Getty Images/iStockphoto
Alle wichtigen AWS-Netzwerkdienste für Cloud-Nutzer
AWS bietet Cloud-Networking-Services für Load Balancing, Traffic Routing, Content Delivery und mehr. Unsere Übersicht zeigt, welche Dienste und Funktionen sich besonders lohnen.
Eine Cloud-Architektur erfordert eine sichere und zuverlässige Netzwerkkonnektivität. Unabhängig davon, ob ein Unternehmen seine gesamten Workloads in der Cloud hostet oder einige Anwendungen und Daten On-Premises vorhält, funktioniert das System nur dann ordnungsgemäß, wenn eine sichere, zuverlässige Verbindung zum Cloud-Netzwerk und zwischen den Ressourcen besteht.
IT-Teams nutzen Public-Cloud-Netzwerkdienste, um den Traffic zu verwalten und zu überwachen, die Kommunikation zwischen den Umgebungen zu erleichtern, sensible Daten vor dem öffentlichen Zugriff zu schützen und verschiedene andere Funktionen auszuführen.
AWS bietet eine Reihe von Diensten, die Cloud-Kunden dabei helfen, Netzwerkkonnektivität und -sicherheit für ihre Anwendungen herzustellen und aufrechtzuerhalten – sowohl On-Premises als auch in der Cloud. Anhand der folgenden Liste mit den wichtigsten AWS-Netzwerkdiensten können Sie feststellen, welche Funktionen sich für Ihre Netzwerkanforderungen am besten eignen.
Amazon Virtual Private Cloud
Amazon Virtual Private Cloud (Amazon VPC) erstellt ein virtuelles Netzwerk, in dem Entwickler Ressourcen in einem isolierten Bereich aufrufen können. Entwickler nutzen diesen Service, um eine sichere Kommunikation zwischen verschiedenen Teilen des Cloud-Netzwerks zu ermöglichen, etwa Amazon-EC2-Instanzen in verschiedenen Subnetzen.
Mit Amazon VPC lässt sich die Netzwerkkonfiguration anpassen. Dadurch können Entwickler Konfigurationsoptionen wie IP-Adressbereiche sowie die Verwendung öffentlicher und privater Subnetze kontrollieren. Entwickler und Administratoren können zudem Sicherheitsgruppen erstellen und Listen für die Netzwerkzugriffssteuerung verwenden, um den Traffic zu filtern und so ein sichereres virtuelles Netzwerk zu erreichen. Die VPC-Ingress-Routing-Funktion ist eine weitere Möglichkeit, die Sicherheit des VPC-Netzwerks zu erhöhen. Mit dem VPC-Ingress-Routing lassen sich Sicherheits-Appliances bereitstellen, um den ein- und ausgehenden VPC-Traffic zu kontrollieren.
Zu den häufigsten Anwendungsfällen für Amazon VPC gehören die Verbindung von Cloud-Anwendungen mit ihren Rechenzentren und die Verbindung von Unternehmensnetzwerken mit der Cloud.
Elastic Load Balancing
Elastic Load Balancing (ELB) ist ein Amazon-Service, der den eingehenden Anwendungs-Traffic automatisch auf mehrere Ziele und Availability Zones verteilt. Er skaliert außerdem die Ressourcen, um den Traffic-Anforderungen gerecht zu werden. ELB verteilt den Datenverkehr auf Ziele, zum Beispiel Amazon-EC2-Instanzen, Container, IP-Adressen und AWS-Lambda-Funktionen.
Dieser Dienst überwacht den Zustand von Amazon-EC2-Instanzen, um zu gewährleisten, dass der Traffic an ordnungsgemäß funktionierende Instanzen geroutet wird. Entwickler können den Datenverkehr über einen öffentlichen Load Balancer mit Internetzugriff oder aus Gründen der Netzwerksicherheit über einen internen Load Balancer routen.
Es gibt bei ELB vier Arten von Load Balancern, die eine automatische Skalierung und hohe Verfügbarkeit bieten:
- Application Load Balancer: Dieser Typ empfiehlt sich für das Load Balancing von HTTP-Anfragen und bietet Routing für Anwendungsarchitekturen wie Microservices und Container. Bei dieser ELB-Variante handelt es sich um einen Load Balancer auf Layer 7 (Anwendungsschicht) des OSI-Modells. Er arbeitet auf der Ebene einzelner Anfragen und Anwendungen.
- Network Load Balancer: Am besten geeignet für das Load Balancing von Netzwerk- und Transportprotokollen. Er wurde für das Load Balancing von Traffic entwickelt, der eine hohe Performance und niedrige Latenz erfordert. Dazu zählen beispielsweise TCP-, UDP- und TLS-Traffic (Transmission Control Protocol, User Datagram Protocol und Transport Layer Security). Der Network Load Balancer arbeitet auf Layer 4, der Transportschicht.
