Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Arbeiten Sie mit AWS Transit Gateway
Sie können Transit Gateways über die Amazon-VPC-Konsole oder die AWS CLI verwenden. Informationen zur Aktivierung und Verwaltung der Verschlüsselungsunterstützung für Ihr Transit Gateway finden Sie unter[Verschlüsselungsunterstützung für AWS Transit Gateway](tgw-encryption-support.md).
**Topics**
+ [Gateways für gemeinsam genutzte Transitverbindungen](#transit-gateway-share)
+ [Transit Gateways](tgw-transit-gateways.md)
+ [VPC-Anhänge](tgw-vpc-attachments.md)
+ [Anlagen für Netzwerkfunktionen](tgw-nf-fw.md)
+ [VPN-Anhänge](tgw-vpn-attachments.md)
+ [VPN Concentrator-Anhänge](tgw-vpn-concentrator-attachments.md)
+ [Transit-Gateway-Anhänge an ein Direct-Connect-Gateway](tgw-dcg-attachments.md)
+ [Peering-Anhänge](tgw-peering.md)
+ [Connect-Anfügungen und Connect-Peers](tgw-connect.md)
+ [Transit-Gateway-Routing-Tabellen](tgw-route-tables.md)
+ [Transit-Gateway-Richtlinientabellen](tgw-policy-tables.md)
+ [Multicast auf Transit Gateways](tgw-multicast-overview.md)
+ [Flexible Kostenverteilung](metering-policy.md)
## Gemeinsam genutzte Transit-Gateways
Sie können AWS Resource Access Manager (RAM) verwenden, um ein Transit-Gateway für VPC-Anlagen kontenübergreifend oder unternehmensweit gemeinsam zu nutzen. AWS Organizations RAM muss aktiviert sein und Ressourcen müssen mit einer Organisation gemeinsam genutzt werden. Weitere Informationen finden Sie unter [Ressourcenfreigabe für AWS Organizations aktivieren](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) im *AWS RAM -Benutzerhandbuch*.
### Überlegungen
Berücksichtigen Sie Folgendes, wenn Sie ein Transit Gateway freigeben möchten.
+ Ein AWS Site-to-Site VPN Anhang muss in demselben AWS Konto erstellt werden, dem das Transit-Gateway gehört.
+ Ein Anhang zu einem Direct Connect-Gateway verwendet eine Transit-Gateway-Zuordnung und kann sich in demselben AWS Konto wie das Direct Connect-Gateway oder in einem anderen Konto als das Direct Connect-Gateway befinden.
Standardmäßig sind Benutzer nicht berechtigt, AWS RAM Ressourcen zu erstellen oder zu ändern. Um Benutzern zu erlauben, Ressourcen zu erstellen oder zu ändern und Aufgaben durchzuführen, müssen Sie IAM-Richtlinien erstellen, die Berechtigungen gewähren, bestimmte Ressourcen und API-Aktionen zu nutzen. Ordnen Sie dann diese Richtlinien den IAM-Benutzern oder -Gruppen zu, die diese Berechtigungen benötigen.
Nur der Ressourcen-Besitzer kann die folgenden Vorgänge ausführen:
+ Erstellen einer Ressourcen-Freigabe
+ Aktualisieren einer Ressourcen-Freigabe
+ Anzeigen einer Ressourcen-Freigabe
+ Anzeigen der von Ihrem Konto freigegebenen Ressourcen innerhalb aller Ressourcen-Freigaben
+ Anzeigen der Pinzipale, für die Sie Ihre Ressourcen freigeben, innerhalb aller Ressourcen-Freigaben. Durch Anzeigen der Prinzipale, für die Sie Ressourcen freigeben, können Sie bestimmen, wer Zugriff auf Ihre freigegebenen Ressourcen hat.
+ Löschen einer Ressourcen-Freigabe
+ Führen Sie alle Transit-Gateways-, Transit-Gateway-Anlagen- und Transit-Gateway-Routentabellen aus APIs.
Sie können die folgenden Operationen für Ressourcen ausführen, die für Sie freigegeben sind:
+ Annehmen oder Ablehnen einer Einladung zur Ressourcen-Freigabe
+ Anzeigen einer Ressourcen-Freigabe
+ Anzeigen der freigegebenen Ressourcen, auf die Sie Zugriff haben
+ Anzeigen einer Liste aller der Prinzipale, die Ressourcen für Sie freigeben. Sie können sehen, welche Ressourcen und Ressourcen-Freigaben sie für Sie freigegeben haben.
+ Ausführen der `DescribeTransitGateways`-API
+ Führen Sie APIs die, die Anlagen erstellen und beschreiben, zum Beispiel `CreateTransitGatewayVpcAttachment` und`DescribeTransitGatewayVpcAttachments`, in ihren aus VPCs.
+ Verlassen einer Ressourcen-Freigabe
Wenn ein Transit Gateway für Sie freigegeben wurde, können Sie seine Transit-Gateway-Routing-Tabellen oder dessen Transit-Gateway-Routing-Tabellenpropagationen und -zuordnungen erstellen, ändern oder löschen.
Wenn Sie ein Transit Gateway erstellen, wird das Transit Gateway in der Availability Zone erstellt, die Ihrem Konto zugeordnet und unabhängig von anderen Konten ist. Wenn sich das Transit Gateway und die Anhangs-Entitäten in verschiedenen Konten befinden, können Sie die Availability Zone mithilfe der Availability Zone-ID eindeutig und konsistent identifizieren. Beispielsweise ist use1-az1 eine AZ-ID für die Region us-east-1 und wird in jedem Konto dem gleichen Standort zugeordnet. AWS
### Aufheben der Freigabe eines Transit Gateways
Wenn der Besitzer der Freigabe die Freigabe des Transit Gateways aufhebt, gelten die folgenden Regeln:
+ Der Transit-Gateway-Anhang funktioniert weiterhin.
+ Das freigegebene Konto kann das Transit Gateway nicht beschreiben.
+ Der Besitzer des Transit Gateways und der Freigabe-Besitzer sind zum Löschen des Transit-Gateway-Anhangs berechtigt.
Wenn ein Transit-Gateway nicht mit einem anderen AWS Konto gemeinsam genutzt wird oder wenn das AWS Konto, mit dem das Transit-Gateway gemeinsam genutzt wird, aus der Organisation entfernt wird, ist das Transit-Gateway selbst nicht betroffen.
### Gemeinsam genutzte Subnetze
Ein VPC-Besitzer kann ein Transit-Gateway an das gemeinsam genutzte VPC-Subnetz anfügen. Die Teilnehmer können es nicht. Der Datenverkehr von den Ressourcen des Teilnehmers kann die Anhänge verwenden, abhängig von den Routen, die der VPC-Besitzer im gemeinsam genutzten VPC-Subnetz eingerichtet hat.
Weitere Informationen finden Sie unter [Freigeben Ihrer VPC für andere Konten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) im *Amazon-VPC-Benutzerhandbuch*.
# Transit-Gateways im AWS Transit Gateway
Ein Transit-Gateway ermöglicht es Ihnen, VPCs VPN-Verbindungen herzustellen und den Verkehr zwischen ihnen weiterzuleiten. Ein Transit-Gateway funktioniert überall AWS-Konten, und Sie können es verwenden, AWS RAM um Ihr Transit-Gateway mit anderen Konten zu teilen. Nachdem Sie ein Transit-Gateway mit einem anderen geteilt haben AWS-Konto VPCs , kann der Kontoinhaber es mit Ihrem Transit-Gateway verknüpfen. Benutzer in einem der Konten können die Anhang jederzeit löschen.
Sie können Multicast auf einem Transit Gateway aktivieren und dann eine Transit Gateway-Multicast-Domain erstellen, mit der Multicast-Datenverkehr von der Multicast-Quelle über VPC-Anhängen, die Sie der Domain zuordnen, an Multicast-Gruppenmitglieder gesendet werden kann.
Jede VPC- oder VPN-Anhang ist einer einzigen Routing-Tabelle zugeordnet. Diese Routing-Tabelle bestimmt den nächsten Hop für Datenverkehr, der von diesem Ressourcen-Anhang kommt. Eine Routentabelle innerhalb des Transit-Gateways ermöglicht sowohl als auch IPv4 Ziele. IPv6 CIDRs Die Ziele sind VPCs und VPN-Verbindungen. Wenn Sie eine VPC anhängen oder eine VPN-Verbindung auf einem Transit Gateway erstellen, wird der Anhang der Standard-Routing-Tabelle des Transit-Gateways zugeordnet.
Sie können zusätzliche Routing-Tabellen innerhalb des Transit Gateways erstellen und die VPC- oder VPN-Zuordnung auf diese Routing-Tabellen umstellen. Das ermöglicht Ihnen die Segmentierung Ihres Netzwerks. Sie können beispielsweise die Entwicklung VPCs einer Routentabelle und die Produktion VPCs einer anderen Routentabelle zuordnen. Auf diese Weise können Sie isolierte Netzwerke innerhalb eines Transit-Gateways erstellen, die dem virtuellen Routing und der Weiterleitung (VRFs) in herkömmlichen Netzwerken ähneln.
Transit-Gateways unterstützen dynamisches und statisches Routing zwischen verbundenen Verbindungen VPCs und VPN-Verbindungen. Sie können die Route-Propagierung für jeden Anhang aktivieren oder deaktivieren. VPN Concentrator-Anhänge unterstützen nur BGP-Routing (dynamisches). Transit-Gateway-Peering-Anhänge unterstützen nur statisches Routing. Sie können Routen in den Routentabellen des Transit-Gateways auf den Peering-Anhang verweisen, um den Verkehr zwischen den Peering-Gateways weiterzuleiten.
Sie können Ihrem Transit-Gateway optional einen oder mehrere IPv4 oder IPv6 CIDR-Blöcke zuordnen. Sie geben eine IP-Adresse aus dem CIDR-Block an, wenn Sie einen Transit-Gateway-Connect-Peer für einen [Transit-Gateway-Connect-Anhang](tgw-connect.md) einrichten. Sie können jeden öffentlichen oder privaten IP-Adressbereich zuordnen, mit Ausnahme von Adressen im `169.254.0.0/16` Bereich und Bereichen, die sich mit den Adressen für Ihre VPC-Anhänge und On-Premises-Netzwerke überschneiden. Weitere Informationen zu IPv4 und IPv6 CIDR-Blöcken finden Sie unter [IP-Adressierung](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) im *Amazon VPC-Benutzerhandbuch*.
**Topics**
+ [Erstellen eines Transit-Gateways](create-tgw.md)
+ [Ein Transit-Gateway anzeigen](view-tgws.md)
+ [Transit-Gateway-Tags verwalten](tgw-tagging.md)
+ [Ändern eines Transit Gateways](tgw-modifying.md)
+ [Akzeptieren einer Ressourcenfreigabe](share-accept-tgw.md)
+ [Akzeptieren eines freigegebenen Anhangs](acccept-tgw-attach.md)
+ [Löschen eines Transit Gateways](delete-tgw.md)
+ [Support für Verschlüsselung](tgw-encryption-support.md)
# Erstellen Sie ein Transit-Gateway in AWS Transit Gateway
Wenn Sie ein Transit-Gateway erstellen, erstellen wir eine Standard-Transit-Gateway-Routing-Tabelle und verwenden sie als Standard-Zuordnungs-Routing-Tabelle und als standardmäßige Route-Propagierung-Tabelle. Wenn Sie die Standard-Transit-Gateway-Routing-Tabelle nicht erstellen möchten, können Sie später eine erstellen. Weitere Informationen über Routen und Routing-Tabellen finden Sie unter [Routing](how-transit-gateways-work.md#tgw-routing-overview).
**Anmerkung**
Wenn Sie die Verschlüsselungsunterstützung auf einem Transit-Gateway aktivieren möchten, können Sie sie bei der Erstellung des Gateways nicht aktivieren. Nachdem Sie das Transit-Gateway erstellt haben und es sich im Status „Verfügbar“ befindet, können Sie es ändern, um die Verschlüsselungsunterstützung zu aktivieren. Weitere Informationen finden Sie unter [Verschlüsselungsunterstützung für AWS Transit Gateway](tgw-encryption-support.md).
**So erstellen Sie ein Transit Gateway mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateways**.
1. Wählen Sie **Create Transit Gateway (Transit Gateway erstellen)** aus.
1. Geben Sie für **Name tag (Namens-Tag)** optional einen Namen für das Transit Gateway ein. Ein Namens-Tag kann die Identifizierung eines bestimmten Gateways in der Liste von Gateways erleichtern. Wenn Sie ein **Name tag (Namens-Tag)** hinzufügen, wird ein Tag mit dem Schlüssel **Name** und einem Wert erstellt, der dem von Ihnen eingegebenen Wert entspricht.
1. Geben Sie im Feld **Description (Beschreibung)** optional eine Beschreibung für das Transit Gateway ein.
1. Belassen Sie für **Amazon side Autonomous System Number (ASN) (Amazon-seitige ASN)** entweder den Standardwert, um die standardmäßige ASN zu verwenden, oder geben Sie die private ASN für Ihr Transit Gateway ein. Dies sollte die ASN für die AWS Seite einer Border Gateway Protocol (BGP) -Sitzung sein.
Der Bereich für 16-Bit liegt zwischen 64512 und 65534. ASNs
Der Bereich liegt zwischen 4200000000 und 4294967294 für 32-Bit. ASNs
Für eine Multiregion-Bereitstellung empfehlen wir die Verwendung einer eindeutigen ASN für jedes Ihrer Transit Gateways.
1. Wählen Sie für **DNS-Unterstützung** diese Option, wenn Sie möchten, dass die VPC öffentliche IPv4 DNS-Hostnamen in private IPv4 Adressen auflöst, wenn sie von Instances in einer anderen VPC, die an das Transit-Gateway angeschlossen ist, abgefragt werden.
1. Wenn Sie **Unterstützung für die Referenzierung von Sicherheitsgruppen** benötigen, aktivieren Sie diese Funktion, um auf eine Sicherheitsgruppe zu verweisen, die mit einem Transit-Gateway VPCs verbunden ist. Weitere Informationen zur Referenzierung von Sicherheitsgruppen finden Sie unter. [Referenzierung von Sicherheitsgruppen](tgw-vpc-attachments.md#vpc-attachment-security)
1. Wählen Sie diese Option bei **VPN ECMP support (VPN-ECMP-Unterstützung)**, wenn ECMP-Routing (Equal Cost Multipath-Routing) zwischen VPN-Tunnel unterstützt werden soll. Wenn Verbindungen dasselbe ankündigen CIDRs, wird der Verkehr gleichmäßig auf sie verteilt.
Wenn Sie diese Option auswählen, müssen die angekündigte BGP ASN und dann die BGP-Attribute wie der AS-Pfad identisch sein.
**Anmerkung**
Zur Verwendung von ECMP müssen Sie eine VPN-Verbindung herstellen, die dynamisches Routing nutzt. VPN-Verbindungen, die statisches Routing nutzen, unterstützen ECMP nicht.
1. Wählen Sie diese Option für **Default route table association (Standard-Routing-Tabellenzuordnung)**, damit Transit-Gateway-Anhänge automatisch der Standard-Routing-Tabelle für das Transit Gateway zugeordnet werden.
1. Wählen Sie diese Option für **Default route table propagation (standardmäßige Route-Propagierung-Tabellenverbreitung)**, damit Transit-Gateway-Anhänge automatisch auf die Standard-Routing-Tabelle für das Transit Gateway übertragen werden.
1. (Optional) Um das Transit Gateway als Router für Multicast-Datenverkehr zu verwenden, wählen Sie **Multicast support (Multicast-Unterstützung)** aus.
1. **(Optional) Wählen Sie im Bereich „**Configure-cross-account Freigabeoptionen**“ aus, ob gemeinsam genutzte Anlagen automatisch akzeptiert werden sollen.** Wenn diese Option aktiviert ist, werden Anlagen automatisch akzeptiert. Andernfalls müssen Sie Anhangsanforderungen annehmen oder ablehnen.
Wählen Sie diese Option für **Auto accept shared attachments (Gemeinsame Anhänge automatisch akzeptieren)**, um kontoübergreifende Anhänge automatisch zu akzeptieren.
1. (Optional) Geben Sie für **CIDR-Blöcke des Transit-Gateways einen IPv4 oder mehrere IPv6 CIDR-Blöcke für Ihr Transit-Gateway** an.
Sie können einen CIDR-Block der Größe /24 oder größer (z. B. /23 oder /22) für IPv4 oder einen CIDR-Block der Größe /64 oder größer (z. B. /63 oder /62) für angeben. IPv6 Sie können jeden öffentlichen oder privaten IP-Adressbereich zuordnen, mit Ausnahme von Adressen im Bereich von 169.254.0.0/16 und Bereichen, die sich mit den Adressen für Ihre VPC-Anhänge und On-Premises-Netzwerke überschneiden.
**Anmerkung**
CIDR-Blöcke des Transit-Gateways werden verwendet, wenn Sie Connect (GRE) -Anhänge oder VPNs PrivateIP konfigurieren. Transit Gateway weist IPs den Tunnel-Endpunkten (GRE/PrivateIP VPN) aus diesem Bereich zu.
1. Wählen Sie **Create Transit Gateway (Transit Gateway erstellen)** aus.
**Um ein Transit-Gateway mit dem zu erstellen AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html).
# Transit-Gateway-Informationen in AWS Transit Gateway anzeigen
Sehen Sie sich eines Ihrer Transit-Gateways an.
**So zeigen Sie ein Transit-Gateway mithilfe der Konsole an**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateways**. Details für das Transit-Gateway werden unter der Liste der Gateways auf der Seite angezeigt.
**Um ein Transit-Gateway mit dem anzuzeigen AWS CLI**
Verwenden Sie den [describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html)-Befehl.
# Transit-Gateway-Tags in AWS Transit Gateway verwalten
Fügen Sie Ihren Ressourcen-Tags hinzu, um sie einfacher ordnen und identifizieren zu können, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können jedem Transit Gateway mehrere Tags hinzufügen. Tag-Schlüssel müssen für jedes Transit Gateway eindeutig sein. Wenn Sie ein Tag mit einem Schlüssel hinzufügen, der dem Transit Gateway bereits zugeordnet ist, ändert sich der Wert dieses Tags. Weitere Informationen finden Sie unter [Taggen Ihrer EC2 Amazon-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
**Hinzufügen von Tags zu einem Transit Gateway mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateways**.
1. Wählen Sie das Transit-Gateway aus, für das Sie Tags hinzufügen oder bearbeiten möchten.
1. Wählen Sie die Registerkarte **Tags** im unteren Bereich der Seite aus.
1. Wählen Sie **Tags verwalten** aus.
1. Wählen Sie **Neues Tag hinzufügen** aus.
1. Geben Sie einen **Key (Schlüssel)** und einen **Value (Wert)** für das Tag ein.
1. Wählen Sie **Speichern**.
# Ändern Sie ein Transit-Gateway in AWS Transit Gateway
Sie können die Konfigurationsoptionen für ein Transit-Gateway ändern. Wenn Sie ein Transit-Gateway ändern, kommt es bei allen vorhandenen Transit-Gateway-Anhängen nicht zu Betriebsunterbrechungen.
Sie können kein Transit Gateway ändern, der für Sie freigegeben wurde.
Sie können einen CIDR-Block für das Transit-Gateway nicht entfernen, wenn eine der IP-Adressen derzeit für einen [Connect-Peer](tgw-connect.md)verwendet wird.
**Anmerkung**
Transit-Gateways, für die die Verschlüsselungsunterstützung aktiviert ist, können VPCs mit Encryption Controls im Überwachungs- oder Erzwingungsmodus oder an Gateways, für VPCs die Encryption Controls nicht aktiviert ist, angeschlossen werden. VPCs für die Encryption Controls im Erzwingungsmodus aktiviert ist, können NUR Transit-Gateways hinzugefügt werden, für die die Verschlüsselungsunterstützung aktiviert ist.
Detailliertere Informationen erhalten Sie unter [Verschlüsselungsunterstützung für AWS Transit Gateway](tgw-encryption-support.md).
**So ändern Sie ein Transit-Gateway**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateways**.
1. Wählen Sie das zu ändernde Transit Gateway aus.
1. Wählen Sie **Aktionen**, **Ändern des Transit Gateways** aus.
1. Ändern Sie die Optionen wie benötigt. Wählen Sie anschließend **Modify transit gateway (Transit Gateway ändern)** aus.
**Um Ihr Transit-Gateway mit dem zu ändern AWS CLI**
Verwenden Sie den Befehl [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html).
# Akzeptieren Sie eine AWS Transit Gateway Gateway-Ressourcenfreigabe mithilfe der AWS Resource Access Manager Konsole
Wenn Sie zu einer Ressourcenfreigabe hinzugefügt wurden, erhalten Sie eine Einladung, um der Ressourcenfreigabe beizutreten. Sie müssen die gemeinsame Nutzung der Ressource über die Konsole AWS Resource Access Manager (AWS RAM) akzeptieren, bevor Sie auf die gemeinsam genutzten Ressourcen zugreifen können.
**Akzeptieren einer Ressourcenfreigabe**
1. Öffnen Sie die AWS RAM Konsole unter [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. Wählen Sie im Navigationsbereich **Shared with me (Für mich freigegeben)** und **Resources shares (Ressourcenfreigaben)**.
1. Wählen Sie die Ressourcenfreigabe aus.
1. Wählen Sie **Accept resource share (Ressourcenfreigabe akzeptieren)** aus.
1. Öffnen Sie die Seite **Transit Gateways** in der Amazon-VPC-Konsole, um das freigegebene Transit Gateway anzuzeigen.
# Akzeptieren Sie einen geteilten Anhang in AWS Transit Gateway
Wenn Sie bei der Erstellung Ihres Transit-Gateways die Funktion „**Geteilte Anlagen automatisch akzeptieren**“ nicht aktiviert haben, müssen Sie kontoübergreifende (gemeinsam genutzte) Dateianhänge entweder über die Amazon VPC-Konsole oder die AWS CLI manuell akzeptieren.
**So akzeptieren Sie einen freigegebene Anhang manuell:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhänge)**.
1. Wählen Sie den Transit-Gateway-Anhang aus, für den die Annahme aussteht.
1. Wählen Sie **Aktionen**, **Akzeptieren des Transit-Gateway-Anhangs** aus.
**Um einen gemeinsam genutzten Anhang zu akzeptieren, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html).
# Löschen Sie ein Transit-Gateway in AWS Transit Gateway
Ein Transit Gateway mit vorhandenen Anhängen kann nicht gelöscht werden. Um ein Transit Gateway löschen zu können, müssen Sie zunächst alle Anhänge löschen.
**So löschen Sie ein Transit Gateway mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie das zu löschende Transit Gateway aus.
1. Wählen Sie **Aktionen**, **Löschen des Transit Gateways** aus. Geben Sie **delete** ein und wählen Sie dann **Löschen**, um das Löschen zu bestätigen.
**Um ein Transit-Gateway mit dem zu löschen AWS CLI**
Verwenden Sie den Befehl [delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html).
# Verschlüsselungsunterstützung für AWS Transit Gateway
Mit Encryption Controls können Sie den Verschlüsselungsstatus der Verkehrsflüsse in Ihrer VPC überprüfen und dann encryption-in-transit für den gesamten Datenverkehr innerhalb der VPC durchsetzen. Wenn sich VPC Encryption Control im Erzwingungsmodus befindet, sind alle Elastic Network Interfaces (ENI) in dieser VPC darauf beschränkt, nur Instances anzuhängen, die AWS Nitro-Verschlüsselung unterstützen. Und nur AWS Dienste, die Daten während der Übertragung verschlüsseln, dürfen sich an Encryption Controls Enforced VPC anhängen. Weitere Informationen zu VPC Encryption Controls finden Sie in dieser [Dokumentation](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html).
## Transit Gateway Gateway-Verschlüsselungsunterstützung und VPC-Verschlüsselungssteuerung
Mit der Verschlüsselungsunterstützung auf dem Transit Gateway können Sie encryption-in-transit den Datenverkehr zwischen Verbindungen VPCs zu einem Transit Gateway durchsetzen. Sie müssen die Verschlüsselungsunterstützung auf dem Transit Gateway manuell aktivieren, indem Sie den [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)Befehl zum Verschlüsseln des Datenverkehrs zwischen den VPCs verwenden. Nach der Aktivierung wird der gesamte Datenverkehr zu 100% verschlüsselte Verbindungen zwischen Personen VPCs , die sich im Erzwingungsmodus (ohne Ausschlüsse) befinden, über das Transit Gateway übertragen. Sie können auch über ein Transit Gateway, für VPCs das Encryption Support aktiviert ist, eine Verbindung herstellen, für die Encryption Controls nicht aktiviert ist oder die sich im Überwachungsmodus befinden. In diesem Szenario wird garantiert, dass Transit Gateway den Verkehr bis zum Transit Gateway Gateway-Anhang in der VPC verschlüsselt, die nicht im Erzwingungsmodus läuft. Darüber hinaus hängt es von der Instanz ab, an die der Datenverkehr in der VPC gesendet wird, die nicht im Erzwingungsmodus läuft.
Sie können Verschlüsselungsunterstützung nur zu einem vorhandenen Transit-Gateway hinzufügen und nicht, während Sie eines erstellen. Wenn das Transit Gateway in den Status Encryption Support Enabled übergeht, gibt es keine Ausfallzeiten auf dem Transit Gateway oder den Anhängen. Die Migration ist nahtlos und transparent, ohne dass der Datenverkehr unterbrochen wird. Die Schritte zum Ändern eines Transit-Gateways, um Verschlüsselungsunterstützung hinzuzufügen, finden Sie unter[Ändern eines Transit Gateways](tgw-modifying.md#tgw-modifying.title).
### Voraussetzungen
Bevor Sie die Verschlüsselungsunterstützung auf einem Transit-Gateway aktivieren, stellen Sie sicher, dass:
+ Das Transit-Gateway hat keine Connect-Anlagen
+ Das Transit-Gateway hat keine Peering-Anhänge
+ Das Transit-Gateway hat keine Netzwerkfirewall-Anhänge
+ Das Transit-Gateway hat keine VPN Concentrator-Anhänge
+ Für das Transit-Gateway sind keine Sicherheitsgruppenreferenzen aktiviert
+ Für das Transit-Gateway sind keine Multicast-Funktionen aktiviert
### Status der Verschlüsselungsunterstützung
Ein Transit-Gateway kann einen der folgenden Verschlüsselungsstatus haben:
+ **aktivieren** — Das Transit-Gateway aktiviert gerade die Verschlüsselungsunterstützung. Es kann bis zu 14 Tage dauern, bis dieser Vorgang abgeschlossen ist.
+ **aktiviert** — Die Verschlüsselungsunterstützung ist auf dem Transit-Gateway aktiviert. Sie können VPC-Anlagen mit erzwungener Encryption Control erstellen.
+ **Deaktivierung** — Das Transit-Gateway ist dabei, die Verschlüsselungsunterstützung zu deaktivieren.
+ **deaktiviert** — Die Verschlüsselungsunterstützung ist auf dem Transit-Gateway deaktiviert.
### Regeln für Dateianhänge in Transit Gateway
Wenn für ein Transit-Gateway die Verschlüsselungsunterstützung aktiviert ist, gelten die folgenden Verbindungsregeln:
+ Wenn der Verschlüsselungsstatus des Transit-Gateways **aktiviert** oder **deaktiviert** ist, können Sie Direct Connect-Anlagen, VPN-Anlagen und VPC-Anlagen erstellen, die sich nicht im Modus Encryption Control Enforced oder Enforced befinden.
+ Wenn der Verschlüsselungsstatus des Transit-Gateways **aktiviert** ist, können Sie VPC-, Direct Connect-Anlagen, VPN-Anlagen und VPC-Anlagen in jedem Encryption Control-Modus erstellen.
+ Wenn der Verschlüsselungsstatus des Transit-Gateways **deaktiviert** ist, können Sie keine neuen VPC-Anlagen mit erzwungener Verschlüsselungskontrolle erstellen.
+ Connect-Anlagen, Peering-Anlagen, Sicherheitsgruppenverweise und Multicast-Funktionen werden von Encryption Support nicht unterstützt.
Der Versuch, inkompatible Anhänge zu erstellen, schlägt mit einem API-Fehler fehl.
# Amazon VPC-Anlagen in AWS Transit Gateway
Eine Amazon Virtual Private Cloud (VPC-) Verbindung zu einem Transit-Gateway ermöglicht es Ihnen, den Verkehr zu und von einem oder mehreren VPC-Subnetzen weiterzuleiten. Wenn Sie einem Transit Gateway eine VPC anhängen, müssen Sie ein Subnetz aus jeder Availability Zone angeben, die das Transit Gateway für die Weiterleitung des Datenverkehrs verwenden soll. Die angegebenen Subnetze dienen als Eingangs- und Ausgangspunkte für den Transit-Gateway-Verkehr. Der Verkehr kann Ressourcen in anderen Subnetzen innerhalb derselben Availability Zone nur erreichen, wenn für die Transit-Gateway-Anhangssubnetze in ihren Routentabellen, die auf die Zielsubnetze verweisen, entsprechende Routen konfiguriert sind.
**Einschränkungen**
+ Wenn Sie eine VPC an ein Transit Gateway anhängen, können keine Ressourcen in Availability Zones ohne Transit-Gateway-Anhang das Transit Gateway nicht erreichen.
**Anmerkung**
Innerhalb von Availability Zones, die Transit-Gateway-Anlagen haben, wird der Verkehr nur von den spezifischen Subnetzen, die dem Anhang zugeordnet sind, an das Transit-Gateway weitergeleitet. Wenn es in einer Subnetz-Routentabelle eine Route zum Transit-Gateway gibt, wird der Verkehr nur dann an das Transit-Gateway weitergeleitet, wenn das Transit-Gateway eine Verbindung in einem Subnetz in derselben Availability Zone hat und die Routentabelle des Anhangssubnetzes entsprechende Routen zum beabsichtigten Ziel des Datenverkehrs innerhalb der VPC enthält.
+ Ein Transit-Gateway unterstützt keine DNS-Auflösung für benutzerdefinierte DNS-Namen von angehängten VPCs Einrichtungen, die private gehostete Zonen in Amazon Route 53 verwenden. Informationen zur Konfiguration der Namensauflösung für privat gehostete Zonen für alle, die an ein Transit-Gateway VPCs angeschlossen sind, finden Sie unter [Zentralisierte DNS-Verwaltung der Hybrid Cloud mit Amazon Route 53 und AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/).
