Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zugriffsbeschränkung mit VPC-Ursprüngen
Sie können CloudFront damit Inhalte aus Anwendungen bereitstellen, die in Ihren privaten VPC-Subnetzen (Virtual Private Cloud) gehostet werden. Sie können Application Load Balancer (ALB), Network Load Balancer (NLB) und EC2-Instances in privaten Subnetzen als VPC-Ursprünge verwenden.
Hier einige Gründe für die Verwendung von VPC-Ursprüngen:
+ **Sicherheit** — VPC Origins wurde entwickelt, um den Sicherheitsstatus Ihrer Anwendung zu verbessern, indem Ihre Load Balancer und EC2-Instances in privaten Subnetzen platziert werden, wodurch CloudFront der zentrale Einstiegspunkt entsteht. Benutzeranfragen werden über eine private, sichere Verbindung CloudFront zu den VPC-Ursprüngen weitergeleitet und bieten so zusätzliche Sicherheit für Ihre Anwendungen.
+ **Verwaltung** — VPC-Ursprünge reduzieren den Betriebsaufwand, der für eine sichere Konnektivität zwischen den CloudFront Ursprüngen erforderlich ist. Sie können Ihre Ursprünge in private Subnetze ohne öffentlichen Zugriff verschieben, und Sie müssen keine Zugriffskontrolllisten (ACLs) oder andere Mechanismen implementieren, um den Zugriff auf Ihre Ursprünge einzuschränken. Auf diese Weise müssen Sie nicht in undifferenzierte Entwicklungsarbeit investieren, um Ihre Webanwendungen mit abzusichern. CloudFront
+ **Skalierbarkeit und Leistung** — VPC Origins hilft Ihnen dabei, Ihre Webanwendungen zu sichern, sodass Sie Zeit haben, sich auf das Wachstum Ihrer kritischen Geschäftsanwendungen zu konzentrieren und gleichzeitig die Sicherheit zu verbessern und gleichzeitig eine hohe Leistung und globale Skalierbarkeit aufrechtzuerhalten. CloudFront VPC Origins optimiert das Sicherheitsmanagement und reduziert die betriebliche Komplexität, sodass Sie es CloudFront als zentrale Anlaufstelle für Ihre Anwendungen verwenden können.
**Tipp**
CloudFront unterstützt die gemeinsame Nutzung von VPC-Ursprüngen AWS-Konten, unabhängig davon, ob sie sich in Ihrer Organisation befinden oder nicht. Sie können VPC-Ursprünge von der CloudFront Konsole aus teilen oder AWS Resource Access Manager (AWS RAM) verwenden. Weitere Informationen finden Sie unter [Arbeiten mit gemeinsam genutzten Ressourcen in CloudFront](sharing-resources.md).
## Voraussetzungen
Bevor Sie einen VPC-Ursprung für Ihre CloudFront Distribution erstellen, müssen Sie die folgenden Schritte ausführen:
### VPC-Konfiguration
**Erstellen Sie eine virtuelle private Cloud (VPC) auf Amazon VPC** in einer der AWS-Regionen , die für VPC-Ursprünge unterstützt werden. Weitere Informationen über das Erstellen einer VPC finden Sie unter [Erstellen einer VPC sowie anderer VPC-Ressourcen](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html#create-vpc-and-other-resources) im *Benutzerhandbuch für Amazon VPC*. Eine Liste der unterstützten -Regionen finden Sie unter [Wird AWS-Regionen für VPC-Ursprünge unterstützt](#vpc-origins-supported-regions).
Ihre VPC muss Folgendes beinhalten:
+ **Internet-Gateway** – Sie müssen der VPC, die über Ihre VPC-Ursprungsressourcen verfügt, ein Internet-Gateway hinzufügen. Das Internet-Gateway ist erforderlich, um anzugeben, dass die VPC Datenverkehr aus dem Internet empfangen kann. Das Internet-Gateway wird nicht für die Weiterleitung von Datenverkehr zu Ursprüngen innerhalb des Subnetzes verwendet und Sie müssen die Routing-Richtlinien nicht aktualisieren.
+ **Privates Subnetz mit mindestens einer verfügbaren IPv4 Adresse** — CloudFront leitet zu Ihrem Subnetz über ein vom Service verwaltetes elastic network interface (ENI) weiter, das CloudFront erstellt wird, nachdem Sie Ihre VPC-Ursprungsressource mit definiert haben. CloudFront Sie müssen mindestens eine verfügbare IPv4 Adresse in Ihrem privaten Subnetz haben, damit der ENI-Erstellungsprozess erfolgreich sein kann. Die IPv4 Adresse kann privat sein und es fallen keine zusätzlichen Kosten an. IPv6-Nur Subnetze werden nicht unterstützt.
