Bis zum 1. Februar 2024 hat AWS Public IPs nur dann berechnet, wenn eine Elastic IP (statisch) keiner laufenden EC2-Instanz zugeordnet war oder eine Instanz mehrere Elastic IPs hatte.
Seit diesem Datum kostet jede Ressource mit einer Public IP – also NAT Gateway, EC2-Instanz, Load Balancer, VPN usw. – zusätzlich 0,005 $/Stunde (3,65 $/Monat).
Foto von tete_escape auf ShutterStock
Was ist eine Public IP?
Eine Public IP ist eine IP-Adresse (zum Beispiel 52.52.52.52), die für jeden im Internet erreichbar ist. Es gibt zwei Protokolle: IPv4 und IPv6.
Ein paar Beispiele:
Public-IP-Adresse (IPv4): 52.52.52.52
Private IP-Adresse (IPv4): 10.0.0.50 (aus dem öffentlichen Internet nicht erreichbar)
Public-IP-Adresse (IPv6): 2600:1f69:8000:0000:0000:0000:0000:0001
AWS unterstützt sowohl IPv4 als auch IPv6, allerdings können IPv4-Adressen nicht mit IPv6-Adressen kommunizieren.
Wenn ich eine EC2-Instanz erstelle, weist AWS – abhängig von den Subnetz-Einstellungen meiner VPC (Virtual Private Cloud) – eine der folgenden Konfigurationen zu:
- Eine private IPv4-Adresse.
- Eine private und eine öffentliche (ephemere) IPv4-Adresse (Standardeinstellung).
- Eine private und eine öffentliche (ephemere) IPv4-Adresse plus eine öffentliche (statische) IPv6-Adresse.
- Eine öffentliche (statische) IPv6-Adresse.
Ephemere IP-Adressen werden VPC-Komponenten wie EC2-Instanzen automatisch zugewiesen. Diese IPv4-Adressen können sich ändern und sind weitgehend nicht-deterministisch – daher die Bezeichnung "ephemer".
Warum berechnet AWS jetzt IP-Adressen?
Seit den Anfängen des Internets läuft die Kommunikation über IPv4-Adressen. Inzwischen ist der gesamte Pool möglicher IPv4-Adressen – 3,7 Milliarden IPs – an Internetdienstanbieter (ISP), Unternehmen und Organisationen vergeben. 2012 wurde IPv6 eingeführt, das IPv4 ablösen und mit 340 Billionen Adressen einen deutlich größeren Adressraum bereitstellen soll.
AWS verfügt bereits über 136,6 Millionen IP-Adressen. Da immer mehr neue Kunden auf die AWS-Plattform migrieren, muss AWS sicherstellen, dass die Nachfrage gedeckt bleibt.
Doch neue Zuteilungen gibt es nicht mehr. AWS kann IP-Adressen nur noch auf dem freien Markt erwerben, und die Preise dafür sind über die Jahre drastisch gestiegen. Die folgende Grafik zeigt den Preis pro IP von IPv4.global, das als Auktionsplattform für IPv4-Adresspools fungiert.
Um AWS-Kunden zu motivieren, den Einsatz von Public IPs zu reduzieren, hat AWS daher beschlossen, deren Nutzung künftig zu berechnen.
Welche Auswirkungen hat das auf Ihre AWS-Rechnung?
Die monatlichen Kosten jeder Ressource mit Public IP steigen um 3,65 $.
DoiT, ein AWS Premier Partner mit verwalteten Cloud-Ausgaben von über 1,5 Mrd. $, unterstützt weltweit Tausende Kunden bei komplexen Cloud-Herausforderungen und spart ihnen Zeit und Geld. Unsere Auswertung zeigt: Bei DoiT-Kunden führt diese Preisanpassung im Schnitt zu einem Anstieg der Monatsrechnung um 2,6 %. Wir haben Best Practices entwickelt, um die Mehrkosten für unsere Kunden möglichst gering zu halten.
Auswirkungen auf Ihren AWS-Account ermitteln
Damit Kunden ihre aktuelle Public-IP-Nutzung auf Account-Ebene überprüfen können, hat AWS in der AWS Console ein neues Feature namens "Public IP Insights" veröffentlicht.
Public IP Insights zeigt Diagramme zur aktuellen Nutzung von Public IPs sowie eine Tabelle mit allen IPs und ihrem Einsatzort. Die Daten beziehen sich auf die Account-Ebene und ausschließlich auf die abgefragte Region.
Den Kostenanstieg berechnen Sie, indem Sie die Anzahl der Public IPs – in diesem Beispiel 137 – mit dem Stundenpreis von 0,005 $ und der Anzahl der Stunden pro Monat (730, also 365 Tage / 12 Monate) multiplizieren.
137 IPs * 0,005 $ (Stundenpreis) * 730 (Stunden pro Monat) = 500,05 $/Monat
Im Februar 2024 hat AWS die Oberfläche geändert: Sie müssen nun ein Free-Tier-IPAM (kostenlos) anlegen, um auf Public IP Insights zugreifen zu können.
Auswirkungen auf Ihre AWS Organization ermitteln
Um die Auswirkungen auf Ebene der AWS Organization über alle Accounts und Regionen hinweg zu bewerten, stellt AWS ein kostenloses Billing-Dashboard bereit: AWS Cost Explorer.
Mit dem Cost Explorer lässt sich die Anzahl der genutzten Public-IP-Stunden in der gesamten Organization auslesen. Vor der Preiserhöhung (01.02.2024) liegen die Kosten bei 0. Beispielhaft folgt eine Berechnung der Kosten anhand der Stundenanzahl:
Diesen Bericht erstellen Sie über den AWS Cost Explorer.
