Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# VPC-Peering-Verbindungen
<a name="working-with-vpc-peering"></a>

Mit VPC-Peering können Sie zwei VPCs in derselben oder in unterschiedlichenAWS-Regionen verbinden. So können Instances in einer VPC mit Instances in der anderen VPC kommunizieren, als ob sie alle Teil desselben Netzwerks wären.

Die VPC-Peering-Technologie erstellt eine direkte Netzwerkroute zwischen den beiden VPCs mithilfe privater IPv4- oder IPv6-Adressen. Der zwischen den verbundenen VPCs gesendete Datenverkehr durchläuft weder das Internet noch eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung. Dies macht das VPC-Peering zu einer sicheren Methode, um Ressourcen wie Datenbanken oder Webserver über VPC-Grenzen hinweg gemeinsam zu nutzen.

Um eine VPC-Peering-Verbindung herzustellen, erstellen Sie eine Peering-Verbindungsanfrage von einer VPC und der Besitzer der anderen VPC akzeptiert die Anforderung. Sobald die Verbindung hergestellt ist, können Sie Ihre Routing-Tabellen aktualisieren, um den Verkehr zwischen den VPCs weiterzuleiten. Dadurch können Instances in einer VPC auf Ressourcen in der anderen VPC zugreifen.

VPC-Peering ist ein wichtiges Tool für den Aufbau von Multi-VPC-Architekturen und die gemeinsame Nutzung von Ressourcen über Unternehmensgrenzen in AWS hinweg. Es bietet eine einfache Möglichkeit, ohne die Komplexität der Konfiguration eines VPN oder eines anderen Netzwerkdienstes VPCs mit niedriger Latenz zu verbinden.

Nutzen Sie die folgenden Schritte zum Erstellen und Arbeiten mit VPC-Peering-Verbindungen.

**Topics**
+ [Erstellen einer VPC-Peering-Verbindung](create-vpc-peering-connection.md)
+ [Eine VPC-Peering-Verbindung akzeptieren oder ablehnen](accept-vpc-peering-connection.md)
+ [Aktualisieren Sie ihre Routing-Tabellen für eine VPC-Peering-Verbindung](vpc-peering-routing.md)
+ [Aktualisieren Ihrer Sicherheitsgruppen, um auf Peer-Sicherheitsgruppen zu verweisen](vpc-peering-security-groups.md)
+ [Aktivieren einer DNS-Auflösungsunterstützung für eine VPC-Peering-Verbindung](vpc-peering-dns.md)
+ [Sie löschen eine VPC-Peering-Verbindung](delete-vpc-peering-connection.md)
+ [Fehlerbehebung bei einer VPC-Peering-Verbindung](troubleshoot-vpc-peering-connections.md)

# Erstellen einer VPC-Peering-Verbindung
<a name="create-vpc-peering-connection"></a>

Zum Erstellen einer VPC-Peering-Verbindung erstellen Sie zuerst eine Anforderung für ein Peering mit einer anderen VPC. Zur Aktivierung der Anforderung muss der Eigentümer der annehmenden VPC die Anforderung akzeptieren. Die folgenden Peering-Verbindungen werden unterstützt:
+ Zwischen VPCs in demselben Konto und derselben Region
+ Zwischen VPCs in demselben Konto und unterschiedlichen Regionen
+ Zwischen VPCs in unterschiedlichen Konten und derselben Region
+ Zwischen VPCs in verschiedenen Konten und Regionen

Für eine interregionale VPC-Peering-Verbindung muss die Anfrage von der Region oder der VPC des Anforderers erfolgen. Die Anfrage muss von der Region oder der VPC des Annehmers akzeptiert werden. Weitere Informationen finden Sie unter [Eine VPC-Peering-Verbindung akzeptieren oder ablehnen](accept-vpc-peering-connection.md).

**Topics**
+ [Voraussetzungen](#vpc-peering-connection-prerequisites)
+ [Eine Peering-Verbindung über die Konsole erstellen](#create-vpc-peering-connection-console)
+ [Erstellen Sie eine Peering-Verbindung über die Befehlszeile](#create-vpc-peering-connection-command-line)

## Voraussetzungen
<a name="vpc-peering-connection-prerequisites"></a>
+ Überprüfen Sie die [Einschränkungen](vpc-peering-basics.md#vpc-peering-limitations) für VPC-Peering-Verbindungen.
+ Achten Sie darauf, dass die VPCs keine sich überschneidenden IPv4-CIDR-Blöcke haben. Wenn sie sich überlappen, ändert sich der Status der VPC-Peering-Verbindung direkt in `failed`. Diese Einschränkung trifft auch dann zu, wenn die VPCs eindeutige IPv6 CIDR-Blöcke haben.

