Grundlagen des Netzwerks
LEITFADEN FÜR DIE ERSTEN SCHRITTE
Einführung
Ihr Weg zum Cloud-Networking kann zu Beginn überwältigend erscheinen. Vor allem, wenn Sie an die traditionelle lokale Bereitstellung von Hardware sowie die lokale Verwaltung und Konfiguration von Netzwerken gewöhnt sind. Ein gutes Verständnis der wichtigsten Netzwerkkonzepte, wie IP-Adressierung, TCP-Kommunikation, IP-Routing, Sicherheit und Virtualisierung, wird Ihnen dabei helfen, sich mit Cloud-Networking in AWS vertraut zu machen. In den folgenden Abschnitten beantworten wir häufig gestellte Fragen zu Cloud-Networking und untersuchen bewährte Methoden für den Aufbau einer Infrastruktur in AWS.
-
Was ist Cloud-Networking?
Ähnlich wie gewöhnliche lokale Netzwerke bietet Cloud-Networking die Möglichkeit, Ihre Netzwerke in all Ihren Cloud-Umgebungen und verteilten Cloud- und Edge-Standorten aufzubauen, zu verwalten, zu betreiben und sicher zu verbinden. Mit Cloud-Networking können Sie eine robuste und hochverfügbare Infrastruktur entwerfen, sodass Sie Ihre Anwendungen bei Bedarf schneller, skalierbar und näher an Ihren Endbenutzern bereitstellen können.
-
Warum ist es wichtig, an welchem Ort ich bereitstelle?
Wenn Sie eine Website öffnen oder eine Anwendung verwenden, müssen Daten und Anfragen von Ihrem Computer oder Telefon an einen Server, der die Website oder Anwendung hostet, und anschließend wieder zurück an Sie übertragen werden. Dies erfolgt normalerweise über eine Kombination verschiedener Medien, z. B. über WLAN zu Ihrem Router zu Hause, von dort über Glasfaser, Kabel, ADSL, 5G usw. zu Ihrem ISP. Sobald es den ISP erreicht, stellt dieser wiederum eine Verbindung zu einem größeren Netzwerk her. Irgendwann werden Ihre Daten wahrscheinlich über eines der vielen Unterwasser-Glasfaserkabel übertragen werden. Die Lichtgeschwindigkeit bestimmt, mit welcher Geschwindigkeit diese Kabel am schnellsten durchquert werden können, wodurch die schnellstmögliche Reaktion eingeschränkt wird. Das Licht im Inneren des Kabels wird auch von der Seite reflektiert, sodass die zurückgelegte Gesamtstrecke länger ist als das Kabel selbst. Beispielsweise hat eines der Kabel zwischen Japan und der Westküste der USA eine Gesamtlänge von 21 000 km, was bedeutet, dass Licht mit einer Geschwindigkeit von 299 792 458 m/s etwa 70 ms benötigen würde, um die gesamte Länge des Kabels zu durchqueren, wodurch die Website oder Anwendung verlangsamt wird, da mehrere Anrufe hin- und hergehen. In extremen Fällen kann die Zeit nicht nur aufgrund der zurückgelegten Entfernung, sondern auch aufgrund einer Netzwerküberlastung zwischen den Punkten auf dem Weg viel länger sein und die Beantwortung mehrere Sekunden dauern.
Mit der Cloud können Sie eine Ausweitung auf weitere geografische Gebiete und eine globale Bereitstellung in Minuten erzielen. AWS verfügt beispielsweise über Infrastruktur auf der ganzen Welt. Daher können Entwickler Anwendungen mit nur ein paar Klicks an mehreren physischen Standorten bereitstellen. Indem Sie Ihre Anwendungen näher an Ihre Endbenutzer bringen, können Sie die Latenz reduzieren und das Benutzererlebnis verbessern
Im Zentrum der AWS-Cloudinfrastruktur stehen AWS-Regionen und Availability Zones. Eine Region ist ein physischer Standort auf der Welt, an dem wir über mehrere Availability Zones verfügen. Eine Availability Zone besteht aus einem oder mehreren diskreten Rechenzentren, jedes mit redundanter Energieversorgung, Netzwerk und Konnektivität, untergebracht in getrennten Räumlichkeiten. Mithilfe dieser Availability Zones können Sie Produktionsanwendungen und Datenbanken betreiben, die verfügbarer, fehlertoleranter und skalierbarer sind, als dies von einem einzigen Rechenzentrum aus möglich wäre.
