Architektur

STACKIT Core Networking bietet eine umfassende, mehrschichtige Architektur, die eine sichere, skalierbare und flexible Cloud-Vernetzung ermöglicht. Das Verständnis der Zusammenarbeit dieser Komponenten hilft Ihnen beim Entwurf effizienter Netzwerktopologien und bei der Behebung von Konnektivitätsproblemen.

Architektur-Überblick

Core Networking basiert auf den Prinzipien des Software-Defined Networking (SDN), wobei die Steuerungsebene (Control Plane) von der Datenebene (Data Plane) getrennt ist. Diese Architektur bietet:

• Isolierung virtueller Netzwerke durch Netzwerkvirtualisierung
• Flexibles Routing mit dynamischer Routenverwaltung
• Verteilte Eingreifen der Sicherheitsmaßnahmen auf mehreren Ebenen
• Skalierbares Design, das mit Ihren Anforderungen wächst
• API-gesteuertes Management für Automatisierung und Infrastructure as Code

Die Architektur besteht aus mehreren miteinander verbundenen Schichten, von denen jede eine spezifische Funktionalität bietet und gleichzeitig als zusammenhängendes System fungiert.

Netzwerkhierarchie

Projektebene

Auf der höchsten Ebene dient jedes STACKIT Projekt als Organisations- und Sicherheitsgrenze. Projekte enthalten:

• Eines oder mehrere virtuelle Netzwerke mit unabhängigen IP-Adressbereichen
• Einen Projekt-Router, der den Datenverkehr zwischen Netzwerken und zu externen Zielen verwaltet
• Sicherheitsrichtlinien, die für alle Ressourcen innerhalb des Projekts gelten
• Ressourcen-Quotas, welche die Anzahl der Netzwerke, IPs und NICs steuern

Projekte sind standardmäßig voneinander isoliert. Eine projektübergreifende Kommunikation erfordert eine explizite Konfiguration über die STACKIT Network Area (SNA) oder eine Public IP-Konnektivität.

Ebene der virtuellen Netzwerke

Innerhalb eines Projekts bieten virtuelle Netzwerke die grundlegende Isolations- und Konnektivitätsschicht:

• CIDR-Block-Definition, die den IP-Adressbereich angibt (z. B. 10.0.0.0/16)
• Subnetz-Funktion für die logische Segmentierung (Implementierung variiert je nach Region)
• Routing-Tabellen, die automatisch von STACKIT verwaltet werden
• Verbindung zum Projekt-Router für netzwerkinternen und externen Datenverkehr

Jedes virtuelle Netzwerk fungiert als isolierte Layer-2-Broadcast-Domäne. Ressourcen innerhalb desselben Netzwerks können direkt kommunizieren, während der Datenverkehr zu anderen Netzwerken über den Projekt-Router fließt.

Ebene der Netzwerkschnittstellen

Netzwerkschnittstellen (Network Interfaces, NICs) verbinden Rechenressourcen mit virtuellen Netzwerken:

• Eine primäre NIC, die für jeden Server erforderlich ist
• Bis zu 4 zusätzliche NICs für Multi-Homed-Konfigurationen
• Feste IPv4-Adresse, die aus dem CIDR-Block des Netzwerks zugewiesen wird
• MAC-Adresse, die automatisch zugewiesen wird
• Zuweisung von Security Groups zur Filterung des Datenverkehrs

NICs fungieren als Erzwingungspunkt für Netzwerksicherheitsrichtlinien und wenden Security-Group-Regeln auf den gesamten durch sie fließenden Datenverkehr an.