## Eine Peering-Verbindung über die Konsole erstellen
<a name="create-vpc-peering-connection-console"></a>

Gehen Sie wie folgt vor, um eine VPC-Peering-Verbindung herzustellen.

**So erstellen Sie eine Peering-Verbindung über die Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Peering connections** (Peering-Verbindungen) aus.

1. Wählen Sie **Create peering connection** (Peering-Verbindung erstellen).

1. (Optional) Geben Sie für **Name** einen Namen für die VPC-Peering-Verbindung an. Dadurch wird ein Tag mit dem Schlüssel Name und dem von Ihnen angegebenen Wert erstellt.

1. Wählen Sie für **VPC-ID (Anforderer)** eine VPC aus dem aktuellen Konto aus.

1. Gehen Sie unter **Andere VPC für Peering auswählen** wie folgt vor:

   1. Wählen Sie unter **Konto** die Option **Anderes Konto** aus, um Peering mit einer VPC in einem anderen Konto durchzuführen, und geben Sie die Konto-ID ein. Andernfalls behalten Sie **Mein Konto** bei.

   1. Um mit einer VPC in einer anderen Region eine Verbindung herzustellen, wählen Sie unter **Region** die Option **Andere Region** und dann die Region aus. Andernfalls behalten Sie **Diese Region** bei.

   1. Wählen Sie für **VPC-ID (Annehmer)** eine VPC aus dem angegebenen Konto und der angegebenen Region aus.

1. (Optional) Sie fügen ein Tag hinzu, indem Sie **Add new tag** (Neuen Tag hinzufügen) auswählen und den Tag-Schlüssel und -Wert eingeben.

1. Wählen Sie **Create peering connection** (Peering-Verbindung erstellen).

1. Der Eigentümer des Annehmer-Kontos muss die Peering-Verbindung akzeptieren. Weitere Informationen finden Sie unter [Eine VPC-Peering-Verbindung akzeptieren oder ablehnen](accept-vpc-peering-connection.md).

1. Aktualisieren Sie die Routing-Tabellen für beide VPCs, um die Kommunikation zwischen ihnen zu ermöglichen. Weitere Informationen finden Sie unter [Aktualisieren Sie ihre Routing-Tabellen für eine VPC-Peering-Verbindung](vpc-peering-routing.md).

## Erstellen Sie eine Peering-Verbindung über die Befehlszeile
<a name="create-vpc-peering-connection-command-line"></a>

Sie können eine VPC Peering-Verbindung erstellen, indem Sie die folgenden Befehle verwenden:
+ [create-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-peering-connection.html) (AWS CLI)
+ [New-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Eine VPC-Peering-Verbindung akzeptieren oder ablehnen
<a name="accept-vpc-peering-connection"></a>

Eine VPC-Peering-Verbindung, die den Status `pending-acceptance` hat, muss vom Eigentümer der annehmenden VPC akzeptiert werden, um aktiviert werden zu können. Weitere Informationen zum `Deleted`-Peering-Verbindungsstatus finden Sie unter [Lebenszyklus einer VPC-Peering-Verbindung](vpc-peering-basics.md#vpc-peering-lifecycle). Sie können keine Anforderung für eine VPC-Peering-Verbindung akzeptieren, die Sie an ein anderes AWS-Konto geschickt haben. Wenn Sie eine VPC-Peering-Verbindung zwischen VPCs im selben AWS-Konto erstellen, können Sie diese Anforderung selbst erstellen und akzeptieren.

Sie können jede Anforderung für eine VPC-Peering-Verbindung ablehnen, die Sie erhalten haben, wenn diese sich im Status `pending-acceptance` befindet. Sie sollten nur VPC-Peering-Verbindungen von AWS-Konten akzeptieren, die Sie kennen und denen Sie vertrauen; Sie können jede unerwünschte Anforderungen ablehnen. Weitere Informationen zum `Rejected`-Peering-Verbindungsstatus finden Sie unter [Lebenszyklus einer VPC-Peering-Verbindung](vpc-peering-basics.md#vpc-peering-lifecycle).

