Gorodenkoff - stock.adobe.com
Virtual Private Clouds in hybriden IT-Umgebungen betreiben
Virtuelle Private Clouds (VPCs) in hybride Clouds zu integrieren, erhöht die Komplexität der hybriden Cloud wegen der gesteigerten Kontrollmöglichkeiten der VPC-Umgebung.
Mit der richtigen Konfiguration können Administratoren auch virtuelle Private Clouds (VPC) in eine hybride IT-Umgebungen integrieren und Workloads auf ihnen betreiben.
In einer hybriden Cloud können IT-Administratoren Lasten nahtlos zwischen Private und Public Clouds verschieben. Das bedeutet mehr Flexibilität, als nur eine dieser Umgebungen zu nutzen. Zu einer hybriden IT-Umgebung können auch virtuelle Private Clouds (VPC) gehören, die viele der Vorteile einer Public Cloud offerieren, aber trotzdem einige verstärkte Kontrollfunktionen bieten, wie sie in Private Clouds üblich sind.
Allerdings bedeutetet es in der Regel mehr Komplexität, eine VPC in eine hybride IT-Umgebung zu integrieren, weil es bei VPCs erweiterte Steuerungs- und Kontrollmöglichkeiten gibt.
Was sind hybride Clouds und VPCs?
Eine hybride Cloud ist eine IT-Umgebung aus Private- und Public-Cloud-Plattformen sowie einer Orchestrierungskomponente, die alles miteinander verbindet. Die Orchestrierungskomponente unterscheidet die hybride Cloud von einer Multi-Cloud-Strategie. Bei letzterer verwendet eine Organisation mehrere Clouds, um unterschiedliche Aufgaben auszuführen, die nicht miteinander koordiniert sind. Die Orchestrierung einer hybriden IT-Umgebung ermöglicht es Administratoren, Workloads und Daten auf den Plattformen zu hosten, die ihren Anforderungen am besten entsprechen und sie bei veränderten Anforderungen zu verschieben.
Eine hybride Cloud kann vielfältige Plattformen umfassen, darunter eine oder mehrere VPCs. Eine VPC ist eine logische Unterstruktur innerhalb einer Public Cloud. Sie isoliert ein virtuelles Netzwerk von anderen Cloud-Ressourcen. Workloads und Daten gehören zur VPC und bilden eine Struktur, die einer Private Cloud gleicht.
Eine VPC teilt viele Vorteile der Public Cloud. Dazu gehören einfache Bereitstellung und Skalierung sowie nutzungsbezogene Kosten. Gleichzeitig bieten VPCs viele der Kontroll- und Steuerungsfunktionen einer Private Cloud, zum Beispiel das Management der IP-Adressen, Subnetze und Netzwerk-Gateways.
Weil die VPC isoliert von anderen Lasten auf der Cloud-Plattform ist, kann die IT auch sensible Anwendungen von einem Rechenzentrum im Unternehmen aufs virtuelle Netz verschieben. Dadurch verschwimmen die Grenzen zwischen internen und externen Plattformen noch mehr.
Die Steuerung einer VPC-Umgebung
Anbieter wie Amazon, Microsoft und Google haben bereits VPC-Services im Portfolio.
Das Angebot von AWS heißt Amazon Virtual Private Cloud (Amazon VPC). Amazon VPC erzeugt eine virtuelle Netzwerkumgebung, in der Admins IP-Adressen, Subnetze, Routing-Tabellen und Netzwerk-Gateways konfigurieren können. Sie können auch IPv4 und IPv6 implementieren und VPN-Verbindungen in Hardware konfigurieren.
Microsoft bietet mit seinem Azure Virtual Network (VNet) Ähnliches. Admins können das virtuelle Netzwerk in einen oder mehrere Subnetze segmentieren und dann einen Teil des IP-Adressraumes der VPC jedem Subnetz zuweisen. Sie können auch die Namensauflösungs-Funktionen von Azure nutzen oder ihre eigenen Domain Name Servers (DNS) konfigurieren. Zusätzlich ist es möglich, private IP-Adressräume mit öffentlichen und privaten Adressen zu definieren.
Auch Google hat einen virtuellen Private-Cloud-Service im Programm, der zur Google Cloud Platform gehört. Eine Google-VPC kann mehrere Regionen überspannen, ohne über das öffentliche Internet zu kommunizieren oder ohne eine öffentliche IP-Adresse der VPC zuzuweisen. Admins können Teams innerhalb von Projekten isolieren, indem sie einen gemeinsamen genutzten privaten IP-Raum definieren und den IP-Adressraum darin befindlicher Subnetze erweitern, ohne Workloads dafür abschalten zu müssen.
