Transit VPC-Lösung - Aufbau einer skalierbaren und sicheren Multi-VPC-Netzwerkinfrastruktur AWS
VPC-Peering im Vergleich zu Transit VPC und Transit Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Transit VPC-Lösung

Transit-VPCs können Konnektivität zwischen VPCs auf andere Weise als durch VPC-Peering herstellen, indem ein Hub-and-Spoke-Design für die Konnektivität zwischen VPCs eingeführt wird. In einem Transit-VPC-Netzwerk verbindet sich eine zentrale VPC (die Hub-VPC) mit jeder anderen VPC (Spoke-VPC) über eine VPN-Verbindung, die in der Regel BGP über IPSec nutzt. Die zentrale VPC enthält Amazon Elastic Compute Cloud (Amazon EC2) -Instances, auf denen Software-Appliances ausgeführt werden, die eingehenden Datenverkehr mithilfe des VPN-Overlays an ihre Ziele weiterleiten. Transit-VPC-Peering bietet die folgenden Vorteile:

  • Transitives Routing wird mithilfe des Overlay-VPN-Netzwerks aktiviert, was ein Hub-and-Spoke-Design ermöglicht.

  • Wenn Sie Software von Drittanbietern auf der EC2-Instance in der Hub-Transit-VPC verwenden, können Herstellerfunktionen rund um erweiterte Sicherheit (Layer 7 Firewall/Intrusion Prevention System (IPS) /Intrusion Detection System (IDS)) verwendet werden. Wenn Kunden dieselbe Software vor Ort verwenden, profitieren sie von einer einheitlichen Betriebs-/Überwachungserfahrung.

  • Die Transit VPC-Architektur ermöglicht Konnektivität, die in einigen Anwendungsfällen gewünscht sein kann. Sie können beispielsweise eine GovCloud AWS-Instance und eine Commercial Region-VPC oder eine Transit Gateway Gateway-Instance mit einer Transit-VPC verbinden und die VPC-Inter-Konnektivität zwischen den beiden Regionen aktivieren. Bewerten Sie Ihre Sicherheits- und Compliance-Anforderungen, wenn Sie diese Option in Betracht ziehen. Für zusätzliche Sicherheit können Sie ein zentralisiertes Inspektionsmodell einsetzen, das auf Entwurfsmustern basiert, die weiter unten in diesem Whitepaper beschrieben werden.

Ein Diagramm, das eine Transit-VPC mit virtuellen Appliances darstellt

Transit-VPC mit virtuellen Appliances

Transit VPC bringt seine eigenen Herausforderungen mit sich, wie z. B. höhere Kosten für den Betrieb virtueller Appliances von Drittanbietern auf EC2 je nach Instance-Größe/Familie, begrenzter Durchsatz pro VPN-Verbindung (bis zu 1,25 Gbit/s pro VPN-Tunnel) und zusätzlicher Aufwand für Konfiguration, Management und Ausfallsicherheit (Kunden sind für die Verwaltung der HA und Redundanz der EC2-Instances verantwortlich, auf denen die virtuellen Appliances von Drittanbietern ausgeführt werden).

VPC-Peering im Vergleich zu Transit VPC und Transit Gateway

Tabelle 1 — Vergleich der Konnektivität

Kriterien VPC-Peering Transit-VPC Transit Gateway PrivateLink Cloud-WAN VPC Lattice

Scope

Regional/Global Regional Regional Regional Global Regional
Architektur Vollmaschiges Netz VPN-basiert hub-and-spoke Basiert auf Anhängen hub-and-spoke Anbieter- oder Verbrauchermodell Basierend auf Anhängen, regionsübergreifend Konnektivität von App zu App

Skalieren

125 aktive Peer/VPC Hängt vom virtuellen Router/EC2 ab 5000 Anlagen pro Region Keine Grenzen 5000 Anhänge pro Kernnetzwerk 500 VPC-Zuordnungen pro Dienst

Segmentierung

Sicherheitsgruppen Vom Kunden verwaltet Transit Gateway Gateway-Routentabellen Keine Segmentierung Segmente Service- und Servicenetzwerkrichtlinien

Latency

Am niedrigsten Zusätzlich, aufgrund des Overheads bei der VPN-Verschlüsselung Zusätzlicher Transit Gateway Gateway-Hop Der Datenverkehr bleibt auf dem AWS-Backbone, Kunden sollten es testen Verwendet dieselbe Datenebene wie Transit Gateway Der Datenverkehr bleibt auf dem AWS-Backbone, Kunden sollten es testen

Bandbreitenbegrenzung

Limits pro Instanz, kein Gesamtlimit Vorbehaltlich der Bandbreitenbeschränkungen für EC2-Instances je nach Größe/Familie Bis zu 100 Gbit/s (Burst) /Verbindung 10 Gbit/s pro Availability Zone, automatische Skalierung auf bis zu 100 Gbit/s Bis zu 100 Gbit/s (Burst) /Verbindung 10 Gbit/s pro Availability Zone

Sichtbarkeit

VPC Flow Logs VPC-Flow-Logs und -Metriken CloudWatch Transit Gateway Network Manager, VPC-Flussprotokolle, Metriken CloudWatch CloudWatch Metriken Netzwerkmanager, VPC-Flussprotokolle, Metriken CloudWatch CloudWatch Zugriffsprotokolle

Sicherheitsgruppe

Querverweise

Unterstützt Nicht unterstützt Nicht unterstützt Nicht unterstützt Nicht unterstützt Nicht zutreffend
IPv6-Support Unterstützt Hängt von der virtuellen Appliance ab Unterstützt Unterstützt Unterstützt Unterstützt