-
Was ist Amazon VPC?
Amazon Virtual Private Cloud (Amazon VPC) ermöglicht die Bereitstellung eines logisch isolierten Bereichs der AWS-Cloud, in dem Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk ausführen können. Sie haben die vollständige Kontrolle über Ihre virtuelle Netzwerkumgebung, u. a. bei der Auswahl Ihrer eigenen IP-Adressbereiche, dem Erstellen von Subnetzen und der Konfiguration von Routing-Tabellen und Netzwerk-Gateways. Sie können auch eine VPN (Virtual Private Network)-Hardwareverbindung zwischen dem Rechenzentrum Ihres Unternehmens und Ihrer VPC erstellen, sodass Sie Server zwischen den beiden so verbinden können, als ob sie sich im selben Netzwerk befinden würden.
Sie können die Netzwerkkonfiguration für Ihre VPC ganz einfach an Ihre Anforderungen anpassen. Eine VPC erstreckt sich über eine ganze Region, und Subnetze werden verwendet, um IP-Adressbereiche innerhalb der Availability Zones innerhalb der Region anzugeben, die virtuellen Maschinen und anderen Services zugewiesen werden. Sie können beispielsweise ein öffentliches Subnetz für Ihre Webserver einrichten, das Zugriff auf das Internet hat, und Ihre Backend-Systeme, wie Datenbanken oder Anwendungsserver in einem privaten Subnetz ohne Internetzugang betreiben. Sie können mehrere Sicherheitsebenen verwenden, darunter Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten, die den Zugriff auf Amazon-EC2-Instances in den einzelnen Subnetzen steuern.
Die folgenden Funktionen helfen Ihnen bei der Konfiguration einer VPC, um die Konnektivität bereitzustellen, die Ihre Anwendungen benötigen:
Funktion Beschreibung VPCs Eine VPC ist ein virtuelles Netzwerk, das weitgehend einem herkömmlichen Netzwerk entspricht, wie Sie es in Ihrem Rechenzentrum betreiben. Nachdem Sie eine VPC erstellt haben, können Sie Subnetze hinzufügen. Subnetze Ein Subnetz ist ein Bereich von IP-Adressen in Ihrer VPC. Ein Subnetz muss sich innerhalb einer einzigen Availability Zone befinden. Nachdem Sie Subnetze hinzugefügt haben, können Sie AWS-Ressourcen in Ihrer VPC bereitstellen. IP-Adressierung Man kann Ihren VPCs und Subnetzen IPv4-Adressen und IPv6-Adressen zuweisen. Sie können auch Ihre öffentlichen IPv4- und IPv6-GUAs (Global Unicast Addresses) zu AWS bringen und sie Ressourcen in Ihrer VPC zuweisen, z. B. EC2-Instances, NAT-Gateways und Network Load Balancern. Routing Verwenden Sie Routing-Tabellen, um zu ermitteln, wohin der Netzwerkverkehr von Ihrem Subnetz oder Gateway geleitet wird. Gateways und Endpunkte Ein Gateway verbindet Ihre VPC mit einem anderen Netzwerk. Verwenden Sie beispielsweise ein Internet-Gateway, um Ihre VPC mit dem Internet zu verbinden. Verwenden Sie einen VPC-Endpunkt, um eine private Verbindung zu AWS-Services herzustellen, ohne ein Internet-Gateway oder ein NAT-Gerät zu verwenden. Peering-Verbindungen Verwenden Sie eine VPC-Peering-Verbindung, um den Datenverkehr zwischen den Ressourcen in zwei VPCs weiterzuleiten. Überwachung des Datenverkehrs Kopieren Sie den Netzwerkverkehr von Netzwerkschnittstellen und senden Sie ihn zur Deep Packet Inspection an Sicherheits- und Überwachungsgeräte. Transit-Gateways Verwenden Sie ein Transit-Gateway, das als zentraler Knotenpunkt fungiert, um den Datenverkehr zwischen Ihren VPCs, VPN-Verbindungen und Verbindungen mit AWS Direct Connect weiterzuleiten. VPC Flow Logs Ein Datenflussprotokoll erfasst Informationen zum IP-Datenverkehr zu und von Netzwerkschnittstellen in Ihrer VPC. VPN-Verbindungen Verbinden Sie Ihre VPCs mithilfe von AWS Virtual Private Network (AWS VPN) mit Ihren lokalen Netzwerken. Erste Schritte mit Amazon VPC
Ihr AWS-Konto umfasst eine Standard-VPC in jeder AWS-Region. Ihre Standard-VPCs sind so konfiguriert, dass Sie sofort mit dem Start von und der Verbindung zu EC2-Instances beginnen können. Weitere Informationen finden Sie unter Erste Schritte mit Amazon VPC.
