDR oder eine Teilmenge ein (z. B. **203.0.113.0/24**). Der Präfix muss zwischen /23 und /28 liegen.

1. Wählen Sie für **Ziel** die Option **Netzwerkschnittstelle** aus und geben Sie die ENI-ID Ihrer Instance ein (z. B. `eni-0abcdef1234567890`).

1. Wählen Sie **Änderungen speichern ** aus.

**AWS CLI**

```
aws ec2 create-route \
    --route-table-id rtb-0123456789abcdef0 \
    --destination-cidr-block 203.0.113.0/24 \
    --network-interface-id eni-0abcdef1234567890 \
    --region us-east-1
```

## Schritt 11: Konfigurieren der Ziel-Instance
<a name="step-11-configure-the-target-instance"></a>

Führen Sie diesen Schritt aus, um Ihre Ziel-Instance zu konfigurieren, sodass der für BYOIP-Adressen bestimmte Datenverkehr ordnungsgemäß verarbeitet wird.

**Wichtig**: Schließen Sie die Instance-Konfiguration ab, bevor Sie die Konnektivität testen (Schritt 12). Damit das Ingress-Routing funktioniert, muss die Instance dafür konfiguriert sein, auf BYOIP-Adressen zu reagieren.

**AWS Konsole**

1. Stellen Sie mit EC2 Instance Connect eine Verbindung zu Ihrer Ziel-Instance her:
   + Wählen Sie in der EC2-Konsole Ihre Instance aus.
   + Wählen Sie **Aktionen** > **Verbinden** aus.
   + Wählen Sie die Registerkarte **EC2 Instance Connect** aus.
   + Wählen Sie **Connect** aus.

1. Fügen Sie Ihrer Instance-Schnittstelle eine BYOIP-IP-Adresse hinzu:

   Suchen Sie zunächst nach dem Namen Ihrer Netzwerkschnittstelle:

   ```
   ip link show
   ```

   Fügen Sie dann die IP-Adresse hinzu (ersetzen Sie `203.0.113.10` durch eine IP aus Ihrem BYOIP-Bereich):

   ```
   sudo ip addr add 203.0.113.10/32 dev eth0
   ```

   **Hinweis**: Ersetzen Sie `203.0.113.10` durch eine beliebige IP-Adresse aus dem BYOIP-Bereich, den Sie testen möchten. Der Schnittstellenname kann je nach Instance-Typ `eth0`, `ens5` oder ähnlich lauten.

1. Deaktivieren Sie in der EC2-Konsole die Quell-/Zielprüfung:
   + Wählen Sie Ihre Instance aus.
   + Gehen Sie zur Registerkarte **Netzwerk** und klicken Sie auf die Netzwerkschnittstelle.
   + Wählen Sie **Aktionen**, **Quell-/Zielprüfung ändern**, **Deaktivieren** aus.

**AWS CLI**

```
aws ec2 modify-network-interface-attribute \
    --network-interface-id eni-0abcdef1234567890 \
    --no-source-dest-check \
    --region us-east-1
```

## Schritt 12: Konfigurieren der Instance für die Verarbeitung des Datenverkehrs
<a name="step-12-configure-instance-for-traffic-handling"></a>

Führen Sie diesen Schritt aus, um Ihrer Instance BYOIP-Adressen hinzuzufügen und die Quell-/Zielprüfung zu deaktivieren. Das ermöglicht die ordnungsgemäße Verarbeitung des Datenverkehrs.

**AWS Konsole**

1. Stellen Sie mit EC2 Instance Connect eine Verbindung zu Ihrer Ziel-Instance her:
   + Wählen Sie in der EC2-Konsole Ihre Instance aus.
   + Wählen Sie **Aktionen** > **Verbinden** aus.
   + Wählen Sie die Registerkarte **EC2 Instance Connect** aus.
   + Wählen Sie **Connect** aus.

1. Fügen Sie Ihrer Instance-Schnittstelle eine BYOIP-IP-Adresse hinzu:

   Suchen Sie zunächst nach dem Namen Ihrer Netzwerkschnittstelle:

   ```
   ip link show
   ```

   Fügen Sie dann die IP-Adresse hinzu (ersetzen Sie `ens5` durch den tatsächlichen Schnittstellennamen):

   ```
   sudo ip addr add 203.0.113.10/32 dev ens5
   ```

   **Hinweis**: Ersetzen Sie `203.0.113.10` durch eine beliebige IP-Adresse aus dem BYOIP-Bereich, den Sie testen möchten. Der Schnittstellenname kann je nach Instance-Typ `eth0`, `ens5` oder ähnlich lauten.

