Der Unternehmensleitfaden zu AWS Direct Connect und Transit Gateway

Der Unternehmensleitfaden zu AWS Direct Connect und Transit Gateway

Die Entwicklungsgeschichte der Peering-Optionen für AWS Virtual Private Cloud (VPC)

Seit dem Start von AWS Direct Connect im Jahr 2012 befinden sich dedizierte Verbindungen zu Clouddiensten auf dem Vormarsch. Viele Unternehmen konnten ihren Datenverkehr reibungsloser gestalten, ihre Netzwerkperformance optimieren und ihre Daten bei der Verbindung mit AWS besser schützen. Mit der Einführung einer Reihe neuer Dienstmerkmale und Verbesserungen haben sich die Optionen für das Peering mit AWS deutlich weiterentwickelt. Wir beleuchten diese Entwicklung im Detail und zeigen Ihnen, wie Sie die vorhandene Funktionalität zu Ihrem Vorteil nutzen.

Einführung von AWS Direct Connect

Als Direct Connect im Jahr 2012 eingeführt wurde, erforderte die Verbindung mit AWS über Layer 2 mit Megaport ein VXC, das mit einer virtuellen Schnittstelle (VIF) auf der AWS-Seite verbunden war. Auf Layer 3 musste man die L2-Komponente mit einem L3-Konstrukt verbinden, was den Aufbau eines virtuellen privaten Gateway (VGW) erforderte. Ein VGW ist das Routingziel bei AWS, das den VXC bis zu jeder VPC hindurch vermittelte. Jede AWS VPC und jeder Megaport VXC erforderte ein 1:1-Mapping einschließlich separater Border Gateway Protocol (BGP)-Sitzungen und VXCs/VIFs zu jedem VGW.

Direct Connect Gateway kommt ins Spiel

Im Jahr 2017 führte AWS Direct Connect Gateway (DXGW) ein, mit dem Kunden die Möglichkeit erhielten, eine BGP-Sitzung für bis zu zehn verschiedene VPCs pro AWS-Konto herzustellen. Zu Anfang war der Dienst auf zehn VPCs pro Konto in einer AWS-Region beschränkt. Inzwischen unterstützt er Konnektivität über mehrere AWS-Regionen und neuerdings auch über mehrere Regionen und AWS-Konten hinweg. DXGW läutete auch den Wechsel von einer einzelnen standardmäßigen AWS ASN (7224 in den meisten Regionen) zu einer kundendefinierten ASN im privaten ASN-Bereich (64512 bis 65534) ein. VGWs und DXGWs stehen für Kunden mit vorhanden privaten VIF-Peerings weiterhin als Optionen zur Verfügung.

Das Peering von VPCs (selbst über Konten/Regionen hinweg) innerhalb von AWS stand weiterhin zur Verfügung. Wo jedoch ein DXGW verwendet wurde, war das Peering nur von der VIF zur „nächsten direkt verbundenen“ VPC, nicht jedoch zwischen nicht direkt benachbarten VPCs möglich.

Direct-Connect-Gateway

In diesem Diagramm gehen wir davon aus, dass VPC A direkt (über VGW oder DXGW) mit einer VXC/VIF verbunden ist, und obwohl VPC B und C durch Peering mit A verbunden sind, können sie nicht direkt mit der VIF kommunizieren. Dieses Phänomen wird als „Transitive Routing“ bezeichnet. Einige Kunden betreiben möglicherweise ein virtuelles Gerät (Router) in VPC A, um diese Einschränkung zu umgehen (informell als „Transit VPC“ bezeichnet), jedoch sorgt hierbei das Gesamtdesign für einige Komplexität.

Transit Gateway: Topologie und Übersicht

Transit-Gateway-Topology

Ende 2018 führte AWS Transit Gateway (TGW) ein. Ein TGW ermöglichte das Durchleiten eines „Full Mesh“ von Routen zwischen VPCs und VPN-Endpunkten, die nicht vom VPC-Peering (mit seinen transitiven Routingbeschränkungen) abhängig waren, und bot so die Möglichkeit, Tausende (bis zu 5000) VPCs und lokale Netzwerke über mehrere Konten hinweg gemeinsam mit einem einzelnen Gateway zu verbinden.