-
Wie kommunizieren Ressourcen in meiner Amazon VPC?
VPCs geben Ihnen die vollständige Kontrolle über Ihre virtuelle Netzwerkumgebung, einschließlich Ressourcenplatzierung, Konnektivität und Sicherheit. Beginnen Sie, indem Sie über die AWS-Managementkonsole Ihre VPC einrichten. Fügen Sie dann Ressourcen, wie Amazon-EC2- und Amazon RDS (Amazon Relational Database Service)-Instances, hinzu. Schließlich können Sie festlegen, wie Ihre VPCs miteinander über Konten, Availability Zones oder Regionen hinweg kommunizieren.
In einer VPC können Sie sowohl IPv4- als auch IPv6-Adressierung verwenden. Mit IPv4 wählen Sie einen VPC CIDR (Classless Inter-Domain Routing)-Block mit einer maximalen Größe von /16 bis zu einer Mindestgröße von /28 aus und weisen ihn zu. Sie können alle öffentlichen Adressen verwenden, die Sie besitzen (in ausgewählten Regionen). Wir empfehlen Ihnen, private RFC-1918-Adressen zu verwenden. Sobald Sie einen CIDR haben, definieren Sie Subnetze. Subnetze können eine Größe zwischen /16 und /28 haben und sind durch Availability Zones begrenzt. Jedes VPC-Subnetz muss einer Subnetz-Routing-Tabelle zugeordnet sein.
Wenn Sie Subnetze erstellen, müssen Sie sie einer VPC-Routing-Haupttabelle zuordnen. Standardmäßig enthält diese Routing-Tabelle nur die lokalen IPv4- und IPv6-CIDRs der VPC. Ein Subnetz kann nur einer Subnetz-Routing-Tabelle zugeordnet werden. Eine Routing-Tabelle kann mehrere Subnetzzuordnungen haben. Die Routing-Tabellen werden verwendet, um den Datenverkehr zu kontrollieren, der das Subnetz verlässt. Jedes Subnetz hat einen VPC-Router. Es gibt für eine VPC kein einzelnes Gerät. Die VPC-Software kümmert sich für Sie um das Routing. Sie können spezifischere Routen hinzufügen, um den Datenverkehr nach Ost-/West-Verkehr zu filtern.
-
Wie kann ich eine Verbindung zu meiner Amazon VPC herstellen?
