REL 2: Was ist bei der Planung der Netzwerktopologie zu beachten?

Workloads existieren häufig in mehreren Umgebungen. Dazu gehören mehrere Cloud-Umgebungen (öffentlich zugängliche und private) und möglicherweise die vorhandene Infrastruktur Ihres Rechenzentrums. Die Pläne müssen Netzwerkaspekte umfassen, wie z. B. die Konnektivität innerhalb und zwischen Systemen, die Verwaltung öffentlicher und privater IP-Adressen und die Auflösung von Domänennamen.

Ressourcen

AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)
AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)
What is Amazon Route 53?
What is Elastic Load Balancing?
What is Amazon CloudFront?
What Is a Transit Gateway?
What Is Amazon VPC?
Working with Direct Connect Gateways
Using the Direct Connect Resiliency Toolkit to get started
Multiple data center HA network connectivity
What Is AWS Global Accelerator?
VPC Endpoints and VPC Endpoint Services (AWS PrivateLink)
Amazon Virtual Private Cloud Connectivity Options Whitepaper
AWS Marketplace for Network Infrastructure
APN Partner: partners that can help plan your networking

Bewährte Methoden:

• Bereitstellen einer hochverfügbaren Netzwerkkonnektivität für öffentliche Endpunkte der Workload: Diese Endpunkte und das entsprechende Routing müssen hochverfügbar sein. Verwenden Sie dazu ein hochverfügbares DNS, Content Delivery Networks (CDNs), API Gateway, Load Balancing oder Reverse-Proxys.

• Bereitstellen redundanter Konnektivität zwischen privaten Netzwerken in der Cloud und lokalen Umgebungen: Verwenden Sie mehrere AWS DX-Verbindungen (Direct Connect) oder VPN-Tunnel zwischen separat bereitgestellten privaten Netzwerken. Verwenden Sie für eine hohe Verfügbarkeit mehrere DX-Standorte. Wenn Sie mehrere AWS-Regionen verwenden, stellen Sie in mindestens zwei davon Redundanz sicher. Erwägen Sie gegebenenfalls den Einsatz von Appliances aus AWS Marketplace als Endpunkte von VPNs. Stellen Sie bei Verwendung von Appliances aus AWS Marketplace redundante Instances bereit, um eine hohe Verfügbarkeit in verschiedenen Availability Zones zu gewährleisten.

• Berücksichtigen von Erweiterungen und Verfügbarkeit bei der Zuweisung von IP-Adressen für Subnetze: Die IP-Adressbereiche für Amazon VPC müssen ausreichend groß sein, um die Anforderungen einer Workload zu erfüllen. Dabei sind zukünftige Erweiterungen und Zuweisungen von IP-Adressen zu Subnetzen in verschiedenen Availability Zones zu berücksichtigen. Dies betrifft Load Balancer, EC2-Instances sowie containerbasierte Anwendungen.

• Vorziehen von Nabe-und-Speiche-Topologien gegenüber M-zu-N-Netzen: Wenn mehr als zwei Netzwerkadressbereiche (z. B. VPCs und lokale Netzwerke) über VPC-Peering, AWS Direct Connect oder VPN verbunden sind, verwenden Sie ein Nabe-und-Speiche-Modell, wie es von AWS Transit Gateway bereitgestellt wird.

• Erzwingen von sich nicht überschneidenden privaten IP-Adressbereichen in allen privaten Adressbereichen, in denen eine Verbindung besteht: Die IP-Adressbereiche Ihrer VPCs dürfen sich nicht überschneiden, wenn sie per Peering oder über VPN verbunden sind. Ebenso müssen Sie IP-Adresskonflikte zwischen einer VPC und lokalen Umgebungen oder anderen verwendeten Cloud-Anbietern vermeiden. Sie müssen bei Bedarf auch die Möglichkeit haben, private IP-Adressbereiche zuzuweisen.

Verbesserungsplan

Bereitstellen einer hochverfügbaren Netzwerkkonnektivität für öffentliche Endpunkte der Workload

Sicherstellen einer hochverfügbaren Netzwerkkonnektivität für die Benutzer der Workload: Amazon Route 53, AWS Global Accelerator, Amazon CloudFront, Amazon API Gateway und Elastic Load Balancing (ELB) stellen hochverfügbare öffentliche Endpunkte bereit. Zudem können Sie Software-Appliances aus AWS Marketplace für den Lastausgleich und als Proxys in Erwägung ziehen.