+ Ein Transit-Gateway unterstützt kein Routing zwischen identischen Verbindungen CIDRs oder wenn sich ein CIDR in einem Bereich VPCs mit einem CIDR in einer angeschlossenen VPC überschneidet. Wenn Sie eine VPC an ein Transit-Gateway anhängen und ihr CIDR mit dem CIDR einer anderen VPC, die bereits an das Transit-Gateway angeschlossen ist, identisch ist oder sich mit diesem überschneidet, werden die Routen für die neu hinzugefügte VPC nicht an die Transit-Gateway-Routentabelle weitergegeben.
+ Sie können keinen Anhang für ein VPC-Subnetz erstellen, das sich in einer Local Zone befindet. Jedoch können Sie Ihr Netzwerk so konfigurieren, dass Subnetze in der Local Zone eine Verbindung mit einem Transit-Gateway über die übergeordnete Availability Zone herstellen. Weitere Informationen finden Sie unter [Verbinden von Subnetzen der Local Zone mit einem Transit Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw).
+ Sie können keinen Transit-Gateway-Anhang erstellen, der nur Subnetze verwendet. IPv6 Subnetze für Transit-Gateway-Anhänge müssen auch Adressen unterstützen. IPv4
+ Ein Transit-Gateway muss mindestens einen VPC-Anhang haben, bevor dieses Transit-Gateway zu einer Routing-Tabelle hinzugefügt werden kann.
## Anforderungen an die Routentabelle für VPC-Anlagen
Für die korrekte Funktion von Transit-Gateway-VPC-Anhängen sind spezielle Routing-Tabellenkonfigurationen erforderlich:
+ **Routing-Tabellen für Anhang-Subnetze**: Die Subnetze, die dem Transit-Gateway-Anhang zugeordnet sind, müssen Routentabelleneinträge für alle Ziele innerhalb der VPC enthalten, die über das Transit-Gateway erreichbar sein müssen. Dazu gehören Routen zu anderen Subnetzen, Internet-Gateways, NAT-Gateways und VPC-Endpunkten.
+ **Routing-Tabellen für Zielsubnetze**: Subnetze, die Ressourcen enthalten, die über das Transit-Gateway kommunizieren müssen, müssen über Routen verfügen, die auf das Transit-Gateway verweisen, damit der Verkehr zu externen Zielen zurückgesendet wird.
+ **Lokaler VPC-Verkehr**: Die Transit-Gateway-Verbindung ermöglicht nicht automatisch die Kommunikation zwischen Subnetzen innerhalb derselben VPC. Es gelten die Standard-VPC-Routingregeln, und die lokale Route (VPC CIDR) muss in Routentabellen für die VPC-interne Kommunikation vorhanden sein.
**Anmerkung**
Wenn Routen in Subnetzen ohne Verbindung innerhalb derselben Availability Zone konfiguriert sind, wird der Verkehrsfluss nicht aktiviert. Nur die spezifischen Subnetze, die dem Transit-Gateway-Anhang zugeordnet sind, können als entry/exit Punkte für den Transit-Gateway-Verkehr dienen.
## Lebenszyklus von VPC-Anhängen
Eine VPC-Anhang durchläuft verschiedene Phasen, die mit der Einleitung der Anforderung beginnen. In jeder Phase kann es Aktionen geben, die Sie einleiten können. Am Ende Ihres Lebenszyklus bleibt der VPC-Anhang in der Amazon Virtual Private Cloud Console und in der API- oder Befehlszeilenausgabe eine Zeit lang sichtbar.
Das folgende Diagramm zeigt die Phasen, die eine Anhang in einer einzelnen Kontokonfiguration oder eine kontoübergreifende Konfiguration durchlaufen kann, bei der **Auto accept shared attachments (Gemeinsame Anhänge automatisch akzeptieren)** werden aktiviert ist.
![\[Lebenszyklus von VPC-Anhängen\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **Ausstehend**: Eine Anfrage für einen VPC-Anfügung wurde initiiert und befindet sich im Bereitstellungsprozess. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` verschoben werden.
+ **Fehlgeschlagen**: Eine Anfrage für einen VPC-Anfügung schlägt fehl. In dieser Phase kann die VPC-Anfügung nach `failed` verschoben werden.
+ **Fehlgeschlagen**: Die Anforderung für die VPC-Anfügungen ist fehlgeschlagen. In dieser Phase kann er nicht gelöscht werden. Der fehlgeschlagene VPC-Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.
+ **Verfügbar**: Die VPC-Anfügung ist verfügbar und der Datenverkehr kann zwischen der VPC und dem Transit-Gateway fließen. In dieser Phase kann eine Anfügung fehlschlagen oder nach `modifying` bzw. `deleting` verschoben werden.
+ **Löschen**: Eine VPC-Anfügung , die gerade gelöscht wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach `deleted` verschoben werden.
+ **Gelöscht**: Eine `available`-VPC-Anfügung wurde gelöscht. In dieser Phase kann der VPC-Anhang nicht geändert werden. Der VPC-Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.
+ **Ändern**: Es wurde eine Anfrage zum Ändern der Eigenschaften der VPC-Anfügung gestellt. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` bzw. `rolling back` verschoben werden.
+ **Wiederherstellen**: Die VPC-Anfügungsanforderung kann nicht abgeschlossen werden, und das System macht alle vorgenommenen Änderungen rückgängig. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` verschoben werden.
Das folgende Diagramm zeigt die Phasen, die eine Anfügung in einer kontoübergreifenden Konfiguration durchlaufen kann, bei der **Auto accept shared attachments (Gemeinsame Anfügungen automatisch akzeptieren)** deaktiviert ist.
![\[Kontoübergreifender Lebenszyklus von VPC-Anhängen, bei dem die Funktion Auto accept shared attachments (Freigegebene Anhänge automatisch akzeptieren) deaktiviert ist\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **Ausstehende Annahme**: Die VPC-Anfügungsanfrage wartet auf Annahme. In dieser Phase kann die Anfügung nach `pending`, `rejecting` oder `deleting` verschoben werden.
+ **Ablehnen**: Eine VPC-Anfügung, die gerade abgelehnt wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach `rejected` verschoben werden.
+ **Abgelehnt**: Eine `pending acceptance`-VPC-Anfügung wurde abgelehnt. In dieser Phase kann der VPC-Anhang nicht geändert werden. Der VPC-Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.
+ **Ausstehend**: Die VPC-Anfügung wurde angenommen und befindet sich im Bereitstellungsprozess. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` verschoben werden.
+ **Fehlgeschlagen**: Eine Anfrage für einen VPC-Anfügung schlägt fehl. In dieser Phase kann die VPC-Anfügung nach `failed` verschoben werden.
+ **Fehlgeschlagen**: Die Anforderung für die VPC-Anfügungen ist fehlgeschlagen. In dieser Phase kann er nicht gelöscht werden. Der fehlgeschlagene VPC-Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.
+ **Verfügbar**: Die VPC-Anfügung ist verfügbar und der Datenverkehr kann zwischen der VPC und dem Transit-Gateway fließen. In dieser Phase kann eine Anfügung fehlschlagen oder nach `modifying` bzw. `deleting` verschoben werden.
+ **Löschen**: Eine VPC-Anfügung , die gerade gelöscht wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach `deleted` verschoben werden.
+ **Gelöscht**: Ein `available`- oder `pending acceptance`-VPC-Anhang wurde gelöscht. In dieser Phase kann der VPC-Anhang nicht geändert werden. Der VPC-Anhang bleibt 2 Stunden sichtbar und ist dann nicht mehr sichtbar.
+ **Ändern**: Es wurde eine Anfrage zum Ändern der Eigenschaften der VPC-Anfügung gestellt. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` bzw. `rolling back` verschoben werden.
+ **Wiederherstellen**: Die VPC-Anfügungsanforderung kann nicht abgeschlossen werden, und das System macht alle vorgenommenen Änderungen rückgängig. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` verschoben werden.
## Appliance-Modus
Wenn Sie planen, eine statusbehaftete Netzwerk-Appliance in Ihrer VPC zu konfigurieren, können Sie die Appliance-Modus-Unterstützung für den VPC-Anhang aktivieren, in dem sich die Appliance befindet, wenn Sie einen Anhang erstellen. Dadurch wird sichergestellt, dass AWS Transit Gateway während der gesamten Lebensdauer des Datenverkehrs zwischen einer Quelle und einem Ziel dieselbe Availability Zone für diesen VPC-Anhang verwendet. Es ermöglicht einem Transit-Gateway auch, Datenverkehr an eine beliebige Availability Zone in der VPC zu senden, sofern in dieser Zone eine Subnetzverbindung besteht. Der Appliance-Modus wird zwar nur für VPC-Anlagen unterstützt, der Netzwerkfluss kann jedoch von jedem anderen Transit-Gateway-Anhangstyp stammen, einschließlich VPC-, VPN- und Connect-Anhängen. Der Appliance-Modus funktioniert auch für Netzwerkflüsse mit unterschiedlichen Quellen und Zielen. AWS-Regionen Netzwerkflüsse können möglicherweise zwischen verschiedenen Availability Zones neu verteilt werden, wenn Sie den Appliance-Modus zunächst nicht aktivieren, aber später die Anhangskonfiguration bearbeiten, um ihn zu aktivieren. Sie können den Appliance-Modus entweder über die Konsole, die Befehlszeile oder die API aktivieren oder deaktivieren.
Der Appliance-Modus in AWS Transit Gateway optimiert das Traffic-Routing, indem er bei der Bestimmung des Pfads durch eine VPC im Appliance-Modus die Quell- und Ziel-Availability Zones berücksichtigt. Dieser Ansatz verbessert die Effizienz und reduziert die Latenz. Das Verhalten hängt von der spezifischen Konfiguration und den Datenverkehrsmustern ab. Im Folgenden finden Sie Beispielszenarien.
### Szenario 1: Datenverkehrs-Routing innerhalb der Availability Zone über Appliance-VPC
Wenn der Verkehr von der Quell-Availability Zone us-east-1a zur zielseitigen Availability Zone us-east-1a fließt, mit VPC-Anhängen im Appliance-Modus sowohl in us-east-1a als auch us-east-1b, wählt Transit Gateway innerhalb der Appliance-VPC eine Netzwerkschnittstelle von us-east-1a aus. Diese Availability Zone wird für die gesamte Dauer des Datenverkehrs zwischen Quelle und Ziel beibehalten.
### Szenario 2: Datenverkehrs-Routing zwischen Availability Zones über Appliance-VPC
Für den Verkehr, der von der Quell-Availability Zone us-east-1a zur Ziel-Availability Zone us-east-1b fließt, mit VPC-Anhängen im Appliance-Modus sowohl in us-east-1a als auch us-east-1b, verwendet Transit Gateway einen Flow-Hash-Algorithmus, um entweder us-east-1a oder us-east-1b in der Appliance-VPC auszuwählen. Die gewählte Availability Zone wird während der gesamten Lebensdauer des Datenflusses konsistent verwendet.
### Szenario 3: Weiterleitung des Datenverkehrs über eine Appliance-VPC ohne Availability Zone-Daten
Wenn der Verkehr von der Quell-Availability Zone us-east-1a zu einem Ziel ohne Availability Zone-Informationen (z. B. internetgebundener Verkehr) mit VPC-Anhängen im Appliance-Modus sowohl in us-east-1a als auch us-east-1b stammt, wählt Transit Gateway innerhalb der Appliance-VPC eine Netzwerkschnittstelle von us-east-1a aus.
### Szenario 4: Weiterleitung des Datenverkehrs durch eine Appliance-VPC in einer Availability Zone, die sich entweder von der Quelle oder dem Ziel unterscheidet
Wenn der Verkehr von der Quell-Availability Zone us-east-1a zur Ziel-Availability Zone us-east-1b fließt und VPC-Anhänge im Appliance-Modus in verschiedenen Availability Zones liegen, z. B. us-east-1c und us-east-1d, verwendet Transit Gateway einen Flow-Hash-Algorithmus, um entweder us-east-1c oder us-east-1d in der Appliance-VPC auszuwählen. Die gewählte Availability Zone wird während der gesamten Lebensdauer des Datenflusses konsistent verwendet.
**Anmerkung**
Der Appliance-Modus wird nur für VPC-Anhänge unterstützt. Stellen Sie sicher, dass die Routenverbreitung für eine Routentabelle aktiviert ist, die einem VPC-Anhang der Appliance zugeordnet ist.
## Referenzierung von Sicherheitsgruppen
Sie können diese Funktion verwenden, um die Verwaltung von Sicherheitsgruppen und die Kontrolle des instance-to-instance Datenverkehrs zu vereinfachen VPCs , der an dasselbe Transit-Gateway angeschlossen ist. Sie können nur in Regeln für eingehenden Datenverkehr Querverweise auf Sicherheitsgruppen erstellen. Sicherheitsregeln für ausgehende Nachrichten unterstützen keine Verweise auf Sicherheitsgruppen. Mit der Aktivierung oder Verwendung der Sicherheitsgruppenreferenzierung sind keine zusätzlichen Kosten verbunden.
Die Unterstützung von Verweisen auf Sicherheitsgruppen kann sowohl für Transit-Gateways als auch für Transit-Gateway-VPC-Anlagen konfiguriert werden und funktioniert nur, wenn sie sowohl für ein Transit-Gateway als auch für dessen VPC-Anlagen aktiviert wurde.
### Einschränkungen
Die folgenden Einschränkungen gelten, wenn Sie die Sicherheitsgruppenreferenzierung mit einem VPC-Anhang verwenden.
+ Die Referenzierung von Sicherheitsgruppen wird für Transit-Gateway-Peering-Verbindungen nicht unterstützt. Beide VPCs müssen an dasselbe Transit-Gateway angeschlossen sein.
+ Die Referenzierung von Sicherheitsgruppen wird für VPC-Anlagen in der Availability Zone use1-az3 nicht unterstützt.
+ Die Referenzierung von Sicherheitsgruppen wird für Endpoints nicht unterstützt. PrivateLink Wir empfehlen die Verwendung von IP-CIDR-basierten Sicherheitsregeln als Alternative.
+ Die Referenzierung von Sicherheitsgruppen funktioniert für Elastic File System (EFS), solange für die EFS-Schnittstellen in der VPC eine Sicherheitsgruppenregel „Allow All Egress“ konfiguriert ist.
+ Für Local Zone-Konnektivität über ein Transit-Gateway werden nur die folgenden Local Zones unterstützt: us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a und us-west-2-phx-2a.
+ Wir empfehlen, diese Funktion auf VPC-Anhangsebene für VPCs Subnetze in nicht unterstützten Local Zones, AWS Outposts und AWS Wavelength Zones zu deaktivieren, da dies zu Dienstunterbrechungen führen kann.
+ Wenn Sie über eine Inspektions-VPC verfügen, funktioniert die Referenzierung von Sicherheitsgruppen über das Transit-Gateway nicht über den AWS Gateway Load Balancer oder eine AWS Network Firewall hinweg.
**Topics**
+ [Anforderungen an die Routentabelle für VPC-Anlagen](#vpc-attachment-routing-requirements)
+ [Lebenszyklus von VPC-Anhängen](#vpc-attachment-lifecycle)
+ [Appliance-Modus](#tgw-appliancemode)
+ [Referenzierung von Sicherheitsgruppen](#vpc-attachment-security)
+ [Erstellen Sie einen VPC-Anhang](create-vpc-attachment.md)
+ [Einen VPC-Anhang ändern](modify-vpc-attachment.md)
+ [VPC-Anhangs-Tags ändern](modify-vpc-attachment-tag.md)
+ [VPC-Anhang anzeigen](view-vpc-attachment.md)
+ [Löschen eines VPC-Anhangs](delete-vpc-attachment.md)
+ [Aktualisieren Sie die Regeln für eingehende Sicherheitsgruppen](tgw-sg-updates-update.md)
+ [Identifizieren Sie referenzierte Sicherheitsgruppen](tgw-sg-updates-identify.md)
+ [Entfernen Sie veraltete Sicherheitsgruppenregeln](tgw-sg-updates-stale.md)
+ [Problembehandlung bei VPC-Anhängen](transit-gateway-vpc-attach-troubleshooting.md)
# Erstellen Sie einen VPC-Anhang in AWS Transit Gateway
**Erstellen eines VPC-Anhangs mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit Gateway-Anhänge)**.
1. Wählen Sie **Create Transit Gateway Attachment (Transit-Gateway-Anhang erstellen)** aus.
1. Geben Sie für **Name tag (Namens-Tag)** optional einen Namen für den Transit-Gateway-Anhang ein.
1. Wählen Sie für **Transit-Gateway-ID** das Transit Gateway für den Anhang aus. Sie können ein Transit Gateway auswählen, das Sie besitzen, oder ein Transit Gateway, das für Sie freigegeben wurde.
1. Wählen Sie bei **Attachment type (Anhangstyp)** die Option **VPC** aus.
1. Wählen Sie aus, ob **DNS-Support, **IPv6Support**** und **Appliance-Modus-Support aktiviert werden sollen**.
Wenn der Appliance-Modus ausgewählt ist, verwendet der Verkehrsfluss zwischen einer Quelle und einem Ziel für die gesamte Lebensdauer dieses Flusses dieselbe Availability Zone für den VPC-Anhang.
1. Wählen Sie aus, ob die Unterstützung für die **Referenzierung von Sicherheitsgruppen** aktiviert werden soll. Aktivieren Sie diese Funktion, um auf eine Sicherheitsgruppe zu verweisen, die mit einem Transit-Gateway VPCs verbunden ist. Weitere Informationen zur Referenzierung von Sicherheitsgruppen finden Sie unter[Referenzierung von Sicherheitsgruppen](tgw-vpc-attachments.md#vpc-attachment-security).
1. Wählen Sie aus, ob **IPv6Support** aktiviert werden soll.
1. Wählen Sie für **VPC ID** die VPC aus, die dem Transit-Gateway angefügt werden soll.
Dieser VPC muss mindestens ein Subnetz zugeordnet sein.
1. Wählen Sie unter **Subnetz** ein Subnetz für jede Availability Zone aus IDs, das vom Transit-Gateway zur Weiterleitung des Datenverkehrs verwendet werden soll. Sie müssen mindestens ein Subnetz auswählen. Sie können nur ein Subnetz pro Availability Zone auswählen.
1. Wählen Sie **Create Transit Gateway Attachment (Transit-Gateway-Anhang erstellen)** aus.
**So erstellen Sie einen VPC-Anhang mit dem AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html).
# Ändern Sie einen VPC-Anhang in AWS Transit Gateway
**So zeigen Sie VPC-Anhänge mit der Konsole an**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Wählen Sie den VPC-Anhang und dann **Aktionen**, **Ändern des Transit-Gateway-Anhangs** aus.
1. Aktivieren oder deaktivieren Sie eine der folgenden Optionen:
+ **DNS-Unterstützung**
+ **IPv6 Unterstützung**
+ **Unterstützung für den Appliance-Modus**
1. Um dem Anhang ein Subnetz hinzuzufügen oder daraus zu entfernen, aktivieren oder deaktivieren Sie das Kontrollkästchen neben der **Subnetz-ID**, die Sie hinzufügen oder entfernen möchten.
**Anmerkung**
Das Hinzufügen oder Ändern eines VPC-Anhangs-Subnetzes kann sich auf den Datenverkehr auswirken, während sich der Anhang in einem Änderungszustand befindet.
1. Um auf eine Sicherheitsgruppe verweisen zu können, die mit einem Transit-Gateway VPCs verbunden ist, wählen Sie Unterstützung für die **Referenzierung von Sicherheitsgruppen** aus. Weitere Informationen zur Referenzierung von Sicherheitsgruppen finden Sie unter. [Referenzierung von Sicherheitsgruppen](tgw-vpc-attachments.md#vpc-attachment-security)
**Anmerkung**
Wenn Sie die Sicherheitsgruppenreferenzierung für ein vorhandenes Transit-Gateway deaktivieren, wird sie für alle VPC-Anlagen deaktiviert.
1. Wählen Sie **Ändern des Transit-Gateway-Anhangs** aus.
**So ändern Sie Ihre VPC-Anlagen mit dem AWS CLI**
Verwenden Sie den Befehl [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html).
# Ändern Sie VPC-Anhangs-Tags in AWS Transit Gateway
**So zeigen Sie VPC-Anhang-Tags mit der Konsole an**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Wählen Sie den VPC-Anhang und dann **Actions (Aktionen)**, **Manage tags (Tags verwalten)** aus.
1. [Tag (Markierung) hinzufügen] Wählen Sie **Add new tag (Neuen Tag (Markierung) hinzufügen)**, und führen Sie die folgenden Schritte aus:
+ Geben Sie bei **Key (Schlüssel)** den Schlüsselnamen ein.
+ Geben Sie bei **Value (Wert)** den Wert des Schlüssels ein.
1. [Tag entfernen] Wählen Sie neben dem Tag die Option **Remove (Entfernen)** aus.
1. Wählen Sie **Speichern**.
VPC-Anhangs-Tags können nur mit der Konsole geändert werden.
# Einen VPC-Anhang in AWS Transit Gateway anzeigen
**Anzeigen Ihrer VPC-Anhänge mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Suchen Sie in der Spalte **Resource type (Ressourcentyp)** nach **VPC**. Dies sind die VPC-Anhänge.
1. Wählen Sie einen Anhang aus, um dessen Details anzuzeigen.
**So zeigen Sie Ihre VPC-Anlagen mit dem AWS CLI**
Verwenden Sie den Befehl [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html).
# Löschen Sie einen VPC-Anhang in AWS Transit Gateway
**Löschen eines VPC-Anhangs mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Wählen Sie den VPC-Anhang aus.
1. Wählen Sie **Aktionen**, **Löschen des Transit-Gateway-Anhangs** aus.
1. Geben Sie bei der Aufforderung **delete** ein und wählen Sie **Delete (Löschen)** aus.
**Um einen VPC-Anhang mit dem AWS CLI**
Verwenden Sie den Befehl [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html).
# AWS Transit Gateway Sicherheitsgruppenregeln für eingehende Nachrichten aktualisieren
Sie können alle Sicherheitsgruppenregeln für eingehenden Datenverkehr aktualisieren, die einem Transit-Gateway zugeordnet sind. Sie können Sicherheitsgruppenregeln entweder über die Amazon VPC-Konsolenkonsole oder über die Befehlszeile oder API aktualisieren. Weitere Informationen zur Referenzierung von Sicherheitsgruppen finden Sie unter. [Referenzierung von Sicherheitsgruppen](tgw-vpc-attachments.md#vpc-attachment-security)
**So aktualisieren Sie Ihre Sicherheitsgruppenregeln mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie die Sicherheitsgruppe aus und klicken Sie auf **Aktionen**, Regeln für **eingehenden Datenverkehr bearbeiten, um die Regeln für eingehenden** Datenverkehr zu ändern.
1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** und geben Sie bei Bedarf den Typ, das Protokoll und den Portbereich an. Geben Sie für **Quelle** (eingehende Regel) die ID der Sicherheitsgruppe in der VPC ein, die mit dem Transit-Gateway verbunden ist.
**Anmerkung**
Sicherheitsgruppen in einer VPC, die mit dem Transit Gateway verbunden ist, werden nicht automatisch angezeigt.
1. Um eine bestehende Regel zu bearbeiten, ändern Sie ihre Werte (z. B. die Quelle oder die Beschreibung).
1. Um eine Regel zu löschen, wählen Sie die Schaltfläche **Löschen** neben der Regel.
1. Wählen Sie **Save rules (Regeln speichern)** aus.
**So aktualisieren Sie Regeln für eingehenden Datenverkehr über die Befehlszeile**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# Identifizieren Sie AWS Transit Gateway referenzierte Sicherheitsgruppen
Verwenden Sie einen der folgenden Befehle, um festzustellen, ob in den Regeln einer Sicherheitsgruppe in einer VPC, die an dasselbe Transit-Gateway angeschlossen ist, auf Ihre Sicherheitsgruppe verwiesen wird.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# Entfernen Sie veraltete AWS Transit Gateway Sicherheitsgruppenregeln
Eine veraltete Sicherheitsgruppenregel ist eine Regel, die auf eine gelöschte Sicherheitsgruppe in derselben VPC oder in einer VPC verweist, die mit demselben Transit-Gateway verbunden ist. Wenn eine Sicherheitsgruppenregel veraltet ist, wird sie nicht automatisch aus der Sicherheitsgruppe entfernt – Sie müssen Sie manuell entfernen.
Sie können die veralteten Sicherheitsgruppenregeln einer VPC mit der Amazon VPC-Konsole anzeigen und löschen.
**So zeigen Sie veraltete Sicherheitsgruppenregeln an und löschen sie**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.**
1. Klicken Sie auf **Actions** (Aktionen), **Manage stale rules** (Verwalten veraltter Regeln).
1. Wählen Sie unter **VPC** die VPC mit den veraltbaren Regeln aus.
1. Wählen Sie **Bearbeiten** aus.
1. Wählen Sie die Schaltfläche **Löschen** neben der Regel, die Sie löschen möchten. Wählen Sie **Preview changes (Änderungen überprüfen)**, **Save rules (Regeln speichern)**.
**Um Ihre veralteten Sicherheitsgruppenregeln mithilfe der Befehlszeile zu beschreiben**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
Nachdem Sie die veralteten Sicherheitsgruppenregeln identifiziert haben, können Sie sie mit den Befehlen [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)oder [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)löschen.
# Problembehandlung bei der AWS Erstellung von VPC-Anhängen für Transit Gateway
Das folgende Thema kann Ihnen bei der Behebung von Problemen helfen, die beim Erstellen eines VPC-Anhangs auftreten könnten.
**Problem**
Der VPC-Anhang ist fehlgeschlagen.
**Ursache**
Dies kann folgende Ursachen haben:
1. Der Benutzer, der den VPC-Anhang erstellt, hat keine korrekten Berechtigungen zum Erstellen einer serviceverknüpften Rolle.
1. Es gibt ein Problem mit der Drosselung aufgrund zu vieler IAM-Anforderungen. Sie verwenden zum Beispiel CloudFormation , um Berechtigungen und Rollen zu erstellen.
1. Das Konto hat die serviceverknüpfte Rolle, und die serviceverknüpfte Rolle wurde geändert.
1. Das Transit-Gateway befindet sich nicht in der Phase `available`.
**Lösung**
Versuchen Sie je nach Ursache Folgendes:
1. Stellen Sie sicher, dass der Benutzer über die richtigen Berechtigungen zum Erstellen von serviceverknüpften Rollen verfügt. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*. Nachdem der Benutzer die Berechtigungen hat, erstellen Sie den VPC-Anhang.
1. Erstellen Sie den VPC-Anhang manuell. Weitere Informationen finden Sie unter [Erstellen Sie einen VPC-Anhang in AWS Transit Gateway](create-vpc-attachment.md).
1. Stellen Sie sicher, dass die serviceverknüpfte Rolle die richtigen Berechtigungen hat. Weitere Informationen finden Sie unter [Serviceverknüpfte Rolle für Transit Gateways](service-linked-roles.md#tgw-service-linked-roles).
1. Prüfen Sie, ob das Transit-Gateway sich in der Phase `available` befindet. Weitere Informationen finden Sie unter [Transit-Gateway-Informationen in AWS Transit Gateway anzeigen](view-tgws.md).
# AWS Transit Gateway Gateway-Netzwerkfunktionsanhänge
Sie können einen Netzwerkfunktionsanhang erstellen, mit dem Sie Ihr Transit-Gateway direkt verbinden können AWS Network Firewall. Dadurch entfällt die Notwendigkeit, Inspektionen zu erstellen und zu verwalten VPCs.
Mit einem Firewall-Anhang werden im Hintergrund AWS automatisch alle erforderlichen Ressourcen bereitgestellt und verwaltet. Sie sehen einen neuen Transit-Gateway-Anhang und nicht einzelne Firewall-Endpunkte. Dies vereinfacht den Prozess der Implementierung einer zentralen Inspektion des Netzwerkverkehrs.
Bevor Sie einen Firewall-Anhang verwenden können, müssen Sie den Anhang zunächst in erstellen AWS Network Firewall. Die Schritte zum Erstellen des Anhangs finden Sie unter [Erste Schritte mit der AWS Network Firewall Verwaltung](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) im *AWS Network Firewall Entwicklerhandbuch*. Nachdem die Firewall erstellt wurde, können Sie den Anhang in der Transit Gateway Gateway-Konsole im Abschnitt **Anlagen** anzeigen. Der Anhang wird mit einer Art von **Netzwerkfunktion** aufgeführt.
**Topics**
+ [Akzeptieren oder lehnen Sie eine Verbindung mit einer Transit Gateway-Netzwerkfunktion ab](accept-reject-firewall-attachment.md)
+ [Anhänge zu Netzwerkfunktionen anzeigen](view-nf-attachment-nm.md)
+ [Leiten Sie den Verkehr über einen Transit Gateway-Netzwerkfunktionsanhang weiter](route-traffic-nf-attachment.md)
# Einen AWS Transit Gateway Gateway-Netzwerkfunktionsanhang annehmen oder ablehnen
Sie können entweder die Amazon VPC-Konsole oder die AWS Network Firewall CLI oder API verwenden, um einen Transit-Gateway-Netzwerkfunktionsanhang, einschließlich Netzwerk-Firewall-Anhängen, anzunehmen oder abzulehnen. Wenn Sie der Eigentümer eines Transit-Gateways sind und jemand von einem anderen Konto aus einen Firewall-Anhang zu Ihrem Transit-Gateway erstellt hat, müssen Sie die Anhangsanforderung akzeptieren oder ablehnen.
Informationen zum Annehmen oder Ablehnen eines Anhangs mit einer Netzwerkfunktion mithilfe der Netzwerk-Firewall-CLI finden Sie unter `AcceptNetworkFirewallTransitGatewayAttachment` oder `RejectNetworkFirewallTransitGatewayAttachment` APIs in der [https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html).
## Akzeptieren oder lehnen Sie einen Netzwerkfunktionsanhang über die Konsole ab
Verwenden Sie die Amazon VPC-Konsole, um den Anhang einer Transit-Gateway-Netzwerkfunktion anzunehmen oder abzulehnen.