Sie können Ihre VPC mit anderen Netzwerken verbinden, z. B. mit anderen VPCs, dem Internet oder Ihrem lokalen Netzwerk. Folgende Amazon-VPC-Verbindungen sind möglich:
So stellen Sie eine Verbindung her Beschreibung mit dem Internet (über ein Internet-Gateway) Ein Internet-Gateway ist eine horizontal skalierte, redundante und hochverfügbare VPC-Komponente, die die Kommunikation zwischen Ihrer VPC und dem Internet ermöglicht. Es unterstützt IPv4- und IPv6-Verkehr und verursacht keine Verfügbarkeitsrisiken oder Bandbreitenbeschränkungen für Ihren Netzwerkverkehr. Ein Internet-Gateway ermöglicht es Ressourcen in Ihren öffentlichen Subnetzen (wie EC2-Instances), eine Verbindung zum Internet herzustellen, wenn die Ressource eine öffentliche IPv4-Adresse oder eine IPv6-Adresse hat. Ebenso können Ressourcen im Internet mithilfe der öffentlichen IPv4-Adresse oder IPv6-Adresse eine Verbindung zu Ressourcen in Ihrem Subnetz initiieren. Mit einem Internet-Gateway können Sie beispielsweise über Ihren lokalen Computer eine Verbindung zu einer EC2-Instance in AWS herstellen. Ein Internet-Gateway stellt in Ihren VPC-Routing-Tabellen ein Ziel für über das Internet weiterleitbaren Datenverkehr bereit. Für die Kommunikation über IPv4 führt das Internet-Gateway auch die Netzwerkadressübersetzung (NAT) durch. Für die Kommunikation mit IPv6 wird NAT nicht benötigt, da IPv6-Adressen öffentlich sind. Ihr Rechenzentrum des Unternehmens verwendet eine AWS-Site-to-Site-VPN-Verbindung (über das virtuelle private Gateway) Standardmäßig können Instances, die Sie in einer Amazon VPC starten, nicht mit Ihrem eigenen (Remote-)Netzwerk kommunizieren. Sie können den Zugriff auf Ihr Remote-Netzwerk von Ihrer VPC aus aktivieren, indem Sie eine AWS-Site-to-Site-VPN-Verbindung erstellen und das Routing so konfigurieren, dass der Datenverkehr über die Verbindung weitergeleitet wird.
HINWEIS: Wenn Sie Ihre VPCs mit einem gemeinsamen lokalen Netzwerk verbinden, empfehlen wir, nicht überlappende CIDR-Blöcke für Ihre Netzwerke zu verwenden.mit dem Internet und mit dem Rechenzentrum Ihres Unternehmens (mithilfe eines Internet-Gateways und virtuellen privaten Gateways) Die VPC verfügt über ein angeschlossenes virtuelles privates Gateway, und Ihr lokales (Remote-)Netzwerk umfasst ein Kunden-Gateway-Gerät, das Sie konfigurieren müssen, um die Site-to-Site-VPN-Verbindung zu aktivieren. Sie richten das Routing so ein, dass der gesamte Datenverkehr von der VPC, der für Ihr Netzwerk bestimmt ist, an das Virtual Private Gateway weitergeleitet wird. NAT-Instance Sie können eine NAT-Instance verwenden, um Ressourcen in privaten Subnetzen die Verbindung mit dem Internet, anderen VPCs oder lokalen Netzwerken zu ermöglichen. Diese Instances können mit Services außerhalb der VPC kommunizieren, aber sie können keine unaufgeforderten Verbindungsanfragen empfangen. NAT-Gateways Ein NAT-Gateway ist ein Network Address Translation (NAT)-Service. Ein NAT-Gateway kann verwendet werden, damit Instances in einem privaten Subnetz eine Verbindung zu Services außerhalb Ihrer VPC herstellen können, wobei externe Services jedoch keine Verbindung zu diesen Instances initiieren können. Wenn Sie ein NAT-Gateway erstellen, geben Sie einen der folgenden Konnektivitätstypen an:
Öffentlich – (Standard) Instances in privaten Subnetzen können über ein öffentliches NAT-Gateway eine Verbindung zum Internet herstellen, aber keine unaufgeforderten eingehenden Verbindungen aus dem Internet empfangen. Sie erstellen ein öffentliches NAT-Gateway in einem öffentlichen Subnetz und müssen dem NAT-Gateway bei der Erstellung eine elastische IP-Adresse zuordnen. Sie leiten den Datenverkehr vom NAT-Gateway zum Internet-Gateway für die VPC weiter. Alternativ können Sie ein öffentliches NAT-Gateway verwenden, um eine Verbindung zu anderen VPCs oder Ihrem lokalen Netzwerk herzustellen. In diesem Fall leiten Sie den Datenverkehr vom NAT-Gateway über ein Transit-Gateway oder ein virtuelles privates Gateway weiter.