Kernkomponenten und deren Interaktionen

Implementierung virtueller Netzwerke

Virtuelle Netzwerke werden mithilfe von Netzwerkvirtualisierungstechnologien implementiert, die isolierte Layer-2-Segmente erstellt:

1. Overlay-Vernetzung kapselt den Mandanten-Datenverkehr in einer virtualisierten Netzwerkschicht
2. Virtuelles Switching innerhalb von Hypervisoren wickelt lokalen Datenverkehr effizient ab
3. Tunneling-Protokolle übertragen den Datenverkehr zwischen physischen Hosts
4. Verteiltes Routing ermöglicht eine leistungsstarke Kommunikation zwischen Netzwerken

Dieses Design gewährleistet:

• Vollständige Isolierung zwischen Kundennetzwerken
• Keine MAC- oder IP-Adresskonflikte zwischen Projekten
• Optimale Performance durch lokale Abwicklung des Datenverkehrs
• Skalierbarkeit ohne physische Netzwerkbeschränkungen

Architektur des Projekt-Routers

Jedes Projekt verfügt über einen virtuellen Router, der als Gateway dient für:

Interner Datenverkehr:

• Routing zwischen mehreren virtuellen Netzwerken im selben Projekt
• Routen-Ankündigung und -Lernen für verbundene Netzwerke
• Next-Hop-Bestimmung für ausgehenden Datenverkehr

Externer Datenverkehr:

• NAT für den ausgehenden Internetzugang (Router-IP)
• Floating IP-Management für eingehende Verbindungen
• Standardroute zu externen Netzwerken

Der Projekt-Router pflegt automatisch die Routing-Tabellen, wenn Sie virtuelle Netzwerke erstellen, ändern oder löschen. Für Standardszenarien müssen Sie Routen nicht manuell konfigurieren.

Implementierung von Security Groups

Security Groups fungieren als verteilte, zustandsorientierte (stateful) Firewalls, die auf Hypervisor-Ebene implementiert sind:

Regelauswertung:

1. Wenn Datenverkehr an einer NIC eintrifft, werden die Security-Group-Regeln ausgewertet.
2. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet.
3. Die erste übereinstimmende Regel bestimmt die Aktion (Zulassen oder Ablehnen).
4. Wenn keine Regeln übereinstimmen, gilt die Standardrichtlinie (Eingehend ablehnen, ausgehend zulassen).

Statusverfolgung:

• Erlaubte Verbindungen werden in einer Verbindungstabelle nachverfolgt
• Antwortverkehr für bestehende Verbindungen umgeht die Regelauswertung
• Die Verbindungsverfolgung erfolgt auf Flow-Ebene (5-Tuple: Protokoll, Quell-IP/Port, Ziel-IP/Port)

Performance-Optimierung:

• Regeln werden in effiziente Datenstrukturen kompiliert
• Die Auswertung erfolgt im Kernel-Bereich für minimale Latenz
• Änderungen werden innerhalb von Sekunden an die betroffenen NICs übertragen

Public IP-Adresssystem

Die Public IP-Konnektivität verwendet eine hierarchische NAT-Architektur:

Floating IP-Architektur

Wenn Sie einer NIC eine Floating IP zuweisen:

1. Die öffentliche IP wird aus dem öffentlichen Adresspool von STACKIT reserviert
2. Ein 1:1 NAT-Mapping wird zwischen der öffentlichen und der privaten IP erstellt
3. Die NAT-Übersetzung erfolgt am Netzwerkrand, bevor der Datenverkehr Ihr Projekt erreicht
4. Eingehender Datenverkehr an die öffentliche IP wird übersetzt und an die NIC weitergeleitet
5. Ausgehender Datenverkehr von der NIC wird quellübersetzt auf die öffentliche IP

Router-IP-Architektur

Die Router-IP bietet eine gemeinsam genutzte ausgehende Konnektivität:

1. Sobald eine beliebige VM im Projekt eine Floating IP hat, wird der Projekt-Router von außen erreichbar
2. Der Router kündigt sich selbst als Standard-Gateway für alle VMs an
3. Ausgehender Datenverkehr von VMs ohne Floating IPs fließt über den Router
4. Der Router führt ein Source NAT (SNAT) unter Verwendung seiner eigenen öffentlichen IP durch
5. Mehrere gleichzeitige Verbindungen werden mittels Port-Übersetzung nachverfolgt

Die Router-IP wird automatisch aktiviert, wenn Sie Ihre erste Floating IP erstellen. Sie müssen sie nicht separat konfigurieren.