**So akzeptieren oder lehnen Sie einen Netzwerkfunktionsanhang über die Konsole ab**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Transit Gateways** aus.
1. Wählen Sie **Transit Gateway-Anlagen** aus.
1. Wählen Sie den Anhang mit dem Status **Ausstehende Annahme** und dem Typ **Netzwerkfunktion** aus.
1. Wählen Sie „**Aktionen**“ und anschließend entweder „**Anlage annehmen**“ oder „**Anlage ablehnen**“.
1. Wählen Sie im Bestätigungsdialogfeld „**Annehmen**“ oder „**Ablehnen**“.
Wenn Sie den Anhang akzeptieren, wird er aktiv und die Firewall kann den Datenverkehr überprüfen. Wenn Sie den Anhang ablehnen, wechselt er in den Status Abgelehnt und wird schließlich gelöscht.
# AWS Transit Gateway Gateway-Netzwerkfunktionsanhänge anzeigen
Sie können Ihre Netzwerkfunktionsanhänge, einschließlich Ihrer AWS Network Firewall Anlagen, entweder mit der Amazon VPC-Konsole oder der Network Manager-Konsole anzeigen, um eine visuelle Darstellung Ihrer Netzwerktopologie zu erhalten.
## Sehen Sie sich mit der Network Manager-Konsole einen Anhang zu Netzwerkfunktionen an
Mit der Network Manager-Konsole können Sie Anlagen zu Netzwerkfunktionen anzeigen.
**So zeigen Sie Firewall-Anhänge im Network Manager an**
1. Öffnen Sie die Network Manager-Konsole zu [https://console.aws.amazon.com/networkmanager/Hause/](https://console.aws.amazon.com/networkmanager/home).
1. Erstellen Sie in Network Manager ein globales Netzwerk, falls Sie noch keines haben.
1. Registrieren Sie Ihr Transit-Gateway bei Network Manager.
1. Wählen Sie unter **Globale Netzwerke** das globale Netzwerk aus, in dem sich der Anhang befindet.
1. Klicken Sie im Navigationsbereich auf **Transit Gateways**.
1. Wählen Sie das Transit-Gateway aus, für das Sie Anlagen anzeigen möchten.
1. Wählen Sie **Topologie-Baumansicht**. Netzwerk-Firewall-Anhänge werden mit einem Netzwerkfunktionssymbol angezeigt.
1. Um Details zu einem bestimmten Firewall-Anhang anzuzeigen, wählen Sie das Transit-Gateway in der Topologieansicht und dann die Registerkarte **Netzwerkfunktion** aus.
Die Network Manager-Konsole bietet detaillierte Informationen zu Ihren Firewall-Anhängen, einschließlich ihres Status, des zugehörigen Transit-Gateways und der Availability Zones.
## Einen Netzwerkfunktionsanhang mit der Amazon VPC-Konsolenkonsole anzeigen
Verwenden Sie die VPC-Konsole, um eine Liste Ihrer Transit-Gateway-Anhangstypen anzuzeigen.
**So zeigen Sie Transit-Gateway-Anhangstypen mit der VPC-Konsole an**
+ Siehe [VPC-Anhang anzeigen](view-vpc-attachment.md).
# Leiten Sie den Verkehr über einen AWS Transit Gateway Gateway-Netzwerkfunktionsanhang weiter
Nachdem Sie einen Netzwerkfunktionsanhang erstellt haben, müssen Sie Ihre Transit-Gateway-Routentabellen aktualisieren, um den Verkehr entweder mit der Amazon VPC-Konsole oder mithilfe der CLI zur Überprüfung durch die Firewall zu senden. Die Schritte zum Aktualisieren der Zuordnung einer Transit-Gateway-Routentabelle finden Sie unter[Zuordnen einer Transit-Gateway-Routing-Tabelle](associate-tgw-route-table.md).
## Leiten Sie den Verkehr mithilfe der Konsole durch einen Firewall-Anhang
Verwenden Sie die Amazon VPC-Konsolenkonsole, um den Datenverkehr über einen Transit-Gateway-Netzwerkfunktionsanhang weiterzuleiten.
**Um den Verkehr mithilfe der Konsole über einen Netzwerkfunktionsanhang weiterzuleiten**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Transit Gateways** aus.
1. Wählen Sie **Transit Gateway-Routentabellen** aus.
1. Wählen Sie die Routentabelle aus, die Sie ändern möchten.
1. Wählen Sie **Aktionen** und dann **Statische Route erstellen** aus.
1. Geben Sie für **CIDR** den CIDR-Zielblock für die Route ein.
1. Wählen Sie für **Attachment** die Netzwerkfunktion Attachment aus. Dies kann beispielsweise ein AWS Network Firewall Anhang sein.
1. Wählen Sie **Create static route (Statische Route erstellen)** aus.
**Anmerkung**
Es werden nur statische Routen unterstützt.
Datenverkehr, der dem CIDR-Block in Ihrer Routing-Tabelle entspricht, wird nun zur Überprüfung an den Firewall-Anhang gesendet, bevor er an sein endgültiges Ziel weitergeleitet wird.
## Leiten Sie den Datenverkehr mithilfe der CLI oder API über einen Netzwerkfunktionsanhang weiter
Verwenden Sie die Befehlszeile oder API, um einen Transit-Gateway-Netzwerkfunktionsanhang weiterzuleiten.
**Um den Datenverkehr mithilfe der Befehlszeile oder API durch einen Netzwerkfunktionsanhang weiterzuleiten**
+ Verwenden Sie [https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html).
Die Anfrage könnte beispielsweise darin bestehen, einen Netzwerk-Firewall-Anhang weiterzuleiten:
```
aws ec2 create-transit-gateway-route \
--transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
--destination-cidr-block 0.0.0.0/0 \
--transit-gateway-attachment-id tgw-attach-0123456789abcdef0
```
Die Ausgabe gibt dann zurück:
```
{
"Route": {
"DestinationCidrBlock": "0.0.0.0/0",
"TransitGatewayAttachments": [
{
"ResourceId": "network-firewall",
"TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
"ResourceType": "network-function"
}
],
"Type": "static",
"State": "active"
}
}
```
Der Datenverkehr, der dem CIDR-Block in Ihrer Routing-Tabelle entspricht, wird nun zur Überprüfung an den Firewall-Anhang gesendet, bevor er an sein endgültiges Ziel weitergeleitet wird.
# AWS Site-to-Site VPN Anlagen in AWS Transit Gateway
Sie können einen Site-to-Site VPN-Anhang mit einem Transit-Gateway in AWS Transit Gateway verbinden, sodass Sie Ihre VPCs und Ihre lokalen Netzwerke verbinden können. Sowohl dynamische als auch statische Routen werden unterstützt, ebenso wie IPv4 und IPv6.
**Voraussetzungen**
+ Um eine VPN-Verbindung mit Ihrem Transit-Gateway verbinden zu können, müssen Sie das VPN-Kunden-Gateway angeben, für das spezifische Geräteanforderungen gelten. Bevor Sie einen Site-to-Site VPN-Anhang erstellen, überprüfen Sie die Kunden-Gateway-Anforderungen, um sicherzustellen, dass Ihr Gateway korrekt eingerichtet ist. Weitere Informationen zu diesen Anforderungen, einschließlich Beispieldateien für die Gateway-Konfiguration, finden Sie im *AWS Site-to-Site VPN Benutzerhandbuch* unter [Anforderungen für Ihr Site-to-Site VPN-Kunden-Gateway-Gerät](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html).
+ Bei statischen VPNs Routen müssen Sie außerdem zuerst die statischen Routen zur Routentabelle des Transit-Gateways hinzufügen. Statische Routen in einer Transit-Gateway-Routentabelle, die auf eine VPN-Verbindung abzielen, werden vom Site-to-Site VPN nicht gefiltert, da dies bei Verwendung eines BGP-basierten VPN zu einem unbeabsichtigten ausgehenden Verkehrsfluss führen kann. Die Schritte zum Hinzufügen einer statischen Route zu einer Transit-Gateway-Routentabelle finden Sie unter. [Erstellen einer statischen Route](tgw-create-static-route.md)
Sie können einen Site-to-Site Transit-Gateway-VPN-Anhang entweder mit der Amazon VPC-Konsole oder mit der AWS CLI erstellen, anzeigen oder löschen.
**Topics**
+ [Erstellen eines Transit-Gateway-Anhangs an ein VPN](create-vpn-attachment.md)
+ [Einen VPN-Anhang anzeigen](view-vpn-attachment.md)
+ [Löschen eines VPN-Anhangs](delete-vpn-attachment.md)
# Erstellen Sie einen Transit-Gateway-Anhang zu einem VPN in AWS Transit Gateway
**Erstellen eines VPN-Anhangs mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit Gateway-Anhänge)**.
1. Wählen Sie **Create Transit Gateway Attachment (Transit-Gateway-Anhang erstellen)** aus.
1. Wählen Sie für **Transit-Gateway-ID** das Transit Gateway für den Anhang aus. Sie können ein Transit Gateway auswählen, das Ihnen gehört.
1. Wählen Sie bei **Attachment type (Anfügungstyp)** die Option **VPN** aus.
1. Wählen Sie bei **Customer Gateway (Kunden-Gateway)** eine der folgenden Vorgehensweise:
+ Zum Verwenden eines vorhandenen Kunden-Gateways wählen Sie **Existing (Vorhanden)** und dann das zu verwendende Gateway aus.
Wenn sich Ihr Kunden-Gateway hinter einem NAT-Gerät (Network Address Translation) befindet, das für die NAT-Übersetzung (NAT-T) aktiviert ist, verwenden Sie die öffentliche IP-Adresse Ihres NAT-Geräts und ändern Sie Ihre Firewall-Regeln derart, das die Blockierung des UDP-Ports 4500 aufgehoben wird.
+ Zum Erstellen eines Kunden-Gateways wählen Sie **New (Neu)** aus. Bei **IP Address (IP-Adresse)** geben Sie dann eine statische öffentliche IP-Adresse und eine **BGP ASN (BGP-ASN)** ein.
Bei **Routing options (Routing-Optionen)** wählen Sie aus, ob **Dynamic (Dynamisch)** oder **Static (Statisch)** verwendet werden soll. Weitere Informationen finden Sie unter [Site-to-Site VPN-Routing-Optionen](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html) im *AWS Site-to-Site VPN Benutzerhandbuch*.
1. Geben Sie für **Tunnel Options** (Tunneloptionen) die CIDR-Bereiche und Pre-Shared-Schlüssel für Ihren Tunnel ein. Weitere Informationen finden Sie unter [Site-to-Site VPN-Architekturen](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html).
1. Wählen Sie **Create Transit Gateway Attachment (Transit-Gateway-Anhang erstellen)** aus.
**Um einen VPN-Anhang mit dem zu erstellen AWS CLI**
Verwenden Sie den [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)-Befehl.
# Einen VPN-Anhang in AWS Transit Gateway anzeigen
**Anzeigen Ihrer VPN-Anhänge mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Suchen Sie in der Spalte **Resource type (Ressourcentyp)** nach **VPN**. Dies sind die VPN-Anhänge.
1. Wählen Sie einen Anhang aus, um dessen Details anzuzeigen oder ihm Tags hinzuzufügen.
**Um Ihre VPN-Anhänge mit dem anzusehen AWS CLI**
Verwenden Sie den [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html)-Befehl.
# Löschen Sie einen VPN-Anhang in AWS Transit Gateway
**Löschen eines VPN-Anhangs mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Wählen Sie den VPN-Anhang aus.
1. Wählen Sie die Ressourcen-ID der VPN-Verbindung aus, um zur Seite **VPN Connections (VPN-Verbindungen)** zu gelangen.
1. Wählen Sie **Actions**, **Delete**.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Delete (Löschen)** aus.
**Um einen VPN-Anhang mit dem zu löschen AWS CLI**
Verwenden Sie den [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html)-Befehl.
# VPN Concentrator-Anhänge im AWS Transit Gateway
AWS Site-to-Site VPN Concentrator ist eine neue Funktion, die die Konnektivität mehrerer Standorte für verteilte Unternehmen vereinfacht. VPN Concentrator eignet sich für Kunden, die mehr als 25 Remote-Standorte verbinden müssen AWS, wobei jeder Standort eine geringe Bandbreite (unter 100 Mbit/s) benötigt.
## Wie funktioniert VPN Concentrator
Ein VPN Concentrator erscheint als einzelner Anhang auf Ihrem Transit-Gateway, kann aber mehrere Site-to-Site VPN-Verbindungen hosten.
Der Datenverkehr von allen VPN-Verbindungen auf dem Concentrator wird über denselben Transit-Gateway-Anhang geleitet, sodass Sie konsistente Routing-Richtlinien und Sicherheitsregeln für alle verbundenen Standorte anwenden können. Der Concentrator lässt sich nahtlos in die Routentabellen des Transit-Gateways integrieren, sodass Sie den Verkehrsfluss zwischen Ihren Remote-Standorten und anderen Anhängen VPCs, z. B. anderen VPN-Verbindungen und Peering-Verbindungen, steuern können.
## Vorteile von VPN Concentrator
+ **Kostenoptimierung**: Senken Sie die Kosten, indem Sie mehrere VPN-Verbindungen mit niedriger Bandbreite auf einem einzigen Transit-Gateway-Anschluss konsolidieren. Dies ist besonders vorteilhaft, wenn einzelne Standorte nicht die volle VPN-Verbindungskapazität benötigen.
+ **Vereinfachtes Management**: Verwalten Sie mehrere Verbindungen an entfernten Standorten über einen einheitlichen Anhang und behalten Sie gleichzeitig die individuelle Steuerung und Überwachung der VPN-Verbindungen bei.
+ **Konsistentes Routing**: Wenden Sie einheitliche Routing-Richtlinien für alle verbundenen Standorte über eine einzige Transit-Gateway-Routentabellenzuordnung an.
+ **Skalierbare Architektur**: Connect bis zu 100 Remote-Standorte mit einem einzigen Concentrator, der bis zu 5 Concentrators pro Transit-Gateway unterstützt.
+ **Standard-VPN-Funktionen**: Jede VPN-Verbindung unterstützt dieselben Sicherheits-, Überwachungs- und Routing-Funktionen wie Site-to-Site Standard-VPN-Verbindungen.
**Anforderungen und Einschränkungen**
+ **Nur BGP-Routing**: VPN Concentrator unterstützt nur BGP-Routing (dynamisches). Statisches Routing wird beim Start nicht unterstützt.
+ **Kunden-Gateway-Anforderungen**: Jeder Remote-Standort benötigt ein Kunden-Gateway, das BGP-Routing unterstützt. Bevor Sie VPN-Verbindungen auf einem Concentrator einrichten, überprüfen Sie die Kunden-Gateway-Anforderungen im [Abschnitt Anforderungen an Ihr Site-to-Site VPN-Kunden-Gateway-Gerät](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html) im *AWS Site-to-Site VPN Benutzerhandbuch*.
+ **Überlegungen zur Leistung**: Jede VPN-Verbindung auf einem Concentrator ist für eine maximale Bandbreite von 100 Mbit/s ausgelegt. Bei höheren Bandbreitenanforderungen sollten Sie die Verwendung von standardmäßigen Transit-Gateway-VPN-Anhängen in Betracht ziehen.
Sie können einen VPN Concentrator-Anhang entweder mit der AWS VPC-Konsole oder der CLI erstellen, anzeigen oder löschen. AWS Einzelne VPN-Verbindungen auf dem Concentrator werden über die Standard-VPN-Verbindung APIs und die Konsolenschnittstellen verwaltet.
**Topics**
+ [Wie funktioniert VPN Concentrator](#vpn-concentrator-how-it-works)
+ [Vorteile von VPN Concentrator](#vpn-concentrator-benefits)
+ [Erstellen Sie einen VPN Concentrator-Anhang](create-vpn-concentrator-attachment.md)
+ [Einen VPN Concentrator-Anhang anzeigen](view-vpn-concentrator-attachment.md)
+ [Löschen Sie einen VPN Concentrator-Anhang](delete-vpn-concentrator-attachment.md)
# Erstellen Sie einen VPN Concentrator-Anhang in AWS Transit Gateway
**Voraussetzungen**
+ In Ihrem Konto muss ein vorhandenes Transit-Gateway vorhanden sein.
**Um einen VPN Concentrator-Anhang mit der Konsole zu erstellen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Site-to-Site VPN Concentrators** aus.
1. Wählen Sie **Create Site-to-Site VPN Concentrator** aus.
1. (Optional) Geben Sie als **Namenstag** einen Namen für Ihren Site-to-Site VPN Concentrator ein.
1. Wählen Sie für **Transit-Gateway** ein vorhandenes Transit-Gateway aus.
1. (Optional) Um weitere Tags hinzuzufügen, wählen Sie **Neues Tag hinzufügen** und geben Sie den Schlüssel und den Wert für jedes Tag an.
1. Wählen Sie **Create Site-to-Site VPN Concentrator** aus.
**Nachdem Sie den VPN Concentrator-Anhang erstellt haben, wird er in der Liste der Anlagen mit dem Ressourcentyp **VPN Concentrator** und dem Anfangsstatus Ausstehend angezeigt.** **Wenn der Anhang bereit ist, ändert sich der Status in Verfügbar.** Sie können dann Site-to-Site VPN-Verbindungen auf diesem Concentrator erstellen.
**Um einen VPN Concentrator-Anhang mit dem zu erstellen AWS CLI**
Verwenden Sie den Befehl [create-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-concentrator.html).
**So erstellen Sie mithilfe der Konsole eine VPN-Verbindung auf einem VPN Concentrator**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.
1. Wählen Sie **Create VPN connection (VPN-Verbindung erstellen)** aus.
1. Wählen Sie als **Target Gateway Type** die Option **Site-to-Site VPN Concentrator** aus.
1. Wählen Sie für **Site-to-Site VPN Concentrator** den VPN Concentrator aus, für den Sie die VPN-Verbindung herstellen möchten.
1. Wählen Sie bei **Customer Gateway (Kunden-Gateway)** eine der folgenden Vorgehensweise:
+ Zum Verwenden eines vorhandenen Kunden-Gateways wählen Sie **Existing (Vorhanden)** und dann das zu verwendende Gateway aus. Stellen Sie sicher, dass das Kunden-Gateway BGP-Routing unterstützt.
+ Um ein Kunden-Gateway zu erstellen, wählen Sie **New (Neu)** aus. Geben Sie **unter IP-Adresse** die statische öffentliche IP-Adresse für Ihr Kunden-Gateway-Gerät ein. Geben Sie für **BGP ASN** die Border Gateway Protocol (BGP) Autonomous System Number (ASN) für Ihr Kunden-Gateway ein.
Wenn sich Ihr Kunden-Gateway hinter einem NAT-Gerät (Network Address Translation) befindet, das für die NAT-Übersetzung (NAT-T) aktiviert ist, verwenden Sie die öffentliche IP-Adresse Ihres NAT-Geräts und ändern Sie Ihre Firewall-Regeln derart, das die Blockierung des UDP-Ports 4500 aufgehoben wird.
1. Für die **Routing-Optionen** wird automatisch **Dynamisch (erfordert BGP**) ausgewählt. VPN Concentrator unterstützt nur dynamisches Routing mit BGP.
1. Wählen Sie für **Pre-Shared Key Storage** entweder **Standard** oder **Secrets Manager** aus.
1. Für die **Tunnelbandbreite** wird automatisch **Standard** ausgewählt. VPN Concentrator unterstützt nur Standard-Tunnelbandbreite.
1. Wählen Sie für die **IP-Version „Tunnel innerhalb** von IP“ entweder **IPv4**oder **IPv6**aus.
1. (Optional) Wählen Sie **Beschleunigung aktivieren** aus, um die Leistung von VPN-Tunneln zu verbessern.
1. (Optional) Geben Sie für **CIDR im lokalen IPv4 Netzwerk** einen IPv4 CIDR-Bereich an.
1. (Optional) Geben Sie für **CIDR im IPv4 Remote-Netzwerk einen CIDR-Bereich** an IPv4 .
1. Für den **Typ der externen IP-Adresse** können Sie entweder **Öffentlich IPv4** oder **IPv6**Adresse auswählen.
1. (Optional) Für **Tunneloptionen** können Sie Tunneleinstellungen wie interne Tunnel-IP-Adressen und Pre-Shared-Keys konfigurieren. Weitere Informationen finden Sie im *AWS Site-to-Site VPN Benutzerhandbuch* unter [Site-to-Site VPN-Architekturen](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html).
1. (Optional) Um weitere Tags hinzuzufügen, wählen Sie **Neues Tag hinzufügen** und geben Sie den Schlüssel und den Wert für jedes Tag an.
1. Wählen Sie **Create VPN connection (VPN-Verbindung erstellen)** aus.
Die VPN-Verbindung wird in der Liste der VPN-Verbindungen mit der VPN Concentrator-ID in der Spalte **Transit Gateway Gateway-ID** und dem Anfangsstatus **Ausstehend** angezeigt. Wenn die VPN-Verbindung bereit ist, ändert sich der Status in **Verfügbar.**
**Um eine VPN-Verbindung auf einem VPN Concentrator herzustellen, verwenden Sie AWS CLI**
Verwenden Sie den [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)Befehl und geben Sie die VPN Concentrator-ID mithilfe des `--vpn-concentrator-id` Parameters an.
# Einen VPN Concentrator-Anhang in AWS Transit Gateway anzeigen
**Um Ihre VPN Concentrator-Anhänge über die Konsole anzuzeigen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Suchen Sie in der Spalte **Ressourcentyp** nach **VPN Concentrator**. Dies sind die VPN Concentrator-Anhänge.
1. Wählen Sie einen Anhang aus, um dessen Details anzuzeigen.
**Um VPN-Verbindungen auf einem VPN Concentrator mithilfe der Konsole anzuzeigen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.
1. Identifizieren Sie in der Liste der VPN-Verbindungen Verbindungen, für die in der Spalte **Transit Gateway Gateway-ID eine VPN Concentrator-ID** angezeigt wird. Dies sind die VPN-Verbindungen, die auf VPN Concentrators gehostet werden.
1. Wählen Sie eine VPN-Verbindung aus, um deren Details anzuzeigen.
**Um Ihre VPN Concentrator-Anhänge anzuzeigen, verwenden Sie den AWS CLI**
Verwenden Sie den [describe-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-concentrator.html)Befehl, um die Details des VPN Concentrators anzuzeigen, oder verwenden Sie den [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html)Befehl mit einem Filter für den Ressourcentyp. `vpn-concentrator`
**Um VPN-Verbindungen auf einem VPN Concentrator anzuzeigen, verwenden Sie den AWS CLI**
Verwenden Sie den [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)Befehl mit einem Filter für`vpn-concentrator-id`, um VPN-Verbindungen anzuzeigen, die einem bestimmten Concentrator zugeordnet sind.
# Löschen Sie einen VPN Concentrator-Anhang in AWS Transit Gateway
**Voraussetzungen**
+ Alle VPN-Verbindungen auf dem VPN Concentrator müssen gelöscht werden, bevor Sie den Concentrator-Anhang löschen können.
+ Stellen Sie sicher, dass Sie Ihre Routing-Konfigurationen aktualisiert haben, um der Entfernung des VPN Concentrators und der zugehörigen VPN-Verbindungen Rechnung zu tragen.
**So löschen Sie VPN-Verbindungen auf einem VPN Concentrator mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.
1. Identifizieren Sie die mit Ihrem VPN Concentrator verknüpften VPN-Verbindungen, indem Sie in der Spalte **Transit Gateway ID nach der VPN Concentrator-ID** suchen.
1. Wählen Sie eine VPN-Verbindung aus, die Sie löschen möchten.
1. Wählen Sie **Actions**, **Delete**.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Delete (Löschen)** aus.
1. Wiederholen Sie die Schritte 4-6 für jede VPN-Verbindung, die dem VPN Concentrator zugeordnet ist.
**Um einen VPN Concentrator-Anhang mithilfe der Konsole zu löschen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Wählen Sie den VPN Concentrator-Anhang aus, den Sie löschen möchten. Stellen Sie sicher, dass diesem Concentrator keine VPN-Verbindungen zugeordnet sind.
1. Wählen Sie „**Aktionen**“, **„Anhang löschen“**.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Delete (Löschen)**.
Der VPN Concentrator-Anhang wechselt in den Status **Löschen** und wird aus Ihrem Konto entfernt. Es kann einige Minuten dauern, bis dieser Vorgang abgeschlossen ist.
**Um VPN-Verbindungen auf einem VPN Concentrator zu löschen, verwenden Sie den AWS CLI**
Verwenden Sie den [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html)Befehl für jede VPN-Verbindung, die dem VPN Concentrator zugeordnet ist.
**Um einen VPN Concentrator-Anhang mit dem zu löschen AWS CLI**
Verwenden Sie den [delete-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-concentrator.html)Befehl, nachdem alle VPN-Verbindungen gelöscht wurden.
# Transit-Gateway-Anlagen an ein Direct Connect-Gateway in AWS Transit Gateway
Sie können einem Direct-Connect-Gateway mithilfe einer virtuellen Transit-Schnittstelle ein Transit-Gateway anhängen. Diese Konfiguration bietet die folgenden Vorteile. Sie haben folgende Möglichkeiten:
+ Verwaltet eine einzelne Verbindung für mehrere Verbindungen VPCs oder Verbindungen VPNs , die sich in derselben Region befinden.
+ Kündigen Sie Präfixe von lokal zu AWS und von zu lokal AWS an.
Das folgende Diagramm zeigt, wie Sie mit dem Direct Connect-Gateway eine einzige Verbindung zu Ihrer Direct Connect-Verbindung herstellen können, die alle verwenden VPCs können.
![\[Mit einem Transit Gateway verbundenes Direct-Connect-Gateway\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/images/direct-connect-tgw.png)
Die Lösung umfasst die folgenden Komponenten:
+ Ein Transit Gateway.
+ Ein Direct-Connect-Gateway
+ Eine Zuordnung zwischen dem Direct-Connect-Gateway und dem Transit Gateway.
+ Eine dem Direct-Connect-Gateway angefügte virtuelle Transit-Schnittstelle
Informationen zur Konfiguration von Direct-Connect-Gateways mit Transit Gateways finden Sie unter [Transit-Gateway-Zuordnungen](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html) im *AWS Direct Connect -Direct-Connect-Benutzerhandbuch*.
# Transit-Gateway-Peering-Anlagen in AWS Transit Gateway
Sie können sowohl regionsinterne als auch regionsübergreifende Transit-Gateways miteinander verbinden und den Verkehr zwischen ihnen weiterleiten, was auch den Datenverkehr einschließt. IPv4 IPv6 Erstellen Sie dazu einen Peering-Anhang auf Ihrem Transit Gateway und geben Sie einen Transit Gateway an. Das Peer-Transit-Gateway kann sich entweder in Ihrem Konto befinden oder von einem anderen Konto stammen. Sie können auch einen Peering-Anhang von Ihrem eigenen Konto an ein Transit-Gateway in einem anderen Konto anfordern.
Nachdem Sie eine Peering-Anhangs-Anforderung erstellt haben, muss der Besitzer des Peer-Transit-Gateways (auch als *Accepter Transit Gateway*bezeichnet) die Anforderung akzeptieren. Um Datenverkehr zwischen durch Peering verbundenen Transit Gateways weiterzuleiten, müssen Sie der Transit-Gateway-Routing-Tabelle eine statische Route hinzufügen, die auf den Peering-Anhang des Transit Gateways verweist.
Wir empfehlen, ASNs für jedes Peering-Transit-Gateway ein eigenes zu verwenden, um die Vorteile der future Route-Propagierung zu nutzen.
Das Transit-Gateway-Peering unterstützt nicht die Auflösung von öffentlichen oder privaten IPv4 DNS-Hostnamen in private IPv4 Adressen VPCs auf beiden Seiten der Transit-Gateway-Peering-Verbindung unter Verwendung von in einer anderen Region. Amazon Route 53 Resolver Weitere Informationen zum Route 53 Resolver finden Sie unter [Was ist Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) im *Entwicklerhandbuch zu Amazon Route 53*.
Interregionales Gateway-Peering verwendet dieselbe Netzwerkinfrastruktur wie VPC-Peering. Daher wird der Datenverkehr mit AES-256-Verschlüsselung auf der virtuellen Netzwerkschicht verschlüsselt, während er zwischen Regionen verläuft. Der Datenverkehr wird auch mit AES-256-Verschlüsselung auf der physischen Ebene verschlüsselt, wenn er Netzwerkverbindungen durchquert, die außerhalb der physischen Kontrolle von AWS liegen. Aus diesem Grund wird der Datenverkehr auf Netzwerkverbindungen, die sich der physischen Kontrolle von entziehen, doppelt verschlüsselt. AWS Innerhalb derselben Region wird der Datenverkehr nur dann auf der physischen Ebene verschlüsselt, wenn er Netzwerkverbindungen durchquert, die außerhalb der physischen Kontrolle von AWS liegen.
Informationen darüber, welche Regionen Transit-Gateway-Peering-Anlagen unterstützen, finden Sie unter [AWS Transit Gateways FAQs](https://aws.amazon.com/transit-gateway/faqs/).
## Überlegungen zur Region, für die Sie sich anmelden AWS
Sie können Peering-Verbindungen zwischen Transit Gateways über Opt-In-Regionengrenzen hinweg herstellen. Informationen zu diesen Regionen und dazu, wie Sie sich anmelden können, finden Sie unter [AWS Regionen verwalten](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html). Berücksichtigen Sie Folgendes, wenn Sie Transit-Gateway-Peering in diesen Regionen verwenden:
+ Sie können ein Peering in einer Opt-in-Region durchführen, solange sich das Konto, das der Peering-Anhang akzeptiert, für diese Region angemeldet ist.
+ Teilt unabhängig vom Opt-In-Status der Region AWS die folgenden Kontodaten mit dem Konto, das den Peering-Anhang akzeptiert:
+ AWS-Konto ID
+ Transit-Gateway-ID
+ Regionscode
+ Wenn Sie den Transit-Gateway-Anhang löschen, werden die oben genannten Kontodaten gelöscht.
+ Wir empfehlen, dass Sie den Peering-Anhang des Transit Gateways löschen, bevor Sie sich von der Region abmelden. Wenn Sie den Peering-Anhang nicht löschen, wird der Datenverkehr möglicherweise weiterhin über den Anhang geleitet und es entstehen weiterhin Gebühren. Wenn Sie den Anhang nicht löschen, können Sie sich wieder anmelden und den Anhang dann löschen.
