Mal schnell in die Cloud - Trivadis

Amazon Virutal Private Cloud Enterprise-Architektur
Abb. 3: Firefox-Plug-in Elastic Fox [1]
schlüsselte Verbindung. Somit sind die Instanzen in der
Cloud von außen nicht erreichbar. Am eigenen Gateway
können individuelle Sicherheitsregeln und Einstellungen
vorgenommen werden. Grundsätzlich handelt es sich
zwar um eine bereits bekannte Technologie, jedoch mit
einer entscheidenden Neuerung: Es besteht die Möglichkeit,
in einem isolierten Raum selbständig eigene Netzwerksegmente
zu erzeugen und zu verwalten.
In der Virtual Privat Cloud (VPC) können alle privaten
IP-Netzwerkadressen verwendet werden. Da aber
mittels dem Routing-Protokoll BGP (Border Gateway
Protocol) ein dynamisches Routing etabliert wird, sollte
man genau analysieren, wie die eigene Netzwerkinfrastruktur
aussieht, um möglichen Problemen aus dem
Weg zu gehen. Verwendet man ein Netzwerksegment,
das in dem eigenen Netz schon vorhanden ist, kommt es
zu einem Routing-Konflikt. Bei statischen Routen kann
man in der Regel schnell anhand der Konfiguration erkennen,
ob Netzwerkadressen bereits verwendet werden.
Bei einem dynamischen Routing-Protokoll ist das
nicht auf den ersten Blick ersichtlich. Hier gilt es daher,
besonders sorgfältig zu arbeiten.
Die Virtual Private Cloud kann transparent an die
eigene Infrastruktur angebunden werden, ohne dass
diese für den Anwender im Unternehmen ersichtlich ist.
Hat man diese fertig eingerichtet und alle notwendigen
Netzwerksegmente konfiguriert, kann damit begonnen
werden, die benötigten Amazon-Ressourcen zuzuordnen.
Virtuelle Instanzen und virtuelle Disks stehen in der
VPC genauso zu Verfügung, wie in dem Public Cloud
Angebot (z. B. EC2 und S3) von Amazon. Damit hat
man nahezu unbegrenzte Infrastrukturressourcen zur
Verfügung (Abb. 1).
Limitierung
Natürlich gibt es in einem Gebilde wie der Amazon
Virtual Private Cloud auch technologiebedingte Einschränkungen,
die jedoch auch auf den derzeitigen
Entwicklungsstand zurückzuführen sind. Im Folgenden
werden die wichtigsten Einschränkungen vorgestellt.
Grundsätzliche Limitierungen:
• Es kann nur ein einziger IP-Bereich für die VPC vergeben
werden. Die VPC wird als Container mittels
einer IP Range definiert. Das kann maximal eine private
/16-Netzwerkadresse sein. Innerhalb dieser Range
können dann 1 bis 20 Segmente gebildet werden.
Wird die VPC z. B. mit der Range 172.16.0.0/16 angelegt,
können die Segmente u. a. 172.16.1.0/24 und
172.16.2.0/24 sein. Segmente außerhalb der definierten
Range sind nicht möglich.
• Ist einmal eine VPC oder ein Subnetz angelegt, kann
man den IP Range nicht mehr ändern.
• Amazon betreibt weltweit Rechenzentren in unterschiedlichen
Regionen. Eine VPC kann nur innerhalb
einer einzigen Region betrieben werden.
• Es ist nicht möglich, direkt aus der VPC auf das Internet
zuzugreifen. Ein Zugriff ist nur über den Umweg
über das eigene Default Gateway möglich. Es gibt jedoch
bereits die Anforderung, das zu ändern. Seitens
Amazon wurde hierzu bereits die Bereitschaft dazu
signalisiert.
• Es gibt keine direkte Verbindung aus der VPC zu AWS-
Ressourcen in der Public Cloud. Der einzig mögliche
Weg führt auch hier über das Default Gateway.
• Broadcast und Multicast zwischen den Netzwerken
können nicht verwendet werden.
• NAT für Instanzen innerhalb der VPC wird nicht unterstützt.
Es ist jedoch anzunehmen, dass diese Funktionalität
nachgereicht wird, sobald es auch möglich ist,
aus der VPC eine direkte Verbindung in das öffentliche
Netz herzustellen.
Limitierungen in der Betaphase: Wie bereits erwähnt,
limitiert Amazon innerhalb der Betaphase die Virtual
Private Cloud in folgenden Punkten:
www.entwickler-magazin.de Entwickler Magazin 2.2011
105