Privat – Instances in privaten Subnetzen können über ein privates NAT-Gateway eine Verbindung zu anderen VPCs oder Ihrem lokalen Netzwerk herstellen. Sie können den Datenverkehr vom NAT-Gateway über ein Transit-Gateway oder ein virtuelles privates Gateway weiterleiten. Sie können eine elastische IP-Adresse nicht mit einem privaten NAT-Gateway verknüpfen. Sie können ein Internet-Gateway mit einem privaten NAT-Gateway an eine VPC mit einem privaten NAT-Gateway anhängen, aber wenn Sie den Datenverkehr vom privaten NAT-Gateway zum Internet-Gateway leiten, lehnt das Internet-Gateway den Datenverkehr ab.
Das NAT-Gateway ersetzt die IP-Quelladresse der Instances mit der IP-Adresse des NAT-Gateways. Bei einem öffentlichen NAT-Gateway ist dies die elastische IP-Adresse des NAT-Gateways. Bei einem privaten NAT-Gateway ist dies die private IP-Adresse des NAT-Gateways. Wenn der Antwort-Datenverkehr an die Instances gesendet wird, übersetzt das NAT-Gerät die Adressen zurück in die ursprüngliche IP-Quelladresse.AWS Direct Connect VPN über das Internet ist zwar eine gute Option für den Einstieg, aber die Internetverbindung ist für den Produktionsverkehr möglicherweise nicht zuverlässig. Aufgrund dieser Unzuverlässigkeit entscheiden sich viele Kunden für AWS Direct Connect. AWS Direct Connect ist ein Netzwerk-Service, der eine Alternative zur Nutzung des Internets für die Verbindung mit AWS bietet. Mit AWS Direct Connect können Daten, die vormals über das Internet transportiert worden wären, nun über eine private Netzwerkverbindung zwischen Ihren Rechenzentrum und AWS übertragen werden. In vielen Situationen können private Netzwerkverbindungen zu einer Reduzierung der Kosten, einer Erhöhung der Bandbreite und einer konsistenteren Netzwerkfunktion als internetbasierte Verbindungen führen. Weitere Informationen finden Sie im WhitepaperAufbau einer skalierbaren und sicheren Multi-VPC-AWS-Netzwerkinfrastruktur. Andere Amazon VPCs (über VPC-Peering-Verbindungen) Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs, die es Ihnen ermöglicht, Datenverkehr zwischen ihnen weiterzuleiten. Instances in beiden VPCs können so miteinander kommunizieren, als ob sie sich im selben Netzwerk befinden würden. Sie können eine VPC-Peering-Verbindung zwischen Ihren eigenen VPCs, mit einer VPC in einem anderen AWS-Konto oder mit einer VPC in einer anderen AWS-Region herstellen. AWS verwendet die vorhandene Infrastruktur einer VPC zum Erstellen einer VPC-Peering-Verbindung. Es handelt sich weder um ein Gateway noch eine AWS-Site-to-Site-VPN-Verbindung und die Verbindung basiert nicht auf spezieller physischer Hardware. Es gibt keine einzelne Fehlerstelle für die Kommunikation und keinen Bandbreiten-Engpass. -
Kann ich mich mit anderen VPCs in verschiedenen Konten verbinden?
Ja, vorausgesetzt, der Besitzer der anderen VPC akzeptiert Ihre Peering-Verbindungsanfrage, können Sie eine Peering-Verbindung zu anderen VPCs in verschiedenen Konten herstellen.