+ Im Allgemeinen verfügt das Transit Gateway über ein Modell, in dem der Sender zahlt. Durch die Verwendung eines Transit-Gateway-Peering-Anhangs über eine Opt-in-Grenze hinweg können Gebühren in einer Region anfallen, die den Anhang akzeptiert, einschließlich der Regionen, für die Sie sich nicht angemeldet haben. Weitere Informationen finden Sie unter [AWS -Transit-Gateway-Preise](https://aws.amazon.com/transit-gateway/pricing/).
**Topics**
+ [Überlegungen zur Region, für die Sie sich anmelden AWS](#opt-in-considerations)
+ [Erstellen eines Peering-Anhangs](tgw-peering-create.md)
+ [Nehmen Sie eine Peering-Anfrage an oder lehnen Sie sie ab](tgw-peering-accept-reject.md)
+ [Fügen Sie einer Transit-Gateway-Routentabelle eine Route hinzu](tgw-peering-add-route.md)
+ [Löschen eines Peering-Anhangs](tgw-peering-delete.md)
# Erstellen Sie einen Peering-Anhang in AWS Transit Gateway
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die ID des Transit Gateways verfügen, das Sie anhängen möchten. Wenn sich das Transit-Gateway in einem anderen befindet AWS-Konto, stellen Sie sicher, dass Sie die AWS-Konto ID des Besitzers des Transit-Gateways haben. Nachdem Sie den Peering-Anhang erstellt haben, muss der Besitzer des Transit-Gateways, der die Anlage akzeptiert hat, die Anhangsanforderung annehmen oder ablehnen.
**So erstellen Sie einen Peering-Anhang mit der Konsole:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit Gateway-Anhänge)**.
1. Wählen Sie **Create Transit Gateway Attachment (Transit-Gateway-Anhang erstellen)** aus.
1. Wählen Sie für **Transit-Gateway-ID** das Transit Gateway für den Anhang aus. Sie können ein Transit Gateway auswählen, das Ihnen gehört. Transit-Gateways, die mit Ihnen gemeinsam genutzt werden, sind nicht für Peering verfügbar.
1. Wählen Sie für **Attachment type (Anhangstyp)** die Option **Peering Connection (Peering-Verbindung)**.
1. Geben Sie optional ein Namen-Tag für den Anhang ein.
1. Führen Sie unter **Account (Konto)** eine der folgenden Aktionen aus:
+ Wenn sich das Transit Gateway in Ihrem Konto befindet, wählen Sie **My account (Mein Konto)** aus.
+ Wenn sich das Transit-Gateway in einem anderen befindet AWS-Konto, wählen Sie **Anderes** Konto. Geben Sie für **Konto-ID** die AWS-Konto -ID ein.
1. Wählen Sie unter **Region** die Region aus, in der sich das Transit Gateway befindet.
1. Geben Sie für **Transit Gateway (Accepter)** die ID des Transit Gateways ein, das Sie anhängen möchten.
1. Wählen Sie **Create Transit Gateway Attachment (Transit-Gateway-Anhang erstellen)** aus.
**Um einen Peering-Anhang mit dem zu erstellen AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-peering-attachment.html).
# Eine Peering-Anhangsanforderung in AWS Transit Gateway annehmen oder ablehnen
Bei der Erstellung wird ein Transit-Gateway-Peering-Anhang automatisch in einem bestimmten `pendingAcceptance` Zustand erstellt und verbleibt auf unbestimmte Zeit in diesem Zustand, bis er entweder akzeptiert oder abgelehnt wird. Um den Peering-Anhang zu aktivieren, muss der Besitzer des akzeptierenden Transit-Gateways die Anfrage für den Peering-Anhang akzeptieren, auch wenn beide Transit-Gateways demselben Konto angehören. Akzeptieren Sie die Peering-Anhangs-Anforderung aus der Region, in der sich das Transit Gateway des Empfängers befindet. Wenn Sie den Peering-Anhang ablehnen, müssen Sie alternativ die Anfrage aus der Region ablehnen, in der sich das akzeptierende Transit-Gateway befindet.
**So akzeptieren Sie eine Peering-Anhangs-Anforderung über die Konsole:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Wählen Sie den Peering-Anhang des Transit Gateways aus, für den die Annahme aussteht.
1. Wählen Sie **Aktionen**, **Akzeptieren des Transit-Gateway-Anhangs** aus.
1. Fügen Sie die statische Route zur Transit-Gateway-Routing-Tabelle hinzu. Weitere Informationen finden Sie unter [Erstellen Sie eine statische Route in AWS Transit Gateway](tgw-create-static-route.md).
**So lehnen Sie eine Peering-Anhangs-Anforderung über die Konsole ab:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Wählen Sie den Peering-Anhang des Transit Gateways aus, für den die Annahme aussteht.
1. Wählen Sie **Aktionen**, **Ablehnen des Transit-Gateway-Anhangs** aus.
**Um einen Peering-Anhang anzunehmen oder abzulehnen, verwenden Sie AWS CLI**
Verwenden Sie die Befehle [accept-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-peering-attachment.html) und [reject-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-transit-gateway-peering-attachment.html).
# Hinzufügen einer Route zu einer Transit-Gateway-Routentabelle mithilfe von AWS Transit Gateway
Um Datenverkehr zwischen durch Peering verbundenen Transit Gateways weiterzuleiten, müssen Sie der Routing-Tabelle des Transit Gateways eine statische Route hinzufügen, die auf die Peering-Anlage des Transit Gateways verweist. Der Besitzer des annehmenden Transit Gateways muss auch eine statische Route zur Routing-Tabelle ihres Transit Gateways hinzufügen.
**So erstellen Sie eine Route mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle aus, für die eine Route erstellt werden soll.
1. Wählen Sie **Actions (Aktionen)**, **Create static route (Statische Route erstellen)** aus.
1. Geben Sie auf der Seite **Create static route (Statische Route erstellen)** den CIDR-Block an, für den die Route erstellt werden soll. Geben Sie beispielsweise den CIDR-Block einer VPC an, die mit dem Peer-Transport-Gateway verbunden ist.
1. Wählen Sie den Peering-Anhang für die Route aus.
1. Wählen Sie **Create static route (Statische Route erstellen)** aus.
**Um eine statische Route mit dem zu erstellen AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html).
**Wichtig**
Nachdem Sie die Route erstellt haben, muss der Transit-Gateway-Peering-Anhang bereits mit der Transit-Gateway-Routentabelle verknüpft sein. Weitere Informationen finden Sie unter [Ordnen Sie eine Transit-Gateway-Routentabelle in AWS Transit Gateway zu](associate-tgw-route-table.md).
# Löschen Sie einen Peering-Anhang in AWS Transit Gateway
Sie können einen Transit-Gateway-Peering-Anhang löschen. Der Besitzer eines der Transit-Gateways kann den Anhang löschen.
**So löschen Sie einen Peering-Anhang über die Konsole:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhänge)**.
1. Wählen Sie den Peering-Anhang des Transit Gateways aus.
1. Wählen Sie **Aktionen**, **Löschen des Transit-Gateway-Anhangs** aus.
1. Geben Sie **delete** ein und wählen Sie **Delete (Löschen)**.
**Um einen Peering-Anhang mit dem zu löschen AWS CLI**
Verwenden Sie den Befehl [delete-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-peering-attachment.html).
# Anlagen Connect und Peers in AWS Transit Gateway verbinden
Sie können einen *Transit-Gateway-Connect-Anhang* erstellen, um eine Verbindung zwischen einem Transit Gateway und virtuellen Appliances von Drittanbietern (wie SD-WAN-Appliances) herzustellen, die in einer VPC ausgeführt werden. Ein Connect-Anhang unterstützt das Generic Routing Encapsulation (GRE) Tunnelprotokoll für hohe Leistung und das Border Gateway Protocol (BGP) für dynamisches Routing. Nachdem Sie einen Connect-Anhang erstellt haben, können Sie einen oder mehrere GRE-Tunnel (auch *Transit-Gateway-Connect-Peers*genannt) in dem Connect-Anhang erstellen, um das Transit Gateway und die Drittanbieter-Appliance zu verbinden. Sie bauen zwei BGP-Sitzungen über den GRE-Tunnel auf, um Routing-Informationen auszutauschen.
**Wichtig**
Ein Transit Gateway Connect-Peer besteht aus zwei BGP-Peering-Sitzungen, die auf AWS einer verwalteten Infrastruktur enden. Die beiden BGP-Peering-Sitzungen bieten Redundanz der Routingebene und stellen sicher, dass der Verlust einer BGP-Peering-Sitzung Ihren Routing-Vorgang nicht beeinträchtigt. Die von beiden BGP-Sitzungen empfangenen Routing-Informationen werden für den angegebenen Connect-Peer gesammelt. Die beiden BGP-Peering-Sitzungen schützen auch vor AWS -Infrastrukturvorgängen wie routinemäßige Wartung, Patches, Hardware-Upgrades und Austausch. Wenn Ihr Connect-Peer ohne die empfohlene duale BGP-Peering-Sitzung arbeitet, die für Redundanz konfiguriert ist, kann es während des Infrastrukturbetriebs zu einem vorübergehenden Verbindungsverlust kommen. AWS Wir empfehlen dringend, dass Sie beide BGP-Peering-Sitzungen auf Ihrem Connect-Peer konfigurieren. Wenn Sie mehrere Connect-Peers konfiguriert haben, um Hochverfügbarkeit auf Geräteseite zu unterstützen, empfehlen wir Ihnen, beide BGP-Peering-Sitzungen auf jedem Ihrer Connect-Peers zu konfigurieren.
Ein Connect-Anhang verwendet eine vorhandene VPC- oder einen -Direct-Connect-Anhang als zugrundeliegenden Transportmechanismus. Dies wird als *Transport-Anhang* bezeichnet. Das Transit Gateway identifiziert übereinstimmende GRE-Pakete der Drittanbieter-Appliance als Datenverkehr aus dem Connect-Anhang. Es behandelt alle anderen Pakete, einschließlich GRE-Pakete mit falschen Quell- oder Zielinformationen, als Datenverkehr aus dem Transport-Anhang.
**Anmerkung**
Um einen Direct Connect-Anhang als Transportmechanismus zu verwenden, müssen Sie Direct Connect zunächst in AWS Transit Gateway integrieren. Die Schritte zum Erstellen dieser Integration finden Sie unter [Integrieren von SD-WAN-Geräten in AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/integrate-sd-wan-devices-with-aws-transit-gateway-and-aws-direct-connect/) und. Direct Connect
## Connect-Peers
Ein Connect-Peer (GRE-Tunnel) besteht aus folgenden Komponenten.
**Innere CIDR-Blöcke (BGP-Adressen)**
Die inneren IP-Adressen, die für BGP-Peering verwendet werden. Sie müssen einen /29 CIDR-Block aus dem Bereich für angeben. `169.254.0.0/16` IPv4 Sie können optional einen CIDR-Block /125 aus dem Bereich für angeben. `fd00::/8` IPv6 Die folgenden CIDR-Blöcke sind reserviert und können nicht verwendet werden:
+ 169.254.0.0/29
+ 169,254.1.0/29
+ 169,254.2.0/29
+ 169,254,3,0/29
+ 169,254,4,0/29
+ 169,254,5,0/29
+ 169.254.169.248/29
Sie müssen die erste Adresse aus dem IPv4 Bereich auf der Appliance als BGP-IP-Adresse konfigurieren. Wenn Sie verwenden IPv6 und Ihr interner CIDR-Block fd00: :/125 ist, müssen Sie die erste Adresse in diesem Bereich (fd00: :1) auf der Tunnelschnittstelle der Appliance konfigurieren.
Die BGP-Adressen müssen in allen Tunneln eines Transit Gateways eindeutig sein.
**Peer-IP-Adressen**
Die Peer-IP-Adresse (äußere GRE-IP-Adresse) auf der Appliance-Seite des Connect-Peers. Dies kann eine beliebige IP-Adresse sein. Bei der IP-Adresse kann es sich um eine IPv6 OR-Adresse IPv4 handeln, es muss sich jedoch um dieselbe IP-Adressfamilie wie die Transit-Gateway-Adresse handeln.
**Transit-Gateway-Adresse**
Die Peer-IP-Adresse (äußere GRE-IP-Adresse) auf der Transit-Gateway-Seite des Connect-Peers. Die IP-Adresse muss aus dem CIDR-Block des Transit Gateways angegeben werden und für Connect-Anhänge auf dem Transit Gateway eindeutig sein. Wenn Sie keine IP-Adresse angeben, wird die erste verfügbare Adresse aus dem CIDR-Block des Transit Gateways verwendet.
Sie können einen CIDR-Block für das Transit Gateway hinzufügen, wenn Sie ein Transit Gateway [erstellen](create-tgw.md) oder [ändern](tgw-modifying.md) .
Bei der IP-Adresse kann es sich um eine IPv4 IPv6 Oder-Adresse handeln, es muss sich jedoch um dieselbe IP-Adressfamilie wie die Peer-IP-Adresse handeln.
Die Peer-IP-Adresse und die Transit-Gateway-Adresse werden verwendet, um den GRE-Tunnel eindeutig zu identifizieren. Sie können beide Adressen für mehrere Tunnel wiederverwenden, aber nicht beide im selben Tunnel.
Transit Gateway Connect für das BGP-Peering unterstützt nur Multiprotocol BGP (MP-BGP), bei dem IPv4 Unicast-Adressierung erforderlich ist, um auch eine BGP-Sitzung für Unicast einzurichten. IPv6 Sie können sowohl als auch Adressen für die äußeren GRE-IP-Adressen verwenden. IPv4 IPv6
Das folgende Beispiel zeigt einen Connect-Anhang zwischen einem Transit Gateway und einer Appliance in einer VPC.
![\[Transit-Gateway Connect-Anfügung und Connect-Peer\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/images/transit-gateway-connect-peer.png)
| Diagrammkomponente | Description |
| --- | --- |
| ![\[Zeigt, wie VPC-Anhänge im Beispieldiagramm dargestellt werden.\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/images/VPC-attachment.png) | VPC-Anhang |
| ![\[Zeigt, wie Connect-Anhänge im Beispieldiagramm dargestellt werden.\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/images/connect-attachment.png) | Connect-Anhang |
| ![\[Zeigt, wie GRE-Anhänge im Beispieldiagramm dargestellt werden.\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/images/GRE-tunnel.png) | GRE-Tunnel (Connect-Peer) |
| ![\[Zeigt, wie BGP-Peering-Sitzungen im Beispieldiagramm dargestellt werden.\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/images/bgp-peering.png) | BGP-Peering-Sitzung |
Im vorherigen Beispiel wird ein Transit-Gateway-Connect-Anhang auf einem vorhandenen VPC-Anhang (dem Transport-Anhang) erstellt. In der Connect-Anfügung wird ein Connect-Peer erstellt, um eine Verbindung zu einer Appliance in der VPC herzustellen. Die Adresse des Transit Gateways ist `192.0.2.1`, und der Bereich der BGP-Adressen ist `169.254.6.0/29`. Die erste IP-Adresse in dem Bereich (`169.254.6.1`) wird auf der Appliance als Peer-BGP-IP-Adresse konfiguriert.
Die Subnetz-Routing-Tabelle für VPC C umfasst eine Route, die den für den CIDR-Block des Transit Gateways bestimmten Datenverkehr zum Transit Gateway anzeigt.
| Zielbereich | Ziel |
| --- | --- |
| 172.31.0.0/16 | Local |
| 192.0.2.0/24 | tgw-id |
## Anforderungen und Überlegungen
Nachfolgend werden Anforderungen und Überlegungen für einen Connect-Anhang aufgeführt:
+ Informationen dazu, welche Regionen Connect-Anhänge unterstützen, finden Sie unter [AWS – Häufig gestellte Fragen](https://aws.amazon.com/transit-gateway/faqs/).
+ Die Drittanbieter-Appliance muss so konfiguriert sein, dass sie mit dem Connect-Anhang Datenverkehr über einen GRE-Tunnel zum und vom Transit Gateway sendet und empfängt.
+ Die Drittanbieter-Appliance muss so konfiguriert sein, dass sie BGP für dynamische Routen-Aktualisierungen und Zustandsprüfungen verwendet.
+ Folgende Arten von BGP werden unterstützt:
+ Exterior BGP (eBGP): Wird für die Verbindung mit Routern verwendet, die sich in einem anderen autonomen System befinden als das Transit Gateway. Wenn Sie eBGP verwenden, müssen Sie ebgp-multihop mit einem time-to-live (TTL) -Wert von 2 konfigurieren.
+ Interior BGP (iBGP): Wird für die Verbindung mit Routern verwendet, die sich im selben autonomen System wie das Transit Gateway befinden. Das Transit-Gateway installiert keine Routen von einem iBGP-Peer (Appliance eines Drittanbieters), es sei denn, die Routen stammen von einem eBGP-Peer und hätten konfiguriert werden müssen. next-hop-self Die Routen, die von einer Drittanbieter-Appliance über das iBGP-Peering angekündigt werden, müssen über eine ASN verfügen.
+ MP-BGP (Multiprotokollerweiterungen für BGP): Wird für die Unterstützung mehrerer Protokolltypen verwendet, z. B. Adressfamilien. IPv4 IPv6
+ Das standardmäßige BGP-Keep-Alive-Timeout beträgt 10 Sekunden und der standardmäßige Hold-Timer beträgt 30 Sekunden.
+ IPv6 BGP-Peering wird nicht unterstützt; nur basiertes BGP-Peering wird unterstützt. IPv4 IPv6 Präfixe werden über IPv4 BGP-Peering mithilfe von MP-BGP ausgetauscht.
+ Bidirectional Forwarding Detection (BFD) wird nicht unterstützt.
+ Der kontrollierte Neustart von BGP wird nicht unterstützt.
+ Wenn Sie einen Transit-Gateway-Peer erstellen und keine Peer-ASN-Nummer angeben, wählen wir die ASN-Nummer des Transit Gateways aus. Das bedeutet, dass sich Ihre Appliance und Ihr Transit Gateway im selben autonomen System wie IBGP befinden.
+ Wenn Sie über zwei Connect-Peers verfügen, ist der Connect-Peer, der das Attribut BGP AS-PATH verwendet, die bevorzugte Route.
Um kostengünstiges Multi-Path-Routing (ECMP) zwischen mehreren Appliances zu verwenden, müssen Sie die Appliance so konfigurieren, dass dieselben Präfixe für das Transit Gateway mit demselben BGP-AS-PATH-Attribut angekündigt werden. Damit das Transit Gateway alle verfügbaren ECMP-Pfade auswählen kann, müssen der AS-PFAD und die Autonomous System Number (ASN) übereinstimmen. Das Transit-Gateway kann ECMP zwischen Connect-Peers für dieselbe Connect-Anfügung oder zwischen Connect-Anfügungen auf demselben Transit-Gateway verwenden. Für das Transit Gateway ist kein ECMP zwischen den beiden redundanten BGP-Peerings möglich.
+ Bei einem Connect-Anhang werden die Routen standardmäßig an eine Transit-Gateway-Routing-Tabelle weitergegeben.
+ Statische Routen werden nicht unterstützt.
+ Konfigurieren Sie die GRE-Tunnel-MTU so, dass sie kleiner als die MTU der externen Schnittstelle ist, indem Sie den Overhead des GRE-Headers (24 Byte) und den äußeren IP-Header (20 Byte) subtrahieren. Wenn die MTU Ihrer externen Schnittstelle beispielsweise 1500 Byte beträgt, legen Sie die GRE-Tunnel-MTU auf 1456 Byte (1500 — 24 — 20 = 1456) fest, um eine Paketfragmentierung zu verhindern.
**Topics**
+ [Connect-Peers](#tgw-connect-peer)
+ [Anforderungen und Überlegungen](#tgw-connect-requirements)
+ [Erstellen Sie einen Connect-Anhang](create-tgw-connect-attachment.md)
+ [Einen Connect-Peer erstellen](create-tgw-connect-peer.md)
+ [Connect-Anhänge und Connect-Peers anzeigen](view-tgw-connect-attachments.md)
+ [Connect-Anhang und Connect-Peer-Tags ändern](modify-connect-attachment-tag.md)
+ [Löschen eines Connect-Peers](delete-tgw-connect-peer.md)
+ [Löschen Sie einen Connect-Anhang](delete-tgw-connect-attachment.md)
# Erstellen Sie einen Connect-Anhang in AWS Transit Gateway
Um einen Connect-Anhang zu erstellen, müssen Sie einen vorhandenen Anhang als Transport-Anhang angeben. Sie können eine VPC-Anfügung oder eine Direct Connect-Anfügung als Transportanfügung angeben.
**So erstellen Sie einen Peering-Anhang über die Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhänge)**.
1. Wählen Sie **Create Transit Gateway Attachment (Transit-Gateway-Anhang erstellen)** aus.
1. (Optional) Geben Sie unter **Name tag (Namens-Tag)** einen Namens-Tag für den Anhang an.
1. Wählen Sie für **Transit-Gateway-ID** das Transit Gateway für den Anhang aus.
1. Wählen Sie bei **Attachment type (Anhangstyp)** die Option **Connect** aus.
1. Wählen Sie für die **Transport Attachment ID (ID des Transport-Anhangs)** die ID eines vorhandenen Anhangs (der Transport-Anhang).
1. Wählen Sie **Create Transit Gateway Attachment (Transit-Gateway-Anhang erstellen)** aus.
**So erstellen Sie einen Connect-Anhang mit dem AWS CLI**
Verwenden Sie den [create-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect.html)-Befehl.
# Erstellen Sie einen Connect-Peer in AWS Transit Gateway
Sie können einen Connect-Peer (GRE-Tunnel) für eine bestehende Connect-Anfügung erstellen. Stellen Sie zuvor sicher, dass Sie einen CIDR-Block für das Transit Gateway konfiguriert haben. Sie können einen CIDR-Block für Transit Gateways konfigurieren, wenn Sie ein Transit Gateway [erstellen](create-tgw.md) oder [ändern](tgw-modifying.md) .
Wenn Sie den Connect-Peer erstellen, müssen Sie die äußere GRE-IP-Adresse auf der Appliance-Seite des Connect-Peers angeben.
**So erstellen Sie einen Connect-Peer über die Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhänge)**.
1. Wählen Sie den Connect-Anhang aus und wählen Sie **Actions (Aktionen)**, **Create Connect Peer (Connect-Peer erstellen)**.
1. (Optional) Geben Sie für **Name tag (Namens-Tag)** einen Namenstag für den Connect-Peer an.
1. (Optional) Geben Sie für **Transit Gateway GRE Address (Transit-Gateway-GRE-Adresse)** die äußere GRE-IP-Adresse für das Transit Gateway an. Standardmäßig wird die erste verfügbare Adresse aus dem CIDR-Block des Transit Gateways verwendet.
1. Geben Sie für **Peer GRE Address (Peer-GRE-Adresse)**die äußere GRE-IP-Adresse für die Appliance-Seite des Connect-Peers an.
1. Geben Sie für **BGP Inside CIDR-Blöcke** den Bereich der internen IPv4 Adressen an IPv4, die für BGP-Peering verwendet werden. Ein CIDR-Block der Größe /29 aus dem Bereich `169.254.0.0/16`.
1. (Optional) Geben Sie für **BGP Inside CIDR-Blöcke** den Bereich der internen IPv6 Adressen an IPv6, die für BGP-Peering verwendet werden. Ein CIDR-Block der Größe /125 aus dem Bereich `fd00::/8`.
1. (Optional) Geben Sie für **Peer-ASN**die Border Gateway Protocol (BGP) Autonomous System Number (ASN) für die Appliance an. Sie können eine bereits zu Ihrem Netzwerk zugewiesene ASN verwenden. Wenn Sie über keine ASN verfügen, können Sie eine private ASN im Bereich zwischen 64512 und 65534 (16-Bit-ASN) oder 4200000000 und 4294967294 (32-Bit-ASN) verwenden.
Der Standardwert ist die gleiche ASN wie das Transit Gateway. Wenn Sie die **Peer-ASN** so konfigurieren, dass sie sich von der Transit-Gateway-ASN (eBGP) unterscheidet, müssen Sie ebgp-multihop mit einem (TTL) -Wert von 2 konfigurieren. time-to-live
1. Wählen Sie **Connect Peer erstellen** aus.
**Um einen Connect-Peer mit dem zu erstellen AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html).
# Connect-Anhänge und Connect-Peers in AWS Transit Gateway anzeigen
Sehen Sie sich Ihre Connect-Anhänge und Connect-Peers an.
**So können Sie sich Ihre Connect-Anfügungen und Connect-Peers über die Konsole anzeigen lassen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhänge)**.
1. Wählen Sie den Connect-Anhang aus.
1. Um die Connect-Peers für die Anfügung einzusehen, wählen Sie die Registerkarte **Connect-Peers**.
**Um Ihre Connect-Anlagen und Connect-Peers anzuzeigen, verwenden Sie den AWS CLI**
Verwenden Sie die Befehle [describe-transit-gateway-connects](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connects.html)und [describe-transit-gateway-connect-peers](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html).
# Ändern Sie den Connect-Anhang und die Connect-Peer-Tags in AWS Transit Gateway
Sie können die Tags für Ihren Connect-Anhang ändern.
**So können Sie sich Connect-Anhangs-Tags über die Konsole anzeigen lassen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhänge)**.
1. Wählen Sie den Connect-Anhang und dann **Actions (Aktionen)**, **Manage tags (Tags verwalten)** aus.
1. Um einen Tag hinzuzufügen, wählen Sie **Neues Tag hinzufügen** und geben Sie den Schlüsselnamen und den Schlüsselwert an.
1. Klicken Sie zum Entfernen eines Tags auf **Remove (Entfernen)**.
1. Wählen Sie **Speichern**.
Sie können die Tags für Ihren Connect-Peer ändern.
**So ändern Sie Ihre Connect Peer-Tags über die Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhänge)**.
1. Wählen Sie den Connect-Anhang und dann **Connect peers (Connect-Peers)** aus.
1. Wählen Sie den Connect-Peer aus und wählen Sie dann **Actions (Aktionen)**, **Manage tags (Tags verwalten)**.
1. Um einen Tag hinzuzufügen, wählen Sie **Neues Tag hinzufügen** und geben Sie den Schlüsselnamen und den Schlüsselwert an.
1. Klicken Sie zum Entfernen eines Tags auf **Remove (Entfernen)**.
1. Wählen Sie **Speichern**.
**Um Ihren Connect-Anhang und Ihre Connect-Peer-Tags mit dem zu ändern AWS CLI**
Verwenden Sie die Befehle [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) und [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html).
# Löschen Sie einen Connect-Peer in AWS Transit Gateway
Wenn Sie einen Connect-Peer nicht mehr benötigen, können Sie diesen löschen.
**So löschen Sie einen Connect-Peer über die Konsole:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhänge)**.
1. Wählen Sie den Connect-Anhang aus.
1. Wählen Sie auf der Registerkarte **Connect Peers** den Connect-Peer aus und wählen Sie **Actions (Aktionen)**, **Delete Connect Peer (Connect-Peer löschen)**.
**Um einen Connect-Peer mit dem zu löschen AWS CLI**
Verwenden Sie den Befehl [delete-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html).
# Löschen Sie einen Connect-Anhang in AWS Transit Gateway
Wenn Sie einen Connect-Anhang nicht mehr benötigen, können Sie ihn löschen. Sie müssen zunächst alle Connect-Peers für die Anfügung löschen.
**So löschen Sie einen Peering-Anhang über die Konsole:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhänge)**.
1. Wählen Sie den Connect-Anhang aus und wählen Sie **Aktionen**, **Löschen von Transit-Gateway-Anhang**.
1. Geben Sie **delete** ein und wählen Sie **Delete (Löschen)**.
**Um einen Connect-Anhang mit dem zu löschen AWS CLI**
Verwenden Sie den [delete-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect.html)-Befehl.
# Transit-Gateway-Routentabellen in AWS Transit Gateway
Verwenden Sie Transit-Gateway-Routing-Tabellen, um die Weiterleitung für Ihre Transit-Gateway-Anhänge zu konfigurieren. Eine Routing-Tabelle ist eine Tabelle, die Regeln enthält, die bestimmen, wie Ihr Netzwerkverkehr zwischen Ihnen VPCs und weitergeleitet wird. VPNs Jede Route in der Tabelle enthält den IP-Adressbereich für die Ziele, an die Sie Datenverkehr senden möchten.
Mithilfe von Transit-Gateway-Routentabellen können Sie eine Tabelle einem Transit-Gateway-Anhang zuordnen. VPC-, VPN-, VPN Concentrator-, Direct Connect-Gateway-, Peering- und Connect-Anhänge werden alle unterstützt. Wenn sie verknüpft sind, werden die Routen für diese Anlagen von der Anlage an die Routentabelle des Ziel-Transit-Gateways weitergegeben. Ein Anhang kann an mehrere Routentabellen weitergegeben werden.
Zusätzlich können Sie statische Routen mit einer Routentabelle erstellen und verwalten. Beispielsweise können Sie über eine statische Route verfügen, die als Backup-Route für den Fall einer Netzwerkunterbrechung verwendet wird, die sich auf dynamische Routen auswirkt.
**Topics**
+ [Erstellen einer Transit-Gateway-Routing-Tabelle](create-tgw-route-table.md)
+ [Anzeigen von Transit-Gateway-Routing-Tabellen](view-tgw-route-tables.md)
+ [Zuordnen einer Transit-Gateway-Routing-Tabelle](associate-tgw-route-table.md)
+ [Trennen Sie die Zuordnung einer Transit-Gateway-Routentabelle](disassociate-tgw-route-table.md)
+ [Route-Propagierung aktivieren](enable-tgw-route-propagation.md)
+ [Deaktivieren der Route-Propagierung](disable-tgw-route-propagation.md)
+ [Erstellen einer statischen Route](tgw-create-static-route.md)
+ [Löschen einer statischen Route](tgw-delete-static-route.md)
+ [Eine statische Route ersetzen](tgw-replace-static-route.md)
+ [Exportieren von Routing-Tabellen zu Amazon S3](tgw-export-route-tables.md)
+ [Löschen einer Transit-Gateway-Routing-Tabelle](delete-tgw-route-table.md)
+ [Erstellen eines Präfixlisten-Verweises](create-prefix-list-reference.md)
+ [Ändern eines Präfixlisten-Verweises](modify-prefix-list-reference.md)
+ [Löschen eines Präfixlisten-Verweises](delete-prefix-list-reference.md)
# Erstellen Sie eine Transit-Gateway-Routentabelle in AWS Transit Gateway
**So erstellen Sie eine Transit-Gateway-Routing-Tabelle mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie **Create Transit Gateway Route Table (Transit-Gateway-Routing-Tabelle erstellen)** aus.