### Origin-Ressourcen
Starten Sie im privaten Subnetz einen Application Load Balancer, einen Network Load Balancer oder eine EC2-Instance zur Verwendung als Ursprung. Die Ressource, die Sie starten, muss vollständig bereitgestellt sein und sich im Status Aktiv befinden, bevor Sie sie als VPC-Ursprung verwenden können.
**Einschränkungen bei der Herkunft:**
+ Gateway Load Balancer können nicht als Ursprünge hinzugefügt werden
+ Dual-Stack-Netzwerk-Loadbalancer können nicht als Ursprünge hinzugefügt werden
+ Network Load Balancer mit TLS-Listenern können nicht als Ursprünge hinzugefügt werden
+ Um als VPC-Ursprung verwendet zu werden, muss einem Network Load Balancer eine Sicherheitsgruppe zugeordnet sein.
### Sicherheitsgruppenkonfiguration
Ihren VPC-Ursprungsressourcen (Application Load Balancer, Network Load Balancer oder EC2-Instance) muss eine Sicherheitsgruppe angehängt sein. Wenn Sie einen VPC-Ursprung erstellen, CloudFront wird automatisch eine vom Service verwaltete Sicherheitsgruppe mit dem Benennungsmuster erstellt. `CloudFront-VPCOrigins-Service-SG` Diese Sicherheitsgruppe wird vollständig von AWS verwaltet und sollte nicht bearbeitet werden.
Damit der Datenverkehr Ihren VPC-Ursprung erreicht, aktualisieren Sie die mit Ihrer Ursprungsressource verknüpfte Sicherheitsgruppe (ALB-, NLB- oder EC2-Instance), sodass eingehender Datenverkehr mit einer der folgenden Methoden zugelassen wird: CloudFront
+ **Option 1:** Verkehr aus der Liste der verwalteten Präfixe zulassen. CloudFront Weitere Informationen finden Sie unter [Verwenden Sie die Liste der CloudFront verwalteten Präfixe](LocationsOfEdgeServers.md#managed-prefix-list). Dies kann auch vor der Erstellung des VPC-Ursprungs erfolgen.
+ **Option 2:** Datenverkehr aus der vom CloudFront Service verwalteten Sicherheitsgruppe zulassen ()`CloudFront-VPCOrigins-Service-SG`. Dies ist erst möglich, nachdem der VPC-Ursprung und die vom Service verwaltete Sicherheitsgruppe erstellt wurden. Diese Konfiguration ist noch restriktiver, da sie den Datenverkehr nur auf Ihre Distributionen beschränkt. CloudFront
**Wichtig**
Erstellen Sie keine eigene Sicherheitsgruppe, deren Name mit beginnt. `CloudFront-VPCOrigins-Service-SG` Dies ist ein AWS reserviertes Benennungsmuster für vom Dienst verwaltete Sicherheitsgruppen. Weitere Informationen finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html).
### Protokoll- und Funktionseinschränkungen
VPC-Ursprünge unterstützen Folgendes nicht:
+ gRPC-Verkehr
+ Auslöser für Origin-Anfrage und Origin-Antwort mit Lambda @Edge
## Erstellen eines VPC-Ursprungs (neue Distribution)
Das folgende Verfahren zeigt Ihnen, wie Sie einen VPC-Ursprung für Ihre neue CloudFront Distribution in der CloudFront Konsole erstellen. Alternativ können Sie die [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html)API-Operationen [CreateVpcOrigin](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateVpcOrigin.html)und mit dem SDK AWS CLI oder einem AWS SDK verwenden.
**So erstellen Sie einen VPC-Ursprung für eine neue Distribution CloudFront**
1. Öffnen Sie die CloudFront Konsole unter. [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home)
1. Wählen Sie **VPC-Ursprünge**, **VPC-Ursprung erstellen** aus.
1. Füllen Sie die erforderlichen Felder aus. Wählen Sie unter **Ursprungs-ARN** den ARN Ihres Application Load Balancer, Network Load Balancer oder Ihrer EC2-Instance aus. Wenn der ARN nicht angezeigt wird, können Sie Ihren spezifischen Ressourcen-ARN kopieren und hier einfügen.
1. Wählen Sie **VPC-Ursprung erstellen** aus.
1. Warten Sie, bis sich Ihr VPC-Ursprungsstatus in **Bereitgestellt** ändert. Dieser Vorgang kann bis zu 15 Minuten dauern.
