20 | 11 | 2020

Welche Netzwerkelemente fließen in AWS VPC ein?

In diesem Beitrag möchten wir Ihnen alle Netzwerkkomponenten vorstellen, die Teil von Amazon Web Services (AWS) sind. Wir werden uns jedes Element genauer ansehen, was es tut und wie es zur gesamten Infrastruktur passt. Hoffentlich beantwortet es einige Ihrer Fragen, und wenn Sie es besser verstehen, werden Sie versucht sein, diese Dienste zu nutzen.

Bevor wir auf alle Details eingehen, möchten wir betonen, dass ein gutes Netzwerkdesign eine Grundlage für die lokale Rechenzentrumsinfrastruktur darstellt. Gleiches gilt für die Cloud-Umgebung (post 10 Top Network Design Best Practices für Ihre Infrastruktur). Wir möchten auch darauf hinweisen, dass wir uns nur auf den Netzwerk- und Sicherheitsaspekt von AWS konzentrieren. Alle anderen Dienste sind in diesem Blog nicht verfügbar.

Was ist Amazon VPC?

Mit Amazon Virtual Private Cloud (Amazon VPC) können Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten. Dieses virtuelle Netzwerk ähnelt stark einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS.

VPC - ein virtuelles Netzwerk für Ihr AWS-Konto, in dem Sie mehrere Netzwerke ausführen und zur besseren Sicherheit und Compliance voneinander isolieren können. Verbinden Sie Ihr lokales Rechenzentrum und führen Sie eine hybride Netzwerklösung aus. Die vollständig skalierbare und agile Lösung zur Verbesserung Ihres Geschäftsbetriebs.

Was ist die AWS-Region?

AWS hat das Konzept einer Region, einen physischen Standort auf der ganzen Welt, an dem wir Rechenzentren gruppieren. Wir nennen jede Gruppe logischer Rechenzentren eine Verfügbarkeitszone. Jede AWS-Region besteht aus mehreren, isolierten und physisch getrennten AZs innerhalb eines geografischen Gebiets. Im Gegensatz zu anderen Cloud-Anbietern, die eine Region häufig als ein einziges Rechenzentrum definieren, bietet das Mehrfach-AZ-Design jeder AWS-Region Vorteile für Kunden. Jedes AZ verfügt über unabhängige Stromversorgung, Kühlung und physische Sicherheit, die über redundante Netzwerke mit extrem geringer Latenz verbunden sind. AWS-Kunden, die sich auf Hochverfügbarkeit konzentrieren, können ihre Anwendungen so gestalten, dass mehrere AZs ausgeführt werden, um eine noch größere Fehlertoleranz zu erzielen. AWS-Infrastrukturregionen erfüllen ein Höchstmaß an Sicherheit, Compliance und Datenschutz.

AWS bietet eine umfassendere globale Präsenz als jeder andere Cloud-Anbieter. Um seine globale Präsenz zu unterstützen und sicherzustellen, dass Kunden auf der ganzen Welt bedient werden, eröffnet AWS schnell neue Regionen. AWS unterhält mehrere geografische Regionen, darunter Regionen in Nordamerika, Südamerika, Europa, China, im asiatisch-pazifischen Raum, in Südafrika und im Nahen Osten.

AWS-Weltregionen

Verfügbarkeitszonen

Eine Availability Zone (AZ) ist ein diskretes Rechenzentrum mit redundanter Stromversorgung, Netzwerk und Konnektivität in einer AWS-Region. Mit AZs können Kunden Produktionsanwendungen und Datenbanken betreiben, die höher verfügbar, fehlertolerant und skalierbar sind, als dies mit einem einzigen Rechenzentrum möglich wäre. Alle AZs in einer AWS-Region sind über eine vollständig redundante dedizierte Metro-Glasfaser mit Netzwerken mit hoher Bandbreite und geringer Latenz verbunden, die ein Netzwerk mit hohem Durchsatz und geringer Latenz zwischen AZs bereitstellen. Der gesamte Verkehr zwischen AZs ist verschlüsselt. Die Netzwerkleistung reicht aus, um eine synchrone Replikation zwischen AZs zu erreichen. AZs machen Partitionierungsanwendungen für hohe Verfügbarkeit einfach. Wenn eine Anwendung auf mehrere AZs verteilt ist, sind Unternehmen besser isoliert und vor Problemen wie Stromausfällen, Blitzeinschlägen, Tornados, Erdbeben und vielem mehr geschützt. AZs sind physisch durch eine bedeutende Entfernung von vielen Kilometern von anderen AZs getrennt, obwohl alle innerhalb von 100 km voneinander entfernt sind.