Zu Beginn waren TGWs Kunden nur zugänglich, damit diese eine Verbindung mit zugewiesenen VPCs über den von AWS bereitgestellten IPsec VPN-Service herstellen konnten. Bei der Einführung wurde dies in den folgenden Regionen angekündigt: US East (Virginia), US East (Ohio), US West (Oregon), US West (Nordkalifornien), EU (Irland) und Asien-Pazifik (Mumbai). Dies wurde nun um folgende Regionen erweitert: AWS GovCloud (US West), Kanada (Zentral), Südamerika (São Paulo), Afrika (Kapstadt), EU (Stockholm), EU (London), EU (Frankfurt), EU (Paris), EU (Mailand), Naher Osten (Bahrain), Asien-Pazifik (Hongkong), Asien-Pazifik (Tokio), Asien-Pazifik (Singapur), Asien-Pazifik (Seoul), Asien-Pazifik (Sydney), Asien-Pazifik (Peking), Asien-Pazifik (Ningxia). Dies entspricht dem Stand vom August 2020.

Transit Gateway für Direct Connect

Die Unterstützung von Transit Gateway für Direct Connect wurde am 30. April 2019 verkündet. Es gibt zwei Modelle, die Kunden über Direct Connect nutzen können: Dedizierte und gehostete Verbindung, die 1-, 2-, 5- und 10-Gbit/s-Verbindungen zur Verbindung über Direct Connect mit TGW unterstützt.

Verbindung mit Transit Gateway über Megaport

Als TGW über Direct Connect eingeführt wurde, verbanden Netzwerkpartner wie Megaport ihre Kunden über die folgenden Modelle mit AWS: dedizierte Verbindungen, gehostete Verbindungen mit 50 bis 500 Mbit/s und gehostete virtuelle Schnittstellen (VIF). Megaport verwendet und unterstützt weiterhin AWS über das gehostete VIF-Modell. Gehostete VIFs ermöglichen es Megaport, Kunden mit Flexibilität und Skalierbarkeit für die Verbindung mit AWS auszustatten, wozu die Skalierung der Bandbreite in Schritten von 1 Mbit/s auf bis zu 5-Gbit/s-VXCs gehört. Früher hingegen waren Partner, die gehostete Verbindungen bereitstellten, auf 500 Mbit/s je VIF beschränkt.

Am 19. März 2019 kündigte AWS eine höhere Kapazität für Direct Connect-Partner über das gehostete Verbindungsmodell an. Hierzu gehörten auch Optionen mit einer Bandbreite von über 500 Mbit/s und die Unterstützung von Übertragungsgeschwindigkeiten von 1, 2, 5 oder 10 Gbit/s. Während Megaport weiterhin die Möglichkeit bietet, gehostete VIF-Lösungen mit Unterstützung von privaten und öffentlichen VIFs bereitzustellen, erhalten Kunden außerdem die Flexibilität, über dasselbe Megaport-Portal gehostete Verbindungen von 50 Mbit/s bis 500 Mbit/s und auf höherer Ebene Verbindungen mit 1, 2, 5 oder 10 Gbit/s zu implementieren, die zur Unterstützung von Transit Gateway erforderlich sind. Derzeit betreibt Megaport weltweit über 20 Anbindungsstellen, die für gehostete Verbindungen geeignet sind, und bietet Kunden somit weitere Optionen, das AWS-Netzwerk mit geringer Latenz von ihrem Rechenzentrum aus mit geografisch diversifizierten Verbindungen zu erreichen.

Das sollten Sie beachten

Bei der Wahl zwischen den AWS Direct Connect-Partnermodellen von Megaport mit gehosteter VIF und gehosteten Verbindungen müssen einige Faktoren berücksichtigt werden.