Architektur der Netzwerkschnittstellen (NIC)

NICs schlagen die Brücke zwischen Rechenressourcen und virtuellen Netzwerken:

Anbindungsprozess:

1. Die NIC wird mit einer IP-Adresse aus dem Zielnetzwerk erstellt
2. Die NIC wird mit Security Groups verknüpft
3. Die NIC wird an einen Server angehängt (bei der Erstellung oder später)
4. Der Hypervisor des Servers konfiguriert die virtuelle Netzwerkschnittstelle
5. Das Gast-Betriebssystem erkennt die neue Schnittstelle (erfordert ggf. Konfiguration im Betriebssystem)

Datenfluss:

• Ausgehend: Server → Virtuelle NIC → Security Groups → Virtueller Switch → Netzwerk
• Eingehend: Netzwerk → Virtueller Switch → Security Groups → Virtuelle NIC → Server

NIC-Sicherheitsfunktionen:

• Anti-Spoofing: Verwirft Pakete mit nicht übereinstimmender Quell-IP/MAC
• Erlaubte Adressen: Ermöglicht spezifische zusätzliche Adressen für Routing-Szenarien
• DHCP-Schutz: Verhindert nicht autorisierte DHCP-Server
• Port-Sicherheit: Erzwingt MAC-Adressbeschränkungen

Architektur der STACKIT Network Area (SNA)

SNA erweitert die Netzwerkarchitektur, um projektübergreifende Konnektivität zu ermöglichen:

SNA-Komponenten

Transfer-Netzwerk:

• Ein dediziertes virtuelles Netzwerk, das von allen SNA-Mitgliedsprojekten gemeinsam genutzt wird
• Automatisch konfigurierte IP-Adressierung
• Optimiertes Routing zwischen Projekten
• Regionaler Geltungsbereich (Bereitstellung pro Region)

Projektintegration:

• Der Router jedes Mitgliedsprojekts verbindet sich mit dem Transfer-Netzwerk
• Routen zu anderen Projektnetzwerken werden automatisch ausgetauscht
• Security Groups steuern weiterhin den projektübergreifenden Datenverkehr
• Keine manuelle Routenkonfiguration erforderlich

SNA-Datenfluss

Wenn Ressourcen in verschiedenen SNA-Projekten kommunizieren:

1. Die Quell-VM sendet Datenverkehr an die Ziel-IP
2. Der Quell-Projekt-Router erkennt, dass sich das Ziel in einem anderen SNA-Projekt befindet
3. Der Datenverkehr wird über das SNA-Transfer-Netzwerk geleitet
4. Der Ziel-Projekt-Router empfängt den Datenverkehr
5. Der Datenverkehr wird an das Netzwerk der Ziel-VM zugestellt
6. Security Groups an der Ziel-NIC werten den Datenverkehr aus

Diese Architektur ermöglicht eine direkte Kommunikation mit geringer Latenz zwischen Projekten, ohne das öffentliche Internet zu durchqueren.

Regionaler Geltungsbereich: SNA arbeitet innerhalb einer einzelnen Region. Eine regionsübergreifende Konnektivität erfordert derzeit eine Kommunikation über Public IPs. Eine private regionsübergreifende Konnektivität ist für zukünftige Releases geplant.

Beispiele für den Datenfluss

Szenario 1: VM zu VM im selben Netzwerk

VM A (10.0.1.10/24) → VM B (10.0.1.20/24)
└─ Direkte Kommunikation innerhalben des virtuellen Netzwerks
   └─ Security Groups auf Bs VM-NIC werten den eingehenden Verkehr aus
      └─ Wenn er erlaubt ist, erreicht der Verkehr die virtuelle Maschine B

Dies ist der effizienteste Pfad – der Datenverkehr verlässt nie das virtuelle Netzwerk.

Szenario 2: VM zu VM in verschiedenen Netzwerken (selbes Projekt)

VM A (10.0.1.10/24) → VM C (10.0.2.10/24)
└─ Verkehr wird an das Standartgateway gesendet (Projektrouter)
   └─ Der Router leitet den Verkehr zum Zielnetz weiter (10.0.2.0/24)
      └─ Security Groups auf Cs VM-NIC werten den eingehenden Verkehr aus
         └─ Wenn er erlaubt ist, erreicht der Verkehr die virtuelle Maschine C

Der Projekt-Router übernimmt das Routing zwischen den Netzwerken automatisch.