**Wichtig**  
Akzeptieren Sie keine VPC-Peering-Verbindungen von unbekannten AWS-Konten. Ein böswilliger Benutzer hat Ihnen möglicherweise eine Anforderung für eine VPC-Peering-Verbindung geschickt, um auf diese Weise unberechtigten Netzwerkzugriff auf Ihre VPC zu erhalten. Dies wird als Peer-Phishing bezeichnet. Sie können unerwünschte Anforderungen für VPC-Peering-Verbindungen unbesorgt ablehnen, ohne befürchten zu müssen, dass der Anforderer Zugriff auf Informationen zu Ihrem AWS-Konto oder zu Ihrer VPC erhält. Weitere Informationen finden Sie unter [Eine VPC-Peering-Verbindung akzeptieren oder ablehnen](#accept-vpc-peering-connection). Sie können eine solche Anforderung auch ignorieren und sie verfallen lassen; standardmäßig verfallen Anforderungen nach sieben Tagen.

**So akzeptieren oder verweigern Sie eine Peering-Verbindung mit Hilfe der Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie in der Regionsauswahl die Region der VPC des Annehmers aus.

1. Wählen Sie im Navigationsbereich **Peering connections** (Peering-Verbindungen) aus. 

1. Wählen Sie die VPC-Peering-Verbindung aus und klicken Sie auf **Aktionen** und **Anforderung ablehnen**, um eine Peering-Verbindung abzulehnen. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Anforderung ablehnen** aus.

1. Wählen Sie erst die ausstehende VPC-Peering-Verbindung (der Status lautet `pending-acceptance`) und dann **Aktionen** und **Anforderung akzeptieren** aus, um eine Peering-Verbindung zu akzeptieren. Weitere Informationen zum Lebenszyklusstatus von Peering-Verbindungen finden Sie unter [Lebenszyklus einer VPC-Peering-Verbindung](vpc-peering-basics.md#vpc-peering-lifecycle).

   Wenn keine VPC-Peering-Verbindung aussteht, stellen Sie sicher, dass Sie die Region der VPC des Annehmers ausgewählt haben.

1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Akzeptieren** aus.

1. Wählen Sie **Meine Routing-Tabellen jetzt ändern**, um der VPC-Routing-Tabelle eine Route hinzuzufügen, sodass Sie Traffic über die Peering-Verbindung senden und empfangen können. Weitere Informationen finden Sie unter [Aktualisieren Sie ihre Routing-Tabellen für eine VPC-Peering-Verbindung](vpc-peering-routing.md).

**So akzeptieren Sie eine Verbindung über die Befehlszeile**
+ [accept-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-peering-connection.html) (AWS CLI)
+ [Approve-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

**So verweigern Sie eine Peering-Verbindung über die Befehlszeile**
+ [reject-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-peering-connection.html) (AWS CLI)
+ [Deny-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Aktualisieren Sie ihre Routing-Tabellen für eine VPC-Peering-Verbindung
<a name="vpc-peering-routing"></a>

Um privaten IPv4-Verkehr zwischen Instances in Peer-VPCs zu ermöglichen, müssen Sie eine Route zu den Routing-Tabellen hinzufügen, die mit den Subnetzen für beide Instances verbunden sind. Das Ziel der Route ist der CIDR-Block (oder ein Teil des CIDR-Blocks) des Peer-VPC und das Ziel ist die ID der VPC-Peering-Verbindung. Weitere Informationen finden Sie unter [Konfigurieren von Routing-Tabellen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) im *Benutzerhandbuch zu Amazon VPC*.

Im Folgenden finden Sie ein Beispiel für die Routing-Tabellen, die die Kommunikation zwischen Instances in zwei Peer-VPCs, VPC A und VPC B, ermöglichen. Jede Tabelle enthält eine lokale Route und eine Route, die den Datenverkehr für die Peer-VPC an die VPC-Peering-Verbindung sendet.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/peering/vpc-peering-routing.html)

Ebenso können Sie, wenn den VPCs in der VPC-Peering-Verbindung IPv6-CIDR-Blöcke zugewiesen sind, Routen hinzufügen, die die Kommunikation mit dem Peer-VPC über IPv6 ermöglichen.

Weitere Informationen zu den unterstützten Routing-Tabellen-Konfigurationen für VPC-Peering-Verbindungen finden Sie unter [Gängige Konfigurationen für die VPC-Peering-Verbindung](peering-configurations.md).