  • Private VIFs über das gehostete VIF-Modell unterstützen Transit Gateway über Direct Connect nicht nativ.
  • Gehostete Verbindungen haben eine 1:1 einem Abonnement zugeordnete Kapazität für den Kunden zwischen AWS und Megaport. Dieses Modell wird von AWS für Produktions- und kritische Workloads empfohlen.
  • TGW-Unterstützung ist davon abhängig, ob die Anbieter gehosteter Verbindungen einen Service mit mindestens 1 Gbit/s anbieten. Die Erstellung einer Transit VIF erfordert vom Kunden die Bereitstellung einer gehosteten Verbindung mit 1 Gbit/s oder mehr. Langsamere gehostete Verbindungen mit 50 Mbit/s bis 500 Mbit/s unterstützen nicht die Erstellung von Transit VIFs, die zur Unterstützung von Transit Gateway erforderlich sind.
  • Kunden, die eine gehostete Verbindung verwenden, können eine VIF je gehosteter Verbindung erstellen. Über 50 Mbit/s bis 500 Mbit/s können Kunden eine einzelne private oder öffentliche VIF erstellen. Durch die Auswahl einer gehosteten 1- bis 10-Gbit/s-Verbindung kann eine private, öffentliche oder Transit-VIF erstellt werden.

Optionen für Kunden über Direct Connect mit Anforderungen unter 1 Gbit/s

Wenn ein Kunde sein TGW über einen Direct Connect unter 1 Gbit/s zugänglich machen möchte, kann (in allen Regionen) eine öffentliche VIF (gehostete VIF oder gehostete Verbindung) über einen Megaport VXC-Dienst hinweg verwendet werden. Der AWS IPsec VPN-Dienst über öffentliche VIF erfordert entweder die Nutzung Ihres eigenen öffentlichen IP-Adressbereichs für das öffentliche Peering oder die Verwendung des Megaport Cloud Routers (MCR), um öffentliche Peering-IPs bereitzustellen und diese per NAT auf einen VXC zurückzuübersetzen, der den RFC1918-/privaten IP-Adressbereich nutzt. Der Datenverkehr unterliegt einer End-to-End-Verschlüsselung und einem maximalen Durchsatz von 1,25 Gbit/s (VPN-Begrenzung von AWS). Hier finden Sie weitere Informationen von AWS über diese Konfiguration: AWS Sub 1G TGW Public VIF .

Achten Sie auf neue Informationen zur ständigen Erweiterung unserer Standorte für AWS-gehostete Verbindungen, um unseren Kunden weitere Anbindungsstellen zum AWS-Netzwerk zu bieten. Dies bietet Geschäftskunden von Megaport einen optimalen Weg für den Zugang zu ihren Workloads in der Cloud mit niedriger Latenz und strategischer geografischer Nähe.

AWS Transit Gateway: Was ist das und wie funktioniert es?

Gehostete Verbindung: Ankündigung für neue Geschwindigkeit und Support

Mitwirkende:

Matt Simpson, VP Cloud, Megaport
Jason Bordujenko, Head of Solutions, APAC, Megaport
Mike Rockwell, Head of Solutions, Megaport


HINWEIS: Dies ist ein Update zu einem Post, der bereits am 12. Juni 2019 veröffentlicht wurde.

Tags:

Verwandte Beiträge

Cloud Hubs vs. SDCI: Was ist die beste Wahl für private Konnektivität?

Cloud Hubs vs. SDCI: Was ist die beste Wahl für private Konnektivität?

In einem unserer jüngsten Blog-Artikel haben wir uns dem Thema öffentliche vs.

Mehr erfahren
Wann lohnt sich eine Zero-Trust-Netzwerkarchitektur?

Wann lohnt sich eine Zero-Trust-Netzwerkarchitektur?

In einer Zeit, in der Unternehmen ihre Prozesse verstärkt auf Remote Work ausrichten, rückt die IT-Sicherheit zunehmend in den Vordergrund.

Mehr erfahren
Kurz erklärt: Kosten für private Konnektivität mit AWS, Azure und Google Cloud

Kurz erklärt: Kosten für private Konnektivität mit AWS, Azure und Google Cloud

Bei den Kosten für Clouddienste den Durchblick zu behalten, ist nicht einfach, und oft wird dabei die Komponente der Konnektivität nicht genau genug betrachtet.

Mehr erfahren