Virtuelle Netze fĂĽr Amazons private Cloud
Amazon hat für seine Virtual Private Cloud neuen Funktionen freigeschaltet, mit denen sich virtuelle Netze erstellen lassen. Sie erlauben unter anderem die Definition von Subnetzen im privaten, öffentlichen und DMZ-Bereich.
- Christian Kirsch
Amazons Virtual Private Clouds (VPC) bekommen neue Funktionen, mit denen sich verschiedene Netz-Topologien einrichten lassen. Sie können nun Subnetze definieren und das Routing festlegen, einzelnen EC2-Instanzen innerhalb einer VPC "elastische" IP-Adressen zuweisen und Network Address Translation (NAT) einrichten. Zur Verwaltung stehen ein Wizard, Kommandozeilenwerkzeuge und eine API bereit.
Per Wizard kann man zwischen vier verschiedenen Architekturen wählen:
- VPC mit einem einzelnen öffentlichen Subnetz: Die Instanzen laufen in einem privaten, isolierten Teil von AWS und haben direkten Zugang zum Internet.
- VPC mit öffentlichen und privaten Subnetzen: Zum öffentlichen kommt ein privates Subnetz hinzu, dessen Instanzen vom Internet aus nicht zugänglich sind. Sie können jedoch per NAT Kontakt nach außen aufnehmen.
- VPC mit Internet- und VPN-Zugang: Zwischen dem firmeneigenen Rechenzentrum und der VPC wird eine VPN-Verbindung per IPSec aufgebaut, außerdem gibt es öffentliche Subnetze innerhalb der VPC.
- VPC ausschließlich mit VPN-Zugang: Die Instanzen laufen in einem privaten, isolierten Teil von AWS mit einem privaten Subnetz, dessen Instanzen von außen nicht zugänglich sind. Dieses Subnetz lässt sich via VPN mit dem eigenen Rechenzentren verbinden.
Der Zugang zu den Subnetzen lässt sich mit ACL-Regeln steuern, die der üblichen Allow/Deny-Logik folgen. Außerdem gibt es "Security Groups" für die EC2-Instanzen innerhalb von VPC. Sie können für beliebige Protokolle und Ports die zulässigen Ziel- und Quell-IP-Adressen festlegen. (ck)