- Gateway Load Balancer: Diese Lösung empfiehlt sich, wenn der Benutzer virtuelle Appliances von Drittanbietern, etwa Firewalls oder Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS und IPS), bereitstellt und betreibt. Der Balancer arbeitet auf Layer 3, der Vermittlungsschicht.
- Classic Load Balancer: Passt zu Anwendungen, die in einem EC2-Classic-Netzwerk erstellt wurden. Dieser Typ führt Load Balancing durch zwischen mehreren Amazon-EC2-Instanzen. Es handelt sich um einen Load Balancer auf Layer 4, der auf der Anforderungs- und Verbindungsebene arbeitet, obwohl er über eine gewisse Layer-7-Funktionalität verfügt. Da er älter als die anderen Varianten ist, sollte er nicht für neue Dienste zum Einsatz kommen.
Amazon Route 53
Route 53, der skalierbare DNS-Webdienst von Amazon, leitet Endanwender zu Webanwendungen weiter, indem er Domain-Namen in IP-Adressen übersetzt. Er wird für drei Hauptfunktionen genutzt: Domain-Registrierung, DNS-Routing und Zustandsüberprüfung.
Dieser DNS-Service kann Benutzer zu Infrastrukturen innerhalb und außerhalb der AWS-Cloud routen. Route 53 leitet Benutzer automatisch an den optimalen DNS-Serverstandort im globalen Netzwerk weiter, und zwar abhängig von den Netzwerkbedingungen.
Route 53 unterstützt verschiedene Routing-Typen, darunter Geo-DNS, Weighted Round Robin und latenzbasiertes Routing. Amazon Route 53 bietet eine Funktion namens Traffic Flow, die einen visuellen Editor enthält. Damit können Benutzer Datensätze in großen und komplexen Konfigurationen erstellen, pflegen sowie Richtlinien für die Weiterleitung des Endbenutzer-Traffics zu Anwendungen festlegen.
Amazon CloudFront
Amazon CloudFront ist der native CDN-Service (Content Delivery Network) von AWS. Unternehmen verwenden CloudFront, um sowohl statische als auch dynamische Inhalte schnell zu verteilen. Das CDN routet jede Anfrage durch das AWS-Netzwerk bis zum nächstgelegenen Edge-Standort, um Endbenutzern den schnellsten Übertragungsweg zu bieten. CloudFront reduziert darüber hinaus die Anzahl der Netzwerke, die die Anfrage eines Nutzers bei der Bereitstellung von Inhalten durchläuft.
Die Lösung wird häufig verwendet, um die Bereitstellung statischer Website-Inhalte zu beschleunigen, sowie Video-on-Demand und Live-Video-Streaming zu ermöglichen.
AWS Direct Connect
AWS Direct Connect ermöglicht eine private Verbindung zwischen dem On-Premises-Rechenzentrum eines Kunden und der Cloud, ohne das öffentliche Internet zu nutzen. Dieser Amazon-Netzwerkdienst verwendet ein Ethernet-Kabel, um die internen Workloads eines Unternehmens mit einem der Standorte von AWS Direct Connect zu verbinden. Er bietet Verbindungsgeschwindigkeiten von 50 MBit/s bis 100 GBit/s.
Diese Verbindung erzeugt mehrere virtuelle Schnittstellen zu den öffentlich zugänglichen Cloud-Services von Amazon oder zu privaten Ressourcen, die auf AWS gehostet werden. Die Benutzer können über dieselbe Verbindung auf private und öffentliche Ressourcen zugreifen, wobei die Netzwerktrennung zwischen den beiden Umgebungen erhalten bleibt. AWS Direct Connect eignet sich besonders für Unternehmen mit strengen Governance- und Compliance-Regeln, die private Konnektivität erfordern.
AWS-Cloud-Nutzer können bei diesem Service zwischen zwei Verbindungstypen wählen:
- Dediziert: Bei der dedizierten Verbindung wird ein Ethernet-Kabel verwendet, um eine Verbindung zum jeweiligen Kunden herzustellen. AWS-Cloud-Nutzer fordern eine dedizierte Verbindung über die AWS-Direct-Connect-Konsole, die Befehlszeile oder die API an.
- Gehostet: Die gehostete Verbindung benötigt einen AWS-Direct-Connect-Partner, der die physische Ethernet-Verbindung im Namen eines Kunden bereitstellt. Für eine gehostete Verbindung müssen IT-Teams einen Partner aus dem AWS Direct Connect Delivery Partners Program auswählen.
AWS Virtual Private Network
AWS VPN ermöglicht es Unternehmen, ihr On-Premises-Netzwerk mit Cloud-Benutzern zu verbinden. Die Plattform bietet zwei VPN-Optionen: AWS Site-to-Site VPN und AWS Client VPN.
- AWS Site-to-Site VPN: Damit lässt sich eine sichere, verschlüsselte Verbindung zwischen einer On-Premises-Einrichtung und einer Amazon-VPC-Umgebung sowie AWS Transit Gateway erstellen. Es gibt eine Option namens Beschleunigte -Site-to-Site-VPN-Verbindungen, die mit AWS Global Accelerator arbeitet und die Leistung der VPN-Verbindung verbessert.