Hohe Verfügbarkeit

Im Gegensatz zu anderen Anbietern von Technologieinfrastruktur verfügt jede AWS-Region über mehrere AZs. Wie wir aus dem Betrieb der führenden Cloud-Infrastruktur-Technologieplattform seit 2006 erfahren haben, möchten Kunden, denen die Verfügbarkeit und Leistung ihrer Anwendungen am Herzen liegt, diese Anwendungen für mehrere AZs in derselben Region bereitstellen, um Fehlertoleranz und geringe Latenz zu gewährleisten. AZs sind mit schnellen, privaten Glasfasernetzwerken verbunden, sodass Sie effizient Anwendungen erstellen können, die ohne Unterbrechung automatisch ein Failover zwischen AZs durchführen.

Die AWS-Steuerebene (einschließlich APIs) und die AWS Management Console sind auf AWS-Regionen verteilt und verwenden in jeder Region eine Multi-AZ-Architektur, um Ausfallsicherheit zu gewährleisten und eine kontinuierliche Verfügbarkeit sicherzustellen. Dies stellt sicher, dass Kunden keine kritische Service-Abhängigkeit von einem einzelnen Rechenzentrum haben. AWS kann Wartungsaktivitäten durchführen, ohne dass ein wichtiger Service für einen Kunden vorübergehend nicht verfügbar ist.

Netzwerk / Subnetze

VPC- und Subnetz-Grundlagen

Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk, das Ihrem AWS-Konto zugeordnet ist. Es ist logisch von anderen virtuellen Netzwerken in der AWS Cloud isoliert. Sie können Ihre AWS-Ressourcen, z. B. Amazon EC2-Instanzen, in Ihrer VPC starten.

Wenn Sie eine VPC erstellen, müssen Sie einen Bereich von IPv4-Adressen für die VPC in Form eines CIDR-Blocks (Classless Inter-Domain Routing) angeben. zum Beispiel, 10.0.0.0/16.

Netzwerksegmentierung

Obwohl Sie innerhalb Ihrer VPC ein ./16-Netzwerk erhalten, benötigt keine 65 plus IP-Adresse, nicht einmal das FTSE 100 Global Enterprise-Geschäft. Wenn Sie das sagen, ist es gut, mehr IPs zu haben, da Sie sie in viel kleinere Subnetze unterteilen können - zum Beispiel ./24, wodurch Sie mehr als 250 IPs erhalten. Dies ist von Bedeutung, und dies muss von Anfang an klar dargelegt werden. Ein gutes Design hilft Ihnen dabei, die Dienste bereitzustellen, die Sie benötigen, und sie zu isolieren. Webserver, Anwendungen, Datenbanken und andere. Ein weiterer wichtiger Punkt ist, dass nicht dieselben Netzwerkbereiche in der Cloud und im lokalen Netzwerk vorhanden sind, da dies in Zukunft zu Konflikten führen kann.

Private Subnetze

Ehrlich gesagt gibt es keine privaten oder öffentlichen Subnetze. Der Begriff wird verwendet, um zu beschreiben - Private Subnetze; Diese Netzwerke, die isoliert sind und keinen Zugang zum Internet oder zum Internet haben, sind für diese Subnetze / Netzwerke nicht zulässig. Höchstwahrscheinlich befindet sich Ihre Datenbank in diesen Netzwerken und anderen sicheren Diensten.

Öffentliche Subnetze

Der Datenverkehr wird vom Internet zu öffentlichen Subnetzen / Netzwerken zugelassen und gefiltert. Hosts in diesen Netzwerken haben private IP-Adressen, und der Zugriff kann über Internet-Gateways und zugehörige öffentliche IP-Adressen (Elastic IP Allocation) geleitet werden.