Alle drei Dienste geben Anwendern mehr Kontrolle über Konfigurationen wie die IP-Adressen, Subnetze und das Routing als Public Clouds. Administratoren müssen aber auch ihre Hybrid-Cloud-Umgebungen orchestrieren, damit nahtlose Interoperabilität zwischen den unterschiedlichen Plattformen besteht. Dieser Prozess ist schon ohne die zusätzliche Komplexität von VPCs schwierig genug.
VPCs in eine hybride IT-Umgebung integrieren
Um eine oder mehrere VPCs in eine hybride IT-Umgebung zu integrieren, müssen Administratoren einige Aufgaben ausführen: Sie müssen Subnetze aufbauen, die IP-Adressen zuweisen, Routing-Tabellen definieren, Gateways konfigurieren und weitere Verbindungen aufbauen. Gleichzeitig dürfen keine Konflikte auftreten. Beispielsweise muss sichergestellt sein, dass es zwischen unterschiedlichen VPCs keine sich überschneidende IP-Adressräume gibt.
Viele dieser Administratoraufgaben betreffen das Innenleben der VPC. Weil sie im Wesentlichen ein virtuelles Netzwerk ist, können zu ihr vielfältige Komponenten gehören, was die Komplexität der hybriden IT-Umgebung weiter erhöht.
Ein gutes Beispiel dafür findet sich in der Microsoft-Referenzarchitektur. Sie beschreibt, wie man ein sicheres hybrides Netzwerk mittels einer demilitarisierten Zone (DMZ) zwischen dem Netzwerk im Unternehmen und der Web-Schicht der VPC um eine Azure VNet-Umgebung erweitert. Die DMZ verwendet virtuelle Netzwerkgeräte für Sicherheitsmaßnahmen wie Firewalls und Paketanalyse. Die VPC-Plattform hat Web-, Business- und Datenschichten, damit dort Lasten außerhalb des Unternehmens abgearbeitet werden können.
Das virtuelle Netz ist mit dem Netz im Unternehmen entweder über ein VPN oder eine Azure Express Route verbunden. Verwendet man ein VPN, braucht das virtuelle Netzwerk ein VPN-Gateway am Rand des virtuellen Netzwerks außerhalb der DMZ. Das VPN-Gateway kommuniziert mit dem On-Premises-Gateway. So kann Datenverkehr zwischen den beiden Netzen fließen. Gehört keine DMZ zum virtuellen Netzwerk, ist das VPN direkt mit der Web-Schicht des VPC verbunden.
ExpressRoute ist ein Microsoft-Service, um dedizierte Verbindungen zwischen einem Unternehmensnetz und einem Azure-Netzwerk herzustellen. Statt eines VPN-Gateway verwendet das virtuelle Netz ein ExpressRoute-Gateway innerhalb dieses virtuellen Netzwerks.
Zusätzlich erfordert die Vernetzung eine ExpressRoute-Verbindung, die das Netz des Unternehmens und das Azure-Netzwerk miteinander verbindet. Edge Router befinden sich an jeder Seite dieser Verbindung. Sie routen den Verkehr zwischen den beiden Netzen. Ein Connectivity Provider liefert die ExpressRoute-Verbindung und verwaltet die Edge Router.
Amazon und Google haben ähnliche Optionen im Programm, um Netze beim Kunden an ihre virtuellen Netzwerke anzubinden. Neben VPN-Verbindungen unterstützen beide einen ähnlichen Dienst wie ExpressRoute, um dedizierte Verbindungen aufzubauen: Amazon verwendet AWS Direct Connect, Google Cloud Interconnect.
Die Zukunft von hybriden Clouds und VPCs
Die Implementierung einer hybriden Umgebung, die mehrere Cloud-Plattformen vernetzt, ist meist komplex und zeitraubend. Für VPCs gilt ähnliches, aber sie haben noch einige weitere spezifische Komplexitätsebenen wegen ihrer gesteigerten Steuerungs- und Kontrollmöglichkeiten.
Mit zunehmender Reife hybrider Technologien und stärkerer Ausbreitung von VPCs wird die Integration dieser Technologien wahrscheinlich schneller und einfacher. Das gilt nicht nur für die Integration zwischen On-Premises- und virtuellen Netzwerken, sondern auch für die zwischen unterschiedlichen Cloud-Plattformen, seien sie nun öffentlich, privat oder virtuell. Auf die Dauer werden so hybride Cloud-Strategien unter Einschluss von VPCs einfacher praktisch umsetzbar und nützlicher.
Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!