Adrian Grosu - stock.adobe.com
Cloud-Networking-Grundlagen: Migration zu AWS oder Azure
Die Migration von Workloads auf Amazon Web Services (AWS) und Azure ist nicht schwierig, wenn Firmen sich an einige Grundlagen des Cloud Networking halten.
Netzwerkadministratoren, die ihre gesamte Karriere mit der Konfiguration und Wartung von lokalen Netzwerken verbracht haben, könnten mit Problemen kämpfen, wenn sie dieselben Aufgaben innerhalb von Public-Cloud-Umgebungen erledigen müssen. Die gute Nachricht: Die meisten Administratoren werden nach einer kleinen Lernkurve feststellen, dass die Arbeit in Netzwerken innerhalb und zwischen Clouds nahezu identisch ist mit der Arbeit im lokalen Netzwerk.
In diesem Artikel behandeln wir einige Grundlagen, die Administratoren beim Cloud Networking beachten sollten. Dazu gehören auch Begriffe rund um das Netzwerk, die die beiden wichtigsten Cloud-Anbieter verwenden: Amazon Web Services (AWS) und Microsoft Azure. Darüber hinaus werden wir einige der grundlegenden Aufgaben besprechen, die erforderlich sind, um das Cloud-Netzwerk für jede Anwendung im Unternehmen zu konfigurieren.
Begriffe aus dem Bereich Cloud Networking
Um die Konfiguration von Netzwerken in der Cloud besser zu verstehen, müssen die IT-Teams die vom Service-Provider verwendete Terminologie kennen. Dieses neue Vokabular mag zunächst zwar einschüchternd erscheinen, aber die Fachbegriffe sind leicht zu verstehen, wenn man sich mit ihnen beschäftigt. Darüber hinaus verwenden die meisten IaaS-Cloud-Anbieter unterschiedliche Formulierungen, um ähnliche Netzwerkdienste zu beschreiben.
So nutzt AWS beispielsweise Virtual Private Cloud (VPC), um die isolierte IaaS-Instanz in der Cloud zu beschreiben, die von jedem Kunden verwaltet wird. Azure verwendet den Begriff Virtual Network (VNet) für den gleichen Vorgang.
VPN-Gateway ist ein weiterer wichtiger Begriff in der Welt des Cloud Networkings. Er bezieht sich auf die Verbindung und das entsprechende Routing, das erforderlich ist, um ein VPC oder VNet mit einem der folgenden Dienste zu starten:
- einem weiteren Cloud-Segment innerhalb der gleichen Service-Provider-Cloud;
- einem privaten LAN für hybride Cloud-Konnektivität; oder
- einem anderen Cloud-Service-Provider für Multi-Cloud-Anwendungen
Bei der Beschreibung dieser Gateways ist vor allem auf das Wort VPN zu achten. Der Grund: Die Verbindung zwischen den Segmenten erfolgt über einen verschlüsselten VPN-Tunnel entweder innerhalb derselben Cloud oder über das Internet zu Firmen-LANs beziehungsweise anderen, zusätzlichen Cloud-Anbietern.
Wenn die Anwendungen, Daten und Dienste, die Firmen in einer Public Cloud verwalten, eine dedizierte Bandbreite und eine geringe Netzwerklatenz erfordern, die über eine SLA (Service Level Agreement) vereinbart wurden, wird ein VPN-Tunnel über das öffentliche Internet diese nicht beeinträchtigen. Statt eines VPN-Gateways dürften Firmen lieber eine dedizierte Cloud-Verbindung verwenden, die im Wesentlichen eine private WAN-Verbindung ist, die direkt zu ihrem Public-Cloud-Anbieter führt.
Auch hier unterscheiden sich AWS und Azure bei der Beschreibung der Funktion: AWS nennt seinen dedizierten Dienst Direct Connect, während der ähnliche Dienst bei Azure ExpressRoute heißt.
Es ist auch hilfreich, andere Cloud-Nomenklaturen zu kennen, die nicht ausschließlich mit dem Netzwerk zu tun haben. Betrachten Sie zum Beispiel die folgenden Begriffe:
- AWS Route 53 und Azure DNS sind DNS-Dienste (Domain Name System);
- AWS CloudFront und Azure Content Delivery Network sind Content Delivery Networks (CDN); und
- AWS CloudWatch und das frühere Azure Application Insights sind integrierte Leistungs- und Analyse-Tools. Azure Monitor fasst die ehemaligen Cloud-Monitoring-Tools Log Analytics und Application Insights von Microsoft zusammen.
Mit dem Wissen um die Namen und Aufgaben der entsprechenden Services können Verantwortlichen die Grundlagen für das Cloud Networking schaffen, während sie mit Anwendungs- und Serveradministratoren zusammenarbeiten, um ihre Cloud-Instanz aufzubauen.
Grundlegende Optionen für die Konfiguration
Erfahrene Netzwerkingenieure werden überrascht sein, wenn sie erfahren, dass die Konfigurationsmöglichkeiten für Standardnetzwerke innerhalb einer IaaS-Cloud viel eingeschränkter sind als bei lokalen Alternativen. Ein Administrator kann in einer IaaS-Cloud in den meisten Fällen folgende Punkte nativ konfigurieren und verwalten:
- IP-Adressbereiche;
- VLANs;
- Routing-Tabellen;
- Intersegment-Gateways;
- grundlegende Firewall-Regeln; und
- Zugriffskontroll-Listen.
Wenn Firmen mehr Komplexität in ihr Cloud-Netzwerk integrieren müssen, bieten die Provider verschiedene Optionen zu Erweiterung. Die erste sind herstellerspezifische virtuelle Appliances, die auf dem Cloud-Marktplatz des Anbieters zu finden sind. Diese virtuellen Appliances lassen sich in der Cloud als Ersatz für die grundlegenden Netzwerkdienste des Cloud-Providers einsetzen.
So können Firmen beispielsweise einen Cisco Cloud Services Software Router der 1000V-Serie anstelle des Standard-VPN-Gateways einrichten. Auf diese Weise kann ein Administrator komplexere Technologien wie etwa das SD-WAN-Framework von Cisco direkt in der Public Cloud konfigurieren und so die SD-WAN-Infrastruktur des Unternehmens erweitern. Beim Kauf dieser Art von Spezialgeräten fallen allerdings zusätzliche Lizenz- und Nutzungskosten an.
Eine zweite Option speziell für sehr umfangreiche hybride Cloud- oder Multi-Cloud-Architekturen ist der Einsatz einer Multi-Cloud-Management-Plattform in allen Public und Private Clouds. Dadurch entsteht ein softwarebasiertes Overlay-Netzwerk, in dem Netzwerkadministratoren universelle Netzwerk- und Sicherheitsrichtlinien erstellen und verwalten können. Diese universellen Richtlinien lassen sich dann auf weitere Cloud-Service-Provider und innerhalb des Unternehmens-LANs selbst übertragen. Auch hier ist zu beachten, dass zusätzliche Lizenz- und Nutzungskosten anfallen.