1. Wählen Sie **Distributionen**, **Distribution erstellen** aus.
1. Wählen Sie für **Ursprungsdomain** Ihre VPC-Ursprungsressource aus der Dropdown-Liste aus.
Wenn Ihr VPC-Ursprung eine EC2-Instance ist, kopieren Sie den **privaten IP-DNS-Namen** der Instance und fügen Sie ihn in das Feld **Ursprungsdomain** ein.
1. Schließen Sie die Erstellung der Distribution ab. Weitere Informationen finden Sie unter [Erstellen Sie eine CloudFront Distribution in der Konsole](distribution-web-creating-console.md#create-console-distribution).
## Erstellen eines VPC-Ursprungs (vorhandene Distribution)
Das folgende Verfahren zeigt Ihnen, wie Sie in der CloudFront Konsole einen VPC-Ursprung für Ihre bestehende CloudFront Distribution erstellen, um die kontinuierliche Verfügbarkeit Ihrer Anwendungen sicherzustellen. Alternativ können Sie die Operationen [CreateVpcOrigin](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateVpcOrigin.html)und die [UpdateDistributionWithStagingConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistributionWithStagingConfig.html)API mit dem AWS CLI oder einem AWS SDK verwenden.
Optional können Sie Ihren VPC-Ursprung zu Ihrer vorhandenen Distribution hinzufügen, ohne eine Staging-Distribution zu erstellen.
**Um einen VPC-Ursprung für Ihre bestehende CloudFront Distribution zu erstellen**
1. Öffnen Sie die CloudFront Konsole unter. [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home)
1. Wählen Sie **VPC-Ursprünge**, **VPC-Ursprung erstellen** aus.
1. Füllen Sie die erforderlichen Felder aus. Wählen Sie unter **Ursprungs-ARN** den ARN Ihres Application Load Balancer, Network Load Balancer oder Ihrer EC2-Instance aus. Wenn der ARN nicht angezeigt wird, können Sie Ihren spezifischen Ressourcen-ARN kopieren und hier einfügen.
1. Wählen Sie **VPC-Ursprung erstellen** aus.
1. Warten Sie, bis sich Ihr VPC-Ursprungsstatus in **Bereitgestellt** ändert. Dieser Vorgang kann bis zu 15 Minuten dauern.
1. Rufen Sie im Navigationsbereich **Distributions** auf.
1. Wählen Sie die ID Ihrer Distribution aus.
1. Wählen Sie auf der Registerkarte **Allgemeines** unter **Kontinuierliche Bereitstellung** die Option **Staging-Distribution erstellen** aus. Weitere Informationen finden Sie unter [Verwenden Sie CloudFront Continuous Deployment, um CDN-Konfigurationsänderungen sicher zu testen](continuous-deployment.md).
1. Folgen Sie den Schritten im Assistenten **Staging-Distribution erstellen**, um eine Staging-Distribution zu erstellen. Führen Sie die folgenden Schritte aus:
+ Wählen Sie unter **Ursprünge** die Option **Ursprung erstellen** aus.
+ Wählen Sie für **Ursprungsdomain** Ihre VPC-Ursprungsressource aus dem Dropdown-Menü aus.
Wenn Ihr VPC-Ursprung eine EC2-Instance ist, kopieren Sie den **privaten IP-DNS-Namen** der Instance und fügen Sie ihn in das Feld **Ursprungsdomain** ein.
+ Wählen Sie **Create Origin** (Ursprung erstellen) aus.
1. Testen Sie in Ihrer Staging-Distribution den VPC-Ursprung.
1. Stufen Sie die Konfiguration der Staging-Distribution zu Ihrer primären Distribution hoch. Weitere Informationen finden Sie unter [Hochstufen der Konfiguration einer Staging-Distribution](working-with-staging-distribution-continuous-deployment-policy.md#promote-staging-distribution-configuration).
1. Entfernen Sie den öffentlichen Zugriff auf Ihren VPC-Ursprung, indem Sie das Subnetz privat machen. Danach ist der VPC-Ursprung nicht mehr über das Internet auffindbar, hat aber CloudFront weiterhin privaten Zugriff darauf. Weitere Informationen finden Sie unter [Zuordnen oder Aufheben der Zuordnung eines Subnetzes zu einer Routing-Tabelle](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AssociateSubnet) im *Benutzerhandbuch für Amazon VPC*.
## Aktualisieren eines VPC-Ursprungs
Das folgende Verfahren zeigt Ihnen, wie Sie einen VPC-Ursprung für Ihre CloudFront Distribution in der CloudFront Konsole aktualisieren. Alternativ können Sie die [UpdateVpcOrigin](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateVpcOrigin.html)API-Operationen [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)und mit dem SDK AWS CLI oder einem AWS SDK verwenden.