1. (Optional) Geben Sie für **Name tag (Namens-Tag)** einen Namen für die Routing-Tabelle des Transit-Gateways ein. Dadurch wird ein Tag erstellt, das "Name" als Tag-Schlüssel und den von Ihnen angegebenen Namen als Tag-Wert hat.
1. Wählen Sie für **Transit-Gateway-ID** das Transit Gateway für die Routing-Tabelle aus.
1. Wählen Sie **Create Transit Gateway Route Table (Transit-Gateway-Routing-Tabelle erstellen)** aus.
**Um eine Transit-Gateway-Routentabelle mit dem zu erstellen AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route-table.html).
# Transit-Gateway-Routentabellen mit AWS Transit Gateway anzeigen
**So zeigen Sie Ihre Transit-Gateway-Routing-Tabellen mit der Konsole an**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. (Optional) Zum Finden einer bestimmte Routing-Tabelle oder einer Reihe von Tabellen geben Sie den Namen, das Schlüsselwort oder das Attribut ganz oder teilweise in das Filterfeld ein.
1. Aktivieren Sie das Kontrollkästchen für eine Routentabelle oder wählen Sie ihre ID aus, um Informationen über ihre Zuordnungen, Propagationen, Routen und Tags anzuzeigen.
**Um Ihre Transit-Gateway-Routentabellen mit dem AWS CLI**
Verwenden Sie den Befehl [describe-transit-gateway-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-route-tables.html).
**Um die Routen für eine Transit-Gateway-Routentabelle mit dem AWS CLI**
Verwenden Sie den Befehl [search-transit-gateway-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-routes.html).
**Um die Route-Propagationen für eine Transit-Gateway-Routentabelle anzuzeigen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [get-transit-gateway-route-table-propagations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-propagations.html).
**Um die Verknüpfungen für eine Transit-Gateway-Routentabelle mit dem AWS CLI**
Verwenden Sie den Befehl [get-transit-gateway-route-table-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-associations.html).
# Ordnen Sie eine Transit-Gateway-Routentabelle in AWS Transit Gateway zu
Sie können eine Transit-Gateway-Routing-Tabelle einem Transit-Gateway-Anhang zuordnen.
**So ordnen Sie eine Transit-Gateway-Routing-Tabelle mit der Konsole zu**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle aus.
1. Wählen Sie unten auf der Seite die Registerkarte **Associations (Zuordnungen)** aus.
1. Wählen Sie **Create association (Zuordnung erstellen)** aus.
1. Wählen Sie die für die Zuordnung zu verwendende Anfügung und dann **Create association (Zuordnung erstellen)** aus.
**Um eine Transit-Gateway-Routentabelle zuzuordnen, verwenden Sie den AWS CLI**
Verwenden Sie den Befehl [associate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-route-table.html).
# Löschen Sie eine Zuordnung für eine Transit-Gateway-Routentabelle in AWS Transit Gateway
Sie können die Zuordnung einer Transit-Gateway-Routing-Tabelle zu einem Transit-Gateway-Anhang aufheben.
**So heben Sie die Zuordnung einer Transit-Gateway-Routing-Tabelle mit der Konsole auf**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle aus.
1. Wählen Sie unten auf der Seite die Registerkarte **Associations (Zuordnungen)** aus.
1. Wählen Sie die für das Aufheben der Zuordnung zu verwendende Anfügung und dann **Delete association (Zuordnung löschen)** aus.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Delete association (Zuordnung löschen)** aus.
**Um die Zuordnung einer Transit-Gateway-Routentabelle aufzuheben, verwenden Sie den AWS CLI**
Verwenden Sie den Befehl [disassociate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-route-table.html).
# Route-Propagierung zu einer Transit-Gateway-Routentabelle in AWS Transit Gateway aktivieren
Verwenden Sie die Route-Propagierung, um eine Route aus einer Anhang zu einer Routing-Tabelle hinzuzufügen.
**So verbreiten Sie eine Route an eine Routing-Tabelle für Transit-Gateway-Anhänge**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle aus, für die eine Propagierung erstellt werden soll.
1. Wählen Sie **Actions (Aktionen)** und **Create propagation (Verbreitung erstellen)** aus.
1. Wählen Sie auf der Seite **Create propagation (Verbreitung erstellen)** die Anfügung aus.
1. Wählen Sie **Create propagation (Verbreitung erstellen)** aus.
**Um die Route-Propagierung mit dem zu aktivieren AWS CLI**
Verwenden Sie den Befehl [enable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-propagation.html).
# Deaktivieren Sie die Routenverbreitung in AWS Transit Gateway
Sie können eine verbreitete Route aus einer Routing-Tabellen-Anhang entfernen.
**Deaktivieren der Route-Propagierung mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle aus, aus der die Propagierung gelöscht werden soll.
1. Wählen Sie unten auf der Seite die Registerkarte **Propagations (Verbreitungen)** aus.
1. Wählen Sie die Anfügung und dann **Delete propagation (Verbreitung erstellen)** aus.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Delete propagation (Verbreitung löschen)** aus.
**Um die Routenverbreitung mit dem zu deaktivieren AWS CLI**
Verwenden Sie den Befehl [disable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-transit-gateway-route-table-propagation.html).
# Erstellen Sie eine statische Route in AWS Transit Gateway
Erstellen Sie eine statische Route für einen VPC-, VPN- oder Transit-Gateway-Peering-Anhang, oder Sie können eine Blackhole-Route erstellen, die den Datenverkehr ableitet, der der Route entspricht.
Statische Routen in einer Transit-Gateway-Routentabelle, die auf einen VPN-Anhang abzielen, werden vom VPN nicht gefiltert. Site-to-Site Dies kann einen unbeabsichtigten ausgehenden Datenverkehr erlauben, wenn ein BGP-basiertes VPN verwendet wird.
**So erstellen Sie eine Route mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle aus, für die eine Route erstellt werden soll.
1. Wählen Sie **Actions (Aktionen)**, **Create static route (Statische Route erstellen)** aus.
1. Geben Sie auf der Seite **Create route (Route erstellen)** den CIDR-Block an, für den die Route erstellt werden soll. Wählen Sie dann **Active** aus.
1. Wählen Sie die Anhang für die Route aus.
1. Wählen Sie **Create static route (Statische Route erstellen)** aus.
**So erstellen Sie eine Blackhole-Route mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle aus, für die eine Route erstellt werden soll.
1. Wählen Sie **Actions (Aktionen)**, **Create static route (Statische Route erstellen)** aus.
1. Geben Sie auf der Seite **Create static route (Statische Route erstellen)** den CIDR-Block an, für den die Route erstellt werden soll. Wählen Sie dann **Blackhole** aus.
1. Wählen Sie **Create static route (Statische Route erstellen)** aus.
**Um eine statische Route oder Blackhole-Route mit dem zu erstellen AWS CLI**
Verwenden Sie den [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html)-Befehl.
# Löschen Sie eine statische Route in AWS Transit Gateway
Löschen Sie statische Routen aus einer Transit-Gateway-Routentabelle.
**So löschen Sie eine statische Route mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle, aus der eine Route gelöscht werden soll, und dann **Routes (Routen)** aus.
1. Wählen Sie die zu löschende Route aus.
1. Wählen Sie **Statischen Route löschen** aus.
1. Wählen Sie im Bestätigungsfeld **Delete static route (Statische Route löschen)** aus.
**Um eine statische Route mit dem zu löschen AWS CLI**
Verwenden Sie den [delete-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route.html)-Befehl.
# Ersetzen Sie eine statische Route in AWS Transit Gateway
Ersetzen Sie eine statische Route in einer Transit-Gateway-Routentabelle durch eine andere statische Route.
**So ersetzen Sie eine statische Route mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie in der Routing-Tabelle die Route aus, die Sie ersetzen möchten.
1. Wählen Sie im Abschnitt Details die Registerkarte **Routen** aus.
1. Wählen Sie **Aktionen**, **Statische Route ersetzen** aus.
1. Wählen Sie als **Typ** entweder **Aktiv** oder **Blackhole** aus.
1. Wählen Sie in der Dropdown-Liste **Anhang auswählen** das Transit-Gateway aus, das das aktuelle Gateway in der Routing-Tabelle ersetzen soll.
1. Wählen Sie **Statische Route ersetzen** aus.
**Um eine statische Route mit dem zu ersetzen AWS CLI**
Verwenden Sie den [replace-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-transit-gateway-route.html)-Befehl.
# Exportieren Sie Routentabellen in AWS Transit Gateway nach Amazon S3
Sie können die Routen in den Transit-Gateway-Routing-Tabellen in einen Amazon-S3-Bucket exportieren. Die Routen werden im angegebenen Amazon-S3-Bucket in einer JSON-Datei gespeichert.
**So exportieren Sie Transit-Gateway-Routing-Tabellen mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle aus, die die zu exportierenden Routen enthält.
1. Wählen Sie **Actions (Aktionen)** und **Export routes (Routen exportieren)** aus.
1. Geben Sie auf der Seite **Export routes (Routen exportieren)** bei **S3 bucket name (S3-Bucket-Name)** den Namen des S3-Buckets ein.
1. Zum Filtern der Routen, die exportiert werden, geben Sie Filterparameter im Abschnitt **Filters (Filter)** der Seite ein.
1. Wählen Sie **Export routes (Routen exportieren)** aus.
Um auf die exportierten Routen zuzugreifen, öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)und navigieren Sie zu dem Bucket, den Sie angegeben haben. Der Dateiname umfasst die AWS-Konto ID, die AWS Region, die Routentabellen-ID und einen Zeitstempel. Wählen Sie die Datei aus und klicken Sie auf **Download (Herunterladen)**. Im Folgenden finden Sie ein Beispiel für eine JSON-Datei, die Informationen zu zwei verbreiteten Routen für VPC-Anhänge enthält.
```
{
"filter": [
{
"name": "route-search.subnet-of-match",
"values": [
"0.0.0.0/0",
"::/0"
]
}
],
"routes": [
{
"destinationCidrBlock": "10.0.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-0123456abcd123456",
"transitGatewayAttachmentId": "tgw-attach-1122334455aabbcc1",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
},
{
"destinationCidrBlock": "10.2.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-abcabc123123abca",
"transitGatewayAttachmentId": "tgw-attach-6677889900aabbcc7",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
}
]
}
```
# Löschen Sie eine Transit-Gateway-Routentabelle in AWS Transit Gateway
**So löschen Sie eine Transit-Gateway-Routing-Tabelle mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle aus, die gelöscht werden soll.
1. Wählen Sie **Aktionen**, **Löschen der Transit-Gateway-Routing-Tabelle** aus.
1. Geben Sie **delete** ein und wählen Sie dann **Löschen**, um das Löschen zu bestätigen.
**Um eine Transit-Gateway-Routentabelle mit dem zu löschen AWS CLI**
Verwenden Sie den Befehl [delete-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route-table.html).
# Erstellen Sie eine Referenz zur Präfixliste einer Routentabelle in AWS Transit Gateway
Sie können in der Transit-Gateway-Routing-Tabelle auf eine Präfixliste verweisen. Eine Präfixliste ist ein Satz von einem oder mehreren CIDR-Blockeinträgen, die Sie definieren und verwalten. Zur Vereinfachung der Verwaltung der IP-Adressen, auf die Sie in Ihren Ressourcen zur Weiterleitung von Netzwerkdatenverkehr verweisen, können Sie eine Präfixliste verwenden. Wenn Sie beispielsweise häufig dasselbe Ziel in CIDRs mehreren Transit-Gateway-Routentabellen angeben, können Sie diese CIDRs in einer einzigen Präfixliste verwalten, anstatt CIDRs in jeder Routentabelle wiederholt auf dasselbe zu verweisen. Wenn Sie einen CIDR-Zielblock entfernen müssen, können Sie seinen Eintrag aus der Präfixliste entfernen, anstatt die Route aus jeder betroffenen Routingtabelle zu entfernen.
Wenn Sie in Ihrer Transit-Gateway-Routing-Tabelle einen Präfixlisten-Verweis erstellen, wird jeder Präfixlisten-Eintrag in der Transit-Gateway-Routing-Tabelle als Route dargestellt.
Weitere Informationen zu Präfixlisten finden Sie unter [Präfixlisten](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) im *Amazon VPC-Benutzerhandbuch*.
**So erstellen Sie einen Präfixlisten-Verweis über die Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit-Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle des Transit Gateways aus.
1. Wählen Sie **Actions (Aktionen)**, **Create prefix list reference (Präfixlistenreferenz erstellen)** aus.
1. Wählen Sie in **Prefix list ID (Präfixlisten-ID)** die ID der Präfixliste aus.
1. Wählen Sie für **Typ** aus, ob Datenverkehr zu dieser Präfixliste zulässig sein soll (**Aktiv**) oder aufgegeben (**Blackhole**).
1. Wählen Sie in **Transit gateway attachment ID (Transit-Gateway-Anhangs-ID)** die ID des Anhangs aus, an den der Datenverkehr weitergeleitet werden soll.
1. Wählen Sie **Create prefix list reference (Präfixlistenreferenz erstellen)**.
**Um eine Präfixlistenreferenz zu erstellen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-prefix-list-reference.html).
# Ändern Sie eine Präfixlistenreferenz in AWS Transit Gateway
Sie können einen Präfixlisten-Verweis ändern, indem Sie den Anhang ändern, an den der Datenverkehr weitergeleitet wird. Sie können auch angeben, ob der Datenverkehr gelöscht werden soll, der mit der Route übereinstimmt.
Sie können auf der Registerkarte **Routes (Routen)** die einzelnen Routen für eine Präfixliste nicht ändern. Um die Einträge in der Präfixliste zu ändern, müssen Sie das Fenster **Managed Prefix Lists (Verwaltete Präfixlisten)** verwenden. Weitere Informationen finden Sie unter [Ändern einer Präfixliste](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#modify-managed-prefix-list) im *Amazon VPC-Benutzerhandbuch*.
**So ändern Sie einen Präfixlisten-Verweis über die Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit-Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle des Transit-Gateways aus.
1. Wählen Sie im unteren Bereich **Prefix list references (Präfixlistenreferenzen)**aus.
1. Wählen Sie die Präfixlistenreferenz und anschließend **Modify references (Referenzen ändern)** aus.
1. Wählen Sie für **Typ** aus, ob Datenverkehr zu dieser Präfixliste zulässig sein soll (**Aktiv**) oder aufgegeben (**Blackhole**).
1. Wählen Sie in **Transit gateway attachment ID (Transit-Gateway-Anhangs-ID)** die ID des Anhangs aus, an den der Datenverkehr weitergeleitet werden soll.
1. Wählen Sie **Modify prefix list reference (Präfixlistenreferenz ändern)** aus.
**Um eine Referenz auf eine Präfixliste mit dem zu ändern AWS CLI**
Verwenden Sie den Befehl [modify-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-prefix-list-reference.html).
# Löschen Sie eine Präfixlistenreferenz in AWS Transit Gateway
Wenn Sie einen Präfixlisten-Verweis nicht mehr benötigen, können Sie diese aus der Transit-Gateway-Routing-Tabelle löschen. Durch das Löschen des Verweises wird die Präfixliste nicht gelöscht.
**So löschen Sie einen Präfixlisten-Verweis über die Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Route Tables (Transit-Gateway-Routing-Tabellen)**.
1. Wählen Sie die Routing-Tabelle des Transit Gateways aus.
1. Wählen Sie die Präfixlistenreferenz und anschließend **Delete references (Referenzen löschen)** aus.
1. Wählen Sie **Delete references (Referenzen löschen)** aus.
**Um eine Referenz auf eine Präfixliste mit dem zu ändern AWS CLI**
Verwenden Sie den Befehl [delete-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-prefix-list-reference.html).
# Richtlinientabellen für Transit Gateway in AWS Transit Gateway
Dynamisches Transit-Gateway-Routing verwendet Richtlinientabellen, um den Netzwerkverkehr für AWS -Cloud-WAN zu leiten. Die Tabelle enthält Richtlinienregeln für den Abgleich des Netzwerkverkehrs nach Richtlinienattributen und ordnet dann den Datenverkehr, der mit der Regel übereinstimmt, einer Ziel-Routing-Tabelle zu.
Sie können dynamisches Routing für Transit-Gateways verwenden, um Routing- und Erreichbarkeitsinformationen automatisch mit Peered-Transit-Gateway-Typen auszutauschen. Im Gegensatz zu einer statischen Route kann der Datenverkehr basierend auf Netzwerkbedingungen wie Pfadausfällen oder Überlastung auf einem anderen Pfad weitergeleitet werden. Dynamisches Routing bietet außerdem eine zusätzliche Sicherheitsebene, da es einfacher ist, den Datenverkehr im Falle einer Netzwerkverletzung oder eines Netzwerkeinbruchs umzuleiten.
**Anmerkung**
Transit-Gateway-Richtlinientabellen werden derzeit nur in Cloud WAN unterstützt, wenn eine Transit-Gateway-Peering-Verbindung erstellt wird. Beim Erstellen einer Peering-Verbindung können Sie diese Tabelle der Verbindung zuordnen. Die Zuordnung füllt die Tabelle dann automatisch mit den Richtlinienregeln.
Weitere Informationen zu Peering-Verbindungen in Cloud WAN finden Sie unter [Peerings](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-peerings.html) im *Benutzerhandbuch von AWS Cloud WAN*.
**Topics**
+ [Erstellen einer Transit-Gateway-Richtlinientabelle](tgw-policy-tables-create.md)
+ [Löschen einer Transit-Gateway-Richtlinientabelle](tgw-policy-tables-disable.md)
# Erstellen Sie eine Transit-Gateway-Richtlinientabelle in AWS Transit Gateway
**So erstellen Sie eine Transit-Gateway-Richtlinientabelle mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Policy Table** (Transit-Gateway-Richtlinientabelle).
1. Wählen Sie **Create Transit Gateway Policy Table** (Transit-Gateway-Richtlinientabelle erstellen) aus.
1. (Optional) Geben Sie für **Name tag** (Namens-Tag) einen Namen für die Transit-Gateway-Richtlinientabelle ein. Dadurch wird ein Tag erstellt und der Wert ist der von Ihnen angegebene Name.
1. Wählen Sie für Transit-Gateway-ID das Transit Gateway für die Richtlinientabelle aus.
1. Wählen Sie **Create Transit Gateway Policy Table** (Transit-Gateway-Richtlinientabelle erstellen) aus.
**Um eine Richtlinientabelle für das Transit Gateway zu erstellen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-policy-table.html).
# Löschen Sie eine Transit-Gateway-Richtlinientabelle in AWS Transit Gateway
Löschen Sie eine Transit-Gateway-Richtlinientabelle. Wenn eine Tabelle gelöscht wird, werden alle Richtlinienregeln in dieser Tabelle gelöscht.
**So löschen Sie eine Transit-Gateway-Richtlinientabelle mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Policy Tables** (Transit-Gateway-Richtlinientabellen).
1. Wählen Sie die zu löschende Transit-Gateway-Richtlinientabelle aus.
1. Wählen Sie **Actions** (Aktionen) und anschließend **Delete policy table** (Richtlinientabelle löschen) aus.
1. Bestätigen Sie, dass Sie die Tabelle löschen möchten.
**Um eine Richtlinientabelle für das Transit Gateway mit dem zu löschen AWS CLI**
Verwenden Sie den Befehl [delete-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-policy-table.html).
# Multicast im AWS Transit Gateway
Multicast ist ein Kommunikationsprotokoll, das für die gleichzeitige Bereitstellung eines einzelnen Datenstroms an mehrere empfangende Computer verwendet wird. Transit Gateway unterstützt das Routing von Multicast-Verkehr zwischen Subnetzen verbundener Verbindungen und dient als Multicast-Router für Instanzen VPCs, die Datenverkehr senden, der für mehrere empfangende Instances bestimmt ist.
**Topics**
+ [Multicast-Konzepte](#concepts)
+ [Überlegungen](#limits)
+ [Multicast-Routing](#how-multicast-works)
+ [Multicast-Domänen](multicast-domains-about.md)
+ [Gemeinsam genutzte Multicast-Domänen](multicast-share-domain.md)
+ [Registrieren von Quellen bei einer Multicast-Gruppe](add-source-multicast-group.md)
+ [Registrieren von Mitgliedern bei einer Multicast-Gruppe](add-members-multicast-group.md)
+ [Registrierung von Quellen aus einer Multicast-Gruppe entfernen](remove-source-multicast-group.md)
+ [Entfernen der Registrierung von Mitgliedern aus einer Multicast-Gruppe](remove-members-multicast-group.md)
+ [Multicast-Gruppen anzeigen](view-multicast-group.md)
+ [Richten Sie Multicast für Windows Server ein](multicastwin.md)
+ [Beispiel: IGMP-Konfigurationen verwalten](multicast-configurations-igmp.md)
+ [Beispiel: Verwaltung statischer Quellkonfigurationen](multicast-configurations-no-igmp.md)
+ [Beispiel: Verwalten Sie statische Konfigurationen für Gruppenmitglieder](multicast-configurations-no-igmp-source.md)
## Multicast-Konzepte
Die wichtigsten Konzepte für Multicast sind folgende:
+ **Multicast-Domain** – Ermöglicht die Segmentierung eines Multicast-Netzwerks in verschiedene Domains und sorgt dafür, dass das Transit Gateway als mehrere Multicast-Router fungiert. Sie definieren die Mitgliedschaft von Multicast-Domains auf Subnetzebene.
+ **Multicast-Gruppe** – Identifiziert eine Gruppe von Hosts, die denselben Multicast-Verkehr senden und empfangen. Eine Multicast-Gruppe wird durch eine Gruppen-IP-Adresse identifiziert. Die Multicast-Gruppenmitgliedschaft wird durch einzelne elastische Netzwerkschnittstellen definiert, die den Instances zugeordnet sind. EC2
+ **Internet Group Management Protocol (IGMP)** – Internetprotokoll, das es Hosts und Routern ermöglicht, die Multicast-Gruppenmitgliedschaft dynamisch zu verwalten. Eine IGMP-Multicast-Domain enthält Hosts, die das IGMP-Protokoll verwenden, um Nachrichten beizutreten, zu verlassen und Nachrichten zu senden. AWS unterstützt das IGMPv2 Protokoll und sowohl IGMP- als auch Multicast-Domänen mit statischer (API-basierter) Gruppenmitgliedschaft.
+ **Multicast-Quelle** — Eine elastic network interface, die einer unterstützten EC2 Instance zugeordnet ist und statisch für das Senden von Multicast-Verkehr konfiguriert ist. Eine Multicast-Quelle gilt nur für statische Quellenkonfigurationen.
Eine Multicast-Domain mit statischer Quelle enthält Hosts, die das IGMP-Protokoll nicht zum Beitreten, Verlassen und Senden von Nachrichten verwenden. Sie verwenden die AWS CLI , um eine Quelle und Gruppenmitglieder hinzuzufügen. Die statisch hinzugefügte Quelle sendet Multicast-Datenverkehr und die Mitglieder erhalten Multicast-Datenverkehr.
+ **Multicast-Gruppenmitglied** — Eine elastic network interface, die einer unterstützten EC2 Instance zugeordnet ist, die Multicast-Verkehr empfängt. Eine Multicast-Gruppe hat mehrere Gruppenmitglieder. In einer Gruppenmitgliedschaft mit statischer Quelle können Multicast-Gruppenmitglieder nur Datenverkehr empfangen. In einer IGMP-Gruppenkonfiguration können Mitglieder sowohl Datenverkehr senden als auch empfangen.
## Überlegungen
+ Transit-Gateway-Multicast ist möglicherweise nicht für Hochfrequenzhandel oder leistungssensitive Anwendungen geeignet. Es wird dringend empfohlen, die [Multicast-Kontingente auf die Limits](transit-gateway-quotas.md#multicast-quotas) zu überprüfen. Wenden Sie sich an Ihr Konto- oder Solution Architect-Team, um eine detaillierte Überprüfung Ihrer Leistungsanforderungen zu erhalten.
+ Informationen zu unterstützten Regionen finden Sie unter [AWS Transit Gateway FAQs](https://aws.amazon.com/transit-gateway/faqs/).
+ Sie müssen ein neues Transit Gateway erstellen, damit Multicast unterstützt wird.
+ Die Mitgliedschaft in Multicast-Gruppen wird mithilfe von Amazon Virtual Private Cloud Console oder AWS CLI, oder IGMP verwaltet.
+ Ein Subnetz kann sich nur in einer Multicast-Domain befinden.
+ **Wenn Sie eine Nicht-Nitro-Instanz verwenden, müssen Sie das Kontrollkästchen Source/Dest deaktivieren.** Informationen zur Deaktivierung der Prüfung finden Sie unter [Ändern der Quell- oder Zielüberprüfung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check) im * EC2 Amazon-Benutzerhandbuch*.
+ Eine Nicht-Nitro-Instance kann kein Multicast-Sender sein.
+ Multicast-Routing wird nicht über Site-to-Site VPN Direct Connect, Peering-Anlagen oder Transit-Gateway-Connect-Anlagen unterstützt.
+ Ein Transit Gateway unterstützt keine Fragmentierung von Multicast-Paketen. Fragmentierte Multicast-Pakete werden verworfen. Weitere Informationen finden Sie unter [Maximum Transmission Unit (MTU)](transit-gateway-quotas.md#mtu-quotas).
+ Beim Startup sendet ein IGMP-Host mehrere JOIN-IGMP-Nachrichten, um einer Multicast-Gruppe beizutreten (normalerweise 2 bis 3 Wiederholungsversuche). In dem unwahrscheinlichen Fall, dass alle JOIN IGMP-Nachrichten verloren gehen, wird der Host nicht Teil der Transit-Gateway-Multicast-Gruppe. In einem solchen Szenario müssen Sie die JOIN IGMP-Nachricht vom Host mit anwendungsspezifischen Methoden erneut auslösen.
+ Eine Gruppenmitgliedschaft beginnt mit dem Empfang der IGMPv2 JOIN Nachricht durch das Transit-Gateway und endet mit dem Empfang der IGMPv2 LEAVE Nachricht. Das Transit Gateway verfolgt Hosts, die der Gruppe erfolgreich beigetreten sind. Als Cloud-Multicast-Router sendet das Transit Gateway alle zwei Minuten eine IGMPv2 QUERY Nachricht an alle Mitglieder. Jedes Mitglied sendet daraufhin eine IGMPv2 JOIN Nachricht, mit der die Mitglieder ihre Mitgliedschaft verlängern. Wenn ein Mitglied nicht auf drei aufeinanderfolgende Anfragen antwortet, entfernt das Transit Gateway diese Mitgliedschaft aus allen verbundenen Gruppen. Es sendet jedoch weiterhin 12 Stunden lang Anfragen an dieses Mitglied, bevor es dauerhaft aus seiner to-be-queried Liste entfernt wird. Eine explizite IGMPv2 LEAVE Nachricht entfernt den Host sofort und dauerhaft von jeder weiteren Multicast-Verarbeitung.
+ Das Transit Gateway verfolgt Hosts, die der Gruppe erfolgreich beigetreten sind. Im Falle eines Ausfalls des Transit Gateways sendet das Transit Gateway nach der letzten erfolgreichen IGMP JOIN-Nachricht weiterhin Multicastdaten für 7 Minuten (420 Sekunden) an den Host. Das Transit-Gateway sendet weiterhin Mitgliedschaftsabfragen für bis zu 12 Stunden an den Host oder bis er eine LEAVE IGMP-Nachricht vom Host erhält.
+ Das Transit Gateway sendet Mitgliedschaftsabfrage-Pakete an alle IGMP-Mitglieder, um die Multicast-Gruppenmitgliedschaft zu verfolgen. Die Quell-IP dieser IGMP-Abfragepakete ist 0.0.0.0/32, die Ziel-IP ist 224.0.0.1/32 und das Protokoll ist 2. Ihre Sicherheitsgruppenkonfiguration auf den IGMP-Hosts (Instances) und jede ACLs Konfiguration in den Host-Subnetzen müssen diese IGMP-Protokollnachrichten zulassen.
+ Wenn sich die Multicast-Quelle und das Ziel in derselben VPC befinden, können Sie keine Sicherheitsgruppen-Referenzierung verwenden, um die Zielsicherheitsgruppe so festzulegen, dass sie Datenverkehr von der Sicherheitsgruppe der Quelle akzeptiert.
+ Für statische Multicast-Gruppen und -Quellen entfernt AWS Transit Gateway automatisch statische Gruppen und Quellen ENIs , für die es nicht mehr gibt. Dies erfolgt, indem in regelmäßigen Abständen die [dienstbezogene Rolle des Transit Gateway](service-linked-roles.md#tgw-service-linked-roles) übernommen wird, die ENIs im Konto beschrieben wird.
+ Nur statisches Multicast wird unterstützt. IPv6 Dynamisches Multicast tut dies nicht.
## Multicast-Routing
Wenn Sie Multicast auf einem Transit Gateway aktivieren, fungiert es als Multicast-Router. Der gesamte Multicast-Datenverkehr wird an den der betreffenden Multicast-Domain zugeordneten Transit Gateway gesendet, wenn Sie dieser Multicast-Domain ein Subnetz hinzufügen.
### Netzwerk ACLs
Die Regeln für Netzwerk-ACL arbeiten auf Subnetz-Ebene. Sie gelten für Multicast-Datenverkehr, da sich Transit Gateways außerhalb des Subnetzes befinden. Weitere Informationen finden Sie unter [Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) im *Amazon VPC-Benutzerhandbuch*.