• Gewährleisten einer hochverfügbaren Verbindung zu den Benutzern
  • Wenn die Benutzer über das Internet auf Ihre Anwendung zugreifen, sollten Sie mithilfe von Service-API-Vorgängen die korrekte Nutzung von Internet-Gateways überprüfen. Überprüfen Sie auch, ob die Einträge in den Routing-Tabellen für die Subnetze, die Ihre Anwendungsendpunkte hosten, korrekt sind.
    DescribeInternetGateways
    DescribeRouteTables
  • Wenn die Benutzer über Ihre lokale Umgebung auf die Anwendung zugreifen, sorgen Sie für eine hochverfügbare Verbindung zwischen AWS und der lokalen Umgebung.
• Verwenden eines hochverfügbaren DNS zur Verwaltung der Domänennamen für die Anwendungsendpunkte
  • Verwalten der Domänennamen mit Route 53
    What is Amazon Route 53?
  • Nutzen eines externen DNS-Anbieters, der die Anforderungen erfüllt
• Verwenden eines hochverfügbaren Reverse-Proxy oder Load Balancer vor der Anwendung
  • Verwenden von Elastic Load Balancing
    What is Elastic Load Balancing?
  • Nutzen einer Appliance aus AWS Marketplace, die den Anforderungen entspricht

Bereitstellen redundanter Konnektivität zwischen privaten Netzwerken in der Cloud und lokalen Umgebungen

Sicherstellen hochverfügbarer Konnektivität zwischen AWS und der lokalen Umgebung: Verwenden Sie mehrere AWS DX-Verbindungen (Direct Connect) oder VPN-Tunnel zwischen separat bereitgestellten privaten Netzwerken. Verwenden Sie für eine hohe Verfügbarkeit mehrere DX-Standorte. Wenn Sie mehrere AWS-Regionen verwenden, stellen Sie in mindestens zwei davon Redundanz sicher. Erwägen Sie gegebenenfalls den Einsatz von Appliances aus AWS Marketplace als Endpunkte von VPNs. Stellen Sie bei Verwendung von Appliances aus AWS Marketplace redundante Instances bereit, um eine hohe Verfügbarkeit in verschiedenen Availability Zones zu gewährleisten.

• Stellen Sie sicher, dass eine redundante Verbindung zur lokalen Umgebung vorhanden ist.: Möglicherweise benötigen Sie redundante Verbindungen zu mehreren AWS-Regionen, um die erforderliche Verfügbarkeit zu gewährleisten.
  AWS Direct Connect Resiliency Recommendations
  Using Redundant Site-to-Site VPN Connections to Provide Failover
  • Ermitteln Sie über die Service-API die ordnungsgemäße Nutzung von Direct Connect-Verbindungen.
    DescribeConnections
    DescribeConnectionsOnInterconnect
    DescribeDirectConnectGatewayAssociations
    DescribeDirectConnectGatewayAttachments
    DescribeDirectConnectGateways
    DescribeHostedConnections
    DescribeInterconnects
  • Wenn nur eine oder gar keine Direct Connect-Verbindung besteht, richten Sie redundante VPN-Tunnel zu Ihren Virtual Private Gateways ein.
    What is AWS Site-to-Site VPN?
• Erfassen Sie die aktuelle Konnektivität (z. B. Direct Connect, Virtual Private Gateways, AWS Marketplace-Appliances).
  • Ermitteln Sie über die Service-API die Konfiguration von Direct Connect-Verbindungen.
    DescribeConnections
    DescribeConnectionsOnInterconnect
    DescribeDirectConnectGatewayAssociations
    DescribeDirectConnectGatewayAttachments
    DescribeDirectConnectGateways
    DescribeHostedConnections
    DescribeInterconnects
  • Erfassen Sie über die Service-API die in Routing-Tabellen genutzten Virtual Private Gateways.
    DescribeVpnGateways
    DescribeRouteTables
  • Erfassen Sie über die Service-API die in Routing-Tabellen genutzten AWS Marketplace-Anwendungen.
    DescribeRouteTables