Gemeinsame VPC-Nutzung
Die gemeinsame Nutzung von VPCs ist nützlich, wenn die Netzwerkisolierung zwischen Teams nicht strikt vom VPC-Besitzer verwaltet werden muss, dafür aber die Benutzer und Berechtigungen auf Kontoebene. Mit einer gemeinsam genutzten VPC erstellen mehrere AWS-Konten ihre Anwendungsressourcen (wie EC2-Instances) in gemeinsam genutzten, zentral verwalteten Amazon-VPCs. In diesem Modell teilt sich das Konto, dem die VPC gehört (Besitzer), ein oder mehrere Subnetze mit anderen Konten (Teilnehmern). Nachdem ein Subnetz gemeinsam genutzt wurde, können die Teilnehmer ihre Anwendungsressourcen in den für sie freigegebenen Subnetzen anzeigen, erstellen, ändern und löschen. Teilnehmer können Ressourcen, die anderen Teilnehmern oder dem VPC-Besitzer gehören, nicht anzeigen, ändern oder löschen. Die Sicherheit zwischen Ressourcen in gemeinsam genutzten VPCs wird mithilfe von Sicherheitsgruppen, Netzwerk-Zugriffssteuerungslisten (NACLs) oder durch eine Firewall zwischen den Subnetzen verwaltet
AWS PrivateLink
AWS PrivateLink bietet private Konnektivität zwischen VPCs, AWS-Services und Ihren On-Premises-Netzwerken, ohne Ihren Datenverkehr dem öffentlichen Internet auszusetzen. AWS PrivateLink vereinfacht die Verbindung von Services über mehrere Konten und VPCs hinweg. Ihre Netzwerkarchitektur wird dadurch erheblich einfacher. Auf diese Weise können Kunden, die einen Service/eine Anwendung, der/die sich in einer VPC (Dienstleister) befindet, privat für andere VPCs (Verbraucher) innerhalb einer AWS-Region verfügbar machen, sodass nur Verbraucher-VPCs Verbindungen zur Dienstleister-VPC initiieren. Ein Beispiel dafür ist die Möglichkeit für Ihre privaten Anwendungen, auf die APIs von Dienstleistern zuzugreifen.
AWS Transit Gateway
Mit AWS Transit Gateway können Kunden Tausende VPCs verbinden. Sie können Ihre gesamte Hybridkonnektivität (VPN- und Direct-Connect-Verbindungen) an eine einzige Transit-Gateway-Instance anhängen und so die gesamte AWS-Routing-Konfiguration Ihres Unternehmens an einem Ort konsolidieren und steuern. Transit Gateway steuert mithilfe von Routing-Tabellen, wie der Datenverkehr zwischen allen verbundenen Spoke-Netzwerken weitergeleitet wird. Dieses Hub-and-Spoke-Modell vereinfacht die Verwaltung und senkt die Betriebskosten, da VPCs nur eine Verbindung zur Transit-Gateway-Instance herstellen, um Zugriff auf die verbundenen Netzwerke zu erhalten.
Transit-VPC-Lösung
Transit-VPCs können einige der Mängel des VPC-Peerings beheben, indem sie ein Hub-and-Spoke-Design für die Konnektivität zwischen VPCs einführen. In einem Transit-VPC-Netzwerk verbindet sich eine zentrale VPC (die Hub-VPC) über eine VPN-Verbindung mit jeder anderen VPC (Spoke-VPC), typischerweise mithilfe von BGP über IPSec. Die zentrale VPC enthält EC2-Instances, auf denen Software-Appliances ausgeführt werden, die eingehenden Datenverkehr mithilfe des VPN-Overlays an ihre Ziele weiterleiten. Transit-VPC-Peering bietet die folgenden Vorteile:
- Transitives Routing wird mithilfe des Overlay-VPN-Netzwerks aktiviert, was ein einfacheres Hub-and-Spoke-Design ermöglicht.
- Bei der Verwendung von Drittanbietersoftware auf der EC2-Instance in der Hub-Transit-VPC können Herstellerfunktionen rund um erweiterte Sicherheit, wie Layer-7-Firewall/Intrusion Prevention System (IPS) /Intrusion Detection System (IDS), verwendet werden. Wenn Kunden dieselbe Software vor Ort verwenden, profitieren sie von einer einheitlichen Betriebs- und Überwachungserfahrung.