Für den Multicast-Datenverkehr des Internet Group Management Protocol (IGMP) gelten die folgenden Mindestregeln für eingehenden Verkehr. Der Remote-Host ist der Host, der den Multicast-Datenverkehr sendet.
| Typ | Protokoll | Quelle | Beschreibung |
| --- | --- | --- | --- |
| Benutzerdefiniertes Protokoll | IGMP(2) | 0.0.0.0/32 | IGMP-Abfrage |
| Benutzerdefiniertes UDP-Protokoll | UDP | IP-Adresse des Remote-Hosts | Eingehender Multicast-Datenverkehr |
Im Folgenden sind die Mindestregeln für ausgehenden Datenverkehr für IGMP aufgeführt.
| Typ | Protokoll | Zielbereich | Beschreibung |
| --- | --- | --- | --- |
| Benutzerdefiniertes Protokoll | IGMP(2) | 224.0.0.2/32 | IGMP verlassen |
| Benutzerdefiniertes Protokoll | IGMP(2) | IP-Adresse der Multicast-Gruppe | IGMP beitreten |
| Benutzerdefiniertes UDP-Protokoll | UDP | IP-Adresse der Multicast-Gruppe | Ausgehenden Multicast-Datenverkehr |
### Sicherheitsgruppen
Sicherheitsgruppenregeln werden auf Instance-Ebene ausgeführt. Sie können sowohl auf eingehenden als auch auf ausgehenden Multicast-Datenverkehr angewendet werden. Das Verhalten ist dasselbe wie beim Unicast-Datenverkehr. Sie müssen für alle Gruppenmitglied-Instances von der Gruppenquelle eingehenden Datenverkehr zulassen. Weitere Informationen finden Sie unter [Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) im *Amazon-VPC-Benutzerhandbuch*.
Sie müssen mindestens die folgenden eingehenden Regeln für IGMP-Multicast-Datenverkehr haben. Der Remote-Host ist der Host, der den Multicast-Datenverkehr sendet. Sie können keine Sicherheitsgruppe als Quelle der UDP-Eingangsregel angeben.
| Typ | Protokoll | Quelle | Beschreibung |
| --- | --- | --- | --- |
| Benutzerdefiniertes Protokoll | 2 | 0.0.0.0/32 | IGMP-Abfrage |
| Benutzerdefiniertes UDP-Protokoll | UDP | IP-Adresse des Remote-Hosts | Eingehender Multicast-Datenverkehr |
Sie müssen mindestens die folgenden Regeln für ausgehenden IGMP-Multicast-Datenverkehr haben.
| Typ | Protokoll | Zielbereich | Beschreibung |
| --- | --- | --- | --- |
| Benutzerdefiniertes Protokoll | 2 | 224.0.0.2/32 | IGMP verlassen |
| Benutzerdefiniertes Protokoll | 2 | IP-Adresse der Multicast-Gruppe | IGMP beitreten |
| Benutzerdefiniertes UDP-Protokoll | UDP | IP-Adresse der Multicast-Gruppe | Ausgehenden Multicast-Datenverkehr |
# Multicast-Domänen im AWS Transit Gateway
Eine Multicast-Domäne ermöglicht die Segmentierung eines Multicast-Netzwerks in verschiedene Domänen. Um Multicast mit einem Transit Gateway zu verwenden, erstellen Sie eine Multicast-Domäne und ordnen Sie dann Subnetze der Domäne zu.
## Multicast-Domänenattribute
Die folgende Tabelle enthält Details zu den Multicast-Domänenattributen. Sie können nicht beide Attribute gleichzeitig aktivieren.
| Attribut | Beschreibung |
| --- | --- |
| Igmpv2Support (AWS CLI) **IGMPv2 Unterstützung** (Konsole) | Dieses Attribut legt fest, wie Gruppenmitglieder einer Multicast-Gruppe beitreten oder diese verlassen. Wenn dieses Attribut deaktiviert ist, müssen Sie die Gruppenmitglieder manuell zur Domäne hinzufügen. Aktivieren Sie dieses Attribut, wenn mindestens ein Mitglied das IGMP-Protokoll verwendet. Mitglieder treten der Multicast-Gruppe auf eine der folgenden Arten bei: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/multicast-domains-about.html) Wenn Sie Mitglieder von Multicast-Gruppen registrieren, müssen Sie sie auch abmelden. Das Transit Gateway ignoriert `LEAVE`-IGMP-Nachrichten, die von einem manuell hinzugefügten Gruppenmitglied gesendet werden. |
| StaticSourcesSupport (AWS CLI) **Unterstützung für statische Quellen** (Konsole) | Dieses Attribut legt fest, ob es statische Multicast-Quellen für die Gruppe gibt. Wenn dieses Attribut aktiviert ist, müssen Sie mithilfe von [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html) Quellen für eine Multicast-Domain hinzufügen. Nur Multicast-Quellen können Multicast-Datenverkehr senden. Wenn dieses Attribut auf Disable (Deaktivieren) gesetzt ist, gibt es keine designierten Multicast-Quellen. Alle Instances, die sich in Subnetzen befinden, die mit der Multicast-Domäne verknüpft sind, können Multicast-Datenverkehr senden, und die Gruppenmitglieder erhalten den Multicast-Datenverkehr. |
# Erstellen Sie eine IGMP-Multicast-Domäne in Transit Gateway AWS
Wenn Sie dies noch nicht getan haben, überprüfen Sie die verfügbaren Multicast-Domänen-Attribute. Weitere Informationen finden Sie unter [Multicast-Domänen im AWS Transit Gateway](multicast-domains-about.md).
**So erstellen Sie eine Multicast-Domäne mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie **Create Transit Gateway Multicast Domain (Transit-Gateway-Multicast-Domäne erstellen)** aus.
1. Geben Sie unter **Name tag (Namens-Tag)** einen Namen für die Domäne ein.
1. Wählen Sie für **Transit Gateway ID (Transit-Gateway-ID)** das Transit Gateway aus, das den Multicast-Datenverkehr verarbeitet.
1. Wenn Sie **IGMPv2 Unterstützung benötigen**, aktivieren Sie das Kontrollkästchen.
1. Wenn Sie **Unterstützung für statische Quellen** benötigen, deaktivieren Sie das Kontrollkästchen.
1. Um automatisch kontoübergreifende Subnetzzuordnungen für diese Multicast-Domäne zu akzeptieren, wählen Sie **Auto accept shared associations (Freigegebene Zuordnungen automatisch akzeptieren)**.
1. Wählen Sie **Create Transit Gateway Multicast Domain (Transit-Gateway-Multicast-Domäne erstellen)** aus.
**Um eine IGMP-Multicast-Domäne mit dem zu erstellen AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html).
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=disable,Igmpv2Support=enable
```
# Erstellen Sie eine statische Quell-Multicast-Domain in AWS Transit Gateway
Wenn Sie dies noch nicht getan haben, überprüfen Sie die verfügbaren Multicast-Domänen-Attribute. Weitere Informationen finden Sie unter [Multicast-Domänen im AWS Transit Gateway](multicast-domains-about.md).
**So erstellen Sie eine statische Multicast-Domäne mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie **Create Transit Gateway Multicast Domain (Transit-Gateway-Multicast-Domäne erstellen)** aus.
1. Geben Sie für **Name Tag (Namens-Tag)** einen Namen ein, um die Domäne zu identifizieren.
1. Wählen Sie für **Transit Gateway ID (Transit-Gateway-ID)** das Transit Gateway aus, das den Multicast-Datenverkehr verarbeitet.
1. Wenn Sie **IGMPv2 Unterstützung** benötigen, deaktivieren Sie das Kontrollkästchen.
1. Wenn Sie **Unterstützung für statische Quellen** benötigen, aktivieren Sie das Kontrollkästchen.
1. Um automatisch kontoübergreifende Subnetzzuordnungen für diese Multicast-Domäne zu akzeptieren, wählen Sie **Auto accept shared associations (Freigegebene Zuordnungen automatisch akzeptieren)**.
1. Wählen Sie **Create Transit Gateway Multicast Domain (Transit-Gateway-Multicast-Domäne erstellen)** aus.
**Um eine statische Multicast-Domain zu erstellen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html).
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=enable,Igmpv2Support=disable
```
# Zuordnen von VPC-Anhängen und Subnetzen zu einer Multicast-Domäne in Transit Gateway AWS
Gehen Sie wie folgt vor, um einen VPC-Anhang einer Multicast-Domäne zuzuordnen. Wenn Sie eine Zuordnung erstellen, können Sie dann die Subnetze auswählen, die in die Multicast-Domäne aufgenommen werden sollen.
Bevor Sie beginnen, müssen Sie auf Ihrem Transit-Gateway einen VPC-Anhang erstellen. Weitere Informationen finden Sie unter [Amazon VPC-Anlagen in AWS Transit Gateway](tgw-vpc-attachments.md).
**So verknüpfen Sie VPC-Anhänge mit einer Multicast-Domäne über die Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie die Multicast-Domäne aus und anschließend **Actions (Aktionen)**, **Create association (Zuordnung erstellen)**.
1. Wählen Sie für **Anhang zum Zuordnen wählen** den Transit-Gateway-Anhang aus.
1. Wählen Sie unter **Choose subnets to associate (Subnetze für Zuordnung auswählen)** die Subnetze aus, die in die Multicast-Domäne aufgenommen werden sollen.
1. Wählen Sie **Create association (Zuordnung erstellen)** aus.
**Um VPC-Anlagen mit einer Multicast-Domäne zu verknüpfen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [associate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-multicast-domain.html).
# Trennen Sie die Zuordnung eines Subnetzes zu einer Multicast-Domäne in Transit Gateway AWS
Gehen Sie wie folgt vor, um Subnetze von einer Multicast-Domäne zu trennen.
**So trennen Sie die Zuordnung von Subnetzen über die Konsole:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie die Multicast-Domäne aus.
1. Wählen Sie die Registerkarte **Associations (Zuordnungen)**.
1. Wählen Sie das Subnetz aus und dann **Aktionen**, **Verknüpfung löschen**.
**Um Subnetze zu trennen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [disassociate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-multicast-domain.html).
# Multicast-Domänenzuordnungen in AWS Transit Gateway anzeigen
Sehen Sie sich Ihre Multicast-Domänen an, um sicherzustellen, dass sie verfügbar sind und ob sie die entsprechenden Subnetze und Anlagen enthalten.
**So lassen Sie sich eine Multicast-Domäne mithilfe der Konsole anzeigen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie die Multicast-Domäne aus.
1. Wählen Sie die Registerkarte **Associations (Zuordnungen)**.
**Um eine Multicast-Domain anzuzeigen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html).
# Hinzufügen von Tags zu einer Multicast-Domain in AWS Transit Gateway
Fügen Sie Ihren Ressourcen Tags hinzu, um sie einfacher ordnen und identifizieren zu können, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können jeder Multicast-Domäne mehrere Tags hinzufügen. Tag-Schlüssel müssen für jede Multicast-Domäne eindeutig sein. Wenn Sie ein Tag mit einem Schlüssel hinzufügen, der der Multicast-Domäne bereits zugeordnet ist, ändert sich der Wert dieses Tags. Weitere Informationen finden Sie unter [Taggen Ihrer EC2 Amazon-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
**So können Sie Tags zu einer Multicast-Domäne mithilfe der Konsole anfügen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie die Multicast-Domäne aus.
1. Klicken Sie auf **Actions** (Aktionen), **Manage tags** (Markierungen verwalten).
1. Wählen Sie für jede Markierung **Neue Markierung hinzufügen** und geben Sie den **Schlüssel** und **Wert** der Markierung ein.
1. Wählen Sie **Speichern**.
**Um einer Multicast-Domain Tags hinzuzufügen, verwenden Sie den AWS CLI**
Verwenden Sie den Befehl [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html).
# Löschen Sie eine Multicast-Domäne in AWS Transit Gateway
Gehen Sie folgendermaßen vor, um eine Multicast-Domäne zu löschen.
**So löschen Sie eine Multicast-Domäne mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie die Multicast-Domäne aus und anschließend **Actions (Aktionen)**, **Delete multicast domain (Multicast-Domäne löschen)**.
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein und wählen Sie dann **Löschen** aus.
**Um eine Multicast-Domäne mit dem zu löschen AWS CLI**
Verwenden Sie den Befehl [delete-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-multicast-domain.html).
# Gemeinsam genutzte Multicast-Domänen in AWS Transit Gateway
Mit der gemeinsamen Nutzung von Multicast-Domänen können Besitzer von Multicast-Domänen die Domäne mit anderen AWS -Konten innerhalb ihrer Organisation oder über Organisationen hinweg in AWS Organizations teilen. Als Besitzer der Multicast-Domäne können Sie die Multicast-Domäne zentral erstellen und verwalten. Nach der Freigabe können diese Benutzer die folgenden Vorgänge in einer gemeinsam genutzten Multicast-Domäne ausführen:
+ Registrieren und Abmelden von Gruppenmitgliedern oder Gruppenquellen in der Multicast-Domäne
+ Verknüpfen eines Subnetzes mit der Multicast-Domäne und Trennen von Subnetzen von der Multicast-Domäne
Ein Multicast-Domäneninhaber kann eine Multicast-Domäne teilen mit:
+ AWS Konten innerhalb ihrer Organisation oder organisationsübergreifend in AWS Organizations
+ Eine Organisationseinheit innerhalb ihrer Organisation in AWS Organizations
+ Ihre gesamte Organisation ist in AWS Organizations
+ AWS Konten außerhalb von AWS Organizations.
Um eine Multicast-Domain mit einem AWS Konto außerhalb Ihrer Organisation gemeinsam zu nutzen, müssen Sie eine **Ressourcenfreigabe mit erstellen und dann bei der Auswahl der Principals AWS Resource Access Manager, mit denen Sie die Multicast-Domain teilen möchten, die Option Freigabe für alle zulassen** auswählen. Informationen zum Erstellen einer Ressourcenfreigabe finden Sie unter [Erstellen einer Ressourcenfreigabe in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) im *AWS RAM -Benutzerhandbuch*.
**Topics**
+ [Voraussetzungen für die gemeinsame Nutzung einer Multicast-Domäne](#sharing-prereqs)
+ [Zugehörige Services](#sharing-related)
+ [Berechtigungen für freigegebene Multicast-Domänen](#sharing-perms)
+ [Fakturierung und Messung](#sharing-billing)
+ [Kontingente](#sharing-quotas)
+ [Teilen Sie Ressourcen in allen Availability Zones](sharing-azs.md)
+ [Teilen Sie eine Multicast-Domain](sharing-share.md)
+ [Machen Sie die gemeinsame Nutzung einer gemeinsam genutzten Multicast-Domain rückgängig](sharing-unshare.md)
+ [Identifizieren Sie eine gemeinsam genutzte Multicast-Domäne](sharing-identify.md)
## Voraussetzungen für die gemeinsame Nutzung einer Multicast-Domäne
+ Um eine Multicast-Domain gemeinsam zu nutzen, müssen Sie sie in Ihrem Konto besitzen. AWS Sie können keine Multicast-Domäne freigeben, die mit Ihnen geteilt wurde.
+ Um eine Multicast-Domain mit Ihrer Organisation oder einer Organisationseinheit gemeinsam zu nutzen AWS Organizations, müssen Sie das Teilen mit aktivieren. AWS Organizations Weitere Informationen finden Sie unter [Freigabe für AWS Organizations aktivieren](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) im *AWS RAM -Benutzerhandbuch*.
## Zugehörige Services
Die gemeinsame Nutzung von Multicast-Domänen ist in AWS Resource Access Manager ()AWS RAM integriert. AWS RAM ist ein Dienst, mit dem Sie Ihre AWS Ressourcen mit einem beliebigen AWS Konto oder über AWS Organizations dieses teilen können. Mit AWS RAM geben Sie Ressourcen in Ihrem Besitz frei, indem Sie eine *Ressourcenfreigabe* erstellen. Eine Ressourcenfreigabe gibt die Ressourcen an, die gemeinsam genutzt werden sollen, und die Benutzer, mit denen sie geteilt werden sollen. Bei Verbrauchern kann es sich um einzelne AWS Konten, Organisationseinheiten oder eine gesamte Organisation handeln AWS Organizations.
Weitere Informationen zu AWS RAM finden Sie im *[AWS RAM Benutzerhandbuch](https://docs.aws.amazon.com/ram/latest/userguide/)*.
## Berechtigungen für freigegebene Multicast-Domänen
### Berechtigungen für Besitzer
Die Besitzer sind für die Verwaltung der Multicast-Domain und der Mitglieder und Anhänge verantwortlich, die sie registrieren oder mit der Domain verknüpfen. Besitzer können die Freigabe jederzeit ändern oder widerrufen. Sie können AWS Organizations verwenden, um Ressourcen anzuzeigen, zu ändern und zu löschen, die Verbraucher in gemeinsam genutzten Multicast-Domänen erstellen.
### Berechtigungen für Konsumenten
Benutzer der gemeinsam genutzten Multicast-Domäne können die folgenden Vorgänge in gemeinsam genutzten Multicast-Domänen genauso ausführen wie in von ihnen erstellten Multicast-Domänen:
+ Registrieren und Abmelden von Gruppenmitgliedern oder Gruppenquellen in der Multicast-Domäne
+ Verknüpfen eines Subnetzes mit der Multicast-Domäne und Trennen von Subnetzen von der Multicast-Domäne
Konsumenten sind verantwortlich für die Verwaltung der Ressourcen, die sie auf der gemeinsam genutzten Multicast-Domäne erstellen.
Kunden können keine Ressourcen anzeigen lassen oder ändern, die anderen Konsumenten oder dem Besitzer der Multicast-Domäne gehören, und sie können keine Multicast-Domänen ändern, die mit ihnen geteilt werden.
## Fakturierung und Messung
Weder für den Besitzer noch für den Konsumenten fallen keine zusätzlichen Gebühren für die gemeinsame Nutzung von Multicast-Domänen an.
## Kontingente
Eine gemeinsam genutzte Multicast-Domain wird auf die Multicast-Domänenkontingente des Besitzers und des gemeinsam genutzten Benutzers angerechnet.
# Teilen Sie Ressourcen in allen Availability Zones in AWS Transit Gateway
Um sicherzustellen, dass die Ressourcen auf die Availability Zones einer Region verteilt sind, ordnet AWS Transit Gateway die Availability Zones unabhängig voneinander den Namen für jedes Konto zu. Dies könnte zu in mehreren Konten unterschiedlich benannten Availability Zones führen. Beispielsweise hat die Availability Zone `us-east-1a` für Ihr AWS Konto möglicherweise nicht denselben Standort wie `us-east-1a` für ein anderes AWS Konto.
Um den Ort Ihrer Multicast-Domäne relativ zu Ihren Konten zu bestimmen, verwenden Sie die *Availability Zone-ID* (AZ-ID). Die AZ-ID ist eine eindeutige und konsistente Kennung für eine Availability Zone für alle AWS Konten. Dies `use1-az1` ist beispielsweise eine AZ-ID für die `us-east-1` Region und es handelt sich in jedem AWS Konto um denselben Standort.
**Um die AZ IDs für die Availability Zones in Ihrem Konto anzuzeigen**
1. Öffnen Sie die AWS RAM Konsole zu [https://console.aws.amazon.com/ram/Hause](https://console.aws.amazon.com/ram/home).
1. Die AZ IDs für die aktuelle Region werden im Bereich „**Ihre AZ-ID**“ auf der rechten Seite des Bildschirms angezeigt.
# Teilen Sie eine Multicast-Domain in AWS Transit Gateway
Wenn ein Eigentümer eine Multicast-Domain mit Ihnen teilt, können Sie Folgendes tun:
+ Registrieren und Abmelden von Gruppenmitgliedern oder Gruppenquellen
+ Verknüpfen und Trennen von Subnetzen
**Anmerkung**
Um eine Multicast-Domäne zu teilen, müssen Sie sie zu einer Ressourcenfreigabe hinzufügen. Eine Ressourcenfreigabe ist eine AWS RAM Ressource, mit der Sie Ihre Ressourcen für mehrere AWS Konten gemeinsam nutzen können. Eine Ressourcenfreigabe gibt die freizugebenden Ressourcen und die Konsumenten an, für die sie freigegeben werden. Wenn Sie eine Multicast-Domain mithilfe von gemeinsam nutzen Amazon Virtual Private Cloud Console, fügen Sie sie einer vorhandenen Ressourcenfreigabe hinzu. Um die Multicast-Domäne zu einer neuen Ressourcenfreigabe hinzuzufügen, müssen Sie zunächst die Ressourcenfreigabe mithilfe der [AWS RAM -Konsole](https://console.aws.amazon.com/ram)erstellen.
Wenn Sie Teil einer Organisation sind AWS Organizations und die gemeinsame Nutzung innerhalb Ihrer Organisation aktiviert ist, erhalten Verbraucher in Ihrer Organisation automatisch Zugriff auf die gemeinsam genutzte Multicast-Domain. Andernfalls erhalten Verbraucher eine Einladung zur Teilnahme an der Ressourcenfreigabe, und nach Annahme der Einladung wird ihnen Zugriff auf die freigegebene Multicast-Domäne gewährt.
Sie können eine Multicast-Domain, die Sie besitzen, mithilfe der Amazon Virtual Private Cloud Konsole, AWS RAM der Konsole oder der gemeinsam nutzen. AWS CLI
**So teilen Sie eine Multicast-Domäne, die Sie besitzen, mit der \$1Amazon Virtual Private Cloud Console**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Multicast-Domänen**aus.
1. Wählen Sie Ihre Multicast-Domäne aus und anschließend **Actions (Aktionen)**, **Share multicast domain (Multicast-Domäne freigeben)**.
1. Wählen Sie Ihre Ressourcenfreigabe und anschließend **Share multicast domain (Multicast-Domäne freigeben)** aus.
**Um eine Multicast-Domain, die Ihnen gehört, mithilfe der Konsole gemeinsam zu nutzen AWS RAM**
Siehe [Erstellen einer Ressourcenfreigabe](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create) im *AWS RAM -Benutzerhandbuch*.
**Um eine Multicast-Domain, die Sie besitzen, mit dem AWS CLI**
Verwenden Sie den Befehl [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).
# Teilen Sie eine gemeinsam genutzte Multicast-Domain in AWS Transit Gateway auf
Wenn die Freigabe einer gemeinsam genutzten Multicast-Domäne aufgehoben wird, passiert Folgendes mit den Ressourcen der Verbraucher-Multicast-Domäne:
+ Verbraucher-Subnetze werden von der Multicast-Domäne getrennt. Die Subnetze verbleiben im Verbraucherkonto.
+ Quellen der Verbrauchergruppe und Gruppenmitglieder werden von der Multicast-Domäne getrennt und dann vom Verbraucherkonto gelöscht.
Um die Freigabe einer Multicast-Domäne aufzuheben, müssen Sie sie aus der Ressourcenfreigabe entfernen. Sie können dies von der AWS RAM Konsole oder dem aus tun AWS CLI.
Um die Freigabe einer freigegebenen Multicast-Domäne, deren Eigentümer Sie sind, aufzuheben, müssen Sie sie aus der Ressourcenfreigabe entfernen. Sie können dies mit der Amazon Virtual Private Cloud, AWS RAM console oder der tun AWS CLI.
**So heben Sie die Freigabe einer gemeinsam genutzten Multicast-Domäne, deren Besitzer Sie sind, mit der au \$1Amazon Virtual Private Cloud Console**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Multicast-Domänen**aus.
1. Wählen Sie Ihre Multicast-Domäne und dann **Actions (Aktionen)**, **Stop sharing (Freigabe aufheben)** aus.
**Um die gemeinsame Nutzung einer gemeinsam genutzten Multicast-Domain, die Ihnen gehört, mithilfe der Konsole aufzuheben AWS RAM**
Siehe [Aktualisieren einer Ressourcenfreigabe](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) im *AWS RAM -Benutzerhandbuch*.
**Um die gemeinsame Nutzung einer gemeinsam genutzten Multicast-Domain aufzuheben, die Sie besitzen, verwenden Sie die AWS CLI**
Verwenden Sie den Befehl [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).
# Identifizieren Sie eine gemeinsam genutzte Multicast-Domain in AWS Transit Gateway
Eigentümer und Verbraucher können gemeinsam genutzte Multicast-Domänen mithilfe von und identifizieren Amazon Virtual Private Cloud AWS CLI
**So identifizieren Sie eine gemeinsam genutzte Multicast-Domäne mit der \$1Amazon Virtual Private Cloud Console**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Multicast-Domänen**aus.
1. Wählen Sie Ihre Multicast-Domäne aus.
1. Sehen Sie sich auf der Seite mit den **Transit-Multicast-Domänendetails** die **Besitzer-ID** an, um die AWS Konto-ID der Multicast-Domain zu identifizieren.
**Um eine gemeinsam genutzte Multicast-Domain zu identifizieren, verwenden Sie den AWS CLI**
Verwenden Sie den Befehl [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html). Der Befehl gibt die Multicast-Domänen zurück, die Sie besitzen, und die Multicast-Domänen, die mit Ihnen gemeinsam genutzt werden. `OwnerId`zeigt die AWS Konto-ID des Multicast-Domänenbesitzers an.
# Registrieren Sie Quellen mit einer Multicast-Gruppe in AWS Transit Gateway
**Anmerkung**
Dieses Verfahren ist nur erforderlich, wenn Sie das Attribut**Unterstützung statischer Quellen** auf **Enable (Aktivieren)**gesetzt haben.
Gehen Sie wie folgt vor, um Quellen bei einer Multicast-Gruppe zu registrieren. Die Quelle ist die Netzwerkschnittstelle, die Multicast-Datenverkehr sendet.
Sie benötigen die folgenden Informationen, bevor Sie eine Quelle hinzufügen:
+ Die ID der Multicast-Domäne
+ Die IDs Netzwerkschnittstellen der Quellen
+ Die IP-Adresse der Multicast-Gruppe
**So registrieren Sie Quellen über die Konsole:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie die Multicast-Domäne aus und anschließend **Actions (Aktionen)**, **Add group sources (Gruppenquellen hinzufügen)**.
1. Geben Sie als **Gruppen-IP-Adresse** entweder den IPv4 CIDR-Block oder den CIDR-Block ein, der der IPv6 Multicast-Domäne zugewiesen werden soll.
1. Wählen Sie unter **Choose network interfaces (Netzwerkschnittstellen auswählen)** die Netzwerkschnittstellen der Multicast-Sender aus.
1. Wählen Sie **Add sources (Quellen hinzufügen)**.
**Um Quellen mit dem zu registrieren AWS CLI**
Verwenden Sie den Befehl [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html).
# Mitglieder in einer Multicast-Gruppe in AWS Transit Gateway registrieren
Gehen Sie wie folgt vor, um Gruppenmitglieder bei einer Multicast-Gruppe zu registrieren.
Sie benötigen die folgenden Informationen, bevor Sie Mitglieder hinzufügen:
+ Die ID der Multicast-Domäne
+ Die IDs Netzwerkschnittstellen der Gruppenmitglieder
+ Die IP-Adresse der Multicast-Gruppe
**So registrieren Sie Mitglieder über die Konsole:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie die Multicast-Domäne und anschließend **Actions (Aktionen)**, **Add group members (Gruppenmitglieder hinzufügen)**.
1. Geben Sie als **Gruppen-IP-Adresse** entweder den IPv4 CIDR-Block oder den CIDR-Block ein, der der IPv6 Multicast-Domäne zugewiesen werden soll.
1. Wählen Sie unter **Choose network interfaces (Netzwerkschnittstellen auswählen)** die Netzwerkschnittstellen der Multicast-Empfänger aus.
1. Wählen Sie **Add members (Mitglieder hinzufügen)**.
**Um Mitglieder mit dem zu registrieren AWS CLI**
Verwenden Sie den Befehl [register-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-members.html).
# Quellen aus einer Multicast-Gruppe in Transit Gateway abmelden AWS
Sie müssen diesen Vorgang nur ausführen, wenn Sie der Multicast-Gruppe manuell eine Quelle hinzugefügt haben.
**So entfernen Sie eine Quelle über die Konsole:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie die Multicast-Domäne aus.
1. Wählen Sie die Registerkarte **Groups (Gruppen)**.
1. Wählen Sie die Quellen aus und anschließend **Remove source (Quelle entfernen)**.
**Um eine Quelle mit dem zu entfernen AWS CLI**
Verwenden Sie den Befehl [deregister-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-sources.html).
# Mitglieder aus einer Multicast-Gruppe in Transit Gateway abmelden AWS
Sie müssen diesen Vorgang nur ausführen, wenn Sie der Multicast-Gruppe manuell ein Mitglied hinzugefügt haben.
**So entfernen Sie die Registrierung von Mitgliedern über die Konsole:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie die Multicast-Domäne aus.
1. Wählen Sie die Registerkarte **Groups (Gruppen)**.
1. Wählen Sie die Mitglieder aus und klicken Sie dann auf **Remove member (Mitglied entfernen)**.
**Um Mitglieder mit dem abzumelden AWS CLI**
Verwenden Sie den Befehl [deregister-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-members.html).
# Multicast-Gruppen in AWS Transit Gateway anzeigen
Sie können Informationen zu Ihren Multicast-Gruppen einsehen, um zu überprüfen, ob Mitglieder mithilfe des IGMPv2 Protokolls erkannt wurden. Der **Mitgliedstyp** (in der Konsole) oder `MemberType` (im AWS CLI) zeigt IGMP an, wenn Mitglieder mit dem AWS Protokoll erkannt wurden.
**So zeigen Sie Multicast-Gruppen mithilfe der Konsole an:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Multicast**.
1. Wählen Sie die Multicast-Domäne aus.
1. Wählen Sie die Registerkarte **Groups (Gruppen)**.
**Um Multicast-Gruppen anzuzeigen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [search-transit-gateway-multicast-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-multicast-groups.html).
Das folgende Beispiel zeigt, dass das IGMP-Protokoll Multicast-Gruppenmitglieder entdeckt hat.