**Um einen vorhandenen VPC-Ursprung für Ihre CloudFront Distribution zu aktualisieren**
1. Öffnen Sie die CloudFront Konsole unter. [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home)
1. Rufen Sie im Navigationsbereich **Distributions** auf.
1. Wählen Sie die ID Ihrer Distribution aus.
1. Wählen Sie die Registerkarte **Behaviors** aus.
1. Stellen Sie sicher, dass der VPC-Ursprung nicht der Standardursprung für Ihr Cache-Verhalten ist.
1. Wählen Sie den Tab **Ursprünge** aus.
1. Wählen Sie den zu aktualisierenden VPC-Ursprung und dann **Löschen** aus. Dadurch wird der VPC-Ursprung von Ihrer Distribution getrennt. Wiederholen Sie die Schritte 2–7, um den VPC-Ursprung von anderen Distributionen zu trennen.
1. Wählen Sie **VPC-Ursprünge** aus.
1. Wählen Sie den VPC-Ursprung und dann **Bearbeiten** aus.
1. Nehmen Sie die Aktualisierungen vor und wählen Sie **VPC-Ursprung aktualisieren** aus.
1. Warten Sie, bis sich Ihr VPC-Ursprungsstatus in **Bereitgestellt** ändert. Dieser Vorgang kann bis zu 15 Minuten dauern.
1. Rufen Sie im Navigationsbereich **Distributions** auf.
1. Wählen Sie die ID Ihrer Distribution aus.
1. Wählen Sie den Tab **Ursprünge** aus.
1. Wählen Sie **Create Origin** (Ursprung erstellen) aus.
1. Wählen Sie für **Ursprungsdomain** Ihre VPC-Ursprungsressource aus dem Dropdown-Menü aus.
Wenn Ihr VPC-Ursprung eine EC2-Instance ist, kopieren Sie den **privaten IP-DNS-Namen** der Instance und fügen Sie ihn in das Feld **Ursprungsdomain** ein.
1. Wählen Sie **Create Origin** (Ursprung erstellen) aus. Dadurch wird der VPC-Ursprung wieder mit Ihrer Distribution verknüpft. Wiederholen Sie die Schritte 12–17, um den aktualisierten VPC-Ursprung anderen Distributionen zuzuordnen.
## Wird AWS-Regionen für VPC-Ursprünge unterstützt
VPC-Ursprünge werden derzeit in der folgenden Werbung AWS-Regionen unterstützt. Ausgeschlossene Availability Zones (AZ) sind angegeben.
| Name der Region | Region |
| --- | --- |
| USA Ost (Ohio) | us-east-2 |
| USA Ost (Nord-Virginia) | us-east-1 (except AZ use1-az3) |
| USA West (Nordkalifornien) | us-west-1 (except AZ usw1-az2) |
| USA West (Oregon) | us-west-2 |
| Africa (Cape Town) | af-south-1 |
| Asia Pacific (Hong Kong) | ap-east-1 |
| Asien-Pazifik (Mumbai) | ap-south-1 |
| Asien-Pazifik (Hyderabad) | ap-south-2 |
| Asien-Pazifik (Jakarta) | ap-southeast-3 |
| Asien-Pazifik (Melbourne) | ap-southeast-4 |
| Asien-Pazifik (Osaka) | ap-northeast-3 |
| Asien-Pazifik (Singapur) | ap-southeast-1 |
| Asien-Pazifik (Sydney) | ap-southeast-2 |
| Asien-Pazifik (Tokio) | ap-northeast-1 (except AZ apne1-az3) |
| Asien-Pazifik (Seoul) | ap-northeast-2 |
| Asien-Pazifik (Thailand) | ap-southeast-7 |
| Asien-Pazifik (Malaysia) | ap-southeast-5 |
| Asien-Pazifik (Neuseeland) | ap-southeast-6 |
| Asien-Pazifik (Taipeh) | ap-east-2 |
| Kanada (Zentral) | ca-central-1 (except AZ cac1-az3) |
| Kanada West (Calgary) | ca-west-1 |
| Europe (Frankfurt) | eu-central-1 |
| Europa (Irland) | eu-west-1 |
| Europa (London) | eu-west-2 |
| Europa (Milan) | eu-south-1 |
| Europa (Paris) | eu-west-3 |
| Europa (Spain) | eu-south-2 |
| Europa (Stockholm) | eu-north-1 |
| Europa (Zürich) | eu-central-2 |
| Israel (Tel Aviv) | il-central-1 |
| Middle East (Bahrain) | me-south-1 |
| Naher Osten (VAE) | me-central-1 |
| Südamerika (São Paulo) | sa-east-1 |
| Mexiko (Zentral) | mx-central-1 |