Wie liefern wir Datennetze und Cyber-Secure Infrastructure? | v500-Systeme

Netzwerke isolieren

Für eine zusätzliche Netzwerkzugriffskontrolle können Sie Ihre DB-Instanzen in einer Amazon VPC ausführen. Mit Amazon VPC können Sie Ihre DB-Instanzen isolieren, indem Sie den IP-Bereich angeben, den Sie verwenden möchten, und über ein verschlüsseltes IPsec-VPN nach Industriestandard eine Verbindung zu Ihrer vorhandenen IT-Infrastruktur herstellen. Durch Ausführen von Amazon RDS in einer VPC können Sie eine DB-Instanz in einem privaten Subnetz haben. Sie können auch ein virtuelles privates Gateway einrichten, das Ihr Unternehmensnetzwerk in Ihre VPC erweitert und den Zugriff auf die RDS DB-Instanz in dieser VPC ermöglicht.

Bei Multi-AZ-Bereitstellungen kann Amazon RDS durch Definieren eines Subnetzes für alle Verfügbarkeitszonen in einer Region bei Bedarf einen neuen Standby-Modus in einer anderen Verfügbarkeitszone erstellen. Sie können DB-Subnetzgruppen-Sammlungen von Subnetzen erstellen, die Sie möglicherweise für Ihre RDS-DB-Instanzen in einer VPC festlegen möchten. Jede DB-Subnetzgruppe sollte mindestens ein Subnetz für jede Verfügbarkeitszone in einer bestimmten Region haben. In diesem Fall wählen Sie beim Erstellen einer DB-Instanz in einer VPC eine DB-Subnetzgruppe aus. Amazon RDS verwendet dann diese DB-Subnetzgruppe und Ihre bevorzugte Verfügbarkeitszone, um ein Subnetz und eine IP-Adresse innerhalb dieses Subnetzes auszuwählen. Amazon RDS erstellt eine elastische Netzwerkschnittstelle und ordnet diese Ihrer DB-Instanz dieser IP-Adresse zu.

Auf DB-Instanzen, die in einer Amazon VPC bereitgestellt werden, kann über das Internet oder Amazon EC2-Instanzen außerhalb der VPC über VPN- oder Bastion-Hosts zugegriffen werden, die Sie in Ihrem öffentlichen Subnetz starten können. Um einen Bastion-Host zu verwenden, müssen Sie ein öffentliches Subnetz mit einer EC2-Instanz einrichten, die als SSH-Bastion fungiert. Dieses öffentliche Subnetz muss über ein Internet-Gateway und Routing-Regeln verfügen, die es ermöglichen, den Datenverkehr über den SSH-Host zu leiten, der dann Anforderungen an die private IP-Adresse Ihrer Amazon RDS DB-Instanz weiterleiten muss.

DB-Sicherheitsgruppen können zum Sichern von DB-Instanzen in einer Amazon VPC verwendet werden. Außerdem kann der Netzwerkverkehr, der in jedes Subnetz eintritt und aus diesem austritt, über Netzwerk-ACLs zugelassen oder verweigert werden. Der gesamte Netzwerkverkehr, der über Ihre IPSec-VPN-Verbindung in Ihre Amazon VPC eintritt oder diese verlässt, kann von Ihrer lokalen Sicherheitsinfrastruktur überprüft werden, einschließlich Netzwerk-Firewalls und Intrusion Detection-Systemen.

Sicherheitsgruppen für Ihre VPC

Sicherheitsgruppe fungiert als virtuelle Firewall für Ihre Instanz, um eingehenden und ausgehenden Datenverkehr zu steuern. Wenn Sie eine Instanz in einer VPC starten, können Sie der Instanz fünf Sicherheitsgruppen zuweisen. Sicherheitsgruppen agieren auf Instanzebene und nicht auf Subnetzebene. Daher kann jede Instanz in einem Subnetz in Ihrer VPC einer anderen Gruppe von Sicherheitsgruppen zugewiesen werden.

Wenn Sie eine Instanz mit der Amazon EC2-API oder einem Befehlszeilentool starten und keine Sicherheitsgruppe angeben, wird die Instanz automatisch der Standardsicherheitsgruppe für die VPC zugewiesen. Wenn Sie eine Instanz über die Amazon EC2-Konsole starten, können Sie beispielsweise eine neue Sicherheitsgruppe erstellen.

Für jede Sicherheitsgruppe fügen Sie hinzu Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben. Diese steuern den eingehenden Datenverkehr zu Instanzen und einen separaten Satz von Regeln, die den ausgehenden Datenverkehr steuern. In diesem Abschnitt werden die grundlegenden Informationen zu Sicherheitsgruppen für Ihre VPC und deren Regeln beschrieben.