1. Deaktivieren Sie in der EC2-Konsole die Quell-/Zielprüfung:
   + Wählen Sie Ihre Instance aus.
   + Gehen Sie zur Registerkarte **Netzwerk** und klicken Sie auf die Netzwerkschnittstelle.
   + Wählen Sie **Aktionen**, **Quell-/Zielprüfung ändern**, **Deaktivieren** aus.

**AWS CLI**

```
aws ec2 modify-network-interface-attribute \
    --network-interface-id eni-0abcdef1234567890 \
    --no-source-dest-check \
    --region us-east-1
```

## Schritt 13: Testen der Verbindung
<a name="step-13-test-connectivity"></a>

Führen Sie diesen Schritt aus, um zu überprüfen, ob der Internetverkehr ordnungsgemäß über die BYOIP-Adressen an Ihre Ziel-Instance weitergeleitet wird.

1. Überwachen Sie den eingehenden Datenverkehr auf Ihrer Ziel-Instance mithilfe von tcpdump:

   ```
   sudo tcpdump -i any icmp
   ```

1. Testen Sie an einem anderen Terminal oder Computer die Konnektivität zu Ihrer BYOIP-IP-Adresse:

   ```
   ping 203.0.113.10
   ```

1. Erwartete Ergebnisse:
   + Der Ping-Befehl sollte erfolgreich sein und Antworten von Ihrer BYOIP-IP-Adresse zeigen.
   + tcpdump sollte eingehende Pakete für die BYOIP-Adresse anzeigen, etwa so:

     ```
     12:34:56.789012 IP 203.0.113.100 > 203.0.113.10: ICMP echo request, id 1234, seq 1, length 64
     12:34:56.789123 IP 203.0.113.10 > 203.0.113.100: ICMP echo reply, id 1234, seq 1, length 64
     ```
   + Der Datenverkehr sollte so aussehen, als stamme er von externen IP-Adressen. Das beweist, dass das Ingress-Routing des Internet-Gateways den Internetverkehr an Ihre Instance weiterleitet.

## Fehlerbehebung
<a name="troubleshooting"></a>

Verwenden Sie diesen Abschnitt, um häufig auftretende Probleme zu lösen, die bei der Einrichtung des Internet-Gateway-Ingress-Routings auftreten können.

**Datenverkehr kommt nicht bei der Instance an**  
+ Prüfen Sie, ob die richtige ENI-ID als Ziel für die Routing-Tabelle angegeben ist.
+ Stellen Sie sicher, dass der BYOIP-Pool zur Routing-Tabelle für das Internet-Gateway zugeordnet ist.
+ Vergewissern Sie sich, dass die Quell-/Zielprüfung für die Instance deaktiviert ist.
+ Stellen Sie sicher, dass Sicherheitsgruppen den Datenverkehrstyp zulassen, den Sie testen.

**Erstellung der Route schlägt fehl**  
+ Stellen Sie sicher, dass der BYOIP-Pool der Routing-Tabelle ordnungsgemäß zugeordnet ist.
+ Vergewissern Sie sich, dass der Ziel-CIDR innerhalb Ihres BYOIP-Bereichs liegt.
+ Prüfen Sie, ob die Ziel-ENI vorhanden ist und an eine laufende Instance angefügt ist.
+ Stellen Sie sicher, dass Ihr BYOIP-Präfix zwischen /23 und /28 liegt (Präfixe außerhalb dieses Bereichs werden nicht unterstützt).

**Ping/Konnektivität schlägt fehl**  
+ Stellen Sie sicher, dass die IP-Adressen der Instance-Schnittstelle hinzugefügt wurden.
+ Prüfen Sie, ob Sicherheitsgruppen ICMP (für Ping) oder relevante Ports zulassen.
+ Vergewissern Sie sich, dass sich die Instance im aktiven Zustand befindet.
+ Führen Sie den Test von mehreren externen Standorten durch.

