single.php
< Beitrag von Daniel Meinhold

Cloud-Infrastrukturen mit Amazon Web Services I: Netzwerk

Die ersten Schritte bei Amazon Web Services (AWS) sind aufgrund der Vielzahl an Diensten nicht immer leicht. So gilt es, eine Menge neuer Vokabeln zu lernen: VPC, EC2, EBS, S3 u. v. m. Die Abkürzung allein lässt nicht immer auf den sich dahinter verbergenden Dienst schließen. Im Rahmen einer Blog-Serie gebe ich einen Überblick über die Kerndienste bei AWS.

Dazu gehören aus dem Bereich Infrastructure as a Service (IaaS):

  • Netzwerk
  • Server/Betriebssystem
  • Storage
Cloud-Infrastrukturen - Word Cloud AWS Services

Auswahl an AWS-Services

Den Anfang der Blog-Serie macht das Thema Netzwerk. Dies ist die Basis für die Nutzung weiterer Services sowie für den Aufbau einer Hybrid Cloud. AWS bietet hierzu derzeit die folgenden Dienste:

  • Virtual Private Cloud
  • Direct Connect
  • Route 53

Netzaufbau mittels Virtual Private Cloud

Für den Bereich Netzwerk bietet AWS als Grundbaustein den Dienst „Virtual Private Cloud“ (VPC) an. Hierbei handelt es sich um ein logisch von anderen Kunden isoliertes Netzwerk. Dieses dient der Bereitstellung von Cloud-Ressourcen, wie z. B. virtueller Server oder Datenbanken. Zudem ist die VPC die Schnittstelle zu anderen Umgebungen. Dazu gehören per VPN angebundene Netze, die Internetanbindung oder andere VPCs mittels Peering.

Dienste, welche nicht innerhalb der eigenen VPCs bereitgestellt werden können, nutzen per se erst einmal das Internet. Für den Speicherdienst S3 gibt es zudem die Möglichkeit, einen VPC-internen Endpunkt zu nutzen; somit entfällt eine Kommunikation via Internet. Dies soll in Zukunft auf weitere Dienste ausgeweitet werden.

Eine VPC kann sich dabei maximal über eine Region aufspannen, z. B. Frankfurt oder Irland. Innerhalb einer Region steht die VPC dann in allen Rechenzentren bzw. Availability Zones (AZ) zur Verfügung. Eine Availability Zone definiert sich hierbei durch ein oder mehrere Rechenzentren.

Je nach Anforderung hinsichtlich Sicherheit, Performance oder Betrieb können mehrere VPCs erstellt werden. Ein gängiges Szenario ist beispielsweise je eine VPC für Test, Entwicklung und Produktion sowie einen Bereich für übergreifende Dienste (siehe nachfolgende Grafik). Dabei können bei Bedarf verschiedene Regionen genutzt werden.

Cloud-Infrastrukturen - AWS-Architekturbeispiel mit einer Region und mehreren VPC

Beispielarchitektur: 1 Region, mehrere VPC

Nach der Festlegung der Region und dem passenden Design beginnt die Erstellung einer VPC mit der Wahl des passenden IPv4-Netzbereichs (zwischen /16 und /28); IPv6 wird derzeit noch nicht unterstützt. Zudem empfiehlt sich auch hier die Nutzung eines privaten IP-Adressbereichs nach RFC1918. Da das gewählte IP-Netz im Nachgang nicht geändert werden kann, sollte hier – wie gehabt – eine sinnvolle IP-Adressierung geplant werden. Anschließend kann die erforderliche Menge an Subnetzen erstellt werden.

Subnetze und Internetzugriff

Für den Aufbau von Subnetzen innerhalb einer VPC gilt grundsätzlich:

  • Nutzung von IPv4-Subnetzen aus dem zuvor definierten VPC-Netz
  • Ein Subnetz ist beschränkt auf eine Availability Zone
  • 200 Subnetze je VPC (mehr auf Anfrage)
  • Mindestgröße: /28
  • Die ersten 4 und die letzte IP-Adresse jeden Netzes sind AWS-intern reserviert

Ein wesentlicher Aspekt für den Aufbau von Subnetzen bei AWS sind die Anforderungen bzgl. des Internetzugriffs der Systeme eines Subnetzes:

  • Direkter Internetzugriff (Public Subnet)
  • Indirekter Internetzugriff (via NAT; Private Subnet)
  • Kein Internetzugriff (Protected Subnet)

Für den direkten Internetzugriff steht der von AWS verwaltete Dienst „Internet Gateway“ zur Verfügung. Dieser ist redundant ausgelegt und obliegt keinen gesonderten Bandbreitenbeschränkungen. Der Dienst selber ist in wenigen Schritten der VPC hinzugefügt und ermöglicht den direkten Internetzugang.

Für den indirekten Internetzugriff empfiehlt sich in den meisten Fällen die Nutzung des AWS-Dienstes „NAT Gateway„. Über diesen von AWS verwalteten Dienst ist ein mittels NAT realisierter Internetzugriff möglich. Direkte eingehende Verbindungen auf die eigenen Systeme sind somit nicht mehr möglich. Voraussetzung ist ein Internet Gateway für die VPC. Das eigentliche NAT Gateway wird dann einem Subnetz zugeordnet. Alternativ kann ein eigener Server innerhalb der VPC als NAT-Instanz genutzt werden, sofern das NAT Gateway die Anforderungen nicht erfüllt.

Ob die jeweiligen Ressourcen des VPC dann direkt oder indirekt mit dem Internet kommunizieren, wird über die Routing-Tabelle des jeweiligen Subnetzes gesteuert (siehe nachfolgende Grafik). Für Subnetze ohne Internetzugriff entfallen die Routen Richtung Internet Gateway oder NAT Gateway.