- Stellen Sie den Date Range auf den Vormonat ein.
- Suchen Sie im Feld Usage Type nach Einträgen, die "PublicIPv4:InUseAddress" enthalten, klicken Sie auf Select all und anschließend auf Apply:
Hinweis: Der Cost Explorer zeigt den Usage Type nur für Regionen an, die Sie tatsächlich nutzen. Ihre Liste kann daher kürzer ausfallen.
Hinweis 2: Das Präfix vor PublicIPv4:InUseAddress steht für die jeweilige Region. Die vollständige Liste finden Sie hier.
- Über Group By Dimension lassen sich die Ergebnisse nach AWS-Account oder Region aufschlüsseln. Hier möchte ich die Gesamtkosten der Preiserhöhung betrachten und setze die Dimension daher auf None.
Die Anzahl der Public-IP-Stunden beträgt 201.675,28. Diese multipliziere ich mit dem Stundenpreis von 0,005 $.
201.675,28 Stunden * 0,005 $ (Stundenpreis) = 1.008,3764 $/Monat
Kosten und Nutzung aus dem AWS Cost and Usage Report (CUR) auslesen
Wenn Sie den AWS Cost and Usage Report (CUR) inklusive Resource ID nutzen, sehen Sie den Usage Type PublicIPv4:InUseAddress bei jeder Ressource mit einer Public IP.
Im CUR sieht das beispielhaft so aus:
Die Kosten sind dem Elastic Network Interface (ENI) der Instanz zugeordnet; der Produktname lautet "Amazon Virtual Private Cloud".
Public-IP-Kosten taggen
Beim Anlegen einer Instanz lässt sich diese in AWS mit Tags versehen. Über Tags lassen sich die Kosten im AWS Cost Explorer und im CUR filtern.
Da eine Instanz aber aus mehreren Komponenten besteht (Instanz, Disk, Network Interface), wird jede Komponente separat getaggt.
Die Public IP wird über das Elastic Network Interface (Netzwerkkarte) der Instanz abgerechnet – wir müssen das ENI also mit denselben Tags wie die Instanz versehen.
Lässt sich der Einsatz einer Public IP vermeiden?
Ja, es gibt mehrere Alternativen, mit denen Sie ohne öffentliche IPv4-Adresse in der Cloud arbeiten oder die Public-IP-Nutzung deutlich reduzieren können:
Public-IPv4-Adressen deaktivieren
Wenn Ihre workloads (mit Ausnahme der Load Balancer) keinen Zugriff auf externe Ressourcen außerhalb Ihrer VPC – etwa Drittanbieter-APIs, S3, DynamoDB usw. – benötigen, können Sie die automatische Vergabe einer Public IP für neue Instanzen abschalten und Ihre Instanzen rotieren. Die neuen Instanzen starten dann ohne Public IP.
Migration zu IPv6
AWS unterstützt IPv6, und Sie können eine Hybridumgebung aufbauen, die sowohl IPv6 als auch IPv4 abdeckt. In dieser Konfiguration nutzen Sie Public IPv6 für den Internetzugang und behalten gleichzeitig IPv4 für eingehenden Traffic über Ihre Load Balancer bei.
Benötigt Ihre Umgebung gar kein IPv4, können Sie die IPv6-only-Subnetz-Lösung ohne zusätzliche Kosten einsetzen.
NAT Gateway mit VPC Endpoints
Das NAT Gateway ist ein Managed Service, über den Instanzen in einem privaten Subnetz aus der VPC heraus auf externe Ressourcen zugreifen können.
Die Einrichtung setzt Networking-Kenntnisse voraus, die eigentliche Migration geht aber schnell.
Hinweis: Die Abrechnung des NAT Gateway basiert auf dem durchfließenden Traffic (eingehend/ausgehend). Wenn Ihre Umgebung viel mit AWS-Managed Services außerhalb der VPC kommuniziert, sollten Sie VPC Endpoints in Betracht ziehen.
Kommuniziert die Umgebung dagegen viel mit dem Internet, kann das Open-Source-Projekt AlterNAT das NAT Gateway zu deutlich geringeren Kosten ersetzen.
Firewall
Über den AWS Marketplace können Sie Firewall-Produkte von Anbietern wie Cisco, CheckPoint, Fortinet, Palo Alto usw. beziehen.
Damit lassen sich Instanzen einrichten, die als Firewall fungieren. Der gesamte Traffic läuft über sie, und die Public IPs auf den eigentlichen Servern entfallen.
Diese Lösung erfordert für die Umsetzung Netzwerk-Know-how.
Bring Your Own IP (BYOIP)
Wenn Sie bereits einen eigenen Pool an IP-Adressen besitzen, können Sie diesen importieren und in Ihrer AWS-Umgebung nutzen. Für BYOIP fallen keine zusätzlichen Kosten an.
Fazit
Die Preiserhöhung kam zwar überraschend, AWS hat sie aber sechs Monate vor dem Stichtag angekündigt. Mit den heute schon verfügbaren Alternativen haben AWS-Kunden genug Zeit, auf Konfigurationen umzustellen, die keine Kosten für Public IPs verursachen.
Wer nichts unternimmt, riskiert unerwartete Mehrkosten. Prüfen Sie jetzt, wie viele IPv4-Adressen Ihre Organisation aktuell nutzt – damit es bei der Februar-Rechnung keine bösen Überraschungen gibt!