## Erweiterte Option: Route-Server-Integration für dynamisches Routing
<a name="advanced-option-route-server-integration"></a>

Für Umgebungen, die ein automatisches Failover erfordern, kann diese Funktion in VPC Route Server integriert werden. Das ermöglicht Folgendes:
+ **Dynamische Routen-Aktualisierung** bei Instance-Ausfällen
+ **Keine manuellen Eingriffe** bei der Routenverwaltung
+ **Verfügbarkeit auf Unternehmensniveau** für kritische Workloads

Dies ist besonders wichtig für Telekommunikations- und IoT-Anwendungsfälle, in denen eine hohe Verfügbarkeit unerlässlich ist.

**Anmerkung**  
Bei der Verwendung von Route Server mit mehreren BGP-Peers sollten Sie beachten, dass maximal 32 BGP-Peers dasselbe Präfix für dieselbe Routing-Tabelle ankündigen können.

Für Umgebungen, die dynamisches Routing, automatisches Failover und die Lastverteilung auf mehrere Instances erfordern, sollten Sie die Integration in AWS Route Server in Betracht ziehen. Route Server ermöglicht BGP-basiertes dynamisches Routing anstelle von statischen Routen. Das bietet folgende Vorteile:
+ **Dynamische Routenankündigung** von Instances über BGP
+ **Automatisches Failover** zwischen mehreren Ziel-Instances
+ **Lastverteilung** auf mehrere Endpunkte
+ **Zentralisiertes Routenmanagement** über BGP-Protokolle

Dies ist ein wichtiger Anwendungsfall für Bereitstellungen im Unternehmen, die hohe Verfügbarkeit und dynamische Routing-Funktionen erfordern. Detaillierte Anweisungen zur Einrichtung von Route Server finden Sie in der [Dokumentation für AWS Route Server](dynamic-routing-route-server.md).

## Bereinigen
<a name="clean-up"></a>

Um laufende Gebühren zu vermeiden, sollten Sie die Ressourcen löschen, die Sie für dieses Tutorial erstellt haben:

### Schritt 1: Beenden der EC2-Instance
<a name="step-1-terminate-ec2-instance"></a>

Schließen Sie diesen Schritt ab, um die EC2-Instance zu beenden, damit keine weiteren Gebühren für Rechenressourcen anfallen.

**AWS Konsole**

1. Öffnen Sie die [Amazon EC2-Konsole](https://console.aws.amazon.com/ec2).

1. Wählen Sie im Navigationsbereich der EC2-Konsole die Option **Instances** aus.

1. Wählen Sie die Instance und dann **Instance-Status**, **Instance beenden** aus.

1. Wählen Sie zur Bestätigung **Beenden** aus.

**AWS CLI**

```
aws ec2 terminate-instances --instance-ids i-0123456789abcdef0 --region us-east-1
```

### Schritt 2: Trennen eines Internet-Gateways von einer VPC
<a name="step-2-detach-internet-gateway-from-vpc"></a>

Führen Sie diesen Schritt aus, um das Internet-Gateway von Ihrer VPC zu trennen und zu löschen.

**AWS Konsole**

1. Öffnen Sie die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc).

1. Wählen Sie im Navigationsbereich der VPC-Konsole die Option **Internet-Gateways** aus.

1. Wählen Sie das Internet-Gateway und dann **Aktionen**, **Von VPC trennen** aus.

1. Wählen Sie **Internet-Gateway trennen** aus.

1. Wählen Sie anschließend **Aktionen**, **Internet-Gateway löschen** aus.

1. Wählen Sie **Internet-Gateway löschen** aus.

**AWS CLI**

```
aws ec2 detach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0 --region us-east-1

aws ec2 delete-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --region us-east-1
```

### Schritt 3: Löschen der VPC
<a name="step-3-delete-vpc"></a>

Führen Sie diesen Schritt aus, um die VPC und alle zugehörigen Ressourcen zu löschen und damit die Bereinigung abzuschließen.

**AWS Konsole**

1. Wählen Sie in der VPC-Konsole **Ihre VPCs** aus.

1. Wählen Sie die VPC aus und klicken Sie auf **Aktionen**, **VPC löschen**.

1. Geben Sie zur Bestätigung **delete** ein und wählen Sie **Löschen** aus.

**AWS CLI**

```
aws ec2 delete-vpc --vpc-id vpc-0123456789abcdef0 --region us-east-1
```

**Anmerkung**  
Durch das Löschen der VPC werden auch die zugehörigen Subnetze, Routing-Tabellen und Sicherheitsgruppen gelöscht.

**Anmerkung**  
Ihr BYOIP-Pool bleibt für die zukünftige Verwendung verfügbar und wird im Rahmen dieser Bereinigung nicht gelöscht.