Ein Blick auf AWS Transit Gateways

Ein Blick auf AWS Transit Gateways

Amazon Web Services hat im November den AWS Transit Gateway-Dienst 2018 eingeführt, mit dem Kunden mehrere Virtual Private Clouds (VPCs) verbinden können, ohne auf Punkt-zu-Punkt-IPsec-Tunnel angewiesen zu sein. AWS Transit Gateway ermöglicht ein Hub-and-Spoke-Modell mit zentraler Steuerung des zwischen VCPs gerouteten Datenverkehrs. Dies reduziert die Betriebskosten und die Verwaltungskomplexität und erleichtert die Skalierung des Netzwerks, wenn mehr VPCs hinzugefügt werden.

Zunächst einige Hintergrundinformationen. Eine VPC ist ein logisch isolierter Abschnitt der AWS-Cloud, mit dem Sie die Kontrolle über IP-Adressen, Subnetze, Routingtabellen und Netzwerk-Gateways haben. Auf diese Weise können geschützte Ressourcen in ein privates Subnetz und Webdienste in ein öffentliches Subnetz gestellt werden, wobei Ebenen von hinzugefügt werden Sicherheit nach Bedarf, um den Zugriff zu steuern.

Amazon stellte fest, dass Unternehmen Transit-VPCs mit Firewalls oder Routing-Instanzen im Kern einrichten, um ein globales Netzwerk zu erstellen, das mehrere VPCs und Remote-Ressourcen miteinander verbindet. Das Einrichten aller für dynamisches Routing erforderlichen IPSec-Tunnel erforderte jedoch viel manuelle Arbeit oder sorgfältige Skripterstellung. Der AWS Transit Gateway-Service wurde entwickelt, um diese gemeinsame Kundenherausforderung zu bewältigen.

Mit dem Transit Gateway können Sie ein gemeinsames VPN für mehrere VPCs in einer AWS-Region erstellen. Das Transit Gateway enthält eine Master-Routingtabelle, mit der Sie auch eine Verbindung zu Diensten wie Authentifizierung und Überwachung herstellen können, die in verschiedenen VPCs implementiert sind. Sie können sogar eine Sicherheits-VPC erstellen, die sich zwischen dem Transit Gateway und dem Internet befindet und Firewall, Filter für Webanwendungen, Verhinderung von Datenverlust und andere Dienste bietet. Der Datenverkehr zwischen dem Internet und Ihren geschützten Ressourcen wird gemäß den Richtlinien zugelassen oder verweigert.

Sie können andere Amazon-Tools nutzen, einschließlich CloudFormation Modellieren und Bereitstellungstool, Lambda Serverless Computing und das Überwachungs- und Alarmierungstool CloudWatch. Das Transit Gateway unterstützt jedoch nur AWS-Konnektivität, obwohl eine Verknüpfung mit anderen möglich ist Wolken über IPsec-VPN-Verbindungen.

Transit Gateways haben derzeit einige Einschränkungen. Transit Gateways unterstützen keine Verbindungen in mehreren Regionen. Sie fügen weitere Hops hinzu, bevor der Datenverkehr von der Firewall überprüft wird. Daher kann eine erhöhte Latenz ein Problem darstellen. Außerdem wird Ihre Routing-Tabelle immer größer, da Sie die Routenaggregation nicht verwenden können. Sie müssen überlegen, ob ein Transit Gateway angesichts dieser Einschränkungen von Vorteil ist.

Beim Entwurf eines Transit Gateways werden zunächst die Konnektivitätsanforderungen des Kunden untersucht. Was ist das Datenflussmodell zwischen VPCs? Muss etwas isoliert werden oder müssen alle VPCs miteinander sprechen? Dies sind einige der Fragen, die wir stellen werden, wenn wir uns mit dem Kunden zusammensetzen, um die Lösung an die Tafel zu bringen. Anschließend führen wir eine Ermittlung durch und entwerfen das Netzwerk gemäß den Best Practices. Anschließend werden Implementierung und Bereitstellung fortgesetzt und Validierung.

Eines der Erfolgskriterien, nach denen wir suchen, ist, ob das Transit Gateway eine Verbindung zu jeder Ressource herstellen kann, zu der wir eine Verbindung herstellen möchten. Sind die Routing-Informationen korrekt? Fließt der Datenverkehr wie geplant? Da wir über ein Hub-and-Spoke-Modell verfügen, müssen wir außerdem nach asymmetrischem Routing suchen. Ein Paket muss auf die gleiche Weise in das Netzwerk ein- und aus dem Netzwerk austreten, um etwaige Unstimmigkeiten zu minimieren.

Unternehmen mit mehreren VPCs benötigen eine effiziente Möglichkeit, diese miteinander zu verbinden und eine Verbindung zu Remotediensten herzustellen. Die Rahi-Systeme Network Services Das Team kann Sie dabei unterstützen, den AWS Transit Gateway-Service zu nutzen, um diesen Prozess zu vereinfachen.

Shreyans Desai

Über Shreyans Desai

Shreyans Desai ist Lösungsarchitekt bei Rahi Systems im Networking PSE-Team. Vor seiner Tätigkeit bei Rahi Systems war er als Solutions Engineer mit dem Schwerpunkt Netzwerkautomation und -systeme tätig. Seine Erfahrung umfasst Routing-, Switching- und Sicherheitslösungen für Unternehmens-Rechenzentren und Service-Provider für mehrere Anbieter (Juniper Networks, Cisco, Palo Alto Networks, Arista und Huawei) sowie ein tiefes Verständnis für Cloud-Computing-Lösungen von Amazon Web Services ( AWS) und OpenStack.

Hinterlasse einen Kommentar