**Überlegungen**
+ Wenn Sie eine VPC über ein Peering mit mehreren VPCs verbinden, die sich überschneidende oder sich entsprechende IPv4-CIDR-Blöcke haben, achten Sie darauf, dass Ihre Routing-Tabellen so konfiguriert sind, dass kein Antwortdatenverkehr von Ihrer VPC an die falsche VPC gesendet wird. AWS unterstützt derzeit kein Unicast Reverse Path Forwarding in VPC-Peering-Verbindungen, das die Quell-IP von Paketen prüft und Antwortpakete zurück zur Quelle leitet. Weitere Informationen finden Sie unter [Routing für Antwortdatenverkehr](peering-configurations-partial-access.md#peering-incorrect-response-routing).
+ Ihr Konto verfügt über ein [Kontingent](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) für die Anzahl der Einträge, die Sie pro Routing-Tabelle hinzufügen können. Wenn die Anzahl der VPC-Peering-Verbindungen in Ihrer VPC das Eintragskontingent für eine einzelne Routing-Tabelle überschreitet, sollten Sie in Betracht ziehen, mehrere Subnetze zu verwenden, die jeweils einer benutzerdefinierten Routing-Tabelle zugewiesen sind.
+ Sie können eine Route für eine VPC-Peering-Verbindung hinzufügen, die sich im Status `pending-acceptance` befindet. Die Route hat jedoch den Status `blackhole` und wird erst wirksam, wenn die VPC-Peering-Verbindung den Status `active` erhält.

**So fügen Sie einer VPC-Peering-Verbindung eine IPv4-Route hinzu**

1. Öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Route Tables** (Routing-Tabellen) aus.

1. Wählen Sie das Kontrollkästchen neben der Routing-Tabelle aus, die dem Subnetz zugewiesen ist, in dem sich Ihre Instance befindet.

   Sofern Sie einem Subnetz nicht explizit eine bestimmte Routing-Tabelle zuordnen, wird die Haupt-Routing-Tabelle für die VPC implizit mit dem Subnetz verknüpft.

1. Wählen Sie **Aktionen** und dann **Routen bearbeiten**.

1. Wählen Sie **Add Route (Route hinzufügen)** aus.

1. Geben Sie bei **Destination** den IPv4-Adressbereich ein, an den der Netzwerkdatenverkehr in der VPC-Peering-Verbindung weitergeleitet werden soll. Sie können den gesamten IPv4-CIDR-Block der Peer-VPC angeben, einen spezifischen Bereich oder eine individuelle IPv4-Adresse, wie die IP-Adresse der Instance, mit der die Kommunikation erfolgen soll. Wenn z. B. der CIDR-Block der Peer-VPC `10.0.0.0/16` ist, können Sie einen Teilbereich `10.0.0.0/24` oder eine konkrete IP-Adresse `10.0.0.7/32` angeben.

1. Wählen Sie als **Ziel** die VPC-Peering-Verbindung aus.

1. Wählen Sie **Änderungen speichern ** aus.

Der Besitzer der Peer-VPC muss diese Schritte auch ausführen, um eine Route für die Zurückleitung des Datenverkehrs über die VPC-Peering-Verbindung hinzuzufügen.

Wenn Sie Ressourcen in verschiedenen AWS-Regionen haben, die IPv6-Adressen verwenden, können Sie eine Peering-Verbindung zwischen den Regionen erstellen. Sie können dann eine IPv6-Route für die Kommunikation zwischen den Ressourcen hinzufügen.

**So fügen Sie einer VPC-Peering-Verbindung eine IPv6-Route hinzu**

1. Öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Route Tables** (Routing-Tabellen) aus.

1. Wählen Sie das Kontrollkästchen neben der Routing-Tabelle aus, die dem Subnetz zugewiesen ist, in dem sich Ihre Instance befindet.
**Anmerkung**  
Wenn diesem Subnetz keine Routing-Tabelle zugewiesen ist, wählen Sie die Haupt-Routing-Tabelle für die VPC aus, da das Subnetz diese Routing-Tabelle dann standardmäßig verwendet. 