- Die Transit-VPC-Architektur ermöglicht Konnektivität, die in einigen Anwendungsfällen gewünscht sein kann. Sie können beispielsweise eine AWS-GovCloud-Instance und eine Commercial Region VPC oder eine Transit-Gateway-Instance mit einer Transit-VPC verbinden und Inter-VPC-Konnektivität zwischen den beiden Regionen aktivieren. Bewerten Sie Ihre Sicherheits- und Compliance-Anforderungen, wenn Sie diese Option in Betracht ziehen. Für zusätzliche Sicherheit können Sie ein zentrales Inspektionsmodell mithilfe der später in diesem Whitepaper beschriebenen Entwurfsmuster einsetzen.
HINWEIS: Transit-VPC bringt ihre eigenen Herausforderungen mit sich, wie z. B. höhere Kosten für den Betrieb virtueller Appliances von Drittanbietern in Amazon EC2, basierend auf der Instance-Größe/-Familie, begrenzter Durchsatz pro VPN-Verbindung (bis zu 1,25 Gbit/s pro VPN-Tunnel) und zusätzliche Konfiguration, Verwaltung und Ausfallsicherheit (Kunden sind für die Verwaltung der Hochverfügbarkeit und Redundanz der EC2-Instances verantwortlich, auf denen die virtuellen Appliances von Drittanbietern ausgeführt werden).
-
Was sind einige bewährte Sicherheitsmethoden für Ihre VPC?
Die folgenden bewährten Methoden sind allgemeine Richtlinien und stellen keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder nicht ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als Vorgabe betrachten.
- Wenn Sie Ihrer VPC Subnetze hinzufügen, um Ihre Anwendung zu hosten, erstellen Sie sie in mehreren Availability Zones. Eine Availability Zone ist ein oder mehrere diskrete Rechenzentren mit redundanter Stromversorgung, Vernetzung und Konnektivität in einer AWS-Region. Durch die Verwendung mehrerer Availability Zones sind Ihre Produktionsanwendungen hochverfügbar, fehlertolerant und skalierbar.
- Verwenden Sie Netzwerk-ACLs, um den Zugriff auf Ihre Subnetze zu kontrollieren, und verwenden Sie Sicherheitsgruppen, um den Datenverkehr zu EC2-Instances in Ihren Subnetzen zu kontrollieren.
- Verwalten Sie den Zugriff auf Amazon-VPC-Ressourcen und APIs mithilfe des Identitätsverbunds, der Benutzer und der Rollen von AWS Identity and Access Management (IAM).
- Verwenden Sie Amazon CloudWatch mit VPC-Flow-Protokollen, um den IP-Verkehr zu und von Netzwerkschnittstellen in Ihrer VPC zu überwachen.
Antworten auf häufig gestellte Fragen zur VPC-Sicherheit finden Sie im Abschnitt Sicherheit und Filterung in den Häufig gestellten Fragen zur Amazon VPC.
-
Was sind gängige VPC-Szenarien?
VPC mit einem einzigen öffentlichen Subnetz
Die Konfiguration für dieses Szenario umfasst eine VPC mit einem einzigen öffentlichen Subnetz und ein Internet-Gateway, um die Kommunikation über das Internet zu ermöglichen. Wir empfehlen diese Konfiguration, wenn Sie eine einstufige, öffentlich zugängliche Webanwendung, wie einen Blog oder eine einfache Website, ausführen müssen. Dieses Szenario kann optional auch für IPv6 konfiguriert werden. Instances, die im öffentlichen Subnetz gestartet werden, können IPv6-Adressen empfangen und über IPv6 kommunizieren.
VPC mit öffentlichen und privaten Subnetzen (NAT)
Die Konfiguration für dieses Szenario umfasst eine VPC mit einem öffentlichen Subnetz und einem privaten Subnetz. Wir empfehlen dieses Szenario, wenn Sie eine öffentlich zugängliche Webanwendung ausführen und gleichzeitig Backend-Server verwalten möchten, auf die nicht öffentlich zugegriffen werden kann. Ein gängiges Beispiel ist eine mehrstufige Website, deren Webserver sich in einem öffentlichen Subnetz und deren Datenbankserver sich in einem privaten Subnetz befinden. Sie können Sicherheit und Routing so einrichten, dass die Webserver mit den Datenbankservern kommunizieren können.