```
aws ec2 search-transit-gateway-multicast-groups --transit-gateway-multicast-domain tgw-mcast-domain-000fb24d04EXAMPLE
{
"MulticastGroups": [
{
"GroupIpAddress": "224.0.1.0",
"TransitGatewayAttachmentId": "tgw-attach-0372e72386EXAMPLE",
"SubnetId": "subnet-0187aff814EXAMPLE",
"ResourceId": "vpc-0065acced4EXAMPLE",
"ResourceType": "vpc",
"NetworkInterfaceId": "eni-03847706f6EXAMPLE",
"MemberType": "igmp"
}
]
}
```
# Multicast für Windows Server in AWS Transit Gateway einrichten
Sie müssen zusätzliche Schritte ausführen, wenn Sie Multicast für die Verwendung mit Transit-Gateways unter Windows Server 2019 oder 2022 einrichten. Um dies einzurichten PowerShell, müssen Sie die folgenden Befehle verwenden und ausführen:
**Um Multicast für Windows Server einzurichten, verwenden Sie PowerShell**
1. Ändern Sie Windows Server so, dass es IGMPv2 statt IGMPv3 für den TCP/IP Stack verwendet wird:
`PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IGMPVersion -PropertyType DWord -Value 3 `
**Anmerkung**
`New-ItemProperty`ist ein Eigenschaftsindex, der die IGMP-Version angibt. Da IGMP v2 die unterstützte Version für Multicast ist, muss die Eigenschaft `Value` lauten. `3` Anstatt die Windows-Registrierung zu bearbeiten, können Sie den folgenden Befehl ausführen, um die IGMP-Version auf 2 festzulegen. :
`Set-NetIPv4Protocol -IGMPVersion Version2`
1. Die Windows-Firewall verwirft standardmäßig den größten Teil des UDP-Datenverkehrs. Sie müssen zunächst überprüfen, welches Verbindungsprofil für Multicast verwendet wird:
```
PS C:\> Get-NetConnectionProfile | Select-Object NetworkCategory
NetworkCategory
---------------
Public
```
1. Aktualisieren Sie das Verbindungsprofil aus dem vorherigen Schritt, um den Zugriff auf die erforderlichen UDP-Ports zu ermöglichen:
`PS C:\> Set-NetFirewallProfile -Profile Public -Enabled False`
1. Starten Sie die EC2 Instanz neu.
1. Testen Sie Ihre Multicast-Anwendung, um sicherzustellen, dass der Datenverkehr wie erwartet fließt.
# Beispiel: Verwaltung von IGMP-Konfigurationen mit AWS Transit Gateway
Dieses Beispiel zeigt mindestens einen Host, der das IGMP-Protokoll für Multicast-Verkehr verwendet. AWS erstellt die Multicast-Gruppe automatisch, wenn sie eine `JOIN` IGMP-Nachricht von einer Instanz empfängt, und fügt die Instanz dann als Mitglied zu dieser Gruppe hinzu. Mithilfe von können Sie einer Gruppe auch statisch Nicht-IGMP-Hosts als Mitglieder hinzufügen. AWS CLI Alle Instances, die sich in Subnetzen befinden, die mit der Multicast-Domäne verknüpft sind, können Datenverkehr senden, und die Gruppenmitglieder erhalten den Multicast-Datenverkehr.
Führen Sie für diese Konfiguration die folgenden Schritte aus:
1. Erstellen Sie eine VPC. Weitere Informationen finden Sie unter [VPC erstellen](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) im *Amazon-VPC-Benutzerhandbuch*.
1. Erstellen Sie als Nächstes ein Subnetz in der VPC. Weitere Informationen finden Sie unter [Erstellen eines Subnetzes](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) im *Amazon VPC-Benutzerhandbuch*.
1. Erstellen Sie ein Transit Gateway, das für Multicast-Datenverkehr konfiguriert ist. Weitere Informationen finden Sie unter [Erstellen Sie ein Transit-Gateway in AWS Transit Gateway](create-tgw.md).
1. Erstellen eines VPC-Anhangs Weitere Informationen finden Sie unter [Erstellen Sie einen VPC-Anhang in AWS Transit Gateway](create-vpc-attachment.md).
1. Erstellen Sie eine Multicast-Domäne, die für IGMP-Unterstützung konfiguriert ist. Weitere Informationen finden Sie unter [Erstellen Sie eine IGMP-Multicast-Domäne in Transit Gateway AWS](create-tgw-igmp-domain.md).
Verwenden Sie die folgenden Einstellungen:
+ **Aktivieren Sie IGMPv2 die Unterstützung.**
+ Deaktivieren von **Unterstützung für statische Quellen**.
1. Erstellen Sie eine Verknüpfung zwischen Subnetzen in dem VPC-Anhang des Transit Gateways und der Multicast-Domäne. Weitere Informationen finden Sie unter [Zuordnen von VPC-Anhängen und Subnetzen zu einer Multicast-Domäne in Transit Gateway AWS](associate-attachment-to-domain.md).
1. Die Standard-IGMP-Version für EC2 ist. IGMPv3 Sie müssen die Version für alle Mitglieder der IGMP-Gruppe ändern. Sie können folgenden Befehl ausführen:
```
sudo sysctl net.ipv4.conf.eth0.force_igmp_version=2
```
1. Fügen Sie die Mitglieder, die das IGMP-Protokoll nicht verwenden, der Multicast-Gruppe hinzu. Weitere Informationen finden Sie unter [Mitglieder in einer Multicast-Gruppe in AWS Transit Gateway registrieren](add-members-multicast-group.md).
# Beispiel: Verwaltung statischer Quellkonfigurationen in AWS Transit Gateway
In diesem Beispiel werden einer Gruppe statisch Multicast-Quellen hinzugefügt. Hosts verwenden das IGMP-Protokoll nicht, um Multicast-Gruppen beizutreten oder diese zu verlassen. Sie müssen die Gruppenmitglieder, die den Multicast-Datenverkehr erhalten, statisch hinzufügen.
Führen Sie für diese Konfiguration die folgenden Schritte aus:
1. Erstellen Sie eine VPC. Weitere Informationen finden Sie unter [VPC erstellen](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) im *Amazon-VPC-Benutzerhandbuch*.
1. Erstellen Sie als Nächstes ein Subnetz in der VPC. Weitere Informationen finden Sie unter [Erstellen eines Subnetzes](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) im *Amazon VPC-Benutzerhandbuch*.
1. Erstellen Sie ein Transit Gateway, das für Multicast-Datenverkehr konfiguriert ist. Weitere Informationen finden Sie unter [Erstellen Sie ein Transit-Gateway in AWS Transit Gateway](create-tgw.md).
1. Erstellen eines VPC-Anhangs Weitere Informationen finden Sie unter [Erstellen Sie einen VPC-Anhang in AWS Transit Gateway](create-vpc-attachment.md).
1. Erstellen Sie eine Multicast-Domäne, die so konfiguriert ist, dass sie keine IGMP-Unterstützung oder Unterstützung für das statische Hinzufügen von Quellen bietet. Weitere Informationen finden Sie unter [Erstellen Sie eine statische Quell-Multicast-Domain in AWS Transit Gateway](create-tgw-domain.md).
Verwenden Sie die folgenden Einstellungen:
+ **Deaktivieren Sie die UnterstützungIGMPv2 .**
+ Um Quellen manuell hinzuzufügen, setzen Sie **Static sources support (Unterstützung statischer Quellen)** auf Enable (Aktivieren).
Quellen sind die einzigen Ressourcen, die Multicast-Datenverkehr senden können, wenn das Attribut aktiviert ist. Andernfalls können alle Instances, die sich in Subnetzen befinden, die mit der Multicast-Domäne verknüpft sind, Multicast-Datenverkehr senden, und die Gruppenmitglieder erhalten den Multicast-Datenverkehr.
1. Erstellen Sie eine Verknüpfung zwischen Subnetzen in dem VPC-Anhang des Transit Gateways und der Multicast-Domäne. Weitere Informationen finden Sie unter [Zuordnen von VPC-Anhängen und Subnetzen zu einer Multicast-Domäne in Transit Gateway AWS](associate-attachment-to-domain.md).
1. Wenn Sie **Static sources support (Unterstützung statischer Quellen)** auf Enable (Aktivieren)festlegen, fügen Sie die Quelle der Multicast-Gruppe hinzu. Weitere Informationen finden Sie unter [Registrieren Sie Quellen mit einer Multicast-Gruppe in AWS Transit Gateway](add-source-multicast-group.md).
1. Fügen Sie die Mitglieder der Multicast-Gruppe hinzu. Weitere Informationen finden Sie unter [Mitglieder in einer Multicast-Gruppe in AWS Transit Gateway registrieren](add-members-multicast-group.md).
# Beispiel: Konfiguration statischer Gruppenmitglieder in AWS Transit Gateway verwalten
Dieses Beispiel zeigt das statische Hinzufügen von Multicast-Mitgliedern zu einer Gruppe. Hosts können das IGMP-Protokoll nicht verwenden, um Multicast-Gruppen beizutreten oder diese zu verlassen. Alle Instances, die sich in Subnetzen befinden, die mit der Multicast-Domäne verknüpft sind, können Multicast-Datenverkehr senden, und die Gruppenmitglieder erhalten den Multicast-Datenverkehr.
Führen Sie für diese Konfiguration die folgenden Schritte aus:
1. Erstellen Sie eine VPC. Weitere Informationen finden Sie unter [VPC erstellen](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) im *Amazon-VPC-Benutzerhandbuch*.
1. Erstellen Sie als Nächstes ein Subnetz in der VPC. Weitere Informationen finden Sie unter [Erstellen eines Subnetzes](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) im *Amazon VPC-Benutzerhandbuch*.
1. Erstellen Sie ein Transit Gateway, das für Multicast-Datenverkehr konfiguriert ist. Weitere Informationen finden Sie unter [Erstellen Sie ein Transit-Gateway in AWS Transit Gateway](create-tgw.md).
1. Erstellen eines VPC-Anhangs Weitere Informationen finden Sie unter [Erstellen Sie einen VPC-Anhang in AWS Transit Gateway](create-vpc-attachment.md).
1. Erstellen Sie eine Multicast-Domäne, die so konfiguriert ist, dass sie keine IGMP-Unterstützung oder Unterstützung für das statische Hinzufügen von Quellen bietet. Weitere Informationen finden Sie unter [Erstellen Sie eine statische Quell-Multicast-Domain in AWS Transit Gateway](create-tgw-domain.md).
Verwenden Sie die folgenden Einstellungen:
+ **Deaktivieren Sie die UnterstützungIGMPv2 .**
+ Deaktivieren von **Unterstützung für statische Quellen**.
1. Erstellen Sie eine Verknüpfung zwischen Subnetzen in dem VPC-Anhang des Transit Gateways und der Multicast-Domäne. Weitere Informationen finden Sie unter [Zuordnen von VPC-Anhängen und Subnetzen zu einer Multicast-Domäne in Transit Gateway AWS](associate-attachment-to-domain.md).
1. Fügen Sie die Mitglieder der Multicast-Gruppe hinzu. Weitere Informationen finden Sie unter [Mitglieder in einer Multicast-Gruppe in AWS Transit Gateway registrieren](add-members-multicast-group.md).
# Flexible Kostenverteilung
Standardmäßig verwendet Transit Gateway ein senderbasiertes Kostenzuweisungsmodell, bei dem die Datenverarbeitungsgebühren dem Konto zugewiesen werden, dem der Quellanhang gehört. Sie können benutzerdefinierte Messrichtlinien erstellen, die definieren, welche Konten auf der Grundlage von Verkehrsflusseigenschaften wie Anhangstypen, bestimmten Anhängen oder Netzwerkadressen IDs belastet werden sollen.
Messrichtlinien bestehen aus geordneten Regeln, die von der niedrigsten zur höchsten Regelnummer bewertet werden. Wenn der Datenverkehr einer Regel entspricht, wird das angegebene Konto entsprechend der Konfiguration der Regel belastet. Sie können den Kontoinhaber für die Kostenzuweisung aus den folgenden Optionen angeben:
+ **Eigentümer des Quellanhangs** — Die Gebühren werden dem Konto zugewiesen, dem der Quellanhang gehört (Standardverhalten)
+ **Besitzer des Zielanhangs** — Die Gebühren werden dem Konto zugewiesen, dem der Zielanhang gehört
+ **Inhaber des Transit-Gateways** — Gebühren werden dem Konto zugewiesen, dem das Transit Gateway gehört
Die flexible Kostenzuweisung ermöglicht Unternehmen, die zentralisierte Netzwerkarchitekturen verwenden, ein besseres Kostenmanagement, sodass die Kosten unabhängig von der Netzwerktopologie den entsprechenden Geschäftsbereichen oder Anwendungsbesitzern zugewiesen werden können.
**Anmerkung**
Die flexible Kostenzuweisung ermöglicht eine flexible Zuordnung der Nutzung der Messgeräte und damit der Kosten zu den Kontoinhabern Ihrer Wahl. Die steuerlichen Auswirkungen auf AWS Konten können jedoch je nach geografischem Standort, Nutzungsmustern und anderen Faktoren erheblich variieren. Bitte überprüfen Sie die Auswirkungen auf Abrechnung, Steuern und Kostenmanagement für Konten in Ihrer AWS Organisation, bevor Sie diese Funktion aktivieren. Referenz: [Was ist AWS Billing and Cost Management?](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)
## Richtlinien für die Erfassung
Mit Messrichtlinien können Sie Regeln zur Kostenzuweisung für Ihr Transit-Gateway konfigurieren, um anhand der Eigenschaften des Verkehrsflusses zu steuern, welchen Konten die Datenverarbeitungs- und Übertragungskosten in Rechnung gestellt werden. Diese Funktion ermöglicht Unternehmen, die zentralisierte Netzwerkarchitekturen verwenden, ein besseres Kostenmanagement und bessere Chargeback-Funktionen.
Eine Messrichtlinie besteht aus folgenden Komponenten:
+ **Messrichtlinie** — Der allgemeine Konfigurationscontainer, der die Regeln für die Messrichtlinie enthält. Nach der Erstellung enthält er einen einzigen Standardeintrag für die Messrichtlinie, der so konfiguriert ist, dass der gesamte Datenverkehr dem Eigentümer des Quellanhangs in Rechnung gestellt wird. Jedes Transit-Gateway kann nur über eine Messrichtlinie verfügen.
+ **Eingabe von Messrichtlinien** — Einzelne Regeln innerhalb einer Messrichtlinie, die spezifische Abgleichskriterien und die Nutzung zwischen den einzelnen Messgeräten definieren. Jeder Eintrag enthält eine Regelnummer für die Bewertungsreihenfolge, die Bedingungen für die Zuordnung des Datenverkehrs (wie Quell- und Zielanhangstypen, Verbindungen IDs, CIDR-Blöcke, Ports und Protokolle) und den Kontoinhaber, der für den Abgleich des Datenverkehrs Gebühren erheben soll. Eine Richtlinie kann bis zu 50 Einträge enthalten, die in der Reihenfolge von der niedrigsten zur höchsten Regelnummer ausgewertet werden.
Sie können die Nutzungsmessung einer der folgenden Optionen zuordnen:
+ **Besitzer des Quellanhangs**: Weist dem Konto zu, das Eigentümer des Anhangs ist, aus dem der Datenverkehr stammt (Standardverhalten)
+ **Besitzer des Zielanhangs**: Weist dem Konto zu, das Eigentümer des Anhangs ist, wo der Verkehr endet, und
+ **Besitzer des Transit-Gateways**: Weist die Messungsnutzung dem Konto zu, dem das Transit-Gateway gehört.
+ **Middlebox-Anlagen** — (optional) Spezialisierte Transit-Gateway-Anlagen, die den Datenverkehr zur Sicherheitsinspektion, zum Lastenausgleich oder für andere Netzwerkfunktionen über Netzwerkgeräte weiterleiten. Die Datennutzung für den Datenverkehr, der Middlebox-Anhänge passiert, wird dem Kontoinhaber zugerechnet, der in der Messrichtlinie angegeben ist. Sie können maximal 10 Middlebox-Anhänge angeben. Unterstützte Middlebox-Anhangstypen sind Netzwerkfunktion (AWS Network Firewall), VPC- und VPN-Anhänge.
### So funktionieren Messrichtlinien
Standardmäßig verwendet Transit Gateway ein absenderbasiertes Kostenzuweisungsmodell, bei dem die Datenverarbeitungsgebühren auf das Konto abgerechnet werden, dem der Quellanhang gehört. Mit Messrichtlinien können Sie benutzerdefinierte Regeln erstellen, um die Nutzung auf der Grundlage der folgenden Verkehrsflusseigenschaften flexibel zu messen:
+ Quell- und Zielanhangstypen (VPC, VPN, Direct Connect Gateway, Peering, Netzwerkfunktion und VPN-Konzentrator)
+ Quell- und Zielanhang IDs
+ Quell- und Ziel-IP-Adressen, Portbereiche und Protokolle
Messrichtlinien bestehen aus geordneten Regeln, die von der niedrigsten zur höchsten Regelnummer bewertet werden. Wenn der Traffic einer Regel entspricht, wird das angegebene Konto entsprechend den in der Regel festgelegten Kontoeinstellungen belastet. Die Messrichtlinien beziehen sich auf mehrere gängige Unternehmensszenarien:
+ **Kostenzuweisung für Hybridumgebungen**: Weisen Sie die Kosten für die AWS Dateneingabe vor Ort über Direct Connect Gateway dem Besitzer des Ziel-VPC-Kontos zu und nicht dem Besitzer des zentralen IT-Administratorkontos.
+ **Zentralisierte Inspektionsarchitektur**: Weisen Sie die Kosten einzelnen Anwendungs- oder VPC-Kontoinhabern zu und nicht dem zentralen Sicherheitsteam für den Datenverkehr, der über die Inspektion fließt. VPCs
+ **Anwendungsbasierte Rückbuchung**: Ordnen Sie alle Datennutzungskosten für einen Workload dem VPC-Besitzer zu, unabhängig von der Verkehrsrichtung.
+ **Kundenkostenzuweisung**: Ordnen Sie die Datenkosten den Kundenkonten zu, wenn diese Anlagen zu Ihrem Transit-Gateway erstellen.
### Middlebox-Anhänge
Die Metering-Richtlinien für Transit-Gateways unterstützen Middlebox-Anhänge, sodass Sie Datenverarbeitungsgebühren für den Netzwerkverkehr, der über Middlebox-Appliances wie Netzwerkfirewalls und Load Balancer geleitet wird, flexibel zuweisen können. Beispiele für Middlebox-Anhänge sind Netzwerkfunktionsanhänge an die AWS Network Firewall oder VPC-Anhänge, die den Datenverkehr an Sicherheits-Appliances von Drittanbietern in einer VPC weiterleiten. Der Datenverkehr zwischen Anhängen des Quell- und Ziel-Transit-Gateways wird bei typischen Sicherheitsüberprüfungen über diese Middlebox-Anhänge abgewickelt. Sie können Messrichtlinien definieren, um die Datenverarbeitungsnutzung für Middlebox-Anlagen flexibel dem ursprünglichen Quellanhang, dem endgültigen Zielanhang oder dem Inhaber des Transit-Gateway-Kontos zuzuweisen. Bei Anhängen von Netzwerkfunktionen werden die Datenverarbeitungsgebühren der AWS Network Firewall ebenfalls dem gebührenpflichtigen Konto zugewiesen.
### Flexible Kostenzuweisung — Nutzungsarten erfassen
Die flexible Kostenzuweisung über Messrichtlinien gilt für die folgenden Datennutzungsarten:
+ Nutzung der Transit-Gateway-Datenverarbeitung auf VPC-, VPN-, VPN Concentrator- und Direct Connect-Anhängen
+ Site-to-site Nutzung der ausgehenden VPN-Datenübertragung bei VPN-Anhängen
+ Verwendung von Direct Connect Data Transfer Out für Direct Connect-Anlagen.
+ Nutzung der Datenübertragung bei TGW-Peering-Anhängen
+ Transit-Gateway Nutzung der Datenverarbeitung bei Anhängen von Network Function
+ AWS Nutzung der Netzwerk-Firewall (NFW) -Datenverarbeitung bei Anhängen von Network Function.
Die flexible Kostenzuweisung gilt nicht für die stündliche Nutzung von Anhängen und die Nutzung der Multicast-Datenverarbeitung. Für Transit Gateway Connect-Anlagen kann eine Messrichtlinie für den zugrunde liegenden Transport-VPC- oder Direct Connect-Anhang definiert werden. Für private IP-VPN-Anlagen kann eine Messrichtlinie für den zugrunde liegenden Direct Connect-Transportanhang definiert werden.
### Überlegungen und Einschränkungen
Beachten Sie bei der Implementierung von Messrichtlinien für Ihr Transit-Gateway Folgendes.
#### Berechtigungen
+ Nur der Besitzer des Transit-Gateways kann Messrichtlinien erstellen, ändern oder löschen.
+ Die Einstellungen für die Kostenzuweisung gelten auf der Ebene des Transit-Gateways.
+ Besitzer von Anhängen können die vom Eigentümer des Transit-Gateways konfigurierten Einstellungen für die Kostenzuweisung nicht überschreiben.
#### Transit-Gateway-Peering
Wenn der Verkehr die Transit-Gateway-Peering-Verbindungen durchquert:
+ Jedes Transit-Gateway wendet unabhängig seine eigenen Messrichtlinien an.
+ Datengebühren werden von jedem Transit-Gateway auf der Grundlage seiner lokalen Richtlinien separat zugewiesen.
+ Man kann sich den Datenverkehr als zwei separate Datenflüsse vorstellen: Verbindung zwischen Quelle und Peering und Verbindung mit Zielverbindung.
#### Cloud-WAN-Integration
Wenn ein Transit-Gateway an ein Cloud-WAN-Kernnetzwerk angeschlossen ist:
+ Die Gebühren für die Datenübertragung am Transit-Gateway für Peering-Verbindungen werden gemäß der Metering-Richtlinie für Transit-Gateways zugewiesen.
+ Messrichtlinien werden in Cloud-WAN-Kernnetzwerken nicht unterstützt.
#### Auswirkung auf die Leistung
+ Messrichtlinien führen zu keiner zusätzlichen Latenz bei Datenpfaden.
+ Messrichtlinien haben keinen Einfluss auf die maximale Bandbreite pro Anhang.
+ Es wurden keine Änderungen an den Funktionen zur gemeinsamen Nutzung von Ressourcen am Transit-Gateway vorgenommen.
#### Integration der Abrechnung
+ Tags für die Kostenzuweisung funktionieren weiterhin mit Richtlinien zur Erfassung der Kosten nach Geschäftsbereichen.
+ Richtlinien zur Erfassung definieren, für welche Konten Kosten anfallen, und anhand von Kostenzuordnungskennzeichnungen lassen sich diese Kosten kategorisieren.
+ Änderungen der Messrichtlinien werden am Ende der nächsten Abrechnungsstunde wirksam.
#### IPv6 Unterstützung
Messrichtlinien werden sowohl für den Verkehr als auch für IPv4 den IPv6 Datenverkehr unterstützt. Der CIDR-Blockabgleich in Richtlinieneinträgen funktioniert mit beiden Adressfamilien.
#### Unterstützung für Middlebox-Anhänge
+ Bei der Middlebox-Messing-Richtlinie wird davon ausgegangen, dass der Verkehr zwischen dem ursprünglichen Quell- und dem Zielanhang über den angegebenen Middle-Box-Anhang verbunden wird (Beispiel: Ost-West-Inspektion des Datenverkehrs). VPC-to-VPC Daher muss das Netzwerk-5-Tupel (source/destination IPs, source/destinationPorts und Protokoll) für eingehende und ausgehende Datenflüsse aus Middle-Box-Anhängen übereinstimmen. Datenflüsse mit 5-Tupel-Nichtübereinstimmungen bei Middle-Box-Anhängen (z. B. NAT-Transformation in Inspection-VPC) werden als reguläre Quell-Ziel-Anhangsflüsse behandelt (im Gegensatz zu Middle-Box-Anhang-Flows).
+ Alle reinen Ausgangsflüsse auf dem Middlebox-Anhang (z. B. Nord-Süd-Verkehr zum Internet über IGW in einer Inspektions-VPC) werden als reguläre Quell- und Zielflüsse behandelt (im Gegensatz zu Middle-Box-Attachment-Flows).
+ Bei Anhängen mit Netzwerkfunktionen, wenn die AWS Netzwerk-Firewall Pakete verwirft, wird der gesamte Datenverarbeitungsaufwand unabhängig von der Konfiguration der Messrichtlinie dem Absenderkonto in Rechnung gestellt.
# Erstellen Sie eine AWS Transit Gateway Gateway-Messrichtlinie
Um Messrichtlinien zu aktivieren, müssen Sie eine Messrichtlinie für Ihr Transit-Gateway erstellen und Richtlinieneinträge konfigurieren, die definieren, wie die Messnutzung zugewiesen wird. Die Messrichtlinie legt den Rahmen und die Standardeinstellungen fest, während die Richtlinieneinträge die spezifischen Regeln enthalten, mit denen festgelegt wird, welche Konten auf der Grundlage von Verkehrsmerkmalen erfasst werden.
Die Richtlinieneinträge zur Erfassung funktionieren als geordnete Regeln, die sequentiell von der niedrigsten zur höchsten Regelnummer für den über Ihr Transit-Gateway fließenden Verkehr angewendet werden. Jeder Eintrag definiert übereinstimmende Kriterien wie Quell- und Zielanhangstypen, CIDR-Blöcke, Protokolle und Portbereiche sowie das Konto, für das der entsprechende Datenverkehr gemessen werden soll. Wenn ein Datenverkehrsfluss mehreren Einträgen entspricht, hat der Eintrag mit der niedrigsten Regelnummer Vorrang. Wenn keine Einträge einem bestimmten Datenfluss entsprechen, wird das in der Richtlinie angegebene Standardkonto mit Zählerkonto belastet.
Nachdem Sie eine Richtlinie erstellt haben, müssen Sie Richtlinieneinträge hinzufügen, um Ihre Kostenzuweisungslogik zu implementieren. Die Schritte zum Erstellen eines Eintrags für eine Messrichtlinie finden Sie unter[Erstellen Sie einen Eintrag für eine Messrichtlinie](create-metering-policy-entry.md).
## Erstellen Sie mithilfe der Konsole eine Messrichtlinie
Erstellen Sie eine Richtlinie zur Definition flexibler Kostenzuweisungsregeln für die Datennutzung am Transit-Gateway. Standardmäßig wird für alle Datenflüsse der Besitzer des Quellanhangs berechnet. Erstellen Sie Einträge, um bestimmte Netzwerkflüsse verschiedenen Konten in Rechnung zu stellen.
**Um eine Messrichtlinie zu erstellen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Messrichtlinien** aus.
1. Wählen Sie **Messrichtlinie erstellen** aus.
1. Wählen Sie **unter Transit-Gateway-ID** das Transit-Gateway aus, für das Sie eine Messrichtlinie erstellen möchten.
1. (Optional) Wählen Sie für einen **Middlebox-Anhang IDs** einen oder mehrere Middlebox-Anhänge aus. Standardmäßig wird die Datennutzung dem Middlebox-Besitzer zugerechnet. Durch die Unterstützung von Middlebox-Anhängen können Messrichtlinien für den Datenverkehr angewendet werden, der Middlebox-Anhänge durchquert. Zusätzliche Anlagen können später hinzugefügt werden.
1. (Optional) Fügen Sie im Abschnitt „**Tags**“ Tags hinzu, die Ihnen helfen, Ihre Messrichtlinie zu identifizieren und zu organisieren:
1. Wählen Sie **Neues Tag hinzufügen** aus.
1. Geben Sie einen **Tag-Schlüssel** und optional einen **Tag-Wert** ein.
1. Wählen Sie **Neues Tag hinzufügen**, um weitere Tags hinzuzufügen, oder fahren Sie mit dem nächsten Schritt fort. Sie können bis zu 50 Tags hinzufügen.
1. Wählen Sie **Messrichtlinie für Transit-Gateways erstellen** aus.
**Anmerkung**
Das Standardkonto ist der Eigentümer des Quellanhangs. Nachdem Sie eine Messrichtlinie erstellt haben, können Sie Einträge hinzufügen, die anhand der Eigenschaften des Datenverkehrs definieren, welches Konto belastet wird. Beachten Sie dabei, dass der Standardrichtlinieneintrag (der letzte Eintrag) nicht wie andere Richtlinieneinträge geändert oder gelöscht werden kann.
## Erstellen Sie eine Messrichtlinie mit dem AWS CLI
Eine Messrichtlinie definiert das Standardverhalten bei der Kostenzuweisung und die globalen Einstellungen für Ihr Transit-Gateway. Verwenden Sie die [create-transit-gateway-metering-Policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-transit-gateway-metering-policy.html).
Erforderliche Parameter
+ `--transit-gateway-id`- Die ID des Transit-Gateways, für das die Richtlinie erstellt werden soll
Optionale Parameter
+ `--middle-box-attachment-ids`- Unterstützte Transit-Gateway-Anhangs-IDs, die der Richtlinie als Middlebox hinzugefügt werden sollen
+ `--tag-specifications`- Tags für die Messrichtlinie
**Um eine Messrichtlinie mit dem zu erstellen AWS CLI**
1. Führen Sie den **create-transit-gateway-metering-policy** Befehl aus, um eine neue Messrichtlinie mit optionalen Middlebox-Anhängen zu erstellen.
```
aws ec2 create-transit-gateway-metering-policy \
--transit-gateway-id tgw-07a5946195a67dc47 \
--middle-box-attachment-ids \
tgw-attach-0123456789abcdef0 \
tgw-attach-0abc123def456789a \
--tag-specifications \
'[{ "ResourceType": "transit-gateway-metering-policy", \
"Tags": [ { "Key": "Env", "Value": "Prod" } ] }]'
```
Dieser Befehl erstellt eine Messrichtlinie für das angegebene Transit-Gateway mit den bereitgestellten Middlebox-Anhängen und -Tags.
1. Der Befehl gibt die folgende Ausgabe zurück, wenn die Richtlinie erfolgreich erstellt wurde:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0abc123def456789a"],
"State": "pending",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z",
"Tags": [{"Key": "Env","Value": "Prod"}]
}
}
```
Notieren Sie sich die in der Antwort zurückgegebene Messrichtlinien-ID zur Verwendung in nachfolgenden Befehlen. **describe-transit-gateway-metering-policies**Der Befehl kann verwendet werden, um die dem Transit-Gateway zugeordnete Messrichtlinie abzurufen.