1. Wählen Sie **Actions (Aktionen)** und dann **Edit routes (Routen bearbeiten)**.

1. Wählen Sie **Add Route (Route hinzufügen)** aus.

1. Geben Sie unter **Destination** den IPv6-Adressbereich für die Peer-VPC ein. Sie können den gesamten IPv6 CIDR-Block der Peer-VPC angeben, einen konkreten Bereich oder eine individuelle IPv6-Adresse. Wenn z. B. der CIDR-Block der Peer-VPC `2001:db8:1234:1a00::/56` ist, können Sie einen Teilbereich `2001:db8:1234:1a00::/64` oder eine konkrete IP-Adresse `2001:db8:1234:1a00::123/128` angeben.

1. Wählen Sie als **Ziel** die VPC-Peering-Verbindung aus.

1. Wählen Sie **Änderungen speichern ** aus.

Weitere Informationen finden Sie unter [Routing-Tabellen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) im *Amazon VPC-Benutzerhandbuch*.

**So fügen Sie eine Route über die Befehlszeile hinzu oder ersetzen sie**
+ [create-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html) und [replace-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html)(AWS CLI)
+ [New-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html) und [Set-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html)(AWS Tools for Windows PowerShell)

# Aktualisieren Ihrer Sicherheitsgruppen, um auf Peer-Sicherheitsgruppen zu verweisen
<a name="vpc-peering-security-groups"></a>

Sie können die eingehenden oder ausgehenden Regeln für die VPC-Sicherheitsgruppen aktualisieren, um auf Sicherheitsgruppen für die über Peering verbundenen VPCs zu verweisen. Danach kann der Datenverkehr von und zu den Instances fließen, die der referenzierten Sicherheitsgruppe in der über Peering verbundenen VPC zugewiesen sind.

**Anmerkung**  
Sicherheitsgruppen in einer Peer-VPC werden nicht in der Konsole angezeigt, um sie auswählen zu können.

**Voraussetzungen**
+ Um auf eine Sicherheitsgruppe in einer Peer-VPC zu verweisen, muss die VPC-Peering-Verbindung den Status `active` haben.
+ Die Peer-VPC kann eine VPC in Ihrem Konto oder in einem anderen AWS-Konto sein. Wenn Sie auf eine Sicherheitsgruppe verweisen möchten, die sich in einem anderen AWS-Konto, aber in derselben Region befindet, geben Sie die Kontonummer mit der ID der Sicherheitsgruppe an. Beispiel, `123456789012/sg-1a2b3c4d`.
+ Sie können nicht auf die Sicherheitsgruppe einer Peer-VPC in einer anderen Region verweisen. Verwenden Sie stattdessen den CIDR-Block der Peer-VPC.
+ Wenn Sie Routen konfigurieren, um den Datenverkehr zwischen zwei Instances in unterschiedlichen Subnetzen über eine Middlebox-Appliance weiterzuleiten, müssen Sie sicherstellen, dass die Sicherheitsgruppen für beide Instances den Datenverkehr zwischen den Instances zulassen. Die Sicherheitsgruppe für jede Instance muss die private IP-Adresse der anderen Instance oder den CIDR-Bereich des Subnetzes, das die andere Instance enthält, als Quelle referenzieren. Wenn Sie die Sicherheitsgruppe der anderen Instance als Quelle referenzieren, wird dadurch kein Datenverkehr zwischen den Instances möglich.

**So aktualisieren Sie Ihre Sicherheitsgruppenregeln mithilfe der Konsole**

1. Öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.

1. Wählen Sie die Sicherheitsgruppe aus und führen Sie einen der folgenden Schritte aus:
   + Um Regeln für eingehenden Datenverkehr zu ändern, wählen Sie **Aktionen**, **Regeln für eingehenden Datenverkehr bearbeiten** aus.
   + Um Regeln für ausgehenden Datenverkehr zu ändern, wählen Sie **Aktionen**, **Regeln für ausgehenden Datenverkehr bearbeiten** aus.

1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** und geben Sie bei Bedarf den Typ, das Protokoll und den Portbereich an. Für **Quelle** (Regel für eingehenden Datenverkehr) oder **Ziel** (Regel für ausgehenden Datenverkehr) aus und führen Sie einen der folgenden Schritte aus:
   + Geben Sie für eine Peer-VPC in demselben Konto und in derselben Region die ID der Sicherheitsgruppe ein.
   + Geben Sie für eine Peer-VPC in einem anderen Konto, aber in derselben Region, die Konto-ID und die Sicherheitsgruppen-ID ein, getrennt durch einen Schrägstrich (z. B.`123456789012/sg-1a2b3c4d`).
   + Geben Sie für eine Peer-VPC in einer anderen Region den CIDR-Block der Peer-VPC ein.