NACL (Network Access Control List)

Eine Network Access Control List (NACL) ist eine optionale Sicherheitsebene für Ihre VPC, die als Firewall für die Steuerung des Datenverkehrs in und aus einem oder mehreren Subnetzen fungiert. Sie können Netzwerk-ACLs mit Regeln einrichten, die Ihren Sicherheitsgruppen ähneln, um Ihrer VPC eine Sicherheitsschicht hinzuzufügen.

NACL führt eine Filterung zwischen Netzwerken durch. Wir empfehlen jedoch dringend, eine Firewall der nächsten Generation wie Palo Alto bereitzustellen, um eine detaillierte Überprüfung aller 7x-Ebenen in Ihrer VPC-Infrastruktur durchzuführen, ganz zu schweigen vom Datenverkehr aus dem Internet.

Weitere Informationen zu Next-Gen-Firewalls finden Sie in diesem Beitrag

Routing steuern

Routentabelle - Ein Satz von Regeln, Routen genannt, wird verwendet, um zu bestimmen, wohin der Netzwerkverkehr geleitet wird.

Es bietet Ihnen eine detaillierte Möglichkeit, wie der Datenverkehr den Datenverkehr beeinflussen oder beeinflussen kann. Dies ist sehr nützlich bei der Trennung von privaten Netzwerken.

Internet-Gateway

Ein Internet-Gateway ist eine horizontal skalierte, redundante und hochverfügbare VPC-Komponente, die die Kommunikation zwischen Ihrer VPC und dem Internet ermöglicht.

Ein Internet-Gateway dient zwei Zwecken: Bereitstellung eines Ziels in Ihren VPC-Routentabellen für internetfähigen Datenverkehr und Durchführung einer NAT (Network Address Translation) für Instanzen, denen öffentliche IPv4-Adressen zugewiesen wurden.
Im Gegensatz zu NAT Gateway ermöglicht Internet Gateway den Datenverkehr aus dem Internet zu Ihren Instanzen in VPC.

Internet-Gateways nur für den Ausgang

Ein Internet-Gateway nur für den Ausgang ist eine horizontal skalierte, redundante und hochverfügbare VPC-Komponente, die die ausgehende Kommunikation über IPv6 von Instanzen in Ihrer VPC zum Internet ermöglicht. Es verhindert, dass das Internet eine IPv6-Verbindung mit Ihren Instanzen herstellt.

Continuous Service 99.999% für die Netzwerkinfrastruktur

NAT-Gateway

Sie können ein NAT-Gateway (Network Address Translation) verwenden, um Instanzen in einem privaten Subnetz die Verbindung zum Internet oder zu anderen AWS-Diensten zu ermöglichen, das Internet jedoch daran zu hindern, eine Verbindung mit diesen Instanzen herzustellen. Mit anderen Worten, eine von einem Host im Internet initiierte Sitzung wird abgelehnt.
Diese Funktion ist nützlich, wenn Server -> Instanzen in einem sicheren / eingeschränkten Netzwerk Sicherheitsupdates, Patches und Antivirenupdates aus dem Internet abrufen sollen.
Wenn Sie mehr über NAT'ing erfahren möchten, lesen Sie bitte unseren Beitrag zu diesem Thema.

Elastische IP-Adresse

An Elastische IP-Adresse ist eine statische IPv4-Adresse für dynamisches Cloud-Computing. Mithilfe einer elastischen IP-Adresse können Sie den Ausfall einer Instanz oder Software maskieren, indem Sie die Adresse schnell einer anderen Instanz in Ihrem Konto zuordnen. Eine elastische IP-Adresse wird Ihrem AWS-Konto zugewiesen und gehört Ihnen, bis Sie sie freigeben.

Eine elastische IP-Adresse ist eine öffentliche IPv4-Adresse, die über das Internet erreichbar ist. Wenn Ihre Instanz keine öffentliche IPv4-Adresse hat, können Sie Ihrer Instanz eine elastische IP-Adresse zuordnen, um die Kommunikation mit dem Internet zu ermöglichen. Auf diese Weise können Sie beispielsweise von Ihrem lokalen Computer aus eine Verbindung zu Ihrer Instanz herstellen.

AWS unterstützt derzeit keine elastischen IP-Adressen für IPv6.