- AWS Client VPN: Diese Option ermöglicht Mitarbeitern den sicheren Remote-Zugriff auf die Ressourcen eines Unternehmens, sowohl in AWS als auch in On-Premises-Netzwerken. AWS Client VPN ist ein vollständig verwalteter, elastischer VPN-Service, der sich um Provisioning, Kapazität und die automatische Skalierung kümmert.
AWS Transit Gateway
AWS Transit Gateway verbindet Amazon VPCs und On-Premises-Netzwerke über mehrere Konten durch einen zentralen Hub. Jede neue Verbindung wird nur einmal hergestellt, da das Tool als hochskalierbarer Cloud Router fungiert. Die Lösung eignet sich für Unternehmen mit Hybrid-Cloud-Architekturen. Sie unterstützt dynamisches und statisches Layer-3-Routing zwischen Amazon VPCs und VPN.
AWS-Benutzer können ihr Netzwerk sowohl in der Cloud wie On-Premises mit dem Transit Gateway Network Manager zentral überwachen. Dieser stellt die Ereignisse und Metriken für das Monitoring des gesamten Netzwerks bereit. AWS Transit Gateway Connect ermöglicht die native Integration von SD-WAN-Appliances in AWS.
Dieser Netzwerkdienst bietet zudem eine regionsübergreifende Peering-Funktion, um Netzwerke zu verbinden und Ressourcen in verschiedenen AWS-Regionen gemeinsam zu nutzen, sowie Multicast-Funktionen.
AWS Global Accelerator
Dieser Netwerkdienst verbessert die Anwendungsverfügbarkeit und -Performance für global verteilte Endbenutzer. AWS Global Accelerator bietet eine statische öffentliche IP-Adresse, die als ein einziger fester Zugangspunkt dient und mit einem regionalen Endpunkt verknüpft ist. Die statische IP-Adresse akzeptiert eingehenden Traffic in das globale AWS-Netzwerk vom nächstgelegenen Edge-Standort. Global Accelerator leitet dann den Netzwerkverkehr basierend auf dem geografischen Standort, dem Anwendungsstatus und den vom Entwickler festgelegten Routing-Richtlinien auf dem effizientesten Weg an einen Endpunkt weiter. Wenn es zu Problemen kommt, leitet Global Accelerator den Traffic automatisch zu einwandfrei funktionierenden Endpunkten um.
AWS PrivateLink
PrivateLink ermöglicht eine sichere, private Verbindung zwischen Amazon VPCs und anderen Ressourcen, die auf AWS oder On-Premises-Anwendungen laufen. Der Dienst richtet eine private IP-Adresse mit einer elastischen Netzwerkschnittstelle im Subnetz ein und stellt eine Verbindung zur Verfügung, die Daten vor dem Zugriff über das öffentliche Internet schützt.
PrivateLink lässt sich in AWS Direct Connect integrieren, um eine sichere Schnittstelle für On-Premises-Anwendungen zu gewährleisten. Indem der öffentliche Zugriff unterbunden wird, trägt PrivateLink dazu bei, bestimmte Bedrohungen der Netzwerksicherheit wie Brute-Force- und DDoS-Angriffe (Distributed Denial of Service) abzuwehren.
AWS App Mesh
AWS App Mesh ermöglicht Networking auf Anwendungsebene und die Kommunikation von Services über unterschiedliche Arten von Computing-Infrastrukturen hinweg. App Mesh nutzt Envoy, einen quelloffenen Service-Mesh-Proxy, der parallel zu den Microservice-Containern eines Unternehmens läuft.
Durch die Standardisierung der Kommunikation von Services optimiert AWS App Mesh den Betrieb, konfiguriert die Traffic-Flüsse, identifiziert Anwendungsprobleme und verbessert die Netzwerksicherheit. Benutzer können die Kommunikation zwischen den Services überwachen, steuern und debuggen. Außerdem wird ermittelt, wo es zu Fehlern kommt, und der Traffic wird abhängig davon umgeleitet. Auf diese Weise sind Unternehmen nicht mehr gezwungen, bei jedem Auftreten von Störungen manuell Monitoring- und Kontrollcodes zu erstellen.
AWS Cloud Map
AWS Cloud Map, ein Service zur Ermittlung von Cloud-Ressourcen, erzeugt benutzerdefinierte Namen für Anwendungsressourcen und aktualisiert automatisch die Standorte der Ressourcen. Der Dienst verwaltet den aktualisierten Standort von Ressourcen, die sich dynamisch durch Endpunkte ändern, die statisch in der Anwendung codiert sind. Dies wiederum erhöht die Anwendungsverfügbarkeit. Darüber hinaus müssen Entwicklungsteams keine Ressourcennamen und Standortinformationen mehr speichern, überprüfen und aktualisieren, da AWS Cloud Map eine einzige Registrierungsstelle für Anwendungsservices bereitstellt.