1. Um eine bestehende Regel zu bearbeiten, ändern Sie ihre Werte (z. B. die Quelle oder die Beschreibung).

1. Um eine Regel zu löschen, wählen Sie die Schaltfläche ‭**Löschen** neben der Regel.

1. Wählen Sie **Save rules (Regeln speichern)** aus.

**So aktualisieren Sie Regeln für eingehenden Datenverkehr über die Befehlszeile**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) und [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) und [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)

Sie können beispielsweise den folgenden Befehl verwenden, um Ihre Sicherheitsgruppe `sg-aaaa1111` so zu aktualisieren, dass eingehender Datenverkehr über HTTP von `sg-bbbb2222` für eine Peer-VPC zulässig ist: Wenn sich die Peer-VPC in derselben Region, aber einem anderen Konto befindet, fügen Sie `--group-owner` *aws-account-id* hinzu.

```
aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
```

**So aktualisieren Sie Regeln für ausgehenden Datenverkehr über die Befehlszeile**
+ [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) und [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) und [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) (AWS Tools for Windows PowerShell)

Verwenden Sie nach dem Aktualisieren der Sicherheitsgruppe den Befehl [describe-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html), um die referenzierte Sicherheitsgruppe in Ihren Sicherheitsgruppenregeln anzuzeigen. 

## Identifizieren der referenzierten Sicherheitsgruppen
<a name="vpc-peering-referenced-groups"></a>

Verwenden Sie einen der folgenden Befehle für eine oder mehrere Sicherheitsgruppen in Ihrem Konto, um festzustellen, ob in den Sicherheitsgruppenregeln in einer Peer-VPC auf Ihre Sicherheitsgruppe verwiesen wird.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)

Im folgenden Beispiel zeigt die Antwort, dass von einer Sicherheitsgruppe in der VPC `sg-bbbb2222` auf die Sicherheitsgruppe `vpc-aaaaaaaa` verwiesen wird:

```
aws ec2 describe-security-group-references --group-id sg-bbbb2222
```

```
{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}
```

Wenn die VPC-Peering-Verbindung gelöscht wird oder der Eigentümer der Peer-VPC die referenzierte Sicherheitsgruppe löscht, ist die Sicherheitsgruppenregel veraltet. 

## Sicherheitsgruppenregeln anzeigen und löschen
<a name="vpc-peering-stale-groups"></a>

Eine veraltete Sicherheitsgruppenregel ist eine Regel, die auf eine gelöschte Sicherheitsgruppe in derselben VPC oder in einer Peer-VPC oder auf eine Sicherheitsgruppe in einer Peer-VPC verweist, für die die VPC-Peering-Verbindung gelöscht wurde. Wenn eine Sicherheitsgruppenregel veraltet ist, wird sie nicht automatisch aus der Sicherheitsgruppe entfernt – Sie müssen Sie manuell entfernen. Wenn eine Sicherheitsgruppenregel veraltet ist, weil die VPC-Peering-Verbindung gelöscht wurde, wird diese Regel dann nicht mehr als veraltet gekennzeichnet, wenn Sie eine neue VPC-Peering-Verbindung mit denselben VPCs erstellen.

Sie können die veralteten Sicherheitsgruppenregeln einer VPC mit der Amazon VPC-Konsole anzeigen und löschen.

**So zeigen Sie veraltete Sicherheitsgruppenregeln an und löschen sie**

1. Öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Security groups** (Sicherheitsgruppen) aus.

1. Klicken Sie auf **Actions** (Aktionen), **Manage stale rules** (Verwalten veraltter Regeln).

1. Wählen Sie unter **VPC** die VPC mit den veraltbaren Regeln aus.

1. Wählen Sie **Edit** aus.

1. Wählen Sie die Schaltfläche **Löschen** neben der Regel, die Sie löschen möchten. Wählen Sie **Preview changes (Änderungen überprüfen)**, **Save rules (Regeln speichern)**.