Die Instances im öffentlichen Subnetz können ausgehenden Datenverkehr direkt ins Internet senden, die Instances im privaten Subnetz jedoch nicht. Die Instances in einem privaten Subnetz greifen stattdessen über ein Network Address Translation (NAT)-Gateway, das sich im öffentlichen Subnetz befindet, auf das Internet zu. Die Datenbankserver können über das NAT-Gateway für Softwareupdates eine Verbindung zum Internet herstellen, aber das Internet kann keine Verbindungen zu den Datenbankservern herstellen.
Dieses Szenario kann optional auch für IPv6 konfiguriert werden. In den Subnetzen gestartete Instances können IPv6-Adressen empfangen und über IPv6 kommunizieren. Instances im privaten Subnetz können ein Internet-Gateway nur für ausgehenden Verkehr verwenden, um über IPv6 eine Verbindung zum Internet herzustellen, aber das Internet kann über IPv6 keine Verbindungen zu den privaten Instances herstellen.
VPC mit öffentlichen und privaten Subnetzen und AWS-Site-to-Site-VPN-Zugang
Die Konfiguration für dieses Szenario umfasst eine VPC mit einem öffentlichen Subnetz und einem privaten Subnetz sowie ein virtuelles privates Gateway, um die Kommunikation mit Ihrem eigenen Netzwerk über einen IPSec-VPN-Tunnel zu ermöglichen. Wir empfehlen dieses Szenario, wenn Sie Ihr Netzwerk in die Cloud erweitern und auch direkt von Ihrer VPC aus auf das Internet zugreifen möchten. Dieses Szenario ermöglicht es Ihnen, eine mehrstufige Anwendung mit einem skalierbaren Web-Frontend in einem öffentlichen Subnetz auszuführen und Ihre Daten in einem privaten Subnetz zu speichern, das über eine IPSec-AWS Site-to-Site-VPN-Verbindung mit Ihrem Netzwerk verbunden ist.
Dieses Szenario kann optional auch für IPv6 konfiguriert werden. In den Subnetzen gestartete Instances können IPv6-Adressen empfangen. Wir unterstützen keine IPv6-Kommunikation über eine Site-to-Site-VPN-Verbindung auf einem Virtual Private Gateway. Instances in der VPC können jedoch über IPv6 miteinander kommunizieren, und Instances im öffentlichen Subnetz können mithilfe von IPv6 über das Internet kommunizieren.
VPC nur mit einem privaten Subnetz und AWS-Site-to-Site-VPN-Zugang
Die Konfiguration für dieses Szenario umfasst eine VPC mit einem einzigen privaten Subnetz und ein virtuelles privates Gateway, um die Kommunikation mit Ihrem eigenen Netzwerk über einen IPSec-VPN-Tunnel zu ermöglichen. Es gibt kein Internet-Gateway, um die Kommunikation über das Internet zu ermöglichen. Wir empfehlen dieses Szenario, wenn Sie Ihr Netzwerk mithilfe der AWS-Infrastruktur in die Cloud erweitern möchten, ohne Ihr Netzwerk dem Internet auszusetzen.
Dieses Szenario kann optional auch für IPv6 konfiguriert werden. Im Subnetz gestartete Instances können IPv6-Adressen empfangen. Wir unterstützen keine IPv6-Kommunikation über eine AWS-Site-to-Site-VPN-Verbindung auf einem Virtual Private Gateway. Instances in der VPC können jedoch über IPv6 miteinander kommunizieren.
Nächste Schritte
Mithilfe des kostenlosen AWS-Kontingents und unserer Bibliothek mit praktischen Tutorials und Leitfäden für erste Schritte können Sie sofort mit der Entwicklung in AWS beginnen.