Virtual Private Cloud

Amazon integriert EC2-Instanzen ins Firmennetz

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Mit "Virtual Private Cloud" (VPC) bietet Amazon.com erstmals die Möglichkeit, EC2-Server in der AWS-Wolke in das eigenen Firmennetz einzubinden.

Amazon.com nutzt für VPC eine sichere VPN-Verbindung über den IPsec-Standard. Die Lösung lässt sich in sieben relativ simplen Schritten aufsetzen, die der Anbieter in seinem Amazon Web Services Blog beschreibt. Im Rahmen von Amazon Web Services (AWS) vermietet Amazon die eigene Infrastruktur an interessierte Dritte, abgerechnet wird nach tatsächlicher Nutzung.

Schema: So funktioniert Amazons VPC
Schema: So funktioniert Amazons VPC

Ein VPC kann einen pirvaten Adressbereich von 16 (/28) bis 16.384 (/18) IP-Adressen umfassen, die nach CIDR-Notation (Classless Inter-Domain Routing) angegeben werden. Pro AWS-Konto wird zunächst nur eine Virtual Private Cloud unterstützt. Security Groups werden noch nicht unterstützt, da die VPC-Subnetze logisch distinkte Funktionen ohnehin isolieren. Starten kann man in der VPC eigene sowie die meisten öffentlichen AMIs (darunter auch Microsoft Windows); DevPay-AMIs bleiben aber noch außen vor.

Mit VPC befinden sich die EC2-Instanzen im eigenen Firmennetz. Sie können auf andere Systeme zugreifen und vice versa, so als würden sie lokal laufen. Sie agieren dabei als zusätzliche lokale Netzressourcen, das heißt es gibt keine NAT-Übersetzung, aber auch keine zum öffentlichen Internet zeigenden IP-Adressen für die EC2-Instanzen in der virtuellen privaten Cloud.

Was die VPN-Installation beim Anwender angeht, hat Amazon bereits verschiedene Hard/Software-Kombinationen von Cisco und Juniper als kompatibel bestätigt; die genauen Anforderungen beschreibt ebenfalls der oben erwähnte Eintrag im AWS-Blog. Reine Software-VPNs sollen "in naher Zukunft" ebenfalls unterstütz werden.

VPC lässt sich über die EC2-API und CLI-Tools verwalten. Es gibt beispielsweise Befehle, um ein VPC anzulegen oder zu beschreiben oder um Subnets, Customer Gateways, VPN-Gateways und -Verbindungen zu kreieren und schließlich die VPC mit dem eigenen Netz zu verbinden.

Zunächst befindet sich VPC im beschränkten Beta-Betrieb. Der Zugang ist überdies nur in der Availability Zone US East möglich. Man darf aber davon ausgehen, dass der neue Service in absehbarer Zeit dann auch auf breiter AWS-Front ausgerollt wird.

Für die Zukunft plant Amazon unter anderem den direkten Zugriff auf das Internet aus der VPC heraus und die Möglichkeit, die IP-Adressen einzelner EC2-Instanzen innerhalb eines Subnetzes festzulegen (im Moment werden diese noch zufällig aus der verfügbaren Range zugewiesen). Ferner soll es künftig möglich sein, analog zu Router-ACLs den Traffic pro Subnetz zu filtern.