Berücksichtigen von Erweiterungen und Verfügbarkeit bei der Zuweisung von IP-Adressen für Subnetze

Berücksichtigen Sie bei der Planung Ihres Netzwerks künftiges Wachstum, die Einhaltung gesetzlicher Vorschriften sowie die Kompatibilität mit anderen Netzwerken.: Das Wachstum kann unterschätzt werden, gesetzliche Vorschriften können sich ändern, und bei Unternehmensübernahmen oder bei Verbindungen mit privaten Netzwerken kann die Implementierung ohne fundierte Planung zur Herausforderung werden.

• Wählen Sie relevante AWS-Konten und Regionen anhand von Serviceanforderungen, regulatorischen Anforderungen sowie Anforderungen für die Latenz und die Notfallwiederherstellung aus.
• Bestimmen Sie Ihre Anforderungen bezüglich regionaler VPC-Bereitstellungen.
  • Ermitteln Sie, ob Multi-VPC-Konnektivität bereitgestellt werden soll.
    What Is a Transit Gateway?
    Single Region Multi-VPC Connectivity
  • Ermitteln Sie, ob aufgrund von Compliance-Anforderungen getrennte Netzwerke erforderlich sind.
• Ermitteln Sie die erforderliche Größe der VPCs.
  • Legen Sie VPCs so groß wie möglich an. Der VPC-CIDR-Block, der anfänglich Ihrer VPC zugewiesen war, kann nicht geändert oder gelöscht werden. Sie können der VPC jedoch zusätzliche nicht überlappende CIDR-Blöcke hinzufügen. Dies kann jedoch zu einer Fragmentierung der Adressbereiche führen.
  • Planen Sie die Nutzung von Elastic Load Balancern, Auto Scaling-Gruppen, gleichzeitigen AWS Lambda-Funktionsaufrufen und Serviceendpunkten ein.

Vorziehen von Nabe-und-Speiche-Topologien gegenüber M-zu-N-Netzen

Vorziehen von Nabe-und-Speiche-Topologien gegenüber M-zu-N-Netzen: Wenn mehr als zwei Netzwerkadressbereiche (VPCs, lokale Netzwerke) über VPC-Peering, AWS Direct Connect oder VPN verbunden sind, verwenden Sie ein Nabe-und-Speiche-Modell, wie es von AWS Transit Gateway bereitgestellt wird.

• Bei nur zwei derartigen Netzwerken können Sie sie einfach miteinander verbinden, doch mit der zunehmenden Anzahl der Netzwerke wird die Komplexität solcher verflochtenen Verbindungen immer größer. AWS Transit Gateway bietet ein einfach zu wartendes Nabe-und-Speiche-Modell, das die Weiterleitung des Datenverkehrs über mehrere Netzwerke ermöglicht.
  What Is a Transit Gateway?

Erzwingen von sich nicht überschneidenden privaten IP-Adressbereichen in allen privaten Adressbereichen, in denen eine Verbindung besteht

Überwachen und Verwalten der CIDR-Nutzung: Bewerten Sie die potenzielle Nutzung in AWS, fügen Sie vorhandenen VPCs CIDR-Bereiche hinzu und erstellen Sie neue VPCs, um das geplante Wachstum abzudecken.

• Ermitteln Sie den aktuellen CIDR-Umfang (z. B. VPCs, Subnetze usw.).
  • Erfassen Sie über die Service-API den aktuellen CIDR-Umfang.
• Erfassen Sie die aktuelle Subnetzauslastung.
  • Ermitteln Sie über die Service-API die in jeder Region pro VPC vorhandenen Subnetze.
    DescribeSubnets
  • Zeichnen Sie die aktuelle Auslastung auf.
  • Prüfen Sie, ob sich IP-Bereiche überschneiden.
  • Berechnen Sie die freie Kapazität.
  • Berücksichtigen Sie sich überschneidende IP-Bereiche.: Sie können wahlweise zu einem neuen Adressbereich migrieren oder NAT-Appliances (Network and Port Translation) aus AWS Marketplace verwenden, wenn Sie die sich überschneidenden Bereiche verbinden müssen