Cloud-Infrastrukturen - VPC mit Internetanbindung inkl. NAT Gateway

Beispiel VPC mit Internetanbindung inkl. NAT Gateway, Quelle: AWS

Zusätzlich empfiehlt sich die Kontrolle der Netzzugriffe über sogenannte Network Access Control Lists (NACLs). Diese ermöglichen eine zustandslose ein- und ausgehende Kontrolle des Verkehrs bis maximal Layer 4 (TCP/UDP Ports). Network ACLs werden dabei einem oder mehreren Subnetzen zugeordnet.

Höhere Verfügbarkeit durch Nutzung mehrerer Availability Zones

Eine Beispielarchitektur für eine erhöhte Verfügbarkeit kann beispielsweise wie folgt aussehen (s. a. nachfolgende Grafik): Nutzung von 2 Availability Zones; innerhalb jeder Availability Zone Aufbau jeweils eines Public Subnet inkl. NAT Gateway sowie Erstellung eines Private Subnet (mit indirektem Internetzugriff via NAT Gateway).

Cloud-Infrastrukturen - Beispielarchitektur: VPC mit Subnetzen über zwei AZ

Beispielarchitektur: VPC mit Subnetzen über zwei AZ

Privater Netzzugriff per VPN oder Direct Connect

Für eine sichere Anbindung an die Cloud-Infrastrukturen empfiehlt sich die Nutzung einer VPN-Verbindung oder einer Standleitung. Für den VPN-Zugriff ergeben sich verschiedene Möglichkeiten:

  • AWS Site-2-Site VPN (Hardware Virtual Private Gateway)
  • AWS Hub-and-Spoke VPN (CloudHub)
  • Nutzung einer 3rd Party VPN Software Appliance
  • Nutzung eines eigenen virtuellen Servers mit VPN Software

Die von AWS verwalteten VPN-Services setzen dabei auf IPsec und unterstützen neben statischem Routing ebenfalls BGP. Ein einfaches Site-2-Site-VPN für ein Hybrid-Cloud-Szenario kann dabei wie folgt aussehen:

Cloud-Infrastrukturen - VPN-Basisarchitektur für AWS VPC

VPN-Basisarchitektur für AWS VPC, Quelle: AWS

Neben der Nutzung eines IPsec-basierten Internet VPNs kann auch eine direkte private Verbindung zwischen Ihrem bestehenden RZ und einer AWS VPC hergestellt werden. Dies nennt sich bei AWS Direct Connect und eignet sich u. a. für folgende Anforderungen:

  • Hoher Bedarf nach Bandbreite
  • Geringe Latenz erforderlich
  • Reduzierung des Internetvolumens

AWS Direct Connect kann online beantragt werden und wird von verschiedenen Service Providern angeboten.

Domains und DNS – Route 53

Ergänzend bietet AWS zudem einen integrierten Domain- und DNS-Dienst an: Route 53. Dieser bietet folgende Funktionen:

  • Registrierung von Domains
  • DNS-Management
  • Erstellung von Health Checks (HTTP(S) oder TCP) für DNS-basierte Hochverfügbarkeitsszenarien

Kostenübersicht

Abschließend noch eine Übersicht der Kosten für die einzelnen Dienste (Stand: 24.11.2016). Falls nicht anders angegeben, gelten die Preise zuzüglich Steuern und Abgaben, darunter MwSt. und Umsatzsteuer.

Dienst Kosten: Region Frankfurt Anmerkungen SLA
VPC kostenfrei zzgl. Datentransfer die Bereitstellung des Dienstes ist kostenfrei inkl. Subnetzen, Routing, Network ACLs; Traffic ist zusätzlich zu bezahlen Nein
Internet Gateway kostenfrei zzgl. Datentransfer die Bereitstellung des Dienstes ist kostenfrei; Traffic ist zusätzlich zu bezahlen Nein
NAT Gateway 0,052 USD/Stunde für die Bereitstellung zzgl. 0,052 USD/GB verarbeiteter Daten durch das NAT Gateway  % Nein
VPN 0,05 USD/Stunde VPN-Verbindung zzgl. ausgehender Datentransfer (0,09 USD/GB bis 10 TB) % Nein
Direct Connect zwischen 0,03 USD/Stunde (50 Mbit/s) bis 2,25 USD/Stunde (10Gbit/s) zzgl. ausgehender Datentransfer je nach Anbieter und Region  Kosten je nach Portgeschwindigkeit (zwischen 50 Mbit/s und 10 Gbit/s); Beispiel für Kosten ausgehender Datentransfer Interxion Frankfurt nach/von Region EU (Frankfurt): 0,020 USD pro GB Nein
Route 53 Gehostete Zonen: 0,50 USD pro gehostete Zone/Monat für die ersten 25 gehosteten Zone

Standardabfragen: 0,400 USD pro Million Abfragen – erste Mrd. Abfragen pro Monat

erweiterte Dienste wie Traffic-Flow-Richtlinien, latenzbasierte Routing-Abfragen, GEO-DNS-Abfragen und Zustandsprüfungen werden zusätzlich in Rechnung gestellt AWS R53 SLA

Fazit

Eine hochverfügbare, skalierbare und sichere Netzinfrastruktur in der Cloud ist die Basis für alle darauf aufbauenden IT-Services. AWS bietet hierzu eine Vielzahl der dafür erforderlichen Dienste von Haus aus an. Sollten diese den Anforderungen nicht genügen, bieten Dritthersteller eine Vielzahl ergänzender Produkte an.

Darauf basierend widmet sich der nächste Blog-Beitrag dem Thema „Virtueller Server: Amazon Elastic Compute Cloud (EC2)„.

Folgen
X

Folgen

E-mail : *
Kategorie: Cloud | Schlagwörter: , , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.