# Messrichtlinien für AWS Transit Gateway verwalten
Nachdem Sie eine Messrichtlinie erstellt haben, können Sie sie verwalten, indem Sie die aktuellen Einstellungen anzeigen, die Konfigurationsoptionen ändern oder die Richtlinie löschen, wenn sie nicht mehr benötigt wird. Mithilfe von Verwaltungsvorgängen können Sie Middlebox-Anlagen hinzufügen oder entfernen, wenn sich Ihre Netzwerkanforderungen ändern. Sie können nur einen Richtlinieneintrag erstellen oder löschen. Wenn Sie eine bestehende Regel ändern müssen, können Sie den Eintrag löschen und eine neue Regel mit der geänderten Konfiguration erstellen. Alle Verwaltungsvorgänge erfordern die Rechte des Besitzers des Transit-Gateways und werden nach zwei Abrechnungsstunden wirksam.
Ein effektives Management der Messrichtlinien ist entscheidend für die Aufrechterhaltung einer genauen Kostenverteilung bei der Weiterentwicklung Ihrer Netzwerkarchitektur. Organizations müssen ihre Richtlinien häufig anpassen, wenn sich Geschäftsbereiche ändern, neue Anwendungen bereitgestellt oder Netzwerktopologien geändert werden. Beispielsweise können die Einstellungen zur Unterstützung von Middlebox Metering Aktualisierungen erfordern, wenn sich die Firewall-Sicherheitsarchitekturen ändern oder wenn neue Inspektionsdienste für den Datenverkehrspfad eingeführt werden.
Richtlinienänderungen unterstützen verschiedene Betriebsszenarien, darunter saisonale Änderungen der Verkehrsmuster, Fusions- und Übernahmeaktivitäten sowie Aktualisierungen der Compliance-Anforderungen. Berücksichtigen Sie bei der Verwaltung der Richtlinien die Auswirkungen auf die bestehenden Abrechnungsregelungen und teilen Sie den betroffenen Akteuren die Änderungen vor der Umsetzung mit.
Regelmäßige Überprüfungen der Richtlinien tragen dazu bei, dass die Kostenverteilung weiterhin den Geschäftszielen und Organisationsstrukturen entspricht. Zu den bewährten Methoden gehören die Dokumentation von Richtlinienänderungen, das Testen von Änderungen in Produktionsumgebungen, wenn möglich, und die Abstimmung mit den Finanzteams, um die Auswirkungen auf die Abrechnung zu verstehen. Berücksichtigen Sie außerdem den Zeitpunkt der Richtlinienänderungen, um Unterbrechungen der monatlichen Abrechnungszyklen und der Finanzberichterstattung zu minimieren.
**Topics**
+ [Bearbeiten Sie eine Messrichtlinie](metering-policy-edit.md)
+ [Löschen Sie eine Messrichtlinie](metering-policy-delete.md)
# Eine AWS Transit Gateway Gateway-Messrichtlinie bearbeiten
Bearbeiten Sie bestehende Messrichtlinien, um die Konfigurationen von Middlebox-Anhängen zu ändern. Änderungen der Richtlinien werden zur nächsten Abrechnungsstunde wirksam und gelten für alle future Verkehrsflüsse über Ihr Transit-Gateway.
## Bearbeiten Sie eine Messrichtlinie mithilfe der Konsole
Verwenden Sie die Konsole, um die vorhandenen Einstellungen der Messrichtlinie für Ihr Transit-Gateway zu ändern.
**Um eine bestehende Messrichtlinie mit der Konsole zu bearbeiten**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Messrichtlinien** aus.
1. Wählen Sie die Messrichtlinie aus, die Sie ändern möchten, indem Sie deren Richtlinien-ID auswählen
1. Ändern Sie die verfügbaren Richtlinieneinstellungen unter **Aktionen**. Die Konsole erlaubt nur das Hinzufügen und Entfernen von Middle-Box-Anhängen.
1. **Middlebox-Anlagen** — Fügen Sie Transit-Gateway-Anlagen hinzu oder entfernen Sie sie, die für spezielle Abrechnungen als Middleboxen behandelt werden sollten.
## Bearbeiten Sie eine Messrichtlinie mit dem AWS CLI
Verwenden Sie den **modify-transit-gateway-metering-policy** Befehl, um Messrichtlinien anzuzeigen und zu ändern.
Erforderliche Parameter für Änderungsvorgänge:
+ `--transit-gateway-metering-policy-id`- Die ID der Messrichtlinie, die geändert werden soll
+ `--add-middle-box-attachment-ids`oder `--remove-middle-box-attachment-ids` — Unterstützte Transit-Gateway-Anhangs-IDs, die als Middlebox zur Richtlinie hinzugefügt oder daraus entfernt werden sollen
**So zeigen Sie Messrichtlinien mit der AWS CLI an und bearbeiten sie**
1. (Optional) Zeigen Sie vorhandene Messrichtlinien an, indem Sie den **describe-transit-gateway-metering-policies** Befehl verwenden, um die aktuellen Konfigurationseinstellungen zu sehen:
```
aws ec2 describe-transit-gateway-metering-policies
```
Mit diesem Befehl werden alle Messrichtlinien in Ihrem Konto zurückgegeben, wobei ihr aktueller Status und die als Middlebox aktivierten Anlagen für jede Messrichtlinie angezeigt werden.
1. Ändern Sie eine Messrichtlinie mithilfe des **modify-transit-gateway-metering-policy** Befehls zum Aktualisieren der Konfigurationsoptionen:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--add-middle-box-attachment-ids tgw-attach-0123456789abcdef1 \
--remove-middle-box-attachment-ids tgw-attach-0abc123def456789a
```
Mit diesem Befehl wird eine Messrichtlinie geändert, indem Middlebox-Anlagen hinzugefügt und and/or entfernt werden.
1. Der Befehl gibt die folgende Ausgabe zurück, wenn die Richtlinie erfolgreich geändert wurde:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "modifying",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
Es kann bis zu zwei Abrechnungsstunden dauern, bis die Änderungen wirksam werden.
# Löschen Sie eine AWS Transit Gateway Gateway-Messrichtlinie
Löschen Sie Messrichtlinien, wenn sie für Ihre Strategie zur Kostenzuweisung für Transit-Gateways nicht mehr erforderlich sind. Durch das Löschen einer Richtlinie wird die Kostenzuweisung auf das absenderbasierte Standardmodell zurückgesetzt, bei dem die Datenverarbeitungs- und Datenübertragungsgebühren dem Konto zugewiesen werden, dem der Quellanhang gehört. Alle Richtlinieneinträge, die mit der gelöschten Messrichtlinie verknüpft sind, werden ebenfalls entfernt.
## Löschen Sie eine Messrichtlinie mithilfe der Konsole
Verwenden Sie die Konsole, um Messrichtlinien zu entfernen, die nicht mehr benötigt werden.
**Um eine Messrichtlinie mit der Konsole zu löschen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Messrichtlinien** aus.
1. Wählen Sie die Richtlinie aus, die Sie löschen möchten, indem Sie deren Richtlinien-ID auswählen.
1. Wählen Sie **Actions** (Aktionen) und anschließend **Delete** (Löschen) aus.
1. Bestätigen Sie den Löschvorgang, indem Sie **delete** etwas in das Bestätigungsdialogfeld eingeben.
1. Wählen Sie **Löschen** aus.
**Wichtig**
Das Löschen einer Messrichtlinie kann nicht rückgängig gemacht werden. Alle Richtlinieneinträge und Konfigurationseinstellungen werden dauerhaft entfernt, und die Kostenzuweisung wird auf das absenderbasierte Standardmodell zurückgesetzt.
## Löschen Sie eine Messrichtlinie mit dem AWS CLI
Verwenden Sie den **delete-transit-gateway-metering-policy** Befehl, um Messrichtlinien programmgesteuert zu löschen.
Voraussetzungen:
+ Rechte des Besitzers des Transit Gateways
Erforderliche Parameter
+ `--transit-gateway-metering-policy-id`- Die ID der Messrichtlinie, die gelöscht werden soll
**So zeigen Sie Messrichtlinien mit der AWS CLI an und löschen sie**
1. (Optional) Zeigen Sie vorhandene Messrichtlinien mit dem **describe-transit-gateway-metering-policies** Befehl an, um die aktuellen Konfigurationseinstellungen zu sehen:
```
aws ec2 describe-transit-gateway-metering-policies
```
Dieser Befehl gibt alle Messrichtlinien in Ihrem Konto zurück und zeigt deren aktuellen Status und Konfiguration an.
1. Löschen Sie eine Messrichtlinie mit dem **delete-transit-gateway-metering-policy** folgenden Befehl, um die Richtlinie dauerhaft zu entfernen:
```
aws ec2 delete-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7
```
Mit diesem Befehl werden die angegebene Messrichtlinie und alle zugehörigen Einträge dauerhaft entfernt. Die Kostenzuweisung wird für alle future Verkehrsflüsse auf das absenderbasierte Standardmodell zurückgesetzt. Es dauert außerdem zwei Abrechnungsstunden, bis diese Änderung wirksam wird.
1. Der Befehl gibt die folgende Ausgabe zurück, wenn die Richtlinie erfolgreich gelöscht wurde:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "deleting",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
In der Antwort wird bestätigt, dass die Richtlinie gelöscht wird, wobei ein `deleting` Status angegeben wird, während die Entfernung in der Transit-Gateway-Infrastruktur verarbeitet wird.
# Einen Eintrag für eine AWS Transit Gateway Gateway-Messrichtlinie erstellen
Standardmäßig wird für alle Datenflüsse der Eigentümer des Quellanhangs berechnet. Um bestimmte Datenflüsse an verschiedene Konten zu erfassen, erstellen Sie individuelle Richtlinieneinträge, in denen anhand der Eigenschaften des Datenverkehrs definiert wird, für welches Konto Gebühren anfallen.
Die Richtlinieneinträge für die Erfassung dienen als bedingte Regeln, die in sequentieller Reihenfolge anhand ihrer Regelnummern ausgewertet werden, wenn der Verkehr über Ihr Transit-Gateway fließt. Jeder Eintrag dient als Wenn-Dann-Aussage: Wenn der Datenverkehr den angegebenen Kriterien entspricht (z. B. Art des Quellanhangs, CIDR-Zielblock oder Protokoll), wird das angegebene Konto belastet. Das System bewertet die Einträge von der niedrigsten zur höchsten Regelnummer, und der erste übereinstimmende Eintrag bestimmt das Rechnungskonto für diesen Verkehrsfluss.
Die Einträge unterstützen eine Vielzahl von Übereinstimmungskriterien, darunter Anhangstypen (VPC, VPN, Direct Connect Gateway), spezifische Anhänge IDs, Quell- und Ziel-CIDR-Blöcke, Protokolltypen und Portbereiche. Sie können mehrere Kriterien in einem einzigen Eintrag kombinieren, um präzise Targeting-Regeln zu erstellen. Sie könnten beispielsweise einen Eintrag erstellen, der den gesamten HTTPS-Verkehr (Port 443) von VPC-Anhängen zu einem bestimmten CIDR-Zielbereich abgleicht und diese Ströme dem Konto eines Sicherheitsteams belastet. Wenn keine Einträge einem bestimmten Verkehrsfluss entsprechen, wird das in der übergeordneten Messrichtlinie angegebene Standardkonto mit Zählerfassung belastet, sodass sichergestellt wird, dass der gesamte Datenverkehr ordnungsgemäß abgerechnet wird. Es dauert 2 Abrechnungsstunden, bis die Erstellung eines Eintrags wirksam wird.
**Wichtig**
Planen Sie die Regelnummern sorgfältig — lassen Sie Lücken (z. B. 10, 20, 30), um future Einfügungen zu ermöglichen
Testen Sie zuerst Einträge mit weniger spezifischen Bedingungen, bevor Sie restriktivere Regeln hinzufügen
Verwenden Sie spezifische Abgleichsbedingungen, um eine unbeabsichtigte Abrechnung zu vermeiden
## Erstellen Sie mithilfe der Konsole einen Eintrag für die Messrichtlinie
Eine Messrichtlinie definiert das Standardverhalten bei der Kostenzuweisung und die globalen Einstellungen für Ihr Transit-Gateway.
**So erstellen Sie mit der Konsole einen Eintrag für eine Messrichtlinie**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Messrichtlinien** aus.
1. Wählen Sie den Link zur Messrichtlinien-ID aus, um die zugehörigen Details anzuzeigen.
1. Wählen Sie die Registerkarte **Messrichtlinien-Einträge**.
1. Wählen Sie **Eintrag für Messrichtlinien erstellen** aus.
1. **Nummer der Richtlinienregel** — Dabei sollte es sich um eine eindeutige Zahl (1 — 32.766) handeln, die die Reihenfolge der Auswertung bestimmt. Niedrigere Zahlen haben eine höhere Priorität.
1. **Gebührenpflichtiges Konto** — Wählen Sie einen der folgenden Kontotypen aus, für den Gebühren für den entsprechenden Datenverkehr berechnet werden sollen:
1. **Eigentümer des Quellanhangs**
1. **Besitzer des Zielanhangs**
1. **Besitzer Transit Gateway Gateway-Anhangs**
1. (Optional) Wählen Sie „**Regelbedingungen**“ — Diese optionalen Bedingungen definieren Kriterien, die einem bestimmten Datenverkehr entsprechen:
+ **Art oder ID des Quellanhangs** — Filtern Sie nach Anhangstyp (VPC, VPN, Direct Connect Gateway, Peering) oder ID.
+ **Typ oder ID des Zielanhangs** — Filtern Sie nach Art oder ID des Zielanhangs
+ **Quell-CIDR-Block** — Ordnet Datenverkehr aus bestimmten IP-Bereichen zu
+ **Ziel-CIDR-Block** — Ordnet den Verkehr bestimmten IP-Bereichen zu
+ **Quellportbereich** — Entspricht bestimmten Quellports
+ **Zielportbereich** — Entspricht bestimmten Zielports
+ **Protokoll** — Filtern Sie nach Protokoll für die Regel (1, 6, 17 usw.)
1. Wählen Sie **Eintrag für Messrichtlinien erstellen**, um die Konfiguration zu speichern.
## Erstellen Sie einen Eintrag für die Messrichtlinie mit dem AWS CLI
Richtlinieneinträge definieren spezifische Regeln für die Kostenzuweisung auf der Grundlage von Verkehrsmerkmalen. Regeln werden in der Reihenfolge von der niedrigsten zur höchsten Regelnummer bewertet.
Erforderliche Parameter
+ `--transit-gateway-metering-policy-id`- Die ID der Messrichtlinie, zu der der Eintrag hinzugefügt werden soll
+ `--policy-rule-number`- Eine eindeutige Zahl (1—32.766), die die Reihenfolge der Auswertung bestimmt
+ `--metered-account`- Art des Zahlers (//) source-attachment-owner destination-attachment-owner transit-gateway-owner
Optionale Parameter
Diese optionalen Parameter, die Kriterien definieren, die einem bestimmten Datenverkehr entsprechen:
+ `--source-transit-gateway-attachment-id`- Die ID des Quell-Transit-Gateway-Anhangs.
+ `--source-transit-gateway-attachment-type`- Der Typ des Quell-Transit-Gateway-Anhangs.
+ `--source-cidr-block`- Der Quell-CIDR-Block für die Regel.
+ `--source-port-range`- Der Quellportbereich für die Regel.
+ `--destination-transit-gateway-attachment-id`— Die ID des Ziel-Transit-Gateway-Anhangs.
+ `--destination-transit-gateway-attachment-type`- Der Typ des Ziel-Transit-Gateway-Anhangs.
+ `--destination-cidr-block`- Der Ziel-CIDR-Block für die Regel.
+ `--destination-port-range`- Der Zielportbereich für die Regel.
+ `--protocol`- Die Protokollnummer für die Regel
**Um einen Eintrag für eine Messrichtlinie mit dem zu erstellen AWS CLI**
1. Verwenden Sie den **create-transit-gateway-metering-policy-entry** Befehl, um einen neuen Richtlinieneintrag zu erstellen, der VPC-Verkehr an ein bestimmtes gemessenes Konto weiterleitet:
```
aws ec2 create-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--policy-rule-number 100 \
--destination-transit-gateway-attachment-type vpc \
--metered-account destination-attachment-owner
```
Dieser Befehl erstellt einen Richtlinieneintrag mit der Regelnummer 100, der dem für VPC-Anlagen bestimmten Datenverkehr entspricht, und dem Besitzer der Zielanhänge eine Gebühr für diese Datenflüsse berechnet.
1. Der Befehl gibt die folgende Ausgabe zurück, wenn der Eintrag erfolgreich erstellt wurde:
```
{
"TransitGatewayMeteringPolicyEntry": {
"MeteredAccount": "destination-attachment-owner",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
},
"PolicyRuleNumber": 100,
"State": "available",
"UpdateEffectiveAt": "2025-11-06T02:00:00.000Z"
}
}
```
Die Antwort bestätigt, dass der Eintrag während der Aktivierung in der gesamten Transit-Gateway-Infrastruktur mit dem Status „verfügbar“ erstellt wurde.
# Löschen Sie einen Eintrag für eine AWS Transit Gateway Gateway-Messrichtlinie
Löschen Sie die Einträge in den Messrichtlinien, wenn bestimmte Regeln zur Kostenzuweisung für Ihren Netzwerkdatenverkehr nicht mehr erforderlich sind. Durch das Löschen von Einträgen wird die Richtlinienverwaltung vereinfacht, da veraltete oder unnötige Regeln entfernt und gleichzeitig die allgemeine Richtlinienstruktur beibehalten wird. Wenn Sie einen Eintrag löschen, wird der Datenverkehr, der zuvor der gelöschten Regel entsprach, anhand der verbleibenden Einträge in der Reihenfolge der Regelnummern bewertet, oder es wird auf das standardmäßige Richtlinienverhalten zurückgegriffen, wenn keine anderen Einträge übereinstimmen.
Bevor Sie Einträge löschen, sollten Sie die Auswirkungen auf die aktuellen Abrechnungsmodalitäten und den Verkehrsfluss berücksichtigen. Nach dem Löschen dauert es bis zu 2 Abrechnungsstunden, bis die Änderung wirksam wird. Sie kann nicht rückgängig gemacht werden. Stimmen Sie die Änderungen daher mit den betroffenen Kontoinhabern und Finanzteams ab. Überprüfe die verbleibenden Einträge, um sicherzustellen, dass der Datenverkehr und die Abrechnung nach dem Löschen korrekt sind. Die Reihenfolge der Regelauswertung für die verbleibenden Einträge bleibt unverändert, sodass ein vorhersehbares Verhalten bei der Kostenzuweisung bei fortgesetzten Datenströmen gewährleistet wird.
**Wichtig**
Das Löschen ist irreversibel
Datenverkehr, der zuvor mit diesem Eintrag übereinstimmt, wird anhand der verbleibenden Einträge erneut bewertet
Überprüfen Sie die verbleibenden Einträge, um sicherzustellen, dass der Verkehr ordnungsgemäß abgedeckt ist
## Löschen Sie einen Eintrag für eine Messrichtlinie mithilfe der Konsole
Verwenden Sie die Konsole, um Richtlinieneinträge über eine intuitive Benutzeroberfläche zu entfernen, die Bestätigungsdialogfelder enthält, um versehentliche Löschungen zu verhindern.
**Um einen Richtlinieneintrag mit der Konsole zu löschen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Messrichtlinien** aus.
1. Wählen Sie die Messrichtlinie aus, die den Eintrag enthält, den Sie löschen möchten.
1. Wählen Sie den Eintrag aus, den Sie entfernen möchten, und klicken Sie auf **Löschen**.
1. Überprüfen Sie im Bestätigungsdialogfeld die Eintragsdetails und geben Sie den Text ein**delete**, um das Entfernen zu bestätigen.
1. Wählen Sie **Löschen**, um den Eintrag dauerhaft zu entfernen.
## Löschen Sie einen Eintrag für eine Messrichtlinie mithilfe der AWS CLI
Verwenden Sie den **delete-transit-gateway-metering-policy-entry** Befehl, um Richtlinieneinträge programmgesteuert zu entfernen.
Voraussetzungen:
+ Rechte des Besitzers des Transit Gateways
+ Gültige Messrichtlinien-ID und Eintragsregelnummer
Erforderliche Parameter
+ `--transit-gateway-metering-policy-id`- Die ID der Messrichtlinie
+ `--policy-rule-number`- Die Regelnummer des zu löschenden Eintrags
**So zeigen Sie Richtlinieneinträge mit der AWS CLI an und löschen sie**
1. (Optional) Zeigen Sie vorhandene Richtlinieneinträge mit dem **get-transit-gateway-metering-policy-entries** Befehl an, um die aktuellen Konfigurationseinstellungen zu sehen:
```
aws ec2 get-transit-gateway-metering-policy-entries \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg
```
Dieser Befehl gibt alle Einträge für die angegebene Richtlinie zurück und zeigt deren Regelnummern, Übereinstimmungskriterien und Zählerkonten an.
1. Löschen Sie einen Richtlinieneintrag mit dem **delete-transit-gateway-metering-policy-entry** folgenden Befehl, um den Eintrag dauerhaft zu entfernen:
```
aws ec2 delete-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--policy-rule-number 100
```
Mit diesem Befehl wird der angegebene Eintrag dauerhaft aus der Richtlinie entfernt. Datenverkehr, der zuvor mit diesem Eintrag übereinstimmt, wird sofort mit den verbleibenden Einträgen verglichen oder es wird auf das standardmäßige Richtlinienverhalten zurückgegriffen.
1. Der Befehl gibt die folgende Ausgabe zurück, wenn der Eintrag erfolgreich gelöscht wurde:
```
{
"TransitGatewayMeteringPolicyEntry": [
{
"PolicyRuleNumber": 100,
"MeteredAccount": "destination-attachment-owner",
"UpdateEffectiveAt": "2024-01-01T01:00:00+00:00",
"state": "deleted",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
}
}
}
```
Die Antwort bestätigt, dass der Eintrag gelöscht wird und den Status „Gelöscht“ hat, während der Löschvorgang in der gesamten Transit-Gateway-Infrastruktur verarbeitet wird.
# Middlebox-Anhänge für die AWS Transit Gateway Gateway-Messrichtlinie verwalten
Die Metering-Richtlinien für Transit-Gateways unterstützen Middlebox-Anhänge, sodass Sie Datenverarbeitungsgebühren für den Netzwerkverkehr, der über Middlebox-Appliances wie Netzwerk-Firewalls und Load Balancer geleitet wird, flexibel zuweisen können. Beispiele für Middlebox-Anhänge sind Netzwerkfunktionsanhänge an die AWS Network Firewall oder VPC-Anhänge, die den Datenverkehr an Sicherheits-Appliances von Drittanbietern in einer VPC weiterleiten. Der Datenverkehr zwischen Anhängen des Quell- und Ziel-Transit-Gateways wird bei typischen Sicherheitsüberprüfungen über diese Middlebox-Anhänge abgewickelt. Sie können Messrichtlinien definieren, um die Datenverarbeitungsnutzung für Middlebox-Anlagen flexibel dem ursprünglichen Quellanhang, dem endgültigen Zielanhang oder dem Inhaber des Transit-Gateway-Kontos zuzuweisen. Bei Anhängen von Netzwerkfunktionen werden die Datenverarbeitungsgebühren der AWS Network Firewall ebenfalls dem gebührenpflichtigen Konto zugewiesen.
Spezifizierte Transit-Gateway-Anlagen, die den Datenverkehr zur Sicherheitsinspektion, zum Lastenausgleich oder für andere Netzwerkfunktionen über Netzwerkgeräte weiterleiten. Die Datennutzung für den Datenverkehr, der Middlebox-Anhänge passiert, wird an den Kontoinhaber abgerechnet, der in der Messrichtlinie angegeben ist. Sie können maximal 10 Middlebox-Anhänge angeben. Unterstützte Middlebox-Anhangstypen sind Netzwerkfunktion (AWS Network Firewall), VPC- und VPN-Anhänge.
**Topics**
+ [Fügen Sie Middlebox-Anhänge hinzu](create-middlebox-attachment.md)
+ [Middlebox-Anhänge entfernen](edit-middlebox-attachment.md)
# Middlebox-Anlagen für die AWS Transit Gateway Gateway-Messrichtlinie hinzufügen
Sie können Middlebox-Anhänge hinzufügen, um Netzwerkgeräte in Ihre Transit Gateway Gateway-Messrichtlinie zu integrieren. Auf diese Weise können Sie bestimmten Datenverkehr über Sicherheitsgeräte, Load Balancer oder andere Netzwerkfunktionen weiterleiten und gleichzeitig die detaillierte Kontrolle über die Kostenzuweisung beibehalten.
**Wichtig**
Stellen Sie sicher, dass die Middlebox-Appliances ordnungsgemäß konfiguriert und zugänglich sind
Testen Sie das Traffic-Routing, bevor Sie es auf Produktionsworkloads anwenden
Überwachen Sie die Middlebox-Leistung, um Latenz zu vermeiden
Konfigurieren Sie ein geeignetes Failover-Verhalten für hohe Verfügbarkeit
## Fügen Sie Middlebox-Anhänge mithilfe der Konsole hinzu
**Um einen Middlebox-Anhangseintrag hinzuzufügen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Messrichtlinien** aus.
1. Wählen Sie den Link zur Messrichtlinien-ID aus, um die zugehörigen Details anzuzeigen.
1. Wählen Sie die **Registerkarte Middlebox-Anhänge**.
1. Wählen Sie **Hinzufügen** aus.
1. Wenn Sie dazu aufgefordert werden, wählen Sie den Middlebox-Anhang aus IDs , der für spezielle Abrechnungen als Middleboxen behandelt werden soll. Sie können bis zu 10 Middlebox-Anlagen auswählen.
1. Wählen Sie **Middlebox-Anhänge hinzufügen**, um die Konfiguration zu speichern.
## Fügen Sie Middlebox-Anhänge hinzu, indem Sie AWS CLI
Verwenden Sie den **modify-transit-gateway-metering-policy** Befehl, um Anlagen hinzuzufügen.
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die folgenden erforderlichen Parameter verfügen:
+ `--transit-gateway-metering-policy-id`- Die ID der vorhandenen Messrichtlinie
+ `--add-middle-box-attachment-ids`- Ein oder mehrere Anlagen IDs , die der Richtlinie hinzugefügt werden sollen (zum Hinzufügen von Anhängen)
**So fügen Sie Middlebox-Anhänge mit der CLI zu einer vorhandenen Richtlinie hinzu AWS**
1. Im folgenden Beispiel **modify-transit-gateway-metering-policy** wird verwendet, um einer vorhandenen Messrichtlinie vier Middlebox-Anhänge hinzuzufügen. Der Befehl fügt den angegebenen Anhang IDs zur vorhandenen Liste hinzu, ohne die aktuellen Anlagen zu entfernen:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--add-middle-box-attachment-ids tgw-attach-0bdc681c211bf71f3 tgw-attach-0987654321fedcba0 tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. In der folgenden Beispielantwort zeigt die JSON-Ausgabe die aktualisierte Richtlinienkonfiguration mit allen vier Middlebox-Anhängen, die jetzt enthalten sind:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0",
"tgw-attach-0456789012345abcd",
"tgw-attach-0fedcba0987654321"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
# Middlebox-Anhänge für die AWS Transit Gateway Gateway-Messrichtlinie entfernen
Standardmäßig werden die Messkosten dem Eigentümer des Middlebox-Anhangs zugerechnet. Sie können diese Zuweisungen jedoch ändern, um sicherzustellen, dass die Kosten ordnungsgemäß der tatsächlichen Quelle oder dem Ziel des Datenverkehrs zugewiesen werden. Sie können insgesamt bis zu 10 Middlebox-Anhänge für eine Messrichtlinie hinzufügen oder entfernen.
## Entfernen Sie Middlebox-Anhänge mithilfe der Konsole
Verwenden Sie die Amazon VPC-Konsole, um Middlebox-Anhänge aus Ihrer Messrichtlinien-Konfiguration zu entfernen.
**Um Middlebox-Anhänge zu entfernen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Wählen Sie im Navigationsbereich **Transit Gateways**, Metering Policies aus.**
1. Wählen Sie die Messrichtlinie aus, die Sie ändern möchten.
1. Wählen Sie die **Registerkarte Middlebox-Anhänge**.
1. Wählen Sie bis zu 10 Middlebox-Anhänge aus, die aus der Messrichtlinie entfernt werden sollen.
1. Wählen Sie **Remove (Entfernen)** aus.
1. Wenn Sie dazu aufgefordert werden, können Sie die ausgewählten Middlebox-Anhänge aktualisieren, um sie zu entfernen. Der Datenverkehr durch entfernte Anhänge wird dem Eigentümer des Middlebox-Anhangs zugerechnet.
1. Wählen Sie Middlebox-Anhänge **entfernen** aus.
## Entfernen Sie Middlebox-Anhänge mit dem AWS CLI
Verwenden Sie den **modify-transit-gateway-metering-policy** Befehl, um Anhänge zu entfernen.
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die folgenden erforderlichen Parameter verfügen:
+ `--transit-gateway-metering-policy-id`- Die ID der vorhandenen Messrichtlinie
+ `--remove-middle-box-attachment-ids`- Ein oder mehrere Anlagen IDs , die aus der Richtlinie entfernt werden sollen (zum Entfernen von Anhängen)
**So entfernen Sie Middlebox-Anhänge mithilfe der CLI aus einer vorhandenen Richtlinie AWS**
1. Im folgenden Beispiel **modify-transit-gateway-metering-policy** wird verwendet, um zwei spezifische Middlebox-Anhänge aus einer vorhandenen Messrichtlinie zu entfernen. Der Befehl entfernt nur den angegebenen Anhang, IDs wobei die verbleibenden Anlagen erhalten bleiben:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--remove-middle-box-attachment-ids tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. In der folgenden Beispielantwort zeigt die JSON-Ausgabe die aktualisierte Richtlinienkonfiguration, bei der die angegebenen Anlagen entfernt wurden und die verbleibenden Anlagen weiterhin aktiv sind:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
**Topics**
+ [Richtlinien für die Erfassung](#metering-policies-main)
+ [Erstellen Sie eine Messrichtlinie](metering-policy-create-policy.md)
+ [Messrichtlinien verwalten](metering-policy-manage-policy.md)
+ [Erstellen Sie einen Eintrag für eine Messrichtlinie](create-metering-policy-entry.md)
+ [Löschen Sie einen Eintrag für eine Messrichtlinie](metering-policy-entry-delete.md)
+ [Middlebox-Anhänge für Messrichtlinien verwalten](metering-policy-middlebox.md)