Szenario 3: VM zum Internet (Public-IP-Addresse)

VM mit Public-IP-Addresse (privat: 10.0.1.10, öffentlich: 203.0.113.5) → Internet
└─ VM sendet ausgehenden Verkehr mit der Quelladresse 10.0.1.10
   └─ Security Groups bewerten den ausgehenden Verkehr
      └─ Der Projektrouter führt SNAT durch: 10.0.1.10 → 203.0.113.5
         └─ Der Verkehr verlässt das STACKIT-Netzwerk in Richtung Internet mit der öffentlichen Quell-IP (203.0.113.5)

Szenario 4: Internet zur VM (Public-IP-Addresse)

Internet → Public-IP-Addresse (203.0.113.5)
└─ Der Edge-Router führt DNAT durch: 203.0.113.5 → 10.0.1.10
   └─ Der Projektrouter leitet das Paket zum Zielnetz weiter
      └─ Security Groups wertden den eingehenden Verkehr aus
         └─ Wenn er erlaubt ist, erreicht der Verkehr die virtuelle Maschine

Szenario 5: VM zum Internet (über IP des virtuellen Netzwerks)

VM ohne Public-IP-Addresse (10.0.1.10) → Internet
└─ VM sendet Paket zum Standardgateway (Projektrouter)
   └─ Router führt SNAT mit der Router-IP des virtuellen Netzwerks durch und trägt Verbindung in Routingtabelle ein (203.0.113.100)
      └─ Der Verkehr verlässt das STACKIT-Netzwerk mit der Quell-IP-Adresse des virtuellen Netzwerks

Hinweis: Eingehende Verbindungen sind in diesem Szenario nicht möglich (kein Port-Forwarding).

Szenario 6: Projektübergreifend via SNA

Projekt-A-VM (10.0.1.10) → Projekt-B-VM (10.1.1.10)
└─ Projekt-A-Router routet über das SNA-Transfer-Netzwerk
   └─ SNA-Transfer-Netzwerk leitet zu Projekt B weiter
      └─ Projekt-B-Router sendet das Paket zum Zielnetzwerk
         └─ Security Groups auf dem Ziel werten das Paket aus
            └─ Wenn er erlaubt ist, erreicht der Verkehr die Ressource

Skalierbarkeit und Performance

Horizontale Skalierbarkeit

Core Networking skaliert horizontal, um wachsende Workloads zu bewältigen:

• Netzwerkvirtualisierung eliminiert physische Netzwerkbeschränkungen
• Verteiltes Routing vermeidet zentrale Engpässe
• Hypervisor-basiertes Switching skaliert mit den Rechenressourcen
• Regionale Bereitstellung verteilt die Last über die Infrastruktur

Leistungsmerkmale

Latenz:

• Netzwerkintern: typischerweise < 1 ms
• Zwischen Netzwerken (selbes Projekt): typischerweise < 2 ms
• Projektübergreifend via SNA: typischerweise < 3 ms
• Internet via Public IP: variabel je nach Ziel

Durchsatz:

• Begrenzt durch den VM-Instanztyp, nicht durch die Netzwerkinfrastruktur
• Volle Line-Rate-Performance für die meisten Instanzgrößen
• Keine Überbuchung (Oversubscription) auf Backbone-Netzwerken

Paketverarbeitung:

• Hardware-Offloading, wo verfügbar
• Optimiertes virtuelles Switching in Hypervisoren
• Minimaler Overhead für die Auswertung von Security Groups

Hochverfügbarkeit und Zuverlässigkeit

Redundanz

• Multi-Path-Vernetzung innerhalb der Infrastruktur
• Redundante Router für externe Konnektivität
• Keine Single Points of Failure in der Steuerungsebene

Fehlertoleranz

• Automatisches Failover bei Infrastrukturausfällen
• Verbindungserhalt während Failover-Ereignissen
• Schnelle Konvergenz nach Topologieänderungen
• Zustandsüberwachung (Health Monitoring) aller Netzwerkkomponenten