VPN-Verbindungen zu Ihrer AWS Cloud - VPC

AWS Site-to-Site-VPN

Sie können eine IPSec-VPN-Verbindung zwischen Ihrer VPC und Ihrem Remote-Netzwerk herstellen. Ein virtuelles privates Gateway oder Transit-Gateway bietet zwei VPN-Endpunkte (Tunnel) für das automatische Failover auf der AWS-Seite der Site-to-Site-VPN-Verbindung. Sie konfigurieren Ihre Kunden-Gateway-Gerät auf der Remote-Seite der Site-to-Site-VPN-Verbindung.

AWS-Client-VPN

AWS Client VPN ist ein verwalteter clientbasierter VPN-Dienst, mit dem Sie sicher auf Ihre AWS-Ressourcen oder Ihr lokales Netzwerk zugreifen können. Mit AWS Client VPN konfigurieren Sie einen Endpunkt, zu dem Ihre Benutzer eine Verbindung herstellen können, um eine sichere TLS-VPN-Sitzung einzurichten. Auf diese Weise können Clients mithilfe eines OpenVPN-basierten VPN-Clients von jedem Standort aus auf Ressourcen in AWS oder lokal zugreifen.

AWS VPN CloudHub

Wenn Sie über mehr als ein Remotenetzwerk verfügen (z. B. mehrere Zweigstellen), können Sie über Ihr virtuelles privates Gateway mehrere AWS Site-to-Site-VPN-Verbindungen erstellen, um die Kommunikation zwischen diesen Netzwerken zu ermöglichen.

Software-VPN-Appliance eines Drittanbieters

Sie können eine VPN-Verbindung zu Ihrem Remote-Netzwerk herstellen, indem Sie eine Amazon EC2-Instanz in Ihrer VPC verwenden, auf der eine VPN-Appliance eines Drittanbieters ausgeführt wird. AWS bietet oder wartet keine Software-VPN-Appliances von Drittanbietern. Sie können jedoch aus einer Reihe von Produkten auswählen, die von Partnern und Open Source-Communities bereitgestellt werden.

v500-Systeme | blog | aci - anwendungsorientierte Infrastruktur

Bereit, um loszulegen?

Kontaktieren Sie uns für weitere Informationen zur Cloud-Infrastruktur. Wir können alle Ihre Fragen beantworten.
Kontaktieren Sie uns >>>

 

Bitte lesen Sie andere unserer Beiträge, die sich auf Cloud Services beziehen.

Der Fall für Cloud Computing und hybride Netzwerke

Cloud-Netzwerklösungen

Wie kann das lokale Netzwerk mit der AWS Cloud verbunden werden?

Network as a Service (NaaS), Erweiterung Ihrer Möglichkeiten!

10 Top Network Design Best Practices für Ihre Infrastruktur

ZUSAMMENHÄNGENDE ARTIKEL

15 | 06 | 2022

Anwaltskanzleien sitzen auf Tonnen von unstrukturierten Daten, ohne sich der Goldmine bewusst zu sein, die sie besitzen!

Die Forschung von Gartner prognostiziert, dass das weltweite Datenvolumen in den nächsten fünf Jahren um 800 % wachsen wird und bis zu 80 % dieser Daten völlig unstrukturiert sein werden. Jetzt gibt es einen intelligenteren Weg, diese Aufgabe zu erfüllen – Lesen und Verstehen.
15 | 05 | 2022

Intelligente Automatisierung für den Finanz- und Rechtssektor

Wir wissen, dass Sie durch den Einsatz von künstlicher Intelligenz und maschinellem Lernen in Ihrem Unternehmen enorm viel Zeit sparen und gleichzeitig Geld sparen können.
11 | 05 | 2022

KI ist fantastisch bei Aufgaben und Menschen sind großartig bei Prozessen

Vor einigen Monaten haben wir begonnen, einen Newsletter auf Linkedin zu schreiben. Es gibt eine Reihe interessanter Artikel, die zeigen, was KI- und ML-Technologie Ihrem Geschäftsumfeld bringen kann.
05 | 05 | 2022

Wie kann die intelligente Suche Sie bei der Arbeit mit weniger Aufwand konsistenter machen?

Stellen Sie sich ein Szenario im Firmennetzwerk in vielen SharePoint-Servern vor und teilen Sie Laufwerke. Es gibt über 100,000 Dokumente. Sie vermuten, dass die von Ihnen gewünschten Informationen vorhanden sind.