**So beschreiben Sie veraltete Sicherheitsgruppenregeln über die Befehlszeile**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)

Im folgenden Beispiel wurden VPC A `(vpc-aaaaaaaa`) und VPC B durch Peering verbunden und die VPC-Peering-Verbindung wurde gelöscht. Die Sicherheitsgruppe `sg-aaaa1111` in VPC A verweist auf `sg-bbbb2222` in VPC B. Wenn Sie den Befehl `describe-stale-security-groups` für Ihre VPC ausführen, weist die Antwort darauf hin, dass die Sicherheitsgruppe `sg-aaaa1111` eine veraltete SSH-Regel aufweist, die auf `sg-bbbb2222` verweist.

```
aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
```

```
{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}
```

Wenn Sie die veralteten Sicherheitsgruppenregeln identifiziert haben, können Sie diese mithilfe des Befehls [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) oder [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) löschen.

# Aktivieren einer DNS-Auflösungsunterstützung für eine VPC-Peering-Verbindung
<a name="vpc-peering-dns"></a>

Die DNS-Einstellungen für eine VPC-Peering-Verbindung bestimmen, wie öffentliche DNS-Hostnamen für Anforderungen aufgelöst werden, die die VPC-Peering-Verbindung durchqueren. Wenn eine EC2-Instance auf der einen Seite einer VPC-Peering-Verbindung unter Verwendung des öffentlichen IPv4-DNS-Hostnamens der Instance eine Anforderung an eine EC2-Instance auf der anderen Seite sendet, wird der DNS-Hostname wie folgt aufgelöst.

**Die DNS-Auflösung ist deaktiviert (Standard)**  
Der öffentliche IPv4-DNS-Hostname wird in die öffentliche IPv4-Adresse der Instance aufgelöst.

**DNS-Auflösung aktiviert**  
Der öffentliche IPv4-DNS-Hostname wird in die private IPv4-Adresse der Instance aufgelöst.

**Voraussetzungen**
+ Beide VPCs müssen für DNS-Hostnamen und DNS-Auflösung aktiviert sein. Weitere Infomationen finden Sie unter [DNS-Attribute für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/AmazonDNS-concepts.html#vpc-dns-support) im *Amazon VPC-Benutzerhandbuch*.
+ Die Peering-Verbindung muss sich im Zustand `active` befinden. Sie können die Unterstützung der DNS-Auflösung nicht aktivieren, wenn Sie eine Peering-Verbindung erstellen.
+ Der Eigentümer der Anforderer-VPC muss die VPC-Peering-Optionen des Anforderers ändern und der Eigentümer der Annehmer-VPC muss die VPC-Peering-Optionen des Annehmers ändern. Wenn sich die VPCs im selben Konto befinden, können Sie gleichzeitig die DNS-Auflösung für die VPCs des Anforderers und Annehmers aktivieren. Das funktioniert sowohl für VPC-Peering-Verbindungen derselben Region als auch für regionsübergreifende Verbindungen.

**So aktivieren Sie eine DNS-Auflösung für eine Peering-Verbindung mithilfe der Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Peering connections** (Peering-Verbindungen) aus.

1. Wählen Sie die VPC-Peering-Verbindung aus.

1. Wählen Sie **Aktionen** und **DNS-Einstellungen bearbeiten** aus.

1. Um die DNS-Auflösung für Anforderungen von der VPC des Anforderers zu aktivieren, wählen Sie **DNS-Auflösung des Anforderers**, **Zulassen, dass die Annehmer-VPC den DNS der Anforderer-VPC auflöst**.

1. Um die DNS-Auflösung für Anforderungen von der Annehmer-VPC sicherzustellen, wählen Sie **Annehmer-DNS-Auflösung**, **Zulassen, dass die Anforderer-VPC die DNS der Annehmer-VPC auflöst**.

1. Wählen Sie **Änderungen speichern ** aus.

**So aktivieren Sie eine DNS-Auflösung über die Befehlszeile**
+ [modify-vpc-peering-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-peering-connection-options.html) (AWS CLI)
+ [Edit-EC2VpcPeeringConnectionOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcPeeringConnectionOption.html) (AWS Tools for Windows PowerShell)

**So beschreiben Sie VPC-Peering-Verbindungsoptionen über die Befehlszeile**
+ [describe-vpc-peering-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-peering-connections.html) (AWS CLI)
+ [Get-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Sie löschen eine VPC-Peering-Verbindung
<a name="delete-vpc-peering-connection"></a>

Beide VPC-Eigentümer in einer Peering-Verbindung können die VPC-Peering-Verbindung jederzeit löschen. Sie können auch eine VPC-Peering-Verbindung ablehnen, die Sie angefordert haben und die sich noch immer im Status `pending-acceptance` befindet.

Sie können die VPC-Peering-Verbindung nicht löschen, wenn die VPC-Peering-Verbindung den Status `rejected` hat. Die Verbindung wird von uns automatisch für Sie gelöscht. 

Wenn Sie eine VPC in der Amazon VPC-Konsole löschen, die Teil einer aktiven VPC-Peering-Verbindung ist, wird auch die VPC-Peering-Verbindung gelöscht. Wenn Sie eine VPC-Peering-Verbindung zu einer VPC in einem anderen Konto angefordert haben und Sie Ihre VPC löschen, bevor die andere Seite die Anforderung akzeptiert hat, wird die VPC-Peering-Verbindung ebenfalls gelöscht. Sie können eine VPC, für die Sie eine Anforderung mit dem Status `pending-acceptance` aus einer VPC in einem anderen Konto vorliegen haben, nicht löschen. Sie müssen zunächst die Anforderung für die VPC-Peering-Verbindung ablehnen.

Wenn Sie eine Peering-Verbindung löschen, wird der Status auf `Deleting` und dann auf `Deleted` gesetzt. Nachdem Sie eine Verbindung gelöscht haben, kann diese nicht angenommen, abgewiesen oder bearbeitet werden. Weitere Informationen zur Dauer der Sichtbarkeit der Peering-Verbindung finden Sie unter [Lebenszyklus einer VPC-Peering-Verbindung](vpc-peering-basics.md#vpc-peering-lifecycle).

**So löschen Sie eine VPC-Peering-Verbindung**

1. Öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Peering connections** (Peering-Verbindungen) aus.

1. Wählen Sie die VPC-Peering-Verbindung aus.

1. Wählen Sie **Actions** (Aktionen), **Delete peering connection** (Peering-Verbindung löschen) aus.

1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein und wählen Sie dann **Löschen** aus.

**So löschen Sie eine VPC-Peering-Verbindung über die Befehlszeile**
+ [delete-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-peering-connection.html) (AWS CLI)
+ [Remove-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Fehlerbehebung bei einer VPC-Peering-Verbindung
<a name="troubleshoot-vpc-peering-connections"></a>

Wenn Sie Probleme haben, von einer Ressource in einer Peer-VPC aus eine Verbindung zu einer Ressource in einer VPC herzustellen, gehen Sie wie folgt vor:
+ Stellen Sie für jede Ressource in jeder VPC sicher, dass die Routing-Tabelle für ihr Subnetz eine Route enthält, die den für die Peer-VPC bestimmten Datenverkehr an die VPC-Peering-Verbindung sendet. Dadurch wird sichergestellt, dass der Netzwerk-Datenverkehr ordnungsgemäß zwischen den beiden VPCs fließen kann. Weitere Informationen finden Sie unter [Aktualisieren von Routing-Tabellen](vpc-peering-routing.md).
+ Stellen Sie bei beteiligten EC2-Instances sicher, dass die Sicherheitsgruppen für die Instances eingehenden und ausgehenden Datenverkehr von der Peer-VPC zulassen. Die Regeln der Sicherheitsgruppen kontrollieren, welcher Datenverkehr auf Ihre EC2-Instances zugreifen darf. Weitere Informationen finden Sie unter [Auf Peer-Sicherheitsgruppen verweisen](vpc-peering-security-groups.md).
+ Stellen Sie sicher, dass die Netzwerk-ACLs für die Subnetze, die Ihre Ressourcen enthalten, den erforderlichen Datenverkehr von der Peer-VPC zulassen. Netzwerk-ACLs sind eine zusätzliche Sicherheitsebene, die den Datenverkehr auf Subnetzebene filtert.

Wenn Sie immer noch Probleme haben, können Sie Reachability Analyzer verwenden. Reachability Analyzer kann dabei helfen, die spezifische Komponente – etwa eine Routing-Tabelle, eine Sicherheitsgruppe oder eine Netzwerk-ACL – zu identifizieren, die das Verbindungsproblem zwischen den beiden VPCs verursacht. Weitere Informationen finden Sie im [Leitfaden Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/).

Eine gründliche Überprüfung Ihrer VPC-Netzwerkkonfigurationen ist der Schlüssel zur Fehlerbehebung und Lösung aller Probleme mit der VPC-Peering-Verbindung, auf die Sie unter Umständen stoßen.