Management und Steuerung

Management-Schnittstellen

Sie können Core Networking-Ressourcen verwalten über:

• STACKIT Portal – Webbasierte grafische Benutzeroberfläche
• STACKIT CLI – Kommandozeilenwerkzeug zur Automatisierung
• STACKIT API – REST-APIs für programmatischen Zugriff
• Terraform Provider – Unterstützung für Infrastructure as Code
• Cloud Foundry – Integration auf Plattformebene

Alle Management-Operationen laufen über die Steuerungsebene (Control Plane), welche:

1. Anfragen und Autorisierung validiert
2. Die Konfigurationsdatenbank aktualisiert
3. Änderungen an die betroffenen Infrastrukturkomponenten pusht
4. Die erfolgreiche Anwendung bestätigt
5. Den Status an den Aufrufer zurückgibt

Monitoring und Observability

Core Networking ist in die Observability-Plattform von STACKIT integriert:

• Metriken: Datenverkehrsvolumen, Paketraten, Fehlerraten
• Logs: Konfigurationsänderungen, Sicherheitsereignisse, Konnektivitätsprobleme
• Traces: End-to-End-Sichtbarkeit zur Fehlerbehebung

Sicherheitsarchitektur

Defense in Depth

Core Networking implementiert mehrere Sicherheitsschichten:

1. Physische Isolierung von Mandantennetzwerken
2. Isolierung auf Virtualisierungsebene, die den Zugriff zwischen Mandanten verhindert
3. Sicherheit auf Netzwerktiefe über Security Groups
4. Sicherheit auf Host-Ebene mit NIC-Sicherheitsfunktionen
5. Sicherheit auf Anwendungsebene (Verantwortung des Kunden)

Compliance-Funktionen

• Verschlüsselung während der Übertragung (Encryption in transit) für Management-Operationen
• Netzwerksegmentierung für Compliance-Grenzen
• Audit-Protokollierung aller Konfigurationsänderungen
• Zugriffskontrollen über die STACKIT IAM-Integration

Best Practices für die Netzwerkarchitektur

Design-Prinzipien

1. IP-Adressbereich sorgfältig planen

   • Wählen Sie CIDR-Blöcke, die Wachstum ermöglichen
   • Vermeiden Sie Konflikte bei Verwendung von SNA oder hybrider Konnektivität
   • Dokumentieren Sie Netzwerkzuweisungen

2. Sicherheitsprinzip der geringsten Privilegien anwenden

   • Beginnen Sie mit Security Groups, die alles ablehnen (deny-all)
   • Fügen Sie nur notwendige Regeln hinzu
   • Verwenden Sie separate Security Groups für verschiedene Rollen

3. Netzwerksegmentierung implementieren

   • Trennen Sie Schichten (Web, App, Datenbank) in verschiedene Netzwerke
   • Verwenden Sie Security Groups für eine fein abgestufte Steuerung
   • Ziehen Sie SNA für eine projektübergreifende Segmentierung in Betracht

4. Auf Performance optimieren

   • Halten Sie häufig kommunizierende Ressourcen im selben Netzwerk
   • Verwenden Sie mehrere NICs für Workloads mit hohem Durchsatz
   • Überwachen und optimieren Sie Security-Group-Regeln

5. Auf Hochverfügbarkeit auslegen

   • Verteilen Sie Ressourcen über Availability Zones, sofern verfügbar
   • Verwenden Sie redundante NICs für kritische Pfade
   • Testen Sie Failover-Szenarien

Nächste Schritte

Nachdem Sie nun die Architektur von Core Networking verstehen:

• Erkunden Sie die Anleitungen zum virtuellen Netzwerk, um Ihr erstes Netzwerk zu erstellen
• Erfahren Sie mehr über Security Groups, um Ihre Ressourcen zu sichern
• Richten Sie Public IP-Adressen für die Internetkonnektivität ein
• Konfigurieren Sie eine STACKIT Network Area für die